Die H?ufigkeit von Cyberangriffen hat einen neuen H?chststand erreicht, die Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsakteure entwickeln sich st?ndig weiter, und die rasche Digitalisierung von Unternehmen in allen Branchen hat dazu gef¨¹hrt, dass es nicht mehr eine Frage des ob, sondern des wannist, ob es zu einem Cybervorfall kommt.
Auch die Cybersecurity-Landschaft entwickelt sich weiter. Ein Schwerpunkt der neuesten Version ist Incident Response (IR), eine L?sung, die Unternehmen hilft, sich auf einen Vorfall vorzubereiten und richtig und schnell zu handeln, wenn ein Angriff erfolgt.
Incident Response konzentriert sich auf Isolation, Minimierung, Kostenreduzierung und Wiederherstellung der gesch?ftlichen Abl?ufe, ist au?erdem ein wichtiges Werkzeug in den Toolkits von Cyberverteidigern und ein wesentlicher Bestandteil jeder robusten Cybersecurity-Architektur. Laut dem sparen Organisationen 1,49?Millionen USD-Dollar, wenn sie ¨¹ber ein hohes Ma? an IR-Planung und -Tests verf¨¹gen, im Vergleich zu weniger aktiven Organisationen. Wenn man bedenkt, dass dem gleichen Bericht zufolge zu den gr??ten Kostentreibern mittlerweile ¨¹bliche IT-Umgebungsattribute wie Cloud Migration, Systemkomplexit?t, Remote-Arbeitskr?fte und mangelnde Sicherheitskompetenzen geh?ren, kann IR die Kosten (sowie Betriebsausfallzeiten und Auswirkungen einer Sicherheitsverletzung) eines Vorfalls ausgleichen.
Aus diesen und weiteren Gr¨¹nden ist es wichtig zu verstehen, was IR ist, wie es funktioniert und welche Rolle es im Gesamtgef¨¹ge der Sicherheitsstrategie einer Organisation spielen kann.
Was ist Incident Response?
Cybersecurity Incident Response sind die Prozesse und Tools, die zur Identifizierung, Eind?mmung und Behebung eines Cybervorfalls in der Umgebung einer Organisation verwendet werden.
IR umfasst drei Hauptkomponenten:
- ³§³¦³ó¨¹³Ù³ú±ð²Ô einer Umgebung, indem der Zugriff des Bedrohungsakteurs verhindert wird.
- Analysieren der Ursache und des Ausma?es der Aktivit?ten des Bedrohungsakteurs innerhalb des Netzwerks.
- Wiederherstellen des Netzwerks und der Organisation insgesamt in dem Zustand vor dem Vorfall
IR wird h?ufig in F?llen schwerwiegender Datenschutzverletzungen, Business Email Compromise (BEC)-Angriffen, Ransomware-Verschl¨¹sselungsvorf?llen, in der Umgebung aktiven Bedrohungsakteuren, kompromittierten Dom?nencontrollern und aktiver Malware ben?tigt, deren Ursache nicht ermittelt werden kann.
Das Ziel von IR besteht darin, sowohl zu verhindern, dass Vorf?lle auftreten oder zu Datenschutzverletzungen werden, als auch die Auswirkungen eines Vorfalls auf ein Unternehmen zu minimieren. IR beinhaltet zahlreiche Komponenten wie IR-Planung, digitale Forensik, Verhandlung mit Erpressern oder Bedrohungsakteuren, Behebung und Wiederherstellung sowie pr?ventive Tools und L?sungen, beispielsweise Managed Detection and Response (MDR).
Proaktive und reaktive IR im Vergleich
Es ist wichtig, beide Seiten der IR zu betrachten: den Teil, der vor einem Angriff auftritt, die proaktive IR, und den Teil, der nach der Identifizierung des Angriffs auftritt, die reaktive IR.
- Proaktive IR dient dazu, Vorf?lle zu verhindern und zu minimieren und die Sicherheitsumgebung zu st?rken, bevor ein Vorfall auftritt. Proaktive IR kann Technologie, Prozesse wie Schwachstellenmanagement und Taktiken wie IR-Planung oder den Abschluss einer Cyberversicherung umfassen.
- Reaktive IR dient dazu, einen Vorfall zu beheben und den Betrieb wiederherzustellen, nachdem ein Angriff stattgefunden hat. Reaktive IR kann Ma?nahmen zur Isolation von Netzwerken und Endpunkten, Eind?mmung und Entfernung von Bedrohungsakteuren, digitale Forensik und die Aktualisierung von IR-Pl?nen und Sicherheitsma?nahmen nach einem Vorfall beinhalten.
Diese beiden IR-Komponenten arbeiten oft in einem Zyklus, wobei die eine die andere informiert, um das Sicherheitsniveau einer Organisation als Reaktion auf aktuelle und zuk¨¹nftige Bedrohungen kontinuierlich zu verbessern und zu verfeinern.
Was ist Incident-Response-Planung?
Wenn man von Incident Response spricht, meint man oft die Incident-Response-Planung, die eine Komponente der proaktiven IR ist und die Incident-Response-Aktionen einer Organisation w?hrend eines Cyberangriffs steuert.
Incident-Response-Planung umfasst:
- Die Rollen und Zust?ndigkeiten des internen Sicherheitsteams
- Die Tools und Technologien, die bereits vorhanden sind oder deren Installation geplant ist
- Es sind Risikotransferma?nahmen wie ein IR-Retainer oder eine Cyberversicherung vorhanden
- Gesch?ftskontinuit?tspl?ne f¨¹r den Fall eines Betriebsausfalls
- Methodik, die festlegt, welche Schritte im Falle eines Cyberangriffs unternommen werden
- Kommunikationspl?ne
- Anleitung zur Dokumentation
Die IR-Planung kann auch praktische Elemente wie Tisch¨¹bungen und Penetrationstests umfassen. Unbedingt zu beachten ist, dass IR-Planung aus Service-Sicht nicht dasselbe Angebot ist wie IR. Deshalb sollten Organisationen sich ¨¹ber ihre spezifischen Anforderungen im Klaren sein, wenn Sie sich nach einem Drittanbieter umsehen.
Cyberversicherung ist ein weiterer Service, der unter das Spektrum der IR-Planung fallen kann, da eine Cyberversicherung Unternehmen die M?glichkeit bietet, einen Teil der Kosten f¨¹r die Wiederherstellung nach Cybervorf?llen an ihren Versicherungsanbieter weiterzugeben. Versicherungen tragen auch dazu bei, die Cyberhaftung insgesamt zu reduzieren. Ein IR-Plan kann bei Antr?gen und Verl?ngerungen von Cyberversicherungen hilfreich sein. Laut einer von der Arctic Wolf and Cyber Risk Alliance durchgef¨¹hrten Umfrage, k?nnen IR-Planung und andere Sicherheitskontrollen wie MDR oder Schulungen zum Sicherheitsbewusstsein die Versicherungspr?mien um bis zu 25?% senken. Wenn ein Vorfall eintritt, verweist der Cyberversicherer einer Organisation Sie an einen IR-Partner. Er kann jedoch auch verlangen, dass Sie mit jemandem zusammenarbeiten, der seinem Gremium angeh?rt, um sicherzustellen, dass Sie mit einem erstklassigen Unternehmen zusammenarbeiten.
Die Rolle von Incident Response Retainern in der Cybersecurity
Eine weitere IR-angrenzende L?sung auf dem Markt ist der IR-Retainer. Dieser externe Service bietet einer Organisation im Voraus bezahlte Stunden und garantierte Services im Falle eines Vorfalls. IR-Retainer bieten eine Reihe von Vorteilen, vor allem die M?glichkeit, ansonsten unerreichbares Fachwissen im Bereich Cybersecurity im Voraus zu bezahlen und darauf zuzugreifen. Allerdings ist jedes Retainer-Angebot anders, und Faktoren wie Kosten, Services, SLAs und Support k?nnen je nach Anbieter variieren.
Laut derselben Umfrage von Arctic Wolf kann ein IR-Retainer die Versicherungspr?mien um 19?% senken.
Was ist der Incident Response-Lebenszyklus?
Der Incident-Response-Lebenszyklus, auch Phasen von Incident Response genannt, umfasst die allgemeinen proaktiven und reaktiven Schritte, die eine Organisation w?hrend ihrer Reaktion auf einen Cyberangriff oder Datenschutzverst??e unternimmt.
Der IR-Lebenszyklus umfasst sechs Phasen:
1. Vorbereitung
Dazu geh?ren proaktive IR-Schritte wie die Erstellung eines IR-Plans oder der Abschluss einer Cyberversicherung. Die Vorbereitung sollte im Rahmen der Sicherheitsverfahren einer Organisation kontinuierlich erfolgen.
2. Erkennung und Analyse
Dies geschieht ebenfalls kontinuierlich und umfasst die ?berwachung der Umgebung durch das interne Sicherheitsteam, die Erkennung von Anomalien und die Analyse des anomalen Verhaltens. In dieser Phase wird eine L?sung wie MDR von entscheidender Bedeutung, da sie eine ?berwachung rund um die Uhr und eine erweiterte Bedrohungserkennung sowie eine Reaktion in Echtzeit bietet.
3. Eind?mmung
Dies ist der Zeitpunkt, an dem Incident Response Ma?nahmen ergreift, um das Verhalten der Bedrohungsakteure zu stoppen und den Angriff zu isolieren. Es gibt sowohl kurzfristige als auch langfristige Eind?mmung. Kurzfristig bezieht sich auf Prozesse wie die Isolierung von Endpunkten, wohingegen sich die langfristige Eind?mmung auf die Erh?hung der Sicherheitsma?nahmen auf nicht betroffenen Ger?ten bezieht.
4. Wiederherstellung und Behebung
Nachdem eine Bedrohung einged?mmt wurde, stellt das IR-Team sicher, dass alle Bedrohungskomponenten ¨C wie etwa Malware ¨C beseitigt wurden und die betroffenen Systeme wiederhergestellt werden.
5. Wiederherstellung
Dabei handelt es sich um den Prozess, bei dem die Organisation in den Zustand vor dem Vorfall zur¨¹ckversetzt wird, damit der Betrieb wie gewohnt wieder aufgenommen werden kann.
6. ?berpr¨¹fung nach dem Vorfall und Zukunftsplanung
An dieser Stelle kehrt der Lebenszyklus zur ersten Phase zur¨¹ck, in der die betroffene Organisation pr¨¹ft, was den Vorfall verursacht hat und was getan werden kann, um einen zuk¨¹nftigen Vorfall zu verhindern.
Warum Organisationen Incident Response ben?tigen
Die meisten Organisationen haben immer noch mit mehreren Komponenten der Cybersecurity zu k?mpfen. Von der Implementierung von Zugangskontrollen ¨¹ber Investitionen in ?berwachungs- und Erkennungsl?sungen bis hin zur St?rkung ihrer Cloud- und IoT-Sicherheit ¨C vielen Unternehmen mangelt es an Ressourcen, Fachwissen und Budget. Dieses Problem wird dadurch versch?rft, dass Bedrohungsakteure st?ndig neue Techniken entwickeln, um besser auf Organisationen zuzugreifen, Gelder zu stehlen und m?glicherweise Daten zu exfiltrieren. Beispielsweise stiegen BEC-Angriffe von 2021 bis 2022 im Vergleich zum Vorjahr um 29?%. Laut IBM planen 51?% der Unternehmen, ihre Sicherheitsma?nahmen erst nach einem Vorfall zu erh?hen, und dr¨¹cken stattdessen die Daumen und hoffen, dass nichts passiert, anstatt sich aktiv auf das Schlimmste vorzubereiten.
Diese Anzeichen verdeutlichen den Wert von IR, der Unternehmen dabei helfen kann, einen Vorfall zu verhindern und den Schaden zu mindern, und ihnen dabei hilft, besser zu reagieren, sich schneller zu erholen und zuk¨¹nftige Angriffe zu verhindern.
Arctic Wolf? Incident Response ist ein vertrauensw¨¹rdiger Marktf¨¹hrer im Bereich IR, der f¨¹r das breite Angebot an IR-Funktionen, das technische Wissen der Mitarbeiter, die Vorf?lle untersuchen, und den hervorragenden Service bei IR-Eins?tzen gesch?tzt wird. Arctic Wolf IR bietet eine schnellere Reaktion, vollst?ndige Behebung und schnellere Wiederherstellung, indem sichergestellt wird, dass alle Elemente der Reaktion parallel funktionieren und sich gegenseitig informieren. Es ist auch in 30 Versicherungspanels vertreten, und in den letzten 12?Monaten hat Arctic Wolf Kunden dabei geholfen, ihre L?segeldforderungen um durchschnittlich 92?% zu senken. Dar¨¹ber hinaus bietet Arctic Wolf den Arctic Wolf? Incident Response Jumpstart Retainer (IRJS) an, der ein einst¨¹ndiges SLA, Vorzugspreise, ein kostenloses Scoping-Gespr?ch sowie Unterst¨¹tzung, ?berpr¨¹fung und sichere Speicherung des IR-Plans umfasst.
Erfahren Sie mehr ¨¹ber den innovativen IR-Ansatz von Arctic Wolf.
Entdecken Sie, wie die Technologien und Sicherheitsexperten von Arctic Wolf zusammenarbeiten, um Vorf?lle zu stoppen, bevor sie zu Sicherheitsverletzungen werden.
