CERT
On-Demand
Ein Team für die Reaktion auf Sicherheitsvorfälle, englisch Computer Emergency Response Team oder kurz CERT, ist verantwortlich für die Durchführung einer methodischen Vorfallsreaktion im Falle von Cyberangriffen. Typischerweise übernimmt ein CERT die Entwicklung von Aktionsplänen für verschiedene Szenarien und trifft Entscheidungen über notwendige Eskalationen im Falle von Sicherheitsvorfällen.
SOC
As-a-Service
Ein Security Operations Center, kurz SOC, ist ein Team von Fachexperten auf dem Gebiet der IT-Sicherheit und ist verantwortlich für das Erkennen, Verhindern, Untersuchen und Behandeln von Cyberangriffen. Im Idealfall operiert ein SOC im 24/7/365 „follow-the-sun“-Modell und ist somit in der Lage Anomalien und potenzielle Cyberangriffe in Echtzeit zu erkennen und adäquate Gegenmaßnahmen einzuleiten.
Definition
Das IT-Vorfallsmanagement oder die IT-Vorfallsreaktion, besser bekannt als „Incident Response“, stellt ein erprobtes Verfahren zur Behandlung von Sicherheitsvorfällen dar. Durch vorher etablierte Maßnahmen können Sicherheitsvorfälle erkannt werden, meistens aber nur nach dem Eintreten. Es gilt deswegen schnelle und effiziente reaktive Maßnahmen einzuleiten, um weitere Schäden und Konsequenzen zu vermeiden bzw. diese zu verringern. Je nach Szenario können Sicherheitsvorfälle, z. B. Cyberangriffe in Form von APT oder Phishing, vertrauliche Informationen offenlegen, kriminelle Handlungen wie Erpressung und Sabotage bis hin zu Diebstahl von Patenten, ermöglichen. Erfahrene Ersthelfer, oder „Incident Responder“, sind deshalb nötig, um sicherzustellen das mit Sicherheitsvorfällen geeignet umgegangen wird, Beweisspuren adäquat gesichert werden und um eine schnelle Rückkehr in den normalen Betrieb zu ermöglichen.
Vorgehensweise
DriveByte erkennt den weltweit etablierten NIST-Standard zur Reaktion auf Sicherheitsvorfällen als Referenzrahmen für die eigenen Dienstleistungen an. Die Vorfallsreaktion lässt sich in sieben Phasen zusammenfassen:
- Vor dem Vorfall:
- Technische und organisatorische Vorbereitung
- Während dem Vorfall:
- Detektion und Analyse
- Eindämmung
- Ausrottung
- Widerherstellung
- Nach dem Vorfall:
- Berichterstattung
- Wideraufbau
Zertifizierte und erfahrene Experten der Firma DriveByte stehen den Kunden als Hilfsmittel für die oben genannten Phasen zu Verfügung und gewehrleisten durch das streng methodische Vorgehen eine zügige Rückkehr zum normalen Betrieb.
Zeit ist von entscheidender Bedeutung. Wenden Sie sich an Ihre spezielle IT-Support-Hotline, um die implementierten Richtlinien zur Reaktion auf einen Vorfall einzuleiten. Ihre IT-Abteilung wird sich mit dem IT-Sicherheitsdienstleister in Verbindung setzen, um die Infektion einzudämmen und den normalen Betrieb wieder aufzunehmen. Es ist klüger, den Support einmal zu oft anzufordern als einmal zu wenig.
Ja. Der Verlust oder Diebstahl eines firmeneigenen IT-Geräts kann zu einer vollständigen Kompromittierung der Unternehmensinfrastruktur und des Netzwerks führen. Es ist unerlässlich, dass der Mitarbeiter den IT-Support kontaktiert und im Gegenzug das Incident Response Team alarmiert, um das verlorene/gestohlene Gerät unter Quarantäne zu stellen und aus der Ferne zu deaktivieren.
E-Mails, die bösartige Anhänge oder verdächtige Links enthalten, werden als Phishing-E-Mails bezeichnet. Diese E-Mails gehören zu einer Angriffskategorie, die als Social Engineering bezeichnet wird und zielen darauf ab, Unternehmensmitarbeiter zu kompromittieren, indem sie sie Malware aussetzen oder ihre Anmeldedaten stehlen. In jedem Fall sollte das spezielle IT-Security-Supportteam kontaktiert werden, um jeden Vorfall zu untersuchen.