Notfalleingreifteam für Datensicherheitsvorfälle aufbauenGerüstet für den Fall der Fälle
13. April 2022Die Einrichtung eines Emergency-Response-Teams (ERT) ist von entscheidender Bedeutung, bevor ein Cyber-Sicherheitsereignis eintritt – wer zu diesem Team gehören sollte und welche Technologie Unternehmen benötigen, das verdeutlicht die folgende Checkliste.
Vor einem Sicherheitsvorfall ist es wichtig, bereits einen Notfallplan zu haben, der ein Team von Hauptakteuren und die erforderlichen Tools enthält, um Unternehmen schnell wieder online zu bringen. Ein wichtiger Teil der Vorbereitung auf ein Sicherheitsereignis besteht darin, dafür zu sorgen, dass Unternehmen über die nötigen Mitarbeiter und die Technologie verfügen, um sich so schnell wie möglich wieder zu erholen.
Die Bildung eines Notfallteams ist ein wichtiger Schritt. Es sind klare Handlungsanweisungen, ein nach Prioritäten geordneter Wiederherstellungsplan, ein Plan für die Einbindung externer Unterstützung und eine klare Linie für die Wiederherstellungsausrüstung erforderlich. Dadurch ist die Wahrscheinlichkeit geringer, auf der Stelle zu treten.
Notfallteam für Datenverletzungen
Wer sollte dem ERT angehören? Abhängig vom Unternehmen und seinen besonderen Anforderungen sollte das Notfallteam einige wichtige Akteure umfassen:
Forensische Experten: Nach einem Cyber-Sicherheitsereignis sammeln forensische Experten Beweise von Daten auf Computern und anderen digitalen Speichermedien zur Verwendung bei der Untersuchung. Ihre Fähigkeiten sollten Schwachstellendiagnosen, digitale Forensik, die Fähigkeit zur Analyse von Speicherauszügen und Malware sowie die Fähigkeit zur Verwendung von Analyse-Tools zur Durchführung einer Korrelationsanalyse von Sicherheitsereignissen umfassen. Sie befolgen detaillierte Verfahren, um die Integrität ihrer Ergebnisse zu wahren und sicherzustellen, dass sie als Beweismittel verwendet werden können, einschließlich:
- Rekonstruktion der Ereignisse, die zu einem Sicherheitsvorfall oder einer Sicherheitsgefährdung geführt haben, anhand von Sicherheitsprotokolldaten.
- Wiederherstellen verlorener Daten von physischen und virtuellen Geräten.
- Sammeln und Analysieren von Beweisen für böswillige Netzwerkaktivitäten.
- Aufrechterhaltung der Integrität und Sicherstellung einer nachweisbaren Aufbewahrungskette für digitale Beweise.
- Kontaktaufnahme und Zusammenarbeit mit Strafverfolgungsbehörden.
- Zeugenaussagen in Gerichtsverfahren.
Rechtsbeistand: Das Fachwissen eines Rechtsberaters im Notfallteam ist bei einem Sicherheitsereignis von unschätzbarem Wert. Die Rechtsabteilung kann dabei helfen zu bestimmen, wie Unternehmen mit minimaler Haftung vorgehen können. Rechtsexperten beraten bei der Offenlegung von Sicherheitsvorfällen und koordinieren die Kommunikation mit den Strafverfolgungsbehörden, Ermittlungsbehörden und Interessengruppen. Sie bereiten zudem die Befragung von Personen vor und kümmern sich um eventuelle Klagen von Aktionären und Mitarbeitern, die aus dem Sicherheitsvorfall resultieren könnten.
Zudem helfen Rechtsexperten einem Unternehmen, die rechtlichen Verpflichtungen, potenziellen Konflikte und Haftungsfragen zu verstehen, und können bei der Ausarbeitung von Richtlinien und Verfahren mitwirken. Diese Rolle kann ein internes Team, ein ausgelagertes Team oder eine Mischform sein. Bei ausgelagerten oder gemischten Teams sollte ein bestimmter Mitarbeiter als Verbindungsperson fungieren.
Informationssicherheit (InfoSec): Das InfoSec-Team koordiniert die Untersuchung, Bewertung, Verfolgung, Lösung und Meldung kritischer Sicherheitsvorfälle. Es bestimmt, ob ein Sicherheitsvorfall gemeldet werden muss, und setzt das Protokoll für Sicherheitsverletzungen um.
Im Allgemeinen ist InfoSec ein Teilbereich der Cyber-Sicherheit, der sich speziell auf Prozesse für die Datensicherheit bezieht. Diese Funktion soll die unbefugte Offenlegung, Unterbrechung, Überprüfung, Aufzeichnung oder Zerstörung von Informationen verhindern. Bei den Informationen kann es sich um physische oder digitale Daten handeln, einschließlich personenbezogener Daten und biometrischer Daten.
Informationstechnologie (IT): Die IT ist sowohl vor als auch nach einem Sicherheitsereignis von entscheidender Bedeutung und wird aktiv in alle Phasen des Notfallplans einbezogen, einschließlich:
- Vorbereitung: Kartierung von IT-Assets, Daten, Geräten und Benutzern innerhalb des IT-Ökosystems. Dies ermöglicht ein klares Verständnis der IT-Infrastruktur, was sowohl während eines Sicherheitsereignisses als auch davor hilfreich ist, um Sicherheitsschwachstellen für proaktive Maßnahmen aufzuzeigen.
- Identifizierung: Identifiziert und reagiert auf Vorfälle, die über den Helpdesk gemeldet oder mit Hilfe von Sicherheits- und Bedrohungsabwehr-Tools erkannt werden. Die IT-Abteilung sammelt Informationen anhand von Protokollen und Fehlermeldungen, Systemen zur Erkennung von Eindringlingen und Überwachungstools, um die Art und den Umfang des Vorfalls zu ermitteln.
- Eingrenzung: Führt eine kurz- oder langfristige Eindämmung durch, um den bereits entstandenen Schaden zu minimieren und weiteren Schaden zu verhindern.
- Beseitigung: Beseitigung der Bedrohung und Wiederherstellung des vorherigen Zustands der betroffenen Systeme (oder eines sicheren Arbeitszustands).
- Wiederherstellung: Testet, überwacht und validiert die Systeme während des Wiederherstellungsprozesses, um sicherzustellen, dass sie nicht erneut infiziert oder anderweitig gefährdet werden.
- Post-Mortem: Dokumentiert die Details des Vorfalls und die angewandten Abhilfemethoden für eine spätere Analyse, um künftige Maßnahmen zur Reaktion auf Vorfälle zu verbessern.
Das IT-Fachwissen des Teams sollte insbesondere die Betriebssystemverwaltung, die Wiederherstellung von Systemsoftware, Client-, Web- und Anwendungs-Servern, den Schutz von Datenbanken sowie das Testen von Business Continuity- und Disaster Recovery-Funktionen umfassen.
Beziehungen zu Investoren: Wenn ein Unternehmen wichtige Beziehungen zu Partnern und Investoren unterhält, benötigt es eine Incident-Response-Funktion. Ziel ist es, externen Parteien zu vermitteln, wie sich das Ereignis sowohl auf den finanziellen Status des Unternehmens als auch auf ihre Beziehungen zum Unternehmen auswirkt.
Die Investor-Relations-Abteilung (IR-Abteilung) vermittelt wichtige Informationen über Unternehmensangelegenheiten, damit Investoren fundierte Entscheidungen treffen können. Als Teil des Notfallteams gewährleistet diese Funktion, Sicherheitsereignisse genau offenzulegen und auf Bedenken einzugehen. Dies trägt auch dazu bei, die Auswirkungen des Vorfalls auf die Beziehungen zu den Investoren zu minimieren.
Medienarbeit und Unternehmenskommunikation: Bei einem Sicherheitsvorfall ist die Kommunikation entscheidend. Unternehmen sollten einen festen Ansprechpartner für die Medien haben, der die Kommunikation mit den Medien, Partnern und den externen Interessengruppen verwaltet. Dies gilt einschließlich der internen Kommunikation im Zusammenhang mit den Maßnahmen zur Reaktion auf den Vorfall. Zu den Aufgaben des Kommunikationsbeauftragten kann es gehören, interne und externe Mitteilungen über den Vorfall zu verfassen und zu versenden. Ebenso geht es darum, kritische Partner, Behörden, externe Techniklieferanten und betroffene Kunden zu kontaktieren und sie über aktuelle Abhilfemaßnahmen zu informieren. Dank einer speziellen Person, die mit den Medien spricht, sind Unternehmen besser in der Lage, während und nach dem Sicherheitsvorfall eine konsistente, genaue Darstellung zu kommunizieren.
Incident Manager: Der Incident Manager koordiniert alle Aktionen des ERT und stellt sicher, dass jedes Teammitglied seine Maßnahmen durchführt, um Schäden zu minimieren und die Wiederherstellungszeiten zu verkürzen. Zu den Hauptaufgaben dieser Rolle gehören die Koordinierung der Reaktion auf den Vorfall, die Zusammenfassung der Ergebnisse und der Auswirkungen des Vorfalls, die Weiterleitung von Problemen an die höhere Führungsebene und die Zuweisung von Ad-hoc-Aufgaben, falls erforderlich.
Als weitere empfehlenswerte Kontakte bei einem Sicherheitsvorfall gelten:
- Anbieter von Cyber-Versicherungen, die den Umfang der Versicherung, ihre spezifischen Deckungen und Einschränkungen sowie die erforderlichen Schritte erläutern können, die unternommen werden müssen, damit die Deckungen greifen.
- Lokale und nationale Strafverfolgungsbehörden, denen mögliche Compliance-Verstöße und potenzielle Strafen gemeldet werden sollten und wo Unternehmen zusätzliche Unterstützung erhalten können.
- Wichtige Partner und Behörden, einschließlich juristischer und technischer Partner, die bei der Wiederherstellung helfen können.
Technologien, um sich schnell von einem Datensicherheitsvorfall zu erholen
Neben den Mitarbeitern gibt es eine Reihe von technischen Ressourcen, die nach Erfahrung von Experten den Betrieb des ERT unterstützen können.
Nach dem Eindringen und der Erkundung versucht eine Ransomware, Daten auszuführen, zu verschlüsseln und zu exfiltrieren. Wenn ein Ransomware-Angriff Backup-Daten oder Backup-Metadaten verschlüsselt, sind die Chancen auf eine Datenwiederherstellung gering, sodass Unternehmen anfällig für Lösegeldforderungen sind. Unveränderliche Snapshots schützen Daten vor unbefugter Änderung und Löschung, basierend auf der bestehenden Datenaufbewahrungsrichtlinie.
Pure Storage SafeMode-Snapshots sind entscheidend für die Abschwächung und Wiederherstellung nach einem Ransomware-Angriff. SafeMode-Snapshots sind sogar als „Super-immutable Plus“ einzustufen. Wie bei herkömmlichen, unveränderlichen Snapshots können die darin enthaltenen Daten nach der Speicherung nicht mehr geändert, bearbeitet oder überschrieben werden. Die SafeMode-Snapshots von Pure haben jedoch einen großen Vorteil: Sie können auch nicht gelöscht werden, auch nicht von einem Benutzer oder Prozess mit administrativen Rechten auf dem Pure Storage-Array.
SafeMode-Snapshots geben den Pure-Arrays integrierte „Airbags“. Ein Pure-Array kann zwar einen Angriff nicht verhindern, aber es gibt Unternehmen die Möglichkeit, einen Angriff zu überstehen und eine schnelle Wiederherstellung auszuführen. Mit SafeMode-Snapshots lassen sich Kopien von Daten, die vor dem Ransomware-Angriff angelegt wurden, mit der Gewissheit wiederherstellen, dass die Daten nicht beschädigt sind. Das bedeutet, dass sich Geschäftsführer keine Sorgen über Lösegeldforderungen machen müssen. Sie können die Auswirkungen der Ransomware einfach überschreiben und den Betrieb wie gewohnt fortsetzen.
Bei Tiered Backup-Architekturen geht es vor allem um Ausfallsicherheit. Sie sorgen dafür, dass sich die Daten jederzeit am besten Ort für die Wiederherstellung befinden, so dass sich die Ziele für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) erreichen lassen. Durch die Einstufung von Snapshots in Schichten werden diese isoliert, um die Verfügbarkeit im Falle einer Katastrophe weiter zu gewährleisten.
Die Einstufung hängt davon ab, wie ein Unternehmen seine Daten klassifiziert. Ziel ist es, verschiedene Kategorien von Anwendungen/Daten verschiedenen Arten von Speichermedien zuzuordnen, um die Gesamtspeicherkosten zu senken, die Leistung zu steigern und die Verfügbarkeit geschäftskritischer Anwendungen zu verbessern.
Gestufte Wiederherstellungsumgebung
Nach einer Sicherheitsverletzung oder einem Angriff wird die bestehende Geschäftsumgebung wahrscheinlich heruntergefahren, und die gefährdeten Ressourcen könnten beschlagnahmt, unter Quarantäne gestellt oder von Ermittlern verwendet werden. Eine gestufte Wiederherstellungsumgebung (Staged Recovery Environment) bietet Unternehmen eine sichere, saubere IT-Umgebung, mit der sie kritische Systeme wieder in Betrieb nehmen können.
Sie sollte im Voraus eingerichtet und getestet werden, damit die kritischen Systeme schnell und einfach wieder online gehen können. So können Unternehmen die Dienste für ihre Kunden wiederaufnehmen, während ihr Team Zeit hat, forensische Überprüfungen durchzuführen und weniger kritische Systeme wieder zu integrieren.
Wiederherstellungsfähigkeiten erweitern
Mitglieder des Notfallteams sollten sich über ihre Rollen und Verantwortlichkeiten vor, während und nach einem Sicherheitsvorfall im Klaren sein. Mit einem umfassenden Plan ist es unwahrscheinlicher, dass Mitarbeiter und IT-Personal spontane Lösungen implementieren und damit das Risiko eingehen, die Situation zu verschlimmern.
Auf ein Sicherheitsereignis vorbereitet zu sein, bedeutet auch, über die richtige Technologie zu verfügen, um Ressourcen schnell mobilisieren und die Geschäftsumgebung so schnell wie möglich wiederherstellen zu können. Das Portfolio von Pure bietet Sicherheit und Ausfallsicherheit für den gesamten Datenbestand:
- Read-only-Snapshots von Backup-Daten und unbegrenzt konfigurierbare Richtlinien.
- Verbesserte Ausfallsicherheit und Schutz vor Malware-Angriffen und versehentlichem oder absichtlichem Löschen mittels unveränderlicher Snapshots.
- Schutz für Container-basierte Anwendungen mit Portworx PX-Backup, um moderne, cloudbasierte Anwendungen parallel zu On-Premises-Anwendungen wieder zum Laufen zu bringen. (rhh)