Sicherheitsvorfälle mit Incident Response Triage effizient bearbeiten

Autor
Jolanda Muff
Veröffentlicht
23. August 2021

Vorbereitung ist der Schlüssel zu einer effektiven Reaktion auf Cyberangriffe. Selbst das beste Incident-Response-Team kann einen Vorfall ohne vorher festgelegte Richtlinien nicht effektiv angehen. Die Reaktion auf Cyberangriffe ist ein Prozess, kein isoliertes Ereignis – daher ist es wichtig, dass IR-Teams bei jedem Vorfall koordiniert und organisiert vorgehen. Erfahren Sie im Blog, welche wichtigen Schritte bei der Reaktion eines Sicherheitsvorfalls entscheidend sind, um das breite Spektrum der Reaktion zu bewältigen.

Um erfolgreich auf Sicherheitsvorfälle reagieren zu können, brauchen Sie einen guten Plan. Die Triage ist der erste Prozess-Schritt, der nach der Entdeckung eines Vorfalls oder False Positives durchgeführt wird – und er ist elementar. Denn er verkürzt die Zeit für die Reaktion auf Sicherheitsvorfälle und stellt sicher, dass nur gültige Alarme in den Status «Untersuchung oder Vorfall» überführt werden. Zudem entlastet es auch die Analysten vor unnötiger Arbeit.

Jeder Teil des Triage-Prozesses muss mit Dringlichkeit durchgeführt werden, da inmitten einer Krise jede Sekunde zählt. Die grosse Herausforderung ist, dass Ihre Triage-Spezialisten eine riesige Menge an Informationen in ein kondensiertes Rinnsal von Ereignissen filtern müssen. Wir haben für Sie einige Ansatzpunkte zur Beschleunigung der Analyse zusammengetragen, bevor die Daten validiert werden:

  • Organisation: Reduzieren Sie redundante Analysen, indem Sie einen Arbeitsablauf entwickeln, der den Bearbeitern dedizierte Aufgaben zuweist. Vermeiden Sie die gemeinsame Nutzung eines E-Mail-Postfachs oder eines E-Mail-Alias durch mehrere Bearbeiter. Verwenden Sie stattdessen ein Workflow-Tool, wie z. B. in SOAR-Lösungen (Security Orchestration, Automation and Response), um Aufgaben einer spezifischen Person zuzuweisen. Implementieren Sie einen Prozess zur Neuzuweisung oder Ablehnung von Aufgaben, die für die Triage nicht in Frage kommen.
  • Korrelation: Verwenden Sie ein Tool wie z. B. ein SIEM-Tool (Security Information and Even Management), um ähnliche Ereignisse zu kombinieren. Verknüpfen Sie potenziell zusammenhängende Ereignisse zu einem einzigen nützlichen Ereignis.
  • Datenanreicherung: Automatisieren Sie häufige Aktionen, die Ihre Mitarbeitenden täglich durchführen müssen, z. B. Reverse-DNS-Abfragen, Abfragen von Bedrohungsdaten und IP/Domain-Zuordnungen. Fügen Sie diese Daten dem korrelierten Ereignisdatensatz hinzu oder machen Sie diese Informationen zumindest leicht zugänglich.

Incident Response Triage heisst Vollgas geben

Diese Triage muss schnell erfolgen – geben Sie hier also «Vollgas». Ein Tool kann Ihnen hierbei wertvolle Dienste leisten. Die SOAR-Plattform von Swimlane kann den Grossteil des Triage-Prozesses automatisieren, einschliesslich der Zuweisung von Workflow-Aufgaben und der Datenanreicherung. Dadurch erhält Ihr Team den Kontext, den es für die weitere Analyse benötigt. Zusätzliche Schritte im Incident-Response-Prozess, wie z. B. die Suche nach Bedrohungsdaten und Abhilfeschritte, können ebenfalls automatisiert werden. Mit SOAR können Sie die Effizienz Ihrer Sicherheitsabläufe erheblich verbessern, während Sie gleichzeitig das Risiko reduzieren und den Schutz vor Bedrohungen erhöhen.

Ein CSIRT braucht verlässliche Daten

Bei der anschliessenden Überprüfung von Ereignissen ist ein detaillierterer Ansatz erforderlich. Es ist wichtig, einen soliden Fall zu präsentieren, der von den Analysten Ihres Security Operations Centers (SOC) oder des CSIRTs genau bewertet werden kann. Hier sind vier wichtige Tipps für die Verifizierung:

  1. Prüfen Sie Zusammenhänge: Überprüfen Sie die Informationen rund um das Ereignis. Wenn beispielsweise auf einem Endpunkt eine Virensignatur gefunden wurde, prüfen Sie, ob es Hinweise gibt, dass der Virus ausgeführt wird, bevor Sie weitere Reaktionsmetriken anfordern.

  2. Verifikation der Informationen: Verstehen Sie den Kontext, in dem die Informationen stehen. Nur weil eine IP-Adresse in der letzten Woche Teil eines Botnetzes war, heisst das nicht automatisch, dass sie es heute noch ist.

  3. Priorisieren Sie Ereignisse: Stimmen Sie die operativen Prioritäten nach der Dringlichkeit des Ereignisses und klassifizieren Sie Vorfälle entsprechend. Stellen Sie sicher, dass für jeden Vorfall das richtige Mass an Aufwand betrieben wird.

  4. Nutzen Sie unterschiedliche Datenquellen: Suchen Sie nach potenziell gemeinsamen Eigenschaften wie IP-Adressen oder Domänennamen und analysieren Sie diese über mehrere Datenquellen hinweg, um die Qualität der Daten zu erhöhen.

Sobald ein Ereignis verifiziert ist, wird es zu einer Untersuchung oder einem Vorfall. Diese müssen dann von Ihren SOC- oder CSIRT-Teams untersucht und weiterverfolgt werden, wie Sie dies in Ihrem IR-Prozess definiert haben.

InfoGuard unterstützt Sie bei jedem Sicherheitsvorfall

Für die Bearbeitung eines Sicherheitsvorfalls braucht es sofort verfügbare Ressourcen und Expertise. Denn es gilt schnell und professionell zu handelt. Angreifer warten nicht, bis Sie bereit sind den Cyberangriff zu bearbeiten. Sie können das InfoGuard CSIRT Team rund um die Uhr kontaktieren!

Kontaktieren Sie unser CSIRT Team!

Wenn Sie in Ihrem Unternehmen nicht über die notwendigen Ressourcen verfügen, ist unser Incident Response Retainer die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:

Incident Response Retainer

Artikel teilen