Incident Response: Jede Sekunde zählt

Cybersecurity-Vorfälle stellen die Sicherheitsteams in Unternehmen immer häufiger auf die Probe, denn erst der Ernstfall zeigt, wie gut die Verteidigung des Unternehmensnetzwerks ist – und ob Mitarbeiter in der Lage sind, ausreichend auf das Ereignis zu reagieren. Die Incident-Response-Experten von Sophos raten vor allem, so schnell wie möglich zu reagieren.

Die Erfahrung zeigt laut Sophos jedoch, dass häufig die Schwere eines Angriffs unterschätzt und als Folge nicht schnell genug gehandelt wird. Erschwerend kommt hinzu, dass Cyberkriminelle gerne zu ungünstigen Zeitpunkten zuschlagen: Sie setzen darauf, dass die Gegenwehr an Wochenenden, Feiertagen und nachts geringer ist als während den üblichen Arbeitszeiten. Führt dies dann noch zu einer „Darum kümmern wir uns morgen“-Mentalität, ist es oft schon zu spät, um einen Angriff noch einzudämmen.

Ein weiteres Problem ist, dass häufig die eigentlichen Angriffsindikatoren in einer Flut irrelevanter Warnmeldungen untergehen. Als Folge wird ein Fall möglicherweise nicht richtig priorisiert, weil zu wenig Kontext vorliegt. Zeit kostet es auch, wenn den Verantwortlichen die notwendige Erfahrung fehlt, um die richtigen Maßnahmen zu ergreifen.

Auch die Reaktion auf Sicherheitsvorfälle sollte geübt werden

In einem Whitepaper beschreibt Sophos einen zehnstufigen Incident-Response-Plan. So sollten Unternehmen vorab unter anderem alle verantwortlichen Personen klar benennen, auch außerhalb der eigentlichen IT-Abteilung. Auch sollten die kritischen Systeme, die mit Priorität bei einem Cyberangriff geschützt werden müssen, festgelegt werden.

Darüber hinaus rät Sophos, die notwendigen Abläufe nach einem Sicherheitsvorfall regelmäßig zu üben. Zwar ist es schwierig, den enormen Druck während eines potenziellen Sicherheitsverstoßes zu reproduzieren, regelmäßige Übungen erlauben aber meist besser koordinierte und effektivere Reaktionen.

Die Experten von Sophos betonen zudem, dass es nicht ausreicht, nur die Symptome zu bekämpfen. Denn das erfolgreiche Entfernen einer Malware bedeutet nicht, dass der Angreifer auch aus dem Unternehmensnetzwerk verbannt wurde.

Die Ursachensuche gehört zwingend zur Bekämpfung eines Vorfalls

In einem Fall versuchte ein Angreifer ganze dreimal über einen Zeitraum von neun Tage, ein Unternehmen mit Ransomware anzugreifen. Nach dem ersten Angriff gelang des dem hinzugezogenen Managed Detection and Response Team (MDR) von Sophos nicht nur, ein kompromittiertes Administratorkonto zu identifizieren und die Kommunikation zu einem Befehlsserver der Angreifer zu blockieren, es wurden auch zwei weitere Angriffswellen abgewehrt. Der Angriff mit der Maze-Ransomware betraf rund 700 Computer. Die Lösegeldforderung, der das Unternehmen nicht nachkommen musste, belief sich auf 15 Millionen Dollar.

Bei einem anderen Fall wurde das MDR-Team von Sophos ebenfalls wegen einer Ransomware-Bedrohung hinzugezogen. Allerdings fanden sich keine Hinweise auf eine Ransomware – eine Situation, in der viele Sicherheitsteams wahrscheinlich schnell zum Tagesgeschäft zurückgekehrt wären. Das MDR-Team stieß bei weiteren Analysen jedoch auf einen historischen Banking-Trojaner, der zum Glück des Kunden nicht mehr aktiv war. Auch hier zeigte sich laut Sophos, wie wichtig es ist, der eigentlichen Ursache eines Sicherheitsvorfalls auf den Grund zu gehen.

Managed Detection and Response bietet Sophos als 24/7-Service an. Er umfasst neben einer lückenlosen Bedrohungssuche auch Erkennung und Reaktion aus Expertenhand. Laut Sophos informiert das Team nicht nur über Angriffe und verdächtiges Verhalten, es ergreift auch gezielte Maßnahmen, um selbst hochkomplexe Bedrohungen unschädlich zu machen.

Managed Detection and Response auch mit Sicherheitslösungen von Drittanbietern

Geschulte Experten sollen vor allem die Angriffe enttarnen und stoppen, die Sicherheitslösungen nicht automatisch blockieren können. So liegt die durchschnittliche Reaktionszeit der Sophos-Experten für die Erkennung eines Sicherheitsvorfalls bei einer Minute. Weitere 25 Minuten werden im Mittel für die Analyse benötigt sowie 12 Minuten für die Bereinigung.

Die MDR-Services von Sophos sind kompatibel zu bereits vorhandenen Cybersicherheits-Tools anderer Anbieter. Unter anderem arbeitet Sophos MDR mit Telemetriedaten von Anbietern wie Amazon Web Services, Check Point, CrowdStrike, Darktrace, Fortinet, Google, Microsoft, Okta, Palo Alto Networks oder Rapid7. Für die Konsolidierung, Korrelierung und Priorisierung von Telemetriedaten setzt Sophos auf das Sophos Adaptive Cybersecurity Ecosystem (ACE) und das x-Ops Threat Intelligence Unit.

Ergänzt wird Sophos MDR durch Network Detection and Response, womit Aktivitäten potenzieller Angreifer erkannt werden, die andere Sicherheitswerkzeuge womöglich übersehen. So können erhalten Sophos-Analysten wichtige Kontextdaten, um den gesamten Angriffspfad zu erfassen und schneller und umfassender auf Bedrohungen reagieren zu können.

Sophos MDR Complete beinhaltet zudem die Sophos Breach Protection Warranty. Sie deckt Gesamtkosten in Höhe von bis zu einer Millionen Dollar, die bei Reaktionsmaßnahmen entstehen. Pro kompromittiertem System sind die Kosten auf bis zu 1000 Dollar begrenzt. Abgedeckt werden auch Kosten für die Anzeige eines Datenschutzverstoßes sowie PR-, Rechts- und Compliance-Kosten.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Incident Response: Jede Sekunde zählt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *