So erstellen Sie einen Incident Response Plan (Vorfallreaktionsplan)

Wir haben die Geschichte viel zu oft gesehen. Ein Unternehmen wird von Ransomware getroffen und die Hacker beginnen, Forderungen und Drohungen zu stellen. Die Opfer geben in Panik den Forderungen der Angreifer nach, nur um mit weiteren Lösegeldforderungen und Drohungen konfrontiert zu werden. Bei der Entwicklung von Cybersicherheitsmaßnahmen ist es einfach, all Ihre Energie in die Verhinderung von Sicherheitsverletzungen zu stecken. Infolgedessen investieren viele Unternehmen nicht genug Zeit in die Post-Breach-Verteidigung. Incident-Response-Pläne sind ein wesentlicher, aber oft übersehener Teil davon.

Was ist ein Incident Response Plan?

Kurz gesagt, ein Incident-Response-Plan ist ein Plan, der die Schritte, Verfahren und Richtlinien beschreibt, die von einem Unternehmen befolgt werden, wenn es von einem Cyberangriff getroffen wird. Von einem Cyberangriff getroffen zu werden, kann unglaublich stressig sein, und schlechte Entscheidungen können extrem kostspielig sein. Menschen treffen eher schlechte Entscheidungen unter Stress, so dass ein klarer, gut strukturierter Plan den Druck und das Risiko schädlicher Fehler erheblich reduzieren kann.

Komponenten eines Good Incident Response Plan

Ein guter Incident-Response-Plan deckt alle Bereiche der Incident-Reaktion von Anfang bis Ende ab.

Allgemeine Ziele

Eine klar definierte Erklärung der Ziele Ihres Unternehmens hilft, Prioritäten im Fokus zu behalten. Wie ein Businessplan hat jeder gute Incident-Response-Plan ein Leitbild, das Sie an das „große Ganze“ während einer Krise erinnert.

Delegation von Verantwortlichkeiten

Wenn jeder weiß, wer was zu tun hat, verläuft die Reaktion auf einen Vorfall viel reibungsloser. Alle Cyberangriffe erfordern eine schnelle Reaktion, aber das gilt besonders für Ransomware-Angriffe. Sie können es sich nicht leisten, dass sich zwei verschiedene Personen um dieselbe Sache kümmern, während andere Aufgaben vernachlässigt werden. Dies bedeutet auch, dass ein Leiter bestimmt werden muss, der die Reaktion auf den Vorfall koordiniert. Das Vorfallsreaktionsteam muss auch die Befugnis haben, schnell in allen Teilen des Unternehmens zu handeln. Wenn diese Befugnis im Voraus festgelegt wird, kann sie eine große Zeitersparnis darstellen. Im Idealfall können Sie von Zeit zu Zeit Übungen durchführen, um sich mit den Rollen und Verfahren vertraut zu machen und sich vorzubereiten.

Verfahren vorbereiten

Sobald klar ist, wer für was verantwortlich sein wird, ist es an der Zeit zu definieren, was genau jeder tun wird. Jemand muss sich bewegen, um die Bedrohung einzudämmen, und jemand anderes muss sich möglicherweise an die Strafverfolgungsbehörden wenden und sicherstellen, dass das Unternehmen alle relevanten Ransomware-Gesetze und -Vorschriften einhält. Wenn es um Ransomware geht, muss jedes Unternehmen seine Haltung kennen. Ideal ist es, Verhandlungen mit den Angreifern zu vermeiden, aber abhängig von der Schwere des Angriffs kann es notwendig sein. Der Incident Response Plan definiert alle diese Verfahren und hilft bei der Entscheidungsfindung. Ein guter Incident-Response-Plan kann helfen, sich gegen psychologische Drucktaktiken zu verteidigen, die viele Ransomware-Hacker in dieser Phase anwenden werden.

Definieren von Vorfällen

Incident-Response-Verfahren sollten verschiedene Arten von Bedrohungen definieren, um die Früherkennung zu erleichtern. Auf diese Weise kann die richtige Reaktion so schnell wie möglich gestartet werden. Es ist wichtig, verschiedene Arten von Malware und Angriffen im Voraus zu definieren, damit Ihr Unternehmen die entsprechende Reaktion einleiten kann.

Dokumentation der Bedrohungsstufe

Es ist auch wichtig, zwischen großen und kleinen Bedrohungen zu unterscheiden. Wenn die Incident-Response-Richtlinie zu streng ist, beeinträchtigt dies den normalen Betrieb. Wenn es zu locker ist, können große Angriffe unbemerkt vorbeirutschen. Ein gängiges Rahmenwerk, das viele Unternehmen zur Definition von Bedrohungsstufen verwenden, ist das NIST-Cybersicherheitsframework.

Einschließungsverfahren

Sobald die Bedrohung erkannt ist und Sie wissen, welche Reaktion Sie ergreifen müssen, ist es Zeit für Schadensbegrenzung. Sie müssen die Ausbreitung des Virus so schnell wie möglich stoppen. In diesem Schritt zählt jede Sekunde. Gut eingespielte, klare Schritte können den Unterschied zwischen einer kurzen Ausfallzeit und einem Albtraum ausmachen, der Millionen von Dollar kostet. Dazu gehören das Herunterfahren betroffener Computer, das Isolieren aller betroffenen Computer und Dateien, die Befragung von Benutzern, die Durchführung digitaler Forensik, um die Quelle der Infektion zu ermitteln, und so weiter.

Wiederherstellung

Das Hauptziel von Incident Response ist es, Systeme so schnell wie möglich wieder normal arbeiten zu lassen. Sobald die Daten wiederhergestellt sind, ist es an der Zeit, wieder an die Arbeit zu gehen. Wenn es um Ransomware geht, sind viele Angriffe heutzutage Double-Extortion-Angriffe („doppelte Erpressungsangriffe“). In diesen Fällen kann die Wiederherstellung bedeuten, Kunden zu kontaktieren, deren Daten kompromittiert wurden, oder die Vorschriften für Datenschutzverletzungen einzuhalten.

Überprüfung nach einem Verstoß

Das Licht am Ende des Tunnels sehen. Ein Cyberangriff kann ein Weckruf sein, um die Organisation und Sicherheit Ihrer IT-Systeme zu verbessern. Es kann erhebliche Schäden verursachen, aber die Verbesserung der Sicherheit könnte auch noch schlimmere zukünftige Angriffe verhindern. Eine Überprüfung nach Sicherheitsverletzungen ist eine Gelegenheit, bestehende Richtlinien und Verfahren zu überarbeiten und Ihren Betrieb widerstandsfähiger zu machen. Die Ursachen des Angriffs sollten gründlich verstanden und Lehren umgesetzt werden.

Erstellen eines Incident-Response-Plans

Das mag auf den ersten Blick viel erscheinen, und das ist es auch. Ein guter Incident-Response-Plan muss viele verschiedene Bereiche abdecken, einschließlich Technologie, Geschäftslogik sowie Einhaltung gesetzlicher Vorschriften und Vorschriften. Zum Glück gibt es eine Reihe von Tools, die Ihnen bei der Erstellung Ihres Plans helfen. Ein guter Ausgangspunkt ist die Verwendung einer der Incident-Response-Vorlagen. Führende Cybersicherheitsexperten entwerfen diese Vorlagen, um alle Aspekte abzudecken, die die meisten Unternehmen berücksichtigen müssen. Sie können damit beginnen, zu überlegen, ob jedes Element für Sie relevant ist oder nicht.

Incident Response Services

Abhängig von Ihrem Budget und der Verfügbarkeit Ihres Personals kann es sinnvoll sein, einen Teil des Incident-Response-Prozesses auszulagern. Einige Bereiche der Reaktion auf Vorfälle erfordern spezielles Wissen und Fachwissen, die möglicherweise nicht intern verfügbar sind. Zum Beispiel sind wir darauf spezialisiert, alle Details von Ransomware-Angriffen zu handhaben und bieten ausgefeilte Ransomware-Datenwiederherstellungsdienste an. Wir haben umfangreiche Erfahrung im Umgang mit Ransomware-Banden aller Formen und Größen und wissen um das Verhalten und die Gefahren verschiedener Banden.

Wir wissen, wie wir den Schaden und die Kosten minimieren können, die mit verschiedenen Ransomware-Typen und -Varianten verbunden sind. Wenn Sie bereits die Kontaktinformationen qualifizierter Experten in Ihrem Incident-Response-Plan haben, ist dies eine Sache weniger, um die Sie sich während eines Notfalls kümmern müssen. Auf diese Weise können Sie sofort Hilfe von Personen mit dem Hintergrund erhalten, der für den Umgang mit bestimmten Bedrohungen wie Ransomware erforderlich ist. Wir wissen, dass Ransomware jederzeit zuschlagen kann, daher steht unser Rapid Response Team 24/7 zur Verfügung, um im Falle eines Angriffs zu helfen.