Die Anzahl von Cyberangriffen, insbesondere durch Ransomware, nimmt kontinuierlich zu und bedroht Unternehmen jeder Grösse. Um Schäden und Reputationsverluste möglichst gering zu halten, müssen Unternehmen in der Lage sein, schnell zu reagieren.
Die Frage ist nicht länger, ob ein Cyberangriff stattfinden wird, sondern lediglich, wann dies der Fall sein wird. Dementsprechend ist es für Unternehmen unerlässlich, sich auf einen solchen Vorfall vorzubereiten. Allerdings verfügen zahlreiche Unternehmen nicht über die erforderlichen Ressourcen oder das technische Know-how, um ein eigenes Sicherheitsteam rund um die Uhr zu betreiben. Um diese Lücke zu schliessen, erweist sich ein Incident Response Retainer (IRR) als vorteilhaft. Ein IRR stellt Unternehmen Expertise und Unterstützung rund um die Uhr zur Verfügung, sodass eine schnelle und effektive Reaktion auf einen Cybervorfall gewährleistet werden kann.
Inhaltsverzeichnis
Warum eine schnelle Reaktion auf Cyberangriffe wichtig ist
Die umgehende Reaktion auf einen Cyberangriff sowie die getroffenen Entscheidungen sind ausschlaggebend für das Überleben der Organisation oder eine schnelle und möglichst verlustfreie Rückkehr zur Normalität. Dabei ist Expertenhilfe zur Behandlung und Bewältigung des Vorfalls absolut notwendig. Die Experten verfügen über das notwendige Know-how, um geeignete Sofortmassnahmen zur Eindämmung des Angriffs zu ergreifen und eine Strategie zur Wiederherstellung des Betriebs zu entwickeln. Das Verhalten in den ersten Stunden nach einem Angriff ist von entscheidender Bedeutung.
Bewertung von Viren- oder EDR-Meldungen
Bereits bei der Bewertung von Viren- oder EDR-Meldungen (Endpoint Detection & Response) muss schnell und richtig gehandelt werden. Diese Warnungen sollten zuerst vom Sicherheitsteam geprüft und bearbeitet werden. Es kann jedoch vorkommen, dass einige übersehen oder zu spät bearbeitet werden, insbesondere wenn die Analysten überlastet sind. Dies wird als «Alert Fatigue» bezeichnet.
Die Meldung muss richtig eingeschätzt werden, um festzustellen, ob es sich tatsächlich um einen Vorfall handelt. Die Einholung einer Zweitmeinung von Experten kann dazu beitragen, Alerts richtig einzustufen und Anomalien zu erkennen, bevor der Angriff in vollem Gange ist. Auf diese Weise können sie entsprechend ihrer Kritikalität priorisiert und bearbeitet werden.
Fehler bei der Reaktion auf Cyberangriffe
Während eines Cybervorfalls ist die Gefahr von Fehlentscheidungen und -handlungen besonders hoch, insbesondere wenn alle Mitarbeitenden eines Unternehmens unter Druck stehen und in Panik geraten. So kann es beispielsweise dazu kommen, dass Systeme neu installiert werden, während der Angreifer noch im Netzwerk ist. Dadurch werden sie erneut infiziert und der Vorfall beginnt von vorn. Gleiches gilt, wenn infizierte Backups importiert werden, die noch nicht auf Kompromittierung überprüft wurden.
Eine sorgfältige IT-forensische Analyse sollte daher auf keinen Fall vernachlässigt werden. Sie kann zunächst dazu beitragen, schnell Indicators of Compromise (IOCs) zu identifizieren, die präventiv blockiert werden können. Darüber hinaus ist die Analyse zur Bestimmung des Nullpatienten und des Einfallstors von grosser Bedeutung, um weitere geeignete Schutzmassnahmen ergreifen zu können, insbesondere um eine zukünftige Re-Infektion zu vermeiden.
In diesem Zusammenhang erlangt die Datensicherung eine sehr hohe Relevanz. Der Verlust von Daten, die für die Analyse erforderlich sind, ist in der Regel umso grösser, je später die Spezialisten eingebunden werden. Beispielsweise erreichen die Logs eines Domänencontrollers bei den Standardeinstellungen zur Protokolldateigrösse bereits nach weniger als einem Tag ihre Maximalkapazität. Da die Systeme weiterlaufen, werden die Logs einfach überschrieben, sodass ältere Einträge nicht mehr verfügbar sind. In einigen Fällen ist es daher nicht möglich, festzustellen, wann der Angriff begonnen hat, da die Logs nicht weit genug zurückreichen. So kann es passieren, dass Systeme zu einem späteren Zeitpunkt erneut infiziert werden, weil eines der infizierten Systeme übersehen wurde oder ein System vor der Wiederinbetriebnahme nicht ordnungsgemäss bereinigt wurde.
Um Schäden und Verluste nach einem Angriff zu begrenzen, ist es daher von entscheidender Bedeutung, schnell und richtig zu reagieren. Ein guter Incident-Response-Plan (IRP) stellt dabei eine wesentliche Unterstützung dar.
Warum ein Incident Response Retainer wichtig ist
Viele Unternehmen verfügen nicht über die erforderlichen Ressourcen und das nötige Fachwissen, um auf Vorfälle adäquat zu reagieren. Kommt es dann eines Tages zu einem Cyberangriff, werden externe Partner zur Unterstützung herbeigezogen.
Ohne vorherige vertragliche Vereinbarung kann es jedoch schwierig sein, kurzfristig ein kompetentes und qualifiziertes Incident Response Team zu finden, das bei einem Cybernotfall Unterstützung leistet. Die Suche nach einem geeigneten Partner wird wertvolle Zeit kosten, die den Angreifern ermöglicht, weiteren Schaden zu verursachen. Je länger Ihr Unternehmen lahmgelegt ist, desto grösser und umfangreicher sind die Verluste.
Daher ist die Auswahl eines geeigneten Partners und insbesondere ein Incident Response Retainer besonders vorteilhaft. So können Sie wertvolle Zeit einsparen und haben jederzeit fachkundige Hilfe bei der Bearbeitung und Untersuchung eines Vorfalls zur Verfügung.
Die Vorteile des Incident Response Retainers
Ein Incident Response Retainer bietet viele Vorteile. Bei Oneconsult profitieren Sie unter anderem von:
Ihr Fall hat Vorrang
Neben einer Ressourcengarantie bietet der Incident Response Retainer die Möglichkeit, über die Notfallnummer innerhalb kürzester Zeit und rund um die Uhr Unterstützung zu erhalten. Von einer einfachen Zweitmeinung im Zusammenhang mit einer Antiviren-Warnung bis hin zu einem bereits bestätigten Ransomware-Angriff ist das Incident Response Team für Sie da.
Vor Ort oder Remote-Unterstützung
Der IT-Sicherheitsvorfall kann entweder aus der Ferne über ein vordefiniertes Kommunikationsmittel oder vor Ort betreut werden. Bei Vor-Ort-Einsätzen können Reaktionszeiten bis zum Eintreffen des Incident Response Teams vertraglich vereinbart werden. Durch diese schnelle Reaktion kann die Verweildauer eines Angreifers im Netz und damit das Schadensausmass deutlich reduziert werden.
Incident Manager
Während eines Vorfalls übernimmt häufig einer unserer Experten die Rolle des Incident Managers und fungiert als zentraler Ansprechpartner. Dies gewährleistet eine reibungslose Kommunikation sowie eine effiziente Koordination der Aufgaben. Dadurch wird sichergestellt, dass in jeder Phase des Incident-Response-Prozesses alle relevanten Informationen berücksichtigt werden, jeder weiss, was zu tun ist, und die Ressourcen entsprechend geplant werden.
Forensische Analyse und «Lessons Learned»
Zusätzlich zum Incident Management wird eine tiefgehende forensische Analyse zur Ursachenforschung und Rekonstruktion des Vorfallablaufs durchgeführt und dokumentiert. Die Ergebnisse und weitere Empfehlungen werden in einem Bericht dargelegt. Darüber hinaus wird ein «Lessons Learned»-Meeting durchgeführt, um eine Reflexion über die Vorgehensweisen und deren Resultate zu ermöglichen. So können Verbesserungspotentiale identifiziert und die Prozesse entsprechend angepasst werden, um eine erneute Infektion zu vermeiden und auf zukünftige Angriffe vorbereitet zu sein.
Tabletop Exercise
Der Incident Response Retainer beinhaltet eine Tabletop-Übung, bei der ein Cyberangriff durchgespielt und geübt wird. So können die verschiedenen Prozesse und Pläne, wie zum Beispiel der Incident-Response-Plan, getestet und verbessert werden. Welche Punkte bei der Erstellung eines Incident-Response-Plans zu beachten sind, haben wir hier zusammengetragen: Die 7 Red Flags bei der Erstellung eines Incident-Response-Plans (IRP)
Zusätzliche Leistungen
In Abhängigkeit von der gewählten Stufe des IRR sind zusätzliche Leistungen inkludiert. Diesbezüglich sei beispielsweise das Durchführen eines Digital Forensics & Incident Response Readiness Assessments genannt. Im Rahmen dessen erfolgt eine Evaluierung der organisatorischen und technischen Vorkehrungen zur Bewältigung eines Sicherheitsvorfalls. Des Weiteren werden Empfehlungen zur Behebung der festgestellten Schwachstellen dargelegt. Darüber hinaus werden Schulungen zu Themen der Cybersicherheit wie beispielsweise Cyberbedrohungen, M365- und Azure-AD-Angriffsszenarien, Schwachstellenmanagement und die Analyse bösartiger Dateien angeboten, um nur einige zu nennen. Zusätzlich zu den öffentlichen Cyber-Security-Webinaren bietet Oneconsult IRR-exklusive Webinare an. So werden Sie laufend über Cybersicherheit, Cyberangriffe und deren Abwehr informiert. Dies ermöglicht eine kontinuierliche Steigerung Ihrer Cyberresilienz.
Ein Incident Response Retainer bietet Ihnen somit umfassende Sicherheit, da Sie nicht nur während eines Vorfalls, sondern auch davor und danach von Experten tatkräftig unterstützt werden.
Fazit
Heutzutage ist es nur eine Frage der Zeit, bis es zu einem Cyberangriff kommt. Die Vorbereitung darauf ist von entscheidender Bedeutung. Dies bedingt jedoch auch die Verfügbarkeit der notwendigen Ressourcen. Ein Incident Response Retainer (IRR) dient der schnellen und effizienten Reaktion im Cybernotfall durch die Bereitstellung und Unterstützung von Experten. Dadurch kann der entstehende Schaden so gering wie möglich gehalten werden.
Mit unserem Retainer werden Sie von der Vorbereitung bis zur Nachbereitung des Vorfalls von unseren Spezialistinnen und Spezialisten für Digital Forensics and Incident Response begleitet. Darüber hinaus wird Ihnen nicht nur im Ernstfall unverzügliche Hilfe bei der Einleitung von Sofortmassnahmen, dem Incident Management sowie der IT-forensischen Analyse bereitgestellt, sondern auch danach, um aus Fehlern zu lernen. Mit unseren Inklusivleistungen, wie beispielsweise Tabletop-Übungen und Webinaren, sind Sie umso besser auf Vorfälle vorbereitet. Dadurch steigern Sie Ihre Cyberresilienz.
