Managed Threat Response: Cybersecurity-Vorfälle effektiv managen

Daten und stabiler Datenverkehr sind wertvolle Güter in der digitalen Welt. Nur wenige Unternehmen waren bisher noch nicht Ziel von Cyberangriffen oder Datendiebstahl. Wir zeigen Ihnen vier nützliche Tipps!

Jährlich entstehen inzwischen durch Cyberangriffe und Schadsoftware Schäden von rund 223 Milliarden Euro. Deshalb ist klar: Nicht nur die Sicherung der IT-Systeme ist unabdingbar, für den Ernstfall sollte außerdem ein Krisenplan bereit liegen. Denn adhoc auf kritische Cybersecurity-Vorfälle reagieren zu müssen, versetzt viele IT-Teams in enormen Stress. In solch einer Drucksituation steht außer Frage, dass unverzüglich gehandelt werden sollte. Aus diesem Grund haben wir für Sie einige Tipps gesammelt, die für eine schnelle Deeskalation in Gefahrensituationen dringend notwendig sind.

Tipp 1: Eine schnelle Reaktion ist der Schlüssel

Bei einem IT-Angriff kann jede Sekunde, in der das angegriffene Unternehmen nicht reagiert, verheerend sein. Das Hauptproblem liegt darin, dass IT-Gefahren häufig zu spät erkannt oder falsch eingeschätzt werden. Reaktionen auf potenzielle Gefahren sind deshalb häufig nicht angemessen. Angriffe treten selten zu Zeitpunkten auf, an denen die Möglichkeit besteht, effektiv auf sie zu reagieren. Die Incident-Response-Teams der meisten Unternehmen sind stark unterbesetzt, was häufig zum Aufschub einiger Aufgaben führt. So kann es passieren, dass sich eine angemessene Reaktion auf Gefahren verzögert, was Angreifern eine weitere Tür öffnet. Zudem besteht die Gefahr, dass entscheidende Informationen in der Flut irrelevanter Meldungen untergehen. Somit werden die falschen Inhalte häufig als wichtiger eingestuft als sie es sind. Selbst, wenn zunächst ein Fall geöffnet werden sollte, wird dieser möglicherweise nicht richtig priorisiert, da es an der nötigen Transparenz mangelt oder zu wenig Kontext vorliegt. Ein fataler und vor allem zeitaufwendiger Fehler. Auch wenn Angriffe in der richtigen Zeit erkannt werden, kann häufig der Fall eintreten, dass den Angegriffenen das Knowhow in Bezug auf eine angemessene und effektive Reaktion fehlt. Entscheidende Schritte werden zu langsam ausgeführt oder gar übersprungen – wichtige Gründe, warum ein Erproben des Ernstfalls und die Definition von Verantwortlichkeiten, Handlungsketten und Informationswegen im Vorfeld zu empfehlen sind.

Tipp 2: Erfolgsmeldungen nicht verfrüht verkünden

Bei Angriffen gegen Unternehmen reicht es lange nicht mehr aus, die oberflächlichen Probleme schnell zu beseitigen. Für eine sichere IT-Infrastruktur muss heutzutage tief in die Materie eingegriffen werden, um Probleme nachhaltig zu beseitigen. Viele Teams vergessen dies nach der Beseitigung eines ersten Angriffs allerdings schnell und gehen selten der tatsächlichen Ursache des Sicherheitsproblems nach. Malware erfolgreich zu entfernen, bedeutet keineswegs, dass auch der Angreifer erfolgreich aus der Umgebung entfernt wurde. Wenn ein Angreifer weiterhin Zugriff auf das System eines Unternehmens haben sollte, so wird er vermutlich erneut und im gleichen Zug mit einer noch größeren Intesität zuschlagen als vorher. Aus diesem Grund muss sichergestellt werden, dass jeglicher Schadcode von den Systemen entfernt wurde und Angreifer sicher ausgeschlossen wurden. Incident-Response-Experten, die durch ein vielseitiges Knowhow und jahrelange Erfahrung auf IT-Angriffe reagieren können, wissen genau, wie entsprechende Gegenmaßnahmen einzuläuten sind. Eben diese Experten sind es auch, die Gefahren richtig einschätzen können und wissen, welche Indizien auf Gefahrenquellen hindeuten. Scheuen Sie sich daher nicht davor, Hilfe durch spezialisierte IT-Security Consultants in Anspruch zu nehmen, welche Sie bei der Forensik von Zwischenfällen unterstützen.

Tipp 3: Für vollständige Transparenz sorgen

Nichts macht die Absicherung eines Unternehmens komplizierter, als während eines Angriffs aufgrund mangelnder Transparenz fehlende Einsicht in wichitge Geschäftsprozesse zu haben. Welche wiederum für die Lösung eines Problems unumgänglich sind. Der Zugriff auf hochrelevante Daten muss also vor allem in Gefahrensituationen möglich sein. Ein effektives Team sammelt solche Daten, die im Problemfall nützlich sind, um wichtige Signale identifizieren zu können. Erst auf dieser Basis können relevante Signale effektiv von solchen getrennt werden, die für die Lösung eines Problems unwichtig sind.

• Signale erfassen: Durch zu geringe Transparenz in vielschichtigen Umgebungen können Signale, die der Lösung eines Problems dienen können, übersehen werden. Eine Vielzahl von Datenquellen führt zu einer höheren Transparenz und demnach einer besseren Abwehr gegen Cyberangriffe.
• Irrelevante Daten reduzieren: Die im ersten Schritt gesammelten Daten gilt es nun so zu filtern, dass die für eine Analyse des Angriffs relevanten Daten einfacher erkannt werden können. Eine klare Datenstruktur ist deshalb wichtig, damit im Ernstfall keine Hindernisse durch Uneinsichtigkeiten von Systemen besteht.
• Kontext berücksichtigen: Eine klare Priorisierung von Signalen, um im Ernstfall auf die richtigen Signale zuerst achten zu können, kann in einigen Fällen ein gesamtes Unternehmen retten. Am einfachsten lassen sich hier die wichtigsten Warnmeldungen durch die Kombination unterschiedlicher Kontexte ermitteln, aus denen bestimmte Schlussfolgerungen gezogen werden können.

Tipp 4: Hilfe zu beanspruchen war noch nie so wichtig

Gerade während akuter Bedrohungen sind Erfahrung und Knowhow besonders gefragt. IT-Teams ohne Vorkenntnisse geraten unter den hektischen Bedingungen einer Attacke an ihre Grenzen. Wie können Unternehmen also dem rasanten Anstieg zunehmender Bedrohungen gerecht werden?
Durch Managed Detection Response (MDR). MDR-Services sind ausgelagerte Security Operations, die von einem Expertenteam bereitgestellt werden und dabei Aufgaben der IT-Security-Abteilung ihrer Kunden übernehmen. Hierzu gehören neben Schwachstellen-Analysen von möglichen Sicherheitslücken auch Echtzeitüberwachung sowie die schnelle Reaktion auf Vorfälle und eine intensive Bedrohungssuche. Immer mehr Unternehmen realisieren, dass sie für den Betrieb eines umfassenden Security-Operations- und Incident-Response-Programms Unterstützung benötigen. Auch Unternehmen mit einem erfahrenen Team können von der Zusammenarbeit mit einem Incident-Response-Service profitieren, um Lücken beim Service und Fachpersonal zu schließen.
 
Medialine liefert mit Sophos durch seinen MDR-Service „Managed Threat Response (MTR)“ eine optimale Lösung zur Hilfestellung für Unternehmen in Sachen IT-Sicherheit.
Gerne beraten unsere Security Consultants Sie zu Sophos MTR – für nachhaltig gut geschützte und für den Ernstfall vorbereitete IT-Umgebungen.