Anzeige

Meeting

Cyberangriffe werden immer komplexer und häufiger. Auch bei der besten Prävention wird es daher nie gelingen, sie alle abzuwehren. Um Schaden zu minimieren, müssen Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und angemessen zu handeln. Technik alleine reicht dafür nicht aus. Genauso wichtig sind ein gut eingespieltes IDR-Team und effiziente Prozesse. 

Ohne IT geht heute in den meisten Unternehmen nichts mehr. Kein Wunder also, dass Cybervorfälle eng mit dem Risiko für eine Betriebsunterbrechung verknüpft sind. Im aktuellen Allianz Risk Barometer rangieren beide erstmals gleichauf als größte Geschäftsrisiken weltweit. Die Bedrohung ist real. 

In den vergangenen zwei Jahren verzeichnete fast jedes zweite deutsche Unternehmen Schaden durch Cyber-Angriffe, so eine aktuelle Kaspersky-Studie. Große Organisationen mit mehr als 500 Mitarbeitern waren mit 58 Prozent häufiger betroffen als kleinere und mittelständische Unternehmen (40 Prozent). Fakt ist: Je schneller man einen Sicherheitsvorfall erkennt, desto besser lässt sich der Schaden begrenzen. Bei einer zeitnahen Entdeckung sind die Kosten laut Kaspersky noch tragbar, nach einer Woche hat sich der Schaden jedoch bereits mehr als verdoppelt.

Um Cyber-Angriffe zu erkennen, wertet die Mehrheit der deutschen Unternehmen Log-Daten und Protokolle aus – 65 Prozent tun dies anlassbezogen, wenn ein Verdacht besteht, 33 Prozent grundsätzlich und systematisch. Das ergab eine aktuelle Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit3. Notfallmanagement einschließlich regelmäßiger Übungen betreiben jedoch nur 43 Prozent. Dabei wäre genau das wichtig. Denn um Schaden zu minimieren, benötigen Unternehmen ein gut eingespieltes Incident Response Team, das im Ernstfall schnell handlungsfähig ist. Dabei stehen die Sicherheitsexperten vor wachsenden Herausforderungen. Zum einen werden Cyberangriffe immer komplexer. So zeigt die Kaspersky-Studie, dass Hacker in fast einem Fünftel der Fälle keine Spuren hinterlassen, die auf ihre Identität deuten. Das macht die Aufklärung der Angriffe schwieriger. Gleichzeitig nimmt die Zahl der Cyberattacken kontinuierlich zu, das heißt mit der fortschreitenden Digitalisierung wächst zudem die Angriffsfläche.

CYOSS führt seit 2017 regelmäßig spezialisierte Schulungen und Trainings für IDR-Teams durch. Dabei konnten wir feststellen, dass viele Unternehmen gerade bei komplexen Angriffsszenarien noch Optimierungsbedarf haben und ihr Potenzial nicht ausschöpfen. Hier kommen die zehn häufigsten Fehler, die IDR-Teams machen – und Empfehlungen, wie man sie vermeiden kann.

Top 10: Verifikation

Häufig arbeiten IDR-Teams mit SIEM-Systemen, die Log-Dateien auswerten und Alarm schlagen, wenn sie Hinweise auf Sicherheitsvorfälle entdecken. Um False Positives herauszufiltern und Alarme zu bewerten, kann es nötig sein, das Zielsystem zu untersuchen. Auf diese Weise gewinnt man zusätzliche Informationen, die die Sensoren nicht erfasst haben. Da das IDR-Team nicht selbst auf das Zielsystem zugreifen kann, muss es in solchen Fällen eng mit dem IT Operations-Team zusammenarbeiten. Der Analyst muss mit dem zuständigen Admin kommunizieren und ihn anleiten, was er überprüfen soll. Oft fehlt jedoch eine klare Schnittstelle zwischen den beiden Teams. Dadurch hängt es vom persönlichen Netzwerk und der Durchsetzungsfähigkeit des einzelnen Analysten ab, ob er eine erfolgreiche Überprüfung veranlassen kann. Zudem besteht die Gefahr, dass der der jeweilige Admin Ergebnisse nicht korrekt zurückmeldet.

Tipp: Etablieren Sie eine formelle Schnittstelle zwischen dem IT Operations- und dem IDR-Team. So können Sie Alarme schnell und zuverlässig verifizieren. Das erhöht die Fehlerentdeckungsrate und verbessert das Sicherheitsbewusstsein über die Grenzen des IDR-Teams hinweg.

Lesen Sie hier die weiteren Fehler von 9 bis 1

Top 10 Blue Team

Incident Detection & Response: Die 10 häufigsten Fehler

Top 10 Blue Teams Fails - 2019

 


Jetzt für den Newsletter anmelden und gleich das PDF herunterladen!

Wir möchten Sie im Newsletter persönlich anreden und bitten Sie, die richtige Anrede auszuwählen und Ihren Namen einzutragen




Ja, ich möchte künftig wöchentlich per Newsletter Shortnews, Fachbeiträge und Whitepaper für die Enterprise IT erhalten. Meine Einwilligung zur Registrierung kann ich jederzeit widerrufen.
Ich habe die Datenschutzbestimmungen gelesen und akzeptiere diese.
 

Deutsch, 10 Seiten, PDF 0,4 MB, kostenlos

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!