InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Vorbereitung ist der Schlüssel zu einer effektiven Reaktion auf Cyberangriffe. Selbst das beste Incident-Response-Team kann einen Vorfall ohne vorher festgelegte Richtlinien nicht effektiv angehen. Die Reaktion auf Cyberangriffe ist ein Prozess, kein isoliertes Ereignis – daher ist es wichtig, dass IR-Teams bei jedem Vorfall koordiniert und organisiert vorgehen. Erfahren Sie im Blog, welche wichtigen Schritte bei der Reaktion eines Sicherheitsvorfalls entscheidend sind, um das breite Spektrum der Reaktion zu bewältigen.
Um erfolgreich auf Sicherheitsvorfälle reagieren zu können, brauchen Sie einen guten Plan. Die Triage ist der erste Prozess-Schritt, der nach der Entdeckung eines Vorfalls oder False Positives durchgeführt wird – und er ist elementar. Denn er verkürzt die Zeit für die Reaktion auf Sicherheitsvorfälle und stellt sicher, dass nur gültige Alarme in den Status «Untersuchung oder Vorfall» überführt werden. Zudem entlastet es auch die Analysten vor unnötiger Arbeit.
Jeder Teil des Triage-Prozesses muss mit Dringlichkeit durchgeführt werden, da inmitten einer Krise jede Sekunde zählt. Die grosse Herausforderung ist, dass Ihre Triage-Spezialisten eine riesige Menge an Informationen in ein kondensiertes Rinnsal von Ereignissen filtern müssen. Wir haben für Sie einige Ansatzpunkte zur Beschleunigung der Analyse zusammengetragen, bevor die Daten validiert werden:
Diese Triage muss schnell erfolgen – geben Sie hier also «Vollgas». Ein Tool kann Ihnen hierbei wertvolle Dienste leisten. Die SOAR-Plattform von Swimlane kann den Grossteil des Triage-Prozesses automatisieren, einschliesslich der Zuweisung von Workflow-Aufgaben und der Datenanreicherung. Dadurch erhält Ihr Team den Kontext, den es für die weitere Analyse benötigt. Zusätzliche Schritte im Incident-Response-Prozess, wie z. B. die Suche nach Bedrohungsdaten und Abhilfeschritte, können ebenfalls automatisiert werden. Mit SOAR können Sie die Effizienz Ihrer Sicherheitsabläufe erheblich verbessern, während Sie gleichzeitig das Risiko reduzieren und den Schutz vor Bedrohungen erhöhen.
Bei der anschliessenden Überprüfung von Ereignissen ist ein detaillierterer Ansatz erforderlich. Es ist wichtig, einen soliden Fall zu präsentieren, der von den Analysten Ihres Security Operations Centers (SOC) oder des CSIRTs genau bewertet werden kann. Hier sind vier wichtige Tipps für die Verifizierung:
Sobald ein Ereignis verifiziert ist, wird es zu einer Untersuchung oder einem Vorfall. Diese müssen dann von Ihren SOC- oder CSIRT-Teams untersucht und weiterverfolgt werden, wie Sie dies in Ihrem IR-Prozess definiert haben.
Für die Bearbeitung eines Sicherheitsvorfalls braucht es sofort verfügbare Ressourcen und Expertise. Denn es gilt schnell und professionell zu handelt. Angreifer warten nicht, bis Sie bereit sind den Cyberangriff zu bearbeiten. Sie können das InfoGuard CSIRT Team rund um die Uhr kontaktieren!
Wenn Sie in Ihrem Unternehmen nicht über die notwendigen Ressourcen verfügen, ist unser Incident Response Retainer die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier: