"Respond" – Angriffe schnell und effizient meistern
Das NIST Cybersecurity Framework kann Unternehmen, die an ihrer Cyberresilienz arbeiten, als Stütze dienen. Das Rahmenwerk basiert auf fünf Funktionen. Was bei der vierten, "Respond", wichtig zu beachten ist und wie generative KI dabei helfen kann, erklärt Kolumnist Thomas Holderegger von Accenture.
Wie wir in meinen vorherigen Kolumnen zum NIST Cybersecurity Framework gesehen haben, werden bei "Identify", "Protect" und "Detect" Informationen über Systeme, Prozesse, Bedrohungen und Schwachstellen gesammelt sowie Fähigkeiten zur Gefahrenabwehr aufgebaut. Diese Erkenntnisse bilden die Grundlage für die vierte Funktion: "Respond".
Bei "Respond" entwickeln Unternehmen Massnahmen, mithilfe derer sie einen Sicherheitsvorfall schnell und effizient bewältigen können. Entscheidend dabei ist die Entwicklung von Massnahmenplänen – sogenannten Response Plans – inklusive so weit wie möglich automatisierten Playbooks. Letztere beschreiben das Vorgehen bei spezifischen Angriffsszenarios und zeigen auf, welche internen/externen Experten hinzugezogen und welche regulatorischen Anforderungen beachtet werden sollten. Klar definierte Schritte, Verantwortlichkeiten und Eskalationsstufen ermöglichen so, dass SOC-Operators im Ernstfall nicht lange nach Lösungen suchen müssen, sondern sofort handlungsfähig sind. Idealerweise können auch viele der notwendigen Gegenmassnahmen automatisiert werden.
Gen AI kann hier ein nützliches Tool sein und dabei helfen, schnell eine Übersicht über die Lage zu erhalten. KI-basierte Systeme können beispielsweise Alarme korrelieren, nötige Informationen zusammenstellen und typische Angriffsmuster erkennen. Dies erlaubt es Unternehmen, schnell ein Verständnis für die betroffenen Systeme, die Vorgehensweise der Angreifer und die zu treffenden Massnahmen zu entwickeln.
Die Art und Weise, wie "Respond" im Ernstfall umgesetzt wird, hängt stark vom spezifischen Angriff ab. So kann ein frühzeitig entdeckter Phishing-Angriff meist mit automatisierten Massnahmen wie der Isolierung der betroffenen Geräte eingedämmt werden. Komplexere Angriffe, die kritische Systeme und Geschäftsprozesse betreffen, erfordern hingegen eine enge Zusammenarbeit zwischen dem SOC und Technology-Operations-Team, um die möglichen Auswirkungen auf das operative Geschäft zu bewerten. In solchen schwerwiegenderen Fällen ist es für Unternehmen durchaus sinnvoll, einen Incident-Response-Retainer mit einer spezialisierten Sicherheitsfirma abzuschliessen. Diese Experten können bei einem Sicherheitsvorfall schnell hinzugezogen werden und die Reaktion auf das Ereignis koordinieren.
Im Endeffekt erfordert "Respond" also ein fähiges Team, das im Falle eines Angriffs dank der erarbeiteten Massnahmenpläne und Playbooks genau weiss, welche Schritte zu ergreifen und welche Stakeholder einzubeziehen sind.
In meiner nächsten Kolumne schauen wir uns anhand der letzten NIST-Funktion "Recover" an, wie Unternehmen die durch einen Angriff entstandenen Schäden beheben und den Normalbetrieb wiederherstellen können.
Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.
Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Feuerlord Ozai bekommt seine Gasrechnung
Jetzt haben Cyberkriminelle es auf Autofahrer abgesehen
Überlebenskunst mit Genuss
Cyberkriminelle übernehmen Whatsapp-Accounts mit falschen Warnungen
Best of Swiss Software startet mit Assessment-Phase
Und monatlich grüsst das Fakeupdates
Wie Cyberversicherungen Unternehmen schon vor einer Attacke schützen
Fortinet entdeckt neue Variante des Snake-Keyloggers in Excel-Dokument
Wordpress führt Zwei-Faktor-Authentifizierung ein
