Cyberangriffe verursachen verheerende Kosten für Unternehmen. Manchmal sind die Auswirkungen sofort spürbar, manchmal kann es Jahre dauern, bis der langsame Verfall des Aktienkurses und des Vertrauens der Kunden spürbar wird.
Nach neuesten Erkenntnissen dauert es durchschnittlich 69 Tage, bis ein Cyberangriff nach seiner Erkennung behoben wird. Diese Kluft zwischen Erkennung und Reaktion bedeutet, dass Unternehmen ein äußerst wichtiges Zeitfenster verpassen, um Angriffe zu stoppen, bevor die Angreifer ihr Ziel erreichen, zu dem Serververschlüsselung, Datenexfiltration und der Einsatz von Ransomware gehören können.
Die Reaktionsbereitschaft erfordert Zeit und Investitionen in Menschen, Prozesse und Technologien. Während das Erreichen einer hundertprozentigen Reaktionsbereitschaft ein hohes Maß an Zeit und Investitionen erfordert, beschreibt dieser Artikel die Grundprinzipien, mit denen sich Unternehmen auf einen Cyberangriff vorbereiten, darauf reagieren und ihn beheben sollten.
Vor einem Cyberangriff
Identifizieren Sie die Endgeräte und Server, ohne die Sie den Geschäftsbetrieb nicht aufrechterhalten können
Bevor es zu einem Datenverstoß kommt, sollten Sie darüber nachdenken, was in Ihrem Unternehmen für Angreifer von Wert sein könnte, wie beispielsweise vertrauliche Kunden- und Mitarbeiterdaten, Informationen über geistiges Eigentum, Fusionen und Übernahmen sowie Wachstumspläne. Kombinieren Sie dies mit den Endgeräten und Servern, die für den reibungslosen Betrieb Ihres Unternehmens unverzichtbar sind. Die Zusammenführung der beiden Faktoren führt Sie zu einer optimalen Verteilung Ihrer Investitionen in die Cybersicherheit zur Verteidigung Ihrer wichtigsten Ressourcen. Dies kann die Überwachung von Endgeräten und die Sicherung geschäftskritischer Server einschließen.
Sichern Sie Ihre Endgeräte
Heutzutage starten die meisten Cyberangriffe bei den Endgeräten. Aus diesem Grund ist der Einsatz eines Endgeräteerkennungsagenten im Vorfeld eines Cyberangriffs entscheidend. Dies hilft den Mitarbeitern der Vorfallsreaktion, sofort Transparenz und Daten darüber zu erhalten, wie der Angreifer eingedrungen ist, auf was er zugegriffen hat und was er vielleicht erreichen will.
Schulungen von Notfall-Einsatzkräften
Jedes Unternehmen sollte ein Team von „Notfall-Einsatzkräften“ zuweisen: das Team, das hinzugezogen wird, wenn ein Vorfall vermutet wird. Ihr Notfall-Einsatzteam muss Folgendes wissen:
- Welche Maßnahmen müssen ergriffen werden, um den Vorfall zu untersuchen?
- Wie greift man auf Daten und Telemetriegeräte zu, um zu bestätigen, ob der Vorfall eskaliert werden muss?
- Wie geht man innerhalb der ersten 48 Stunden mit einem Vorfall um?
- Wann sollten die Teams für die Vorfallsreaktion, entweder intern oder extern, hinzugezogen werden?
Die Schulungen für die Notfall-Einsatzkräfte sollten sich nicht nur auf die Mitarbeiter der Sicherheit und der IT-Abteilung beschränken. Viele verschiedene Arten von Mitarbeitern müssen in Bezug auf die Aktivitäten der Notfall-Einsatzkräfte geschult werden – von persönlichen Assistenten über die Personalabteilung bis hin zu Büroleitern und Analysten.
Stellen Sie sicher, dass Ihr Notfall-Einsatzteam die gesamte IT-Landschaft einbezieht, einschließlich einer Karte aller Endgeräte, Hardware und Software, mit klar definierten Rollen und Verantwortlichkeiten.
Während eines Cyberangriffs
Was passiert, nachdem ein Vorfall bestätigt wurde?
Fahren Sie den Host nicht herunter
Wenn ein Angriff festgestellt wird, wird häufig der Fehler gemacht, den Netzstecker zu ziehen. Auch wenn das Abschalten der Stromversorgung aus Sicht der Eindämmung eine gute Sache zu sein scheint, erschwert es die Arbeit der Einsatzkräfte erheblich. Wenn der Angriff vollständig speicherresident ist, kann das Herunterfahren des Hosts die Beweise dafür, wie der Angreifer auf das Endgerät zugegriffen hat, komplett vernichten und das Sammeln von Informationen über die Ursprünge und potenziellen Ziele des Angriffs verhindern.
Diese Richtlinie sollte allen Mitarbeitern fortlaufend kommuniziert werden.
Identifizieren Sie den/die Hauptkontakt(e) für das Team der Vorfallsreaktion
Wir können gar nicht genug betonen, wie wichtig dies ist. Wenn Unternehmen dies nicht getan haben – und es zu einem aktiven Vorfall kommt – kann viel Zeit damit verschwendet werden, herauszufinden, wer der Verantwortliche für die Systeme ist, mit wem die Einsatzkräfte im Hinblick auf eine Eskalation sprechen müssen und wer das notwendige Budget genehmigt. Es ist oft notwendig, Abwehrmaßnahmen zum Schutz des Unternehmens zu ergreifen, wie z. B. die Abschaltung wichtiger Elemente der Infrastruktur – wenn ein Unternehmen nicht im Voraus darauf vorbereitet ist, kann es schwierig sein, die Vor- und Nachteile zu diskutieren, während ein Angreifer gerade in das Unternehmensumfeld eingedrungen ist.
Man muss wissen, dass es nicht immer der richtige Zug ist, den Angreifer sofort auszuschließen
Auch wenn der Wunsch, den Angreifer so schnell wie möglich loszuwerden, verständlich ist, ist es nicht immer der richtige Zug. Dies ist besonders wichtig beim Umgang mit erfahrenen Angreifern – wenn sie darauf aufmerksam gemacht werden, dass sie entdeckt wurden, kann dies entweder der Punkt sein, an dem sie Ransomware einsetzen, oder aber sie verlassen das Unternehmensumfeld, um später mit einer heimlicheren Methode zurückzukehren. Eine maßvolle, koordinierte Reaktion kann sicherstellen, dass Ressourcen geschützt werden und der Angreifer ohne Vergeltungsmaßnahmen ausgeschlossen wird.
Nach einem Cyberangriff
Atmen Sie tief durch
Datenverstöße – obwohl sie stressig und potenziell schädlich sind – können manchmal zu guten Resultaten führen, wie z. B. zu Sicherheitsverbesserungen im gesamten Unternehmen, zur Einstellung zusätzlicher Mitarbeiter und zu einem umfassenderen Verständnis dafür, dass die Sicherheit in allen Aspekten eines Unternehmens eingebettet sein muss. Jedoch ist es von entscheidender Wichtigkeit, dass Sie Folgendes tun:
Empfohlene Maßnahmen
Wir geben Empfehlungen für Verbesserungen nach einem Vorfall, um die Auswirkungen zukünftiger Angriffe zu reduzieren. Ein gutes Beispiel dafür ist unsere eigene Forschung zur Active-Directory-Sicherheit mit der Red-Forest-Architektur, die – sobald sie richtig implementiert wurde – einen großen Einfluss auf die Effektivität eines Angreifers dieser Umgebung haben kann. Obwohl es Zeit und Geld erfordert, ist die Nachbereitung eines Vorfalls oft eine Gelegenheit, solche Verbesserungen vorzunehmen. In manchen Fällen handeln Unternehmen jedoch nicht nach unseren Empfehlungen und kehren zu dem gleichen Risikoprofil zurück, welches sie vor ihrem Angriff hatten.
Bauen Sie auf kontinuierliche Verbesserungen und Beurteilungen
Cybersicherheit ist ein fortlaufender Zyklus. Eine der besten Möglichkeiten sicherzustellen, dass Sie gegen die Bedrohungslandschaft gewappnet sind, besteht darin, die Erfahrungen aus Analysen zu nutzen und ein Programm aufzubauen, das diese Empfehlungen umsetzen kann. Aufgrund von Budget- und Zeitengpässen ist es jedoch schwierig, jede einzelne Empfehlung umzusetzen. 10 % Einsatzfähigkeit ist jedoch besser als keine Einsatzfähigkeit. Es geht nicht nur um Geldinvestitionen, sondern um interne Verbesserungen Ihrer Prozesse und Verfahren.
Kategorien