Erstellung eines IT-Vorfallsreaktionsplans

Das Schloss wird geknackt werden. Vielleicht nicht heute, aber bald. Tatsächlich könnte es sogar schon jetzt passieren … und Sie haben es noch nicht bemerkt. Dieses Szenario betrifft einige der besten Cybersicherheitsteams der Welt. Das ist kein Vorwurf an Sie oder Ihr Sicherheitsteam, aber Studien zeigen, dass Sicherheitsvorfälle immer häufiger vorkommen. Was werden Sie tun, wenn es so weit ist?

Dies war Thema einer kürzlich abgehaltenen Podiumsdiskussion mit Regierungsbeamten im Bereich der Sicherheit, darunter Vertreter des Büros des Direktors des Nationalen Nachrichtendienstes, der Transportsicherheitsbehörde (TSA) und anderer Institutionen. Sie gaben Einblicke und teilten ihre Erfahrungen im Umgang mit der eskalierenden globalen Bedrohungslage.

Wie sich die Cybersicherheitsteams der Bundesregierung auf Vorfälle vorbereiten

Die Expertenrunde erörterte, wie wichtig ein klarer IT-Notfallplan ist, bevor es zu Problemen kommt. Natürlich sind manche Pläne besser als andere. Fast jede IT-Organisation hat einen solchen Plan. manche Eine Art Notfallplan. Für diejenigen, die die Vereinigten Staaten gegen staatlich geförderte Cyberangriffe verteidigen, müssen die Pläne jedoch wesentlich robuster sein.

Entwicklung eines effektiven IT-Vorfallsreaktionsplans

Was braucht es, um einen effektiven IT-Notfallplan zu erstellen? Es geht weit über eine rein theoretische Übung hinaus. Es erfordert praktische Erfahrung. Das Intelligence Community Coordination Center, das dem Office of the Director of National Intelligence untersteht, führt regelmäßig Cyber-Planspiele mit seinem Team durch. Dabei werden reale Cyberangriffe simuliert und zuvor ausgearbeitete Gegenmaßnahmen geübt, um Reaktionszeiten und Fähigkeiten zu testen.

Natürlich verfügt nicht jeder über die Zeit und die Ressourcen für eine so detaillierte Planung der Reaktion auf Sicherheitsvorfälle, doch die zugrunde liegenden Prinzipien sind universell gültig. Laut den Diskussionsteilnehmern sind Geschwindigkeit und Koordination die beiden wichtigsten Elemente für eine effektive Reaktion auf Sicherheitsvorfälle. Um einem Sicherheitsvorfall zuvorzukommen, muss das Reaktionsteam schnell und effizient handeln und Maßnahmen koordinieren können – etwas, das nur durch die Automatisierung und Koordination von Reaktionsabläufen und -systemen möglich ist.

Geschwindigkeit und Koordination sind die beiden wesentlichen Elemente eines effektiven Reaktionsplans.

Aufmerksamkeit ist ein wesentlicher Faktor für schnelle Reaktionen auf Zwischenfälle. Die Zeitspanne zwischen dem Erkennen (und korrekten Interpretieren) einer Warnung und dem darauf folgenden Handeln kann entscheidend für den Ausgang sein.

Bei der TSA beispielsweise steht das Security Operations Center (SOC) in ständigem Kontakt mit anderen Teams im gesamten Ministerium für Innere Sicherheit. Wie Paul Morris, CISO der TSA, anmerkte: “Wenn etwas passiert, erfahren wir es ziemlich schnell.” Sein SOC gibt an, seine Systeme scannen zu können und Jede neu identifizierte Bedrohung in TSA-Systemen innerhalb von fünf Minuten erkennen.

Die zentrale Aufgabe jedes IT-Notfallplans besteht darin, Menschen, Prozesse und Sicherheitssysteme optimal aufeinander abzustimmen. Diese Aufgabe lässt sich am besten mit Unterstützung eines spezialisierten Experten bewältigen. Sicherheitsautomatisierung Und Orchestrierung (SAO)-Tool. Eine SAO-Lösung wie Swimlane automatisiert Aufgaben zur Reaktion auf IT-Vorfälle.

Wie Sicherheitsautomatisierungs- und Orchestrierungslösungen eine effektive IT-Vorfallsreaktion ermöglichen

A Sicherheitsautomatisierung und -orchestrierung Die Lösung lässt sich so konfigurieren, dass sie Schritte eines Reaktionsplans, die eine Systemkoordination erfordern, schnell ausführt. Beispielsweise kann ein Sicherheitsteam der SAO-Lösung beibringen, wie auf bestimmte Alarmtypen reagiert werden soll. Geschwindigkeit und Orchestrierung vereinen sich in SAO.

Stellen Sie sich vor, ein SIEM-System (Security Incident and Event Management) korreliert verdächtige Log-Aktivitäten auf Firewalls und Netzwerkgeräten und sendet eine Warnmeldung. Die SAO-Lösung kann so konfiguriert werden, dass sie die SIEM-Warnmeldung automatisch empfängt und darauf reagiert. Sie kann die Warnmeldungsinformationen zur Auswertung an eine Threat-Intelligence-Plattform übermitteln und gleichzeitig ein JIRA-Ticket erstellen. Anschließend benachrichtigt sie automatisch und in Echtzeit die zuständigen Personen.

Die Automatisierung und Orchestrierung der Sicherheit ersetzt nicht die Teammitglieder im IT-Vorfallsreaktionsplan, sondern gibt ihnen vielmehr Zeit für andere anspruchsvollere Aufgaben.

Wie die Diskussionsteilnehmer betonten, entbindet die Orchestrierung die Mitarbeiter jedoch nicht vom Incident-Response-Workflow. Vielmehr ermöglicht die Sicherheitsautomatisierung und -orchestrierung den Teammitgliedern, sich anspruchsvolleren Aufgaben zu widmen, die mehr Expertise und analytisches Denken erfordern. Die SAO-Lösung hält das Team über die einzelnen Schritte der Reaktionsplanumsetzung auf dem Laufenden. Mit Swimlane verfügt der Sicherheitsanalyst über eine zentrale Benutzeroberfläche, die verschiedene Informationsfeeds zum Incident-Fallmanagement für maximalen Kontext und effiziente Entscheidungsfindung bereitstellt.

Die SAO-Lösung von Swimlane lässt sich selbst an die anspruchsvollsten IT-Notfallpläne anpassen. Sie ist einfach zu implementieren, zu bedienen, zu verwalten und zu skalieren und ermöglicht es Security-Operations-Teams, die Funktionen ihrer bestehenden Sicherheitslösungen optimal zu nutzen. Neben vorkonfigurierten Integrationen mit gängigen Sicherheits- und Projektverfolgungstools können SecOps-Teams mithilfe gängiger Skriptsprachen und einer RESTful-API auch schnell eigene Integrationen entwickeln.

Anwendungsfälle aus der Praxis für SOAR (E-Book)

Möchten Sie mehr darüber erfahren, wie Sie die Swimlane SOAR-Lösung in Ihren Sicherheitsabläufen einsetzen können? Laden Sie unser E-Book „8 Anwendungsfälle aus der Praxis für Sicherheitsorchestrierung, -automatisierung und -reaktion“ herunter, um mehr zu erfahren.

Jetzt herunterladen