Automatisierung von Reaktionsplänen für Cybersicherheitsvorfälle

Die Planung und Durchführung eines Workflows zur Reaktion auf Cybersicherheitsvorfälle erfordert die Gewissheit über Fakten, die nicht im Voraus bekannt sein können. Angesichts dieser Herausforderung automatisieren Sicherheitsmanager ihren Workflow zur Reaktion auf Vorfälle teilweise oder vollständig mithilfe einer solchen Lösung. Sicherheitsautomatisierung und -orchestrierung Die SAO-Lösung bietet zahlreiche Vorteile. Automatisierung reduziert Unsicherheiten und steigert die Effizienz im Reaktionsprozess. Dieser Artikel erläutert die notwendigen Schritte zur Umsetzung.

Beziehen Sie das Walross nicht in Ihre Notfallplanung ein.

Der Notfallplan für die Ölkatastrophe der Deepwater Horizon im Jahr 2010 enthielt ein kurioses Detail, das viel darüber aussagt, warum diese Pläne nicht immer funktionieren. Der 600-seitige Plan Es wurde der Schutz von “Seelöwen, Robben, Seeottern und Walrossen” im Golf von Mexiko gefordert. Keines dieser Tiere ist im Golf von Mexiko heimisch, und sie sind nur deshalb in dem Plan aufgeführt, weil der Text aus einem Dokument kopiert wurde, das für Ölplattformen in der Arktis verfasst wurde.

Noch lächerlicher als die Idee, Leute zur Rettung von Walrossen in tropischen Gebieten loszuschicken, ist die Vorstellung, ein statischer, 600-seitiger Notfallplan wäre in einem echten Notfall hilfreich. Selbst der beste Plan kann mit der Zeit durch Personalwechsel und technologische Entwicklungen an Wert verlieren. Denken Sie bei der Erstellung Ihrer Notfallpläne und -abläufe an die Walrosse, um sich auf das Wesentliche zu konzentrieren.

Gängige Notfallpläne

Abbildung 1 – Grundlegender Arbeitsablauf bei der Reaktion auf Sicherheitsvorfälle. (Quelle: NIST – Leitfaden zum Umgang mit Computersicherheitsvorfällen – Sonderveröffentlichung 800-61)

Jede Organisation hat ihre eigenen, individuellen Maßnahmen zur Reaktion auf Sicherheitsvorfälle. Die meisten dieser Pläne folgen jedoch einem festgelegten Muster. Leitfaden des Nationalen Instituts für Standards und Technologie (NIST) zum Umgang mit Computersicherheit.

Wie in der Abbildung dargestellt, gibt es vier wesentliche Elemente im NIST-Arbeitsablauf zur Reaktion auf Sicherheitsvorfälle:

1. Vorbereitung
2. Detektion und Analyse
3. Eindämmung, Ausrottung und Wiederherstellung
4. Aktivitäten nach dem Vorfall.

Innerhalb dieser vier einfachen Kästchen können sich jedoch Hunderte von Schritten verbergen, die Dutzende von Personen und Organisationen miteinander verbinden – und je nach Organisation stark variieren.

Höhepunkte der Reaktion auf den Vorfall

Die NIST-Empfehlungen, die für bestimmte Arten von Regierungsbehörden und Unternehmen verbindlich sind, umfassen typischerweise die folgenden Elemente:

• Vorbereitung – Erfahrene Sicherheitsmanager wissen: Der beste Notfallplan ist der, den man nie anwenden muss. Das NIST empfiehlt, den Fokus auf die Prävention von Sicherheitsvorfällen zu legen. Es ist wichtig, Bedrohungen vorherzusehen und sie mit wirksamen Gegenmaßnahmen abzuwehren. Da die heutige Bedrohungslage jedoch Vorfälle praktisch unausweichlich macht, profitiert ein Notfallplan von einer soliden Vorbereitung. Ein schwerwiegender Vorfall verursacht bereits genug Stress, und es lohnt sich, nicht von etwas völlig Unerwartetem überrascht zu werden.

Erfahrene Sicherheitsmanager wissen: Der beste Notfallplan ist der, den man nie anwenden muss.

• Detektion und Analyse – Dieser Schritt im Rahmen der Reaktion auf Sicherheitsvorfälle bestätigt das Auftreten eines Vorfalls, ermittelt dessen Ursache und Schweregrad und leitet entsprechende Benachrichtigungsverfahren ein. Cybersicherheitsteams werden mit einer Vielzahl von Fehlalarmen konfrontiert. Ein guter Notfallplan erkennt die Anzeichen eines Vorfalls sofort und hilft Sicherheitsverantwortlichen so zu entscheiden, ob die beobachteten Ereignisse tatsächlich einen Vorfall darstellen. Der Workflow sollte Schritte zur Identifizierung der Angriffsvektoren, zur Priorisierung des Vorfalls nach Schweregrad, zur Einleitung von Abhilfemaßnahmen und zur zeitnahen Kommunikation mit wichtigen Stakeholdern umfassen. Die Dokumentation des Vorfalls ist ebenfalls Teil des Prozesses.
• Eindämmung, Ausrottung und Wiederherstellung – Der Ablauf der Reaktion auf Sicherheitsvorfälle dokumentiert stets die Eindämmung der Bedrohung. Dieser Schritt beseitigt die Bedrohung, stellt betroffene Systeme wieder her, sammelt und sichert Beweismittel und identifiziert den Angreifer.
• Aktivitäten nach dem Vorfall – Nach einem Vorfall besprechen die meisten Teams die gewonnenen Erkenntnisse, um zukünftige Abwehrmaßnahmen und Reaktionen auf Vorfälle zu verbessern. In vielen Fällen ist es wichtig, alle während des Vorfalls gesammelten Beweise für Prüfer, Anwälte, Technologieanbieter, Regierungsbehörden, Versicherer und andere Beteiligte aufzubewahren.
• Koordination – Die Reaktion auf Sicherheitsvorfälle ist keine Einzelaufgabe. Je nach Größe und Umfang des Unternehmens und des Vorfalls selbst kann der Notfallplan die Kommunikation mit internen Stakeholdern wie Führungskräften, Rechtsabteilung und anderen oder externen Dritten wie Strafverfolgungsbehörden und Medien umfassen. Die Art und Weise dieser Kommunikation kann die Auswirkungen des Vorfalls auf das Geschäft entweder verstärken oder abschwächen. Beispielsweise kann eine ungeschickte Offenlegung einer Datenschutzverletzung zu kostspieligen Imageschäden oder erhöhten Kundendienstkosten führen. Schlimmer noch: Eine mangelhafte Informationsweitergabe kann rechtliche Konsequenzen nach sich ziehen.

Das NIST-Dokument macht deutlich, dass die Reaktion auf Sicherheitsvorfälle keine Einzelaufgabe ist.

Sicherheitsautomatisierung und -orchestrierung (SAO) sowie Notfallreaktionspläne

Ein Cybersicherheitsvorfall vereint Risiko und Komplexität. Diese Kombination ist selten von Vorteil. Das Team muss schnell und effektiv handeln, auch wenn die Art des Vorfalls anfangs nicht vollständig geklärt ist. Ob mit oder ohne Plan – zum Zeitpunkt der ersten Bedrohungserkennung ist oft unklar, welche Beteiligten benachrichtigt werden müssen, welche Ressourcen benötigt werden usw.

Eine Lösung besteht darin, so viele Prozessschritte wie möglich zu automatisieren. Dadurch können sich Teammitglieder auf wichtige Aufgaben konzentrieren, während Routineaufgaben wie das Versenden von E-Mail-Benachrichtigungen und die Bedrohungsanalyse automatisch erledigt werden. Dies ist der Grundgedanke hinter dem neuen Ansatz. Sicherheitsautomatisierung Und Orchestrierung (SAO). SAO-Lösungen wie Swimlane ersetzen langsame, manuelle Analyseaufgaben durch Entscheidungsfindung in Maschinengeschwindigkeit.

SOA-Lösungen wie Swimlane eliminieren langsame, manuelle Analystenaufgaben bei der Reaktion auf Bedrohungen und Ereignisse.

In Verbindung mit umfassender Datenerfassung, Standardisierung und Analyse ermöglicht SAO Sicherheitsteams die Implementierung anspruchsvoller Notfallpläne. Die Auswirkungen auf einen Arbeitsablauf zur Reaktion auf Sicherheitsvorfälle sehen folgendermaßen aus:

• Vorbereitung – SAO ermöglicht die Überführung von in der Vorbereitungsphase entwickelten Plänen in umsetzbare, automatisierte Arbeitsabläufe. Eine SAO-Lösung erfasst das in der Vorbereitungsphase generierte Wissen und ist somit unempfindlich gegenüber Personalwechsel und Vergesslichkeit. Wenn beispielsweise die Benachrichtigung bestimmter Stakeholder im Falle eines Vorfalls Teil des Plans ist, wird diese Aufgabe automatisch ausgeführt. Das Team muss nicht mehr in einer ungelesenen PDF-Datei nachsehen, wen es benachrichtigen soll.
• Detektion und Analyse – SAO optimiert die kritischen Schritte der Erkennung und Analyse. Beispielsweise kann eine SAO-Lösung kontextbezogene Warnmeldungen aus verschiedenen Quellen erfassen, analysieren und dem Analysten Handlungsempfehlungen geben. Alternativ kann sie automatisch geeignete Präventivmaßnahmen ausführen, wie etwa das Erstellen eines Tickets in JIRA, das Benachrichtigen wichtiger Stakeholder per E-Mail, das Isolieren der Bedrohung, das Aktualisieren der Bedrohungsdatenbank usw.
• Eindämmung, Ausrottung und Wiederherstellung – Die Produktivität des Teams ist bei der Reaktion auf Sicherheitsvorfälle entscheidend, und die Maßnahmen zur Vorfallsbehebung entsprechen möglicherweise nicht der aktuellen Personalsituation. SAO-Lösungen unterstützen das Cybersicherheitsteam jedoch dabei, effizient zu arbeiten und wertvolle Stunden bei der Vorfallsbehebung und Bedrohungserkennung einzusparen. Ein Teil des Produktivitätsgewinns ergibt sich aus der Möglichkeit für die Teammitglieder, einen Vorfall über eine zentrale Instanz zu überwachen und bei Bedarf Maßnahmen zu ergreifen.
• Einbettung von Teamreaktionsprozessen SAO-Lösungen können die detaillierten Vorgehensweisen der besten Mitglieder des Sicherheitsteams nachbilden. Da deren Reaktionsprozesse (z. B. was wichtig ist, was nicht, wen man anrufen bzw. wen man per E-Mail kontaktieren muss, was zu tun ist usw.) in automatisierte Workflows integriert werden, erfasst das Tool Wissen und Best Practices. Indem SAO sich merkt, wie Dinge erledigt werden, kann es Wissensverluste bei unvermeidlichen Personalwechseln minimieren.
• Aktivitäten nach dem Vorfall – SAO-Lösungen erstellen naturgemäß Protokolle der durchgeführten Maßnahmen zur Reaktion auf Sicherheitsvorfälle. Dies ermöglicht eine umfassendere Sicht auf einen Vorfall und spart Zeit bei der Überprüfung des Vorfalls nach dessen Behebung.
• Koordination – SAO-Lösungen orchestrieren die Koordination zwischen Personen, Organisationen und Systemen, die in Arbeitsabläufen zur Reaktion auf Sicherheitsvorfälle auftreten. Sie erleichtern es Teammitgliedern, sich auf kritische Entscheidungen anstatt auf Benachrichtigungen zu konzentrieren – das System übernimmt diese Aufgaben für sie.

Wie Swimlane helfen kann

Swimlane liefert Sicherheitsautomatisierung und -orchestrierung Swimlane ist einfach zu implementieren, zu verwenden, zu verwalten und zu skalieren. Es ermöglicht einem Sicherheitsteam, die Funktionen seiner bestehenden Sicherheitslösungen optimal zu nutzen und die dem Analysten präsentierten Informationen anzureichern.

Möchten Sie mehr über die Swimlane SAO-Lösung erfahren? Laden Sie unser E-Book herunter: Automatisierung der Reaktion auf Vorfälle.