•  

Mit Testszenarien die Cybersicherheit verbessern

„Incident Preparedness and Response“-Report von Verizon zeigt, wie sich Unternehmen auf einen Cyberangriff vorbereiten + Unternehmen sind sich mehr denn je bewusst, wie stark sich Cyberkriminalität auf ihre Reputation auswirken kann. Jährlich erscheinende Berichte wie der Verizon Data Breach Investigations Report und der Verizon Insider Threat Report greifen diese Entwicklung auf und weisen auf Cyberbedrohungen hin, die jede Organisation auf dem Radar haben sollte. Zwar sind zum Verständnis der Gefahren grundlegende Kenntnisse zu Cyberbedrohungen notwendig, doch erfordert die Vorbereitung auf einen Sicherheitsvorfall einen viel breiter angelegten Ansatz.

Mit dem Verizon Incident Preparedness and Response (VIPR)-Report erhalten Unternehmen eine strategische Anleitung, wie sie sich auf Cybervorfälle mit einem Incident Response-Plan (IR-Plan) vorbereiten können. Der Report basiert auf der Bewertung von IR-Plänen und Simulationen von Datenschutzverletzungen, die Verizon für Kunden in den Jahren 2016 bis 2018 durchgeführt hat.
„Viele Firmen sind der Meinung, dass sie schon ausreichend gegen einen Cyberangriff geschützt sind, wenn sie einen IR-Plan vorbereitet haben. Nur zu oft werden diese Pläne dann jahrelang nicht mehr angefasst, aktualisiert oder durchgespielt und sind damit bei einem tatsächlichen Cybervorfall nicht einsatzbereit“, erläutert Bryan Sartin, Executive Director, Verizon Global Security Services. „Ein veralteter Plan ist genauso schlimm wie überhaupt keinen Plan zu haben. IR-Pläne sollten als lebende Dokumente gesehen werden, damit sie auch tatsächlich effektiv sind. Sie müssen daher regelmäßig aktualisiert und die Szenarien trainiert werden“.

John Grim vom Verizon Threat Research Advisory Center (VTRAC) und Mitglied des Investigative Response Team fügt hinzu: „IR-Pläne lassen sich auf dem neuesten Stand halten, indem man Stakeholder-Feedback, Erkenntnisse aus Simulationstests sowie Erkenntnisse über die neuesten Cybertaktiken einbezieht. Dadurch ist es möglich, den Plan permanent zu erneuern, sodass dieser die sich ständig verändernde Sicherheitslandschaft widerspiegelt.“

Sechs typische Phasen für ein Incident Response

Jeder IR-Plan sollte sechs Phasen umfassen, in denen wichtige Maßnahmen von der Vorbereitung bis zur kontinuierlichen Anpassung des Plans an die Bedrohungslage beschrieben sind. Der erste Schritt ist die Planung und Vorbereitung. Hier geht es um die Definition des IR-Plans unter Einbeziehung wichtiger interner Interessengruppen und Dritter, um im Notfall eine effektive Reaktion starten zu können. Die zweite Phase umfasst das Erkennen und Validieren, bei dem Unternehmen die erkannten Sicherheitsvorfälle nach Schweregrad und Quelle klassifizieren. Im dritten Schritt erfolgt die Eindämmung und Eliminierung, bei dem das Securityteam sich darauf konzentriert, bestehende Bedrohungen der Cybersicherheit zu eliminieren. Sammeln und Analysieren ist die vierte Phase: Hier sollten Organisationen Beweismaterial sichern, um Einblicke in die Cybersicherheitsvorfälle zu erhalten. Diese Informationen helfen bei der effektiven Eindämmung, Eliminierung und Behebung von Datenverletzungen. Im fünften Schritt geht es um die Reparatur und Wiederherstellung. Die hier beschriebenen Maßnahmen sollen dabei helfen, den laufenden Betrieb wieder aufzunehmen, und dazu beitragen, zukünftige Vorfälle zu verhindern oder abzumildern. Die sechste Phase enthält die Maßnahmen Bewertung und Anpassung. Die gemachten Erfahrungen werden gesammelt und in den IR-Plan integriert. So können Unternehmen ihre Metriken, Kontrollmechanismen und Vorgehensweisen zur Cybersicherheit laufend optimieren.

Eigene Übungsszenarien entwerfen

Der VIPR-Bericht enthält zudem fünf „Breach Simulation Kits“. Diese setzen sich aus realen Szenarien zusammen und stellen Unternehmen Inhalte zur Verfügung, anhand dessen sie ihre eigenen simulierten Übungen durchführen können. So lässt sich der jeweilige IR-Plan mit den jeweiligen Zielgruppen üben und perfektionieren. Zu diesen Szenarien gehören Insider-Bedrohungen wie bösartiges Cryptomining, ein Malware-Ausbruch, Cyberspionage sowie ein Cloud-basierter Cyberangriff.

Der vollständige Verizon Incident Preparedness Response Report sowie die Breach Simulation Kits stehen auf der Ressourcenseite des VIPR Report zum Download bereit.

https://enterprise.verizon.com/resources/reports/dbir/

https://enterprise.verizon.com/resources/reports/insider-threat-report.pdf

https://enterprise.verizon.com/resources/reports/vipr/

 

Autor: mat

Diesen Artikel empfehlen