Eingebettet und unbegrenzt. Incident Response von Rapid7.

Incident Response FAQ

• Was ist Incident Response?

  Erkennt ein Sicherheitsteam eine Bedrohung, dann ist es von größter Bedeutung, dass ein Unternehmen bereit ist, auf diese zu reagieren. Dies erfordert die Durchführung eines genau abgestimmten Incident Response Plans (IRP) sowie einer Reihe von Aufgaben, die bestimmten Stakeholdern eines dedizierten Incident Response-Teams zugewiesen werden. Manche Unternehmen haben vielleicht ein eigenes, internes Team, während andere externe Incident Response Services in Anspruch nehmen. Und wieder andere verfolgen einen hybriden Ansatz, bei dem die technischen Analysen von Drittunternehmen geliefert werden, die notwendigen Maßnahmen jedoch von internen Incident-Response-Teams übernommen werden. Ganz gleich, welche Variante Sie nutzen, sollte dieses Team die Maßnahmen gut trainieren und planen, ehe eventuelle Probleme auftauchen.

• Was ist ein Incident Response Plan?

  Ein Incident Response-Plan beschreibt, welche Schritte von wem unternommen werden müssen, wenn eine Sicherheitsverletzung oder Sicherheitskrise in einem Unternehmen auftritt. Ein solider Response Plan sollte es Teams ermöglichen, so schnell wie möglich in Aktion zu treten und Schäden möglichst schnell zu beseitigen. Die für Sicherheitsverstöße zuständigen Mitarbeiter durchlaufen regelmäßig Trainingssimulationen und Prozessüberprüfungen, sodass sie im Ernstfall genau wissen, was zu tun ist. Teams für Informationssicherheit täten gut daran, ihrem Beispiel zu folgen: Tritt ein Notfall ein, so sollte keine Zeit darauf verschwendet werden müssen, Prozesse und Verfahren für die Reaktion auf einen Vorfall auszuarbeiten, während wertvolle Minuten vergehen. Einen Plan zu haben, ist von entscheidender Bedeutung.

• Was umfasst ein Incident Response Plan?

  1. Benachrichtigung über einen Vorfall
  2. Untersuchung und Analyse des Vorfalls
  3. Gegenmaßnahmen
  4. Nachbereitung des Vorfalls

• Was umfasst ein solider Incident Response Plan?

  Es gibt eine Menge Vorarbeit, die im Vorfeld geleistet werden kann, um die Komplexität und das Risiko während eines Sicherheitsvorfalls zu reduzieren. Ein fundierter Incident Response Plan sollte folgende Punkte umfassen:

  • Unterstützung durch die wichtigsten Stakeholder des Unternehmens: In einer Krisensituation muss Ihr Team wissen, dass es die Unterstützung der wichtigsten Stakeholder hat, um schnell handeln zu können. Stellen Sie sicher, dass die Führungsebene sowie andere Stakeholder den Maßnahmenplan voll unterstützen und es dem Team ermöglichen, im Krisenfall schnell und sicher zu handeln.
    
    
  • Klar definierte Rollen, Verantwortlichkeiten und Prozesse: Das Letzte, was Ihr Team gebrauchen kann, ist es, erst im Krisenfall herausfinden zu müssen, wer wofür zuständig ist und dann diese Person ausfindig zu machen. Jeder Schritt der Vorfallreaktion, ob technisch oder nicht-technisch, sollte einen namentlich benannten Stakeholder haben, dem klare Verantwortlichkeiten zugewiesen sind. Die Mitarbeiter in diesen Rollen sollten über das nötige Fachwissen verfügen, um das auszuführen, was von ihnen erwartet wird (dies ist nicht der Zeitpunkt, um Ihre neuesten Teammitglieder auf die Probe zu stellen). Darüber hinaus sollte der Inhaber jeder Rolle bei der Reaktion auf einen Vorfall genau wissen, für welche Prozesse er oder sie verantwortlich ist und was von ihm oder ihr erwartet wird, wenn ein Vorfall eintritt – von der anfänglichen Bestimmung des Umfangs des Sicherheitsverstoßes bis hin zur Krisenkommunikation. Falls es bei dem Plan irgendwelche Unklarheiten darüber gibt, wer für was zuständig ist, so kann das in einer Krisensituation schnell in Vergessenheit geraten.
    
    
  • Technologien und Partnerschaften, um schnelles Handeln zu ermöglichen: Wenn Sie Ihre Incident-Response-Übungen durchführen, sollten Sie sicherstellen, dass Sie über alle Werkzeuge verfügen, die Sie für eine schnelle und effektive Reaktion benötigen. Sie werden wahrscheinlich feststellen, dass es in einigen Bereichen große Lücken gibt und in anderen ein gewisser Spielraum für Verbesserungen besteht. Stellen Sie sicher, dass Ihren Teams die internen Technologien und Tools zur Verfügung stehen, mit denen sie ihre Arbeit effizient erledigen können. Außerdem sollten Sie wo immer möglich auf Automatisierung zurückgreifen.

  Der Schlüsselbegriff lautet hier „schnell“. Wenn Sie nicht über das interne Fachwissen oder die Ressourcen für eine schnelle Reaktion verfügen oder Ihre Tools Ihnen die Informationen nicht so schnell liefern, wie Sie diese benötigen, dann sollten Sie externe Incident-Response-Dienste in Erwägung ziehen, um diese Lücken zu schließen und Ihre Vorfallreaktionszeiten zu beschleunigen. (Achten Sie darauf, dass Sie dieses externe Team auch in alle Übungen einbeziehen!)

• Wie funktioniert Incident Response?

  • Incident Management: Unser Team steht als zentraler Ansprechpartner für die Untersuchung zur Verfügung, verwaltet sämtliche Analysen, die Bedrohungserkennung und Kommunikation und dokumentiert die Ergebnisse.
    
    
  • Untersuchung und Analyse: Wir untersuchen den Umfang, die Auswirkungen und die Ursache von Vorfällen mit InsightIDR, unserem Open-Source DFIR-Tool Velociraptor, Ihren existierenden Logquellen und unserer langjährigen Erfahrung.
    
    
  • Kommunikation: Regelmäßige und konsequente Kommunikation, die sicherstellt, dass die richtigen Personen zur richtigen Zeit über alle wichtigen Ereignisse informiert werden.

  Behebung und Nachbereitung: Mit detaillierten Empfehlungen dazu, wie Sie sämtliche Remote-Zugriffsmöglichkeiten der Angreifer entfernen, priorisierte Geschäftsprozesse und Systeme wiederherstellen und kompromittierte Benutzerkonten sichern und so zur Normalität zurückfinden können.

• Warum sollten Sie sich für das DFIR-Team von Rapid7 entscheiden?

  Das Incident Response-Beraterteam von Rapid7 verfügt über zahlreiche Zertifizierungen und ist für Tausende von Kunden bei der Abwehr ganz vorne mit dabei.

• Was gilt als In-Scope Umgebung?

  Die In-Scope Umgebung bezieht sich auf die Assets (und die unterstützende Infrastruktur), die Sie für MDR oder MTC lizenziert haben. Vorfälle, die für Incident Response in Frage kommen, sind Kompromittierungen der In Scope-Systeme oder -Daten des Kunden, die von Rapid7 bestätigt oder begründet vermutet werden. Rapid7 reagiert auf keinen Vorfall, der sich in einer Umgebung außerhalb des Scope ereignet. Sämtliche Incident-Response-Services werden remote erbracht.

• Was sollte ein Incident Response Plan enthalten?

  • High-Level Management und Koordination von Maßnahmen zu Vorfällen
  • Technische Analyse des Vorfalls
  • Eingrenzung des Vorfalls, um festzustellen, wer oder was betroffen war
  • Krisenkommunikation, um sicherzustellen, dass Informationen auf koordinierte und nützliche Weise öffentlich gemacht werden
  • Rechtliches Vorgehen, um etwaige Auswirkungen zu ermitteln und erforderliche Reaktionen oder Maßnahmen vorzubereiten
  • Empfehlungen und Maßnahmen zur Problembehebung und Schadensbegrenzung, um eine reibungslose Systemwiederherstellung zu gewährleisten

• Was passiert nach einem Incident Response-Engagement?

  Nach der erfolgreichen Reaktion auf einen Sicherheitsverstoß können Sie sich nicht gleich ausruhen. Das Incident-Response-Team sollte eine Nachuntersuchung durchführen, um aus den Erfahrungen zu lernen – sowohl zur Feinabstimmung seines Incident-Response-Programms im Speziellen als auch zur Nachjustierung seines allgemeinen Sicherheitsprogramms. Was hat funktioniert, was hat nicht funktioniert und was hätte besser oder schneller funktionieren können? Es gibt keinen besseren Lehrmeister als die Erfahrung. Daher ist es wichtig, so viele Lektionen wie möglich aus der Reaktion auf einen echten Sicherheitsverstoß zu lernen.

• Welche anderen Incident Response-Dienste bietet das Rapid7-Team?

  Entwicklung von Incident Response-Programmen

  Die Angreifer von heute entwickeln sich ständig weiter. Um sicherzustellen, dass Sie stets gut vorbereitet sind, brauchen Sie einen Plan, der zudem regelmäßig überprüft werden muss. Unsere Experten analysieren alle Aspekte Ihrer Umgebung – von der Technologie und den Assets über Personen und Prozesse bis hin zu Richtlinien – und nehmen eine Bewertung Ihrer aktuellen Kapazitäten vor. Anschließend unterbreiten sie Ihnen relevante, unternehmensspezifische Empfehlungen, die Sie bei der Erreichung (und dem Übertreffen) der Ziele Ihres IR-Programms unterstützen. Sie müssen ein ganz neues Programm entwickeln? Auch dabei können wir Ihnen behilflich sein. Unser Angebot zur Entwicklung von IR-Programmen kann auf Ihre Bedürfnisse angepasst werden, um Sie beim Aufbau oder der Weiterentwicklung jedes Aspektes Ihrer Incident Response zu unterstützen.

  Kompromittierungsanalyse

  Von der Bestätigung einer Sicherheitsverletzung bis zur Validierung der Gegenmaßnahmen kann eine Kompromittierungsanalyse Ihnen bestätigen, ob Ihre Umgebung sauber ist (oder nicht). Unsere Experte kombinieren die Bedrohungs- und Verhaltensanalyse mit innovativen Ermittlungsverfahren, um Ihre Umgebung nach Malware und Hinweisen auf Angreifer zu untersuchen, und Fehlkonfigurationen, erhebliche Risiken und potenzielle Schwachstellen zu melden.

  Workshop für Erkennung und Abwehr

  In diesem Programm werden Ihre Fähigkeiten zur Erkennung und Abwehr eines live simulierten Angriffs in Ihrer Umgebung auf die Probe gestellt. Ziel ist dabei, die Leistungsfähigkeit Ihrer individuellen Detection & Response-Fähigkeiten und Ihres aktuellen IR-Plans zu bewerten. So kann sichergestellt werden, dass Ihr Team einen Angriff erkennen und angemessen darauf reagieren kann. Mit Hilfe unserer Experten erfährt Ihr Team, wie die aktuellen Sicherheitsmaßnahmen und -kontrollen mit der Sicherheitsverletzung umgehen, und erhält gleichzeitig Ratschläge zur Verbesserung Ihrer Vorgehensweise bei der Incident Response. 

  Tabletop-Übungen 

  Tabletop-Übungen simulieren Bedrohungen an Ihren Standorten und ermöglichen die Beurteilung Ihrer Erkennungs- und Abwehrkapazitäten in einer kontrollierten Umgebung. Wir erarbeiten gemeinsam mit Ihnen ein aussagekräftiges Szenario, setzen es um, analysieren die Ergebnisse und erstellen eine Liste umsetzbarer Maßnahmen zur Verbesserung Ihres Incident-Response-Programms.

  Schnelle Reaktion auf Verstöße

  Sie wurden angegriffen und brauchen sofort Hilfe? Kontaktieren Sie uns unter 1-844-RAPID-IR (1-844-727-4347). Unser Incident-Response-Team steht bereit, um in Zusammenarbeit mit Ihrem internen Team Vorfälle zu untersuchen, Ergebnisse zu dokumentieren und passende Gegenmaßnahmen zu empfehlen, die sicherstellen, dass Angreifer unschädlich gemacht wurden und nicht erneut eindringen können. Unsere Incident-Response-Berater können gemeinsam mit Ihren wichtigsten Stakeholdern dafür sorgen, dass die verschiedenen Unternehmensbereiche während des gesamten Abwehrprozesses die entscheidenden Aspekte berücksichtigen.

  Rapid7 Dienstleistungspauschale

  Mit einer Incident Response-Dienstleistungspauschale stehen Ihnen unsere IR-Experten auf Abruf bereit. Im Fall eines Sicherheitsverstoßes alarmieren Kunden das Rapid7-Team, das innerhalb einer Stunde reagiert, um Details zu erfassen und die geplanten Incident-Response-Aktivitäten zu besprechen. Alle technischen Untersuchungen werden remote durchgeführt und können sofort nach der Implementierung unseres InsightAgents (oder der Zugriffsgewährung auf die Erkennungs- und Abwehrsysteme) beginnen. 

  Dienstleistungspauschalen sind in 40-Stunden-Blöcken erhältlich und können für den Fall, dass sie nicht für die Abwehr einer Sicherheitsverletzung benötigt werden, in eine Reihe anderer professioneller Services von Rapid7 übertragen werden. Rufen Sie uns an und wir vereinbaren für Sie einen Termin mit einem Projektmanager, der Ihnen bei der Auswahl der richtigen Services für Ihr Unternehmen helfen kann. Anschließend können wir Sie mit den richtigen Beratern für eine bessere Incident Response zusammenbringen.

• Welche anderen Services zur Abwehr von Bedrohungen sind in Managed Threat Complete enthalten?

  Unser Team hilft Ihnen bei der Erstellung eines Incident Response Plans und eines IR Runbooks für die Nutzung des Rapid7 MTC Service.

• Über welche Arten von Zertifizierungen verfügt das DFIR-Beraterteam von Rapid7?

  Hierzu eine verkürzte Liste:

  • CISSP
  • CySA+
  • GASF
  • GCFA
  • GCFE
  • GCIH
  • GCIH
  • GSEC
  • SANS Kursmitwirkende 
  • Open-Source DFIR-Mitwirkende 
  • Und viele weitere!