Security Incident Response ist eine kritische Funktion, um das Unternehmen vor Schaden zu sichern. Sie sollte schnell und effizient sein.
Worum geht es?
Durchschnittlich wird jedes IT-Asset alle 39 Sekunden aus dem Internet heraus angegriffen [1]. Die Bedrohungslage der IT-Assets ist also hoch. Sie haben außerdem vielleicht nur wenige Mitarbeiter, die Security Incidents qualifiziert abarbeiten können. Die Zeit zur Reaktion ist immer knapp, gleichzeitig dauert die Erkennung lange. So wurden Data Breaches 2019 erst nach durchschnittlich 279 Tagen erkannt. [2]
Gestalten Sie Ihre Incident Response schnell und effizient - orchestrieren Sie die Werkzeuge, nutzen Sie intelligente Workflows und Playbooks, überwinden Sie Silos zur IT und priorisieren Sie entlang der Business-Anforderungen.
Wie können Sie den Prozess beschleunigen und die Effizienz steigern?
Werkzeuge orchestrieren
Sie kennen das: Es gibt viele (IT-) Security Tools, viele Sensoren und alle liefern Ihnen Informationen. Haben Sie und Ihr Team alle im Überblick? Sie gewinnen Übersicht und Zeit, wenn Sie alle für Sie relevanten Informationen mit Ihrer Prozessplattform zusammenführen und daraus Handlungen ableiten.
Sie gewinnen zusätzlich an Geschwindigkeit, wenn die Bearbeitung der Security Incidents nicht über Emails, Dokumente und verschiedene Ticketsysteme verteilt stattfindet, sondern die notwendigen Stakeholder auf einer gemeinsamen Plattform zusammenarbeiten.
Intelligente Workflows und Playbooks einrichten
Intelligente Workflows und Playbooks unterstützen Sie auf zwei Arten: mittels Automatisierung und mittels Struktur.
Playbooks nehmen typische Fälle von Security Incidents auf und definieren, wie diese in Ihrer Organisation behandelt werden sollen. Sie liefern Struktur und sichern ein einheitliches Vorgehen aller Mitarbeiter - und damit verlässliche Ergebnisse, wenn es darauf ankommt.
Automatisierte Workflows wiederum können je nach erkannter Situation Aufgaben zur Eindämmung schnell und effizient durchführen. Ein Beispiel für solche Aufgaben sind ad-hoc Firewallregeln, um verdächtige Systeme auf Basis der Daten Ihrer Sensorik (wie bspw. SIEM-Systemen) schnell zu isolieren.
Das Silo zur IT überwinden
Ein enger Schulterschluss mit der IT kann Ihren Prozess auf zwei Arten effizienter machen:
Einerseits hilft es Ihnen, die IT-Infrastruktur und ihre konkrete Verknüpfung zu den Geschäftsprozessen zu kennen. Sie haben dadurch risikobasierte Hilfsmittel zur Verfügung, um Prioritäten zu setzen und schnell die richtigen Business-Ansprechpartner zu finden. Gute Hilfsmittel dazu sind das IT Risk Management und eine gut gepflegte Konfigurationsdatenbank (CMDB).
Außerdem gelingt es in enger Zusammenarbeit mit den IT Teams, Workflows gemeinsam zu definieren und Changes automatisiert zu erstellen oder sogar automatisiert auszuführen. Das beschleunigt die Maßnahmen der Erstbehandlung und Eindämmung.
Aus Security Incidents lernen
Auch aus der Retrospektive auf bearbeitete Security Incidents können Sie Nutzen ziehen. Die gewonnenen Erfahrungen zu Vorgehensweisen, evtl. aufgetretenen Prozesshürden, kreativen Lösungen usw. können Sie nutzen, um weitere Playbooks zu erstellen oder bestehende zu überarbeiten. Zusätzlich entstehen vielleicht Impulse für weiteres Automatisierungspotential.
Links
[1] https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds