SlideShare a Scribd company logo

Vorbereitung auf zukünftige Angriffe. Lösungsbeschreibung Implementieren der richtigen Sicherheitsstrategie für die Zukunft

Symantec
Symantec

Jüngste Malware-Zwischenfälle haben gezeigt, wie hoch die Kosten und der Schaden sein können, die durch Cyber- Angriffe entstehen. Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste funktionsfähige Cyber-Waffe.1 Shamoon gelang es, 30.000 Arbeitsstationen in einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2 Ein weiterer gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge des Angriffs zu verzeichnen hatte.3 Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme wiederherstellen, bevor größere Schäden entstehen. Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen, wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden, wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen und weiter optimieren.

Technology
1 of 9
Download to read offline
Vorbereitung auf zukünftige Angriffe www.emea.symantec.com/cyber-resilience Stärkerer Fokus, weniger Risiko. Lösungs- beschreibung Implementieren der richtigen Sicherheitsstrategie für die Zukunft
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Einführung Jüngste Malware-Zwischenfälle haben gezeigt, wie hoch die Kosten und der Schaden sein können, die durch Cyber- Angriffe entstehen. Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste funktionsfähige Cyber-Waffe.1 Shamoon gelang es, 30.000 Arbeitsstationen in einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2 Ein weiterer gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge des Angriffs zu verzeichnen hatte.3 Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme wiederherstellen, bevor größere Schäden entstehen. Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen, wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden, wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen und weiter optimieren. www.emea.symantec.com/cyber-resilience
Verlauf von Angriffen Ein Angriff startet mit einem Eintrittspunkt in das Unternehmen. Dies kann ein ungeschütztes System sein, auf das sich Hacker Zugriff verschaffen, ein anfälliger Rechner, auf dem Malware ausgeführt wird, oder ein Benutzer, der sich dazu verleiten ließ, Malware zu installieren. Dieser Eintrittspunkt kann dann dazu genutzt werden, weitere Angriffe im gesamten Netzwerk zu starten. Dies kann beispielsweise durch Eindringen in andere Systeme oder den Einsatz von Malware, die nicht mit einem Patch geschlossene Sicherheitslücken in Systemen ausnutzt und sich automatisch auf anderen Systemen installiert, erfolgen. Sobald ein System infiziert ist, können Angreifer weitere Malware installieren oder die Kontrolle über das System übernehmen und Befehle übertragen. Angreifer können auch versuchen, Informationen wie vertrauliche Dateien oder Benutzernamen und Kennwörter, die auf dem System gespeichert sind, auszuschleusen. Schutz vor Angriffen Die meisten Angriffe lassen sich durch Implementieren grundlegender Informationssicherheitsmaßnahmen abwehren. So kam das australische Verteidigungsministerium zu dem Ergebnis, dass die Implementierung von vier Minderungsstrategien ausreicht, um 85 Prozent der gezielten Angriffe zu verhindern.4 Die britische Regierung weist darauf hin, dass es ausreicht, sich auf zehn kritische Bereiche zu konzentrieren, um die meisten Cyber- Bedrohungen abzuwehren.5 Als Mindestmaßnahme sollte ein Unternehmen sicherstellen, dass der Netzwerkverkehr und Systeme auf Malware gescannt sowie Protokolle der System- und Netzwerkaktivitäten aufbewahrt werden, um sie bei Bedarf zu einem späteren Zeitpunkt analysieren zu können. Regelmäßig durchgeführte Backups sind eine weitere wichtige Maßnahme, um sicherzustellen, dass die normale Funktionsfähigkeit beschädigter Systeme wiederhergestellt werden kann. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Eintritt Ausbreitung des Angriffs Ausschleusung von Informationen Angreifer Benutzer Angreifer Ausgeben von Befehlen www.emea.symantec.com/cyber-resilience
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Mit angemessenen Informationssicherheitsmaßnahmen lässt sich die Wahrscheinlichkeit, dass Angriffe erfolgreich sind, deutlich verringern. Doch hinter jeder Schlagzeile über einen Cyber-Angriff verbirgt sich ein Unternehmen, das fälschlicherweise davon ausgegangen war, ausreichend geschützt zu sein. Größere Zwischenfälle passieren. Das muss bei der Planung berücksichtigt werden, um Störungen des Geschäftsbetriebs zu reduzieren, Schäden einzudämmen sowie die Zeit, die für die Wiederherstellung notwendig ist, zu verkürzen. Vorbereitung auf Zwischenfälle Unternehmen sollten davon ausgehen, dass komplexe Angriffe gegen ihre Systeme gestartet werden und sich entsprechend auf diese Möglichkeit vorbereiten. In der Praxis ist diese Art von Angriffen eher selten. Doch um mit den neuesten Entwicklungen bei Angriffen und Angriffstechniken Schritt zu halten, sollten Unternehmen testen, ob ihre Systeme in der Lage sind, diese Bedrohungen zu erkennen und abzuwehren. Eine sorgfältige Vorbereitung stellt sicher, dass ein Angriff – wenn er tatsächlich stattfindet – schnell erkannt werden kann. Viele identifizierte Vorfälle können sich nach eingehender Analyse als Falschmeldungen (False Positives) herausstellen. Andere wiederum können unbedeutend sein und keine massiven Reaktionsmaßnahmen erfordern. Unternehmen sollten dennoch sicher sein, dass sie sämtliche Vorfälle erfassen und aufzeichnen. Nur so können Angriffe, die ein Eingreifen erforderlich machen, schnell identifiziert und eskaliert werden. Dazu müssen zunächst die Eskalationskriterien und Mechanismen festgelegt werden, nach denen ein erkannter Zwischenfall zur Aktivierung eines Plans für die Reaktion auf Sicherheitsvorfälle führt. Der erste Schritt des Plans sollte eine Bewertung der Situation sein. Als nächstes sollten die Maßnahmen aufgeführt werden, die verhindern, dass sich der Angriff auf andere Systeme ausbreitet und weitere Schäden verursacht. Bereits infizierte Systeme müssen isoliert werden, um den Angriff einzudämmen. Systeme, die bisher noch nicht infiziert wurden, müssen eventuell vorübergehend deaktiviert werden, um zu verhindern, dass sich der Angriff innerhalb des Unternehmens ausbreitet, und der Netzwerkzugriff muss eingeschränkt werden. Auf Angriffe vorbereiten Reaktionsplan implementieren Reaktionsplan optimieren Abbildung 2: Reaktionsphasen bei einem Zwischenfall Vorbereitung Reaktion WiederherstellungErkennung Prüfung Uhrzeit Angrifffindet statt Angreifer wird erkannt System e werden geschützt Norm albetrieb wird wiederaufgenom m en www.emea.symantec.com/cyber-resilience
In der Wiederherstellungsphase müssen Systeme auf den Zustand vor der Infektion zurückgesetzt werden. Dieser Vorgang wird vereinfacht, wenn Backups der betroffenen Systeme verfügbar sind, vorausgesetzt, sie sind frei von Malware. Dabei sollte sorgfältig darauf geachtet werden, dass Systeme in einen nicht infizierten Zustand zurückversetzt werden. Jeder Zwischenfall sollte nachträglich überprüft werden, um festzustellen, welche Verfahren gut funktioniert haben und wo es Mängel bei vorhandenen Praktiken gab. Diese Gelegenheit sollte genutzt werden, um aus dem Zwischenfall zu lernen und Verfahren so zu optimieren, dass das Sicherheitsniveau des Unternehmens verbessert wird. Aufstellen eines Reaktionsteams In jedem Unternehmen sollte es nicht nur einen Reaktionsplan geben, sondern auch ein Team, das diesen Plan in die Praxis umsetzt. Ein wichtiger Erfolgsfaktor ist hierbei die Unterstützung durch die Geschäftsleitung. Tatsache ist, dass bei einem sich schnell ausbreitenden Zwischenfall die Einbeziehung eines leitenden Managers, der befugt ist, die für die Eindämmung und Beseitigung des Vorfalls notwendigen Maßnahmen zu genehmigen, ein entscheidender Vorteil sein kann. So kann man sich einen schnellen Vorsprung vor den Angreifern verschaffen. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience Diese Maßnahmen können sich auf Benutzer und Services innerhalb des Unternehmens auswirken. Dies betrifft vor allem die Art und Weise, wie Benutzer – und insbesondere das Reaktionsteam – untereinander kommunizieren. Daher sollte es Überlegungen dazu geben, wie die Kommunikation aufrechterhalten wird und wie Benutzer und Führungskräfte über den Verlauf der Vorfallsbehebung informiert werden. Mithilfe von forensischen Analysen sollte festgestellt werden, ob Daten kompromittiert wurden. Außerdem dienen diese Analysen dazu herauszufinden, wie Angreifer in die Systeme eindringen konnten. Die Sicherheitslücke, die für den Angriff ausgenutzt wurde, muss vorrangig geschlossen werden, um zu vermeiden, dass sie nach der Beseitigung des aktuellen Angriffs wiederholt für einen weiteren Angriff genutzt wird. Die Erfassung und Aufbewahrung forensischer Informationen kann auch dazu beitragen, die Verantwortlichen für den Angriff ausfindig zu machen und strafrechtlich zu verfolgen.
Relevante Mitarbeiter aus Abteilungen, die möglicherweise von einem Vorfall betroffen sind, sollten in das Reaktionsteam aufgenommen werden. Der wichtigste Beitrag zu diesem Team kommt jedoch von den technischen Mitarbeitern, die den Plan umsetzen und über die notwendigen Fachkenntnisse verfügen, um den Schaden zu beheben. Nicht jede Position innerhalb des Teams muss mit eigenen Mitarbeitern besetzt werden. Externe Experten mit speziellen Fachkompetenzen und Erfahrungen mit ähnlichen Vorfällen können das Team ergänzen. Außerdem sollte die Zusammensetzung des Teams regelmäßig einer Prüfung unterzogen werden. Teammitglieder sind eventuell gezwungen, über längere Zeiträume in Bereitschaft zu sein und sollten daher von anderen Teammitgliedern abgelöst werden, um sich auszuruhen. Übungen und Tests könnten zusätzliche Fähigkeiten aufzeigen, die im Team vorhanden sein sollten. Testen des Plans Gravierende Angriffe sind eher selten. Das ideale Ergebnis wäre, wenn der Vorfallsplan und die Fachkenntnisse des Reaktionsteams nie zum Einsatz kämen. Doch dadurch entstehen neue Risiken. Durch regelmäßiges Testen des Vorfallsplans lassen sich Schwachpunkte aufdecken und verhindern, dass Fachkenntnisse, die nicht genutzt werden, in Vergessenheit geraten. Diese Testläufe können auf dem Papier stattfinden, indem die Reaktion auf einen neuen Angriff und die Behebung des Vorfalls in der Theorie durchgespielt werden. Oder diese Tests werden in Form einer praktischen Übung durchgeführt, bei der ein Team aus Penetrationstestern simuliert, wie Angreifer ein System infizieren können. Regelmäßige Übungen tragen dazu bei, dass die Teammitglieder mit ihren Funktions- und Verantwortungsbereichen vertraut sind. Durch das Testen einer Reihe unterschiedlicher Angriffssituationen wird sichergestellt, dass Verfahren umfassend und flexibel genug sind, um auf zukünftige Angriffe reagieren zu können. Teams sollten nach folgendem Schema vorgehen: Planen, Umsetzen, Prüfen und Handeln. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience
Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience Planen Aufstellen von Zielen, Richtlinien und Verfahren, die sich nach den Bedürfnissen des Unternehmens richten. Umsetzen Implementieren dieser Richtlinien und Verfahren. Prüfen Überprüfen, ob diese in der Praxis zum gewünschten Ergebnis führen. Handeln Ergreifen von Maßnahmen, um Pläne aufgrund gesammelter Erfahrungen zu überarbeiten und sie auf diese Weise zu optimieren. Stärkerer Fokus, weniger Risiko. P lanen U m setzen Hand eln Prüfe n
Fazit Unternehmen müssen wissen, wie Angriffe verlaufen, die richtigen Verfahren implementieren und eine klare Reaktionsstrategie entwickeln. Dann können sie künftige Bedrohungen besser abwehren und Schäden nach einem Zwischenfall schneller beseitigen. Referenzen 1 N. Falliere, L. O. Murchu, E. Chien, "W32. Stuxnet Dossier", Symantec Security Response Whitepaper, Februar 2007 S. Davies, "Out of Control", Engineering & Technology v.6 (6) S. 60-62, Juli 2011 2 D. Walker "Saudi Oil Company Back Online After Cyber Sabotage Attempt", SC Magazine, 27. August 2012 3 H. Tsukayama, "Cyber Attack on RSA Cost EMC $66 Million", The Washington Post, 26. Juli 2011 4 "Top Four Mitigation Strategies to Protect Your ICT System", Australian Government Department of Defence Intelligence and Security, S. 1, September 2011 5 "Executive Companion: 10 Steps to Cyber Security", Dept. for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Office of Cyber Security & Information Assurance, S. 1, September 2012
Mehr zu diesem Thema "Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology", NIST SP 800-61 Rev. 2. "Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology", NIST SP 800-83 Rev. 2. BS ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management. BS ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management. PD ISO/IEC TR 18044:2004 Information technology – Security techniques – Information security incident management. BS ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity. "Best Practices for Troubleshooting Viruses on a Network", Symantec Support-Datenbank B. Nahorney & E. Maengkom, "Containing an Outbreak. How to clean your network after an incident.", Symantec Security Response Whitepaper. Symantec Security Response, "Security Best Practices" Symantec-Schulung, "Security Awareness Program" Lösungsbeschreibung: Symantec Managed Security Services, "Symantec Security Monitoring Services: Security log management, monitoring, and analysis by certified experts" Lösungsbeschreibung: Symantec Managed Security Services, "Symantec Managed Protection Services: Optimize enterprise security protection while maintaining control" Symantec (Deutschland) GmbH Wappenhalle Konrad-Zuse-Platz 2-5 D-81829 München Tel.: +49 (0)89 9 43 02-0 Fax: +49 (0)89 9 43 02-950 www.symantec.de Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer Informationen und Identitäten unterstützen. Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. © 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern. Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer: Austin McCabe und Norman Osumi. 12/12 Diese und zusätzliche Ressourcen finden Sie unter: www.symantec.com/de/de/security_response www.emea.symantec.com/cyber-resilience Stärkere Fokussierung, weniger Risiko.

Recommended

Symantec Intelligence Report December 2014
Symantec Intelligence Report December 2014Symantec Intelligence Report December 2014
Symantec Intelligence Report December 2014Symantec
 
ISTR XV
ISTR XVISTR XV
ISTR XVSymantec
 
Stop Attacks and Mitigate Risk with Application and Device Control
Stop Attacks and Mitigate Risk with Application and Device ControlStop Attacks and Mitigate Risk with Application and Device Control
Stop Attacks and Mitigate Risk with Application and Device ControlSymantec
 
Symantec Endpoint Protection
Symantec Endpoint ProtectionSymantec Endpoint Protection
Symantec Endpoint ProtectionSymantec
 
Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec
 

Recommended

Symantec Intelligence Report December 2014
Symantec Intelligence Report December 2014Symantec Intelligence Report December 2014
Symantec Intelligence Report December 2014Symantec
 
ISTR XV
ISTR XVISTR XV
ISTR XVSymantec
 
Stop Attacks and Mitigate Risk with Application and Device Control
Stop Attacks and Mitigate Risk with Application and Device ControlStop Attacks and Mitigate Risk with Application and Device Control
Stop Attacks and Mitigate Risk with Application and Device ControlSymantec
 
Symantec Endpoint Protection
Symantec Endpoint ProtectionSymantec Endpoint Protection
Symantec Endpoint ProtectionSymantec
 
Symantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec Enterprise Security Products are now part of Broadcom
Symantec Enterprise Security Products are now part of BroadcomSymantec
 
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...
Symantec Webinar | National Cyber Security Awareness Month: Fostering a Secur...Symantec
 
Symantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec Webinar | National Cyber Security Awareness Month: Protect IT
Symantec Webinar | National Cyber Security Awareness Month: Protect ITSymantec
 
Symantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec Webinar | National Cyber Security Awareness Month: Secure IT
Symantec Webinar | National Cyber Security Awareness Month: Secure ITSymantec
 
Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec
 
GDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators WantGDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators WantSymantec
 
Symantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 WebinarSymantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 WebinarSymantec
 
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...Symantec
 
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...Symantec
 

More Related Content

More from Symantec

Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec
 
GDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators WantGDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators WantSymantec
 
Symantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 WebinarSymantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 WebinarSymantec
 
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...Symantec
 
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...Symantec
 

More from Symantec (20)

Symantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own ITSymantec Webinar | National Cyber Security Awareness Month - Own IT
Symantec Webinar | National Cyber Security Awareness Month - Own IT
 
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
Symantec Webinar: Preparing for the California Consumer Privacy Act (CCPA)
 
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CKSymantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
Symantec Webinar | How to Detect Targeted Ransomware with MITRE ATT&CK
 
Symantec Mobile Security Webinar
Symantec Mobile Security WebinarSymantec Mobile Security Webinar
Symantec Mobile Security Webinar
 
Symantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat ReportSymantec Webinar Cloud Security Threat Report
Symantec Webinar Cloud Security Threat Report
 
Symantec Cloud Security Threat Report
Symantec Cloud Security Threat ReportSymantec Cloud Security Threat Report
Symantec Cloud Security Threat Report
 
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
Symantec Webinar | Security Analytics Breached! Next Generation Network Foren...
 
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
Symantec Webinar | Implementing a Zero Trust Framework to Secure Modern Workf...
 
Symantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB ProjectsSymantec Webinar | Tips for Successful CASB Projects
Symantec Webinar | Tips for Successful CASB Projects
 
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
Symantec Webinar: What Cyber Threats Are Lurking in Your Network?
 
Symantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year OnSymantec Webinar: GDPR 1 Year On
Symantec Webinar: GDPR 1 Year On
 
Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019Symantec ISTR 24 Webcast 2019
Symantec ISTR 24 Webcast 2019
 
Symantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front LinesSymantec Best Practices for Cloud Security: Insights from the Front Lines
Symantec Best Practices for Cloud Security: Insights from the Front Lines
 
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
Symantec - The Importance of Building Your Zero Trust Program on a Solid Plat...
 
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
Symantec Webinar | Redefining Endpoint Security- How to Better Secure the End...
 
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy BearSymantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
Symantec Webinar Using Advanced Detection and MITRE ATT&CK to Cage Fancy Bear
 
GDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators WantGDPR Breach Notification Demystifying What the Regulators Want
GDPR Breach Notification Demystifying What the Regulators Want
 
Symantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 WebinarSymantec Internet Security Threat Report (ISTR) 23 Webinar
Symantec Internet Security Threat Report (ISTR) 23 Webinar
 
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
Symantec Webinar Part 6 of 6 GDPR Compliance, Breach Notification, Detection,...
 
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
Symantec Webinar Part 5 of 6 GDPR Compliance, the Operational Impact of Cross...
 

Vorbereitung auf zukünftige Angriffe. Lösungsbeschreibung Implementieren der richtigen Sicherheitsstrategie für die Zukunft

  • 1. Vorbereitung auf zukünftige Angriffe www.emea.symantec.com/cyber-resilience Stärkerer Fokus, weniger Risiko. Lösungs- beschreibung Implementieren der richtigen Sicherheitsstrategie für die Zukunft
  • 2. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Einführung Jüngste Malware-Zwischenfälle haben gezeigt, wie hoch die Kosten und der Schaden sein können, die durch Cyber- Angriffe entstehen. Der Stuxnet-Wurm hat nach allgemeinem Kenntnisstand das iranische Nuklearprogramm nachhaltig geschädigt und gilt allgemein als erste funktionsfähige Cyber-Waffe.1 Shamoon gelang es, 30.000 Arbeitsstationen in einem Erdölkonzern zu infizieren und außer Gefecht zu setzen.2 Ein weiterer gezielter Malware-Angriff auf ein großes Unternehmen führte dazu, dass das Unternehmen einen Verlust in Höhe von 66 Millionen US-Dollar als direkte Folge des Angriffs zu verzeichnen hatte.3 Diese Angriffe sind möglicherweise nicht immer erfolgreich. Doch wenn Angreifer ein Schlupfloch in das System eines Unternehmens finden, kann eine unmittelbare und gut vorbereitete Reaktion den Schaden schnell begrenzen und Systeme wiederherstellen, bevor größere Schäden entstehen. Doch um eine solche Reaktion vorzubereiten, müssen Unternehmen wissen, wie Angriffe verlaufen können, eine Gegenstrategie entwerfen, entscheiden, wer für welche Maßnahmen zuständig ist, und anschließend den Plan testen und weiter optimieren. www.emea.symantec.com/cyber-resilience
  • 3. Verlauf von Angriffen Ein Angriff startet mit einem Eintrittspunkt in das Unternehmen. Dies kann ein ungeschütztes System sein, auf das sich Hacker Zugriff verschaffen, ein anfälliger Rechner, auf dem Malware ausgeführt wird, oder ein Benutzer, der sich dazu verleiten ließ, Malware zu installieren. Dieser Eintrittspunkt kann dann dazu genutzt werden, weitere Angriffe im gesamten Netzwerk zu starten. Dies kann beispielsweise durch Eindringen in andere Systeme oder den Einsatz von Malware, die nicht mit einem Patch geschlossene Sicherheitslücken in Systemen ausnutzt und sich automatisch auf anderen Systemen installiert, erfolgen. Sobald ein System infiziert ist, können Angreifer weitere Malware installieren oder die Kontrolle über das System übernehmen und Befehle übertragen. Angreifer können auch versuchen, Informationen wie vertrauliche Dateien oder Benutzernamen und Kennwörter, die auf dem System gespeichert sind, auszuschleusen. Schutz vor Angriffen Die meisten Angriffe lassen sich durch Implementieren grundlegender Informationssicherheitsmaßnahmen abwehren. So kam das australische Verteidigungsministerium zu dem Ergebnis, dass die Implementierung von vier Minderungsstrategien ausreicht, um 85 Prozent der gezielten Angriffe zu verhindern.4 Die britische Regierung weist darauf hin, dass es ausreicht, sich auf zehn kritische Bereiche zu konzentrieren, um die meisten Cyber- Bedrohungen abzuwehren.5 Als Mindestmaßnahme sollte ein Unternehmen sicherstellen, dass der Netzwerkverkehr und Systeme auf Malware gescannt sowie Protokolle der System- und Netzwerkaktivitäten aufbewahrt werden, um sie bei Bedarf zu einem späteren Zeitpunkt analysieren zu können. Regelmäßig durchgeführte Backups sind eine weitere wichtige Maßnahme, um sicherzustellen, dass die normale Funktionsfähigkeit beschädigter Systeme wiederhergestellt werden kann. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Eintritt Ausbreitung des Angriffs Ausschleusung von Informationen Angreifer Benutzer Angreifer Ausgeben von Befehlen www.emea.symantec.com/cyber-resilience
  • 4. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft Mit angemessenen Informationssicherheitsmaßnahmen lässt sich die Wahrscheinlichkeit, dass Angriffe erfolgreich sind, deutlich verringern. Doch hinter jeder Schlagzeile über einen Cyber-Angriff verbirgt sich ein Unternehmen, das fälschlicherweise davon ausgegangen war, ausreichend geschützt zu sein. Größere Zwischenfälle passieren. Das muss bei der Planung berücksichtigt werden, um Störungen des Geschäftsbetriebs zu reduzieren, Schäden einzudämmen sowie die Zeit, die für die Wiederherstellung notwendig ist, zu verkürzen. Vorbereitung auf Zwischenfälle Unternehmen sollten davon ausgehen, dass komplexe Angriffe gegen ihre Systeme gestartet werden und sich entsprechend auf diese Möglichkeit vorbereiten. In der Praxis ist diese Art von Angriffen eher selten. Doch um mit den neuesten Entwicklungen bei Angriffen und Angriffstechniken Schritt zu halten, sollten Unternehmen testen, ob ihre Systeme in der Lage sind, diese Bedrohungen zu erkennen und abzuwehren. Eine sorgfältige Vorbereitung stellt sicher, dass ein Angriff – wenn er tatsächlich stattfindet – schnell erkannt werden kann. Viele identifizierte Vorfälle können sich nach eingehender Analyse als Falschmeldungen (False Positives) herausstellen. Andere wiederum können unbedeutend sein und keine massiven Reaktionsmaßnahmen erfordern. Unternehmen sollten dennoch sicher sein, dass sie sämtliche Vorfälle erfassen und aufzeichnen. Nur so können Angriffe, die ein Eingreifen erforderlich machen, schnell identifiziert und eskaliert werden. Dazu müssen zunächst die Eskalationskriterien und Mechanismen festgelegt werden, nach denen ein erkannter Zwischenfall zur Aktivierung eines Plans für die Reaktion auf Sicherheitsvorfälle führt. Der erste Schritt des Plans sollte eine Bewertung der Situation sein. Als nächstes sollten die Maßnahmen aufgeführt werden, die verhindern, dass sich der Angriff auf andere Systeme ausbreitet und weitere Schäden verursacht. Bereits infizierte Systeme müssen isoliert werden, um den Angriff einzudämmen. Systeme, die bisher noch nicht infiziert wurden, müssen eventuell vorübergehend deaktiviert werden, um zu verhindern, dass sich der Angriff innerhalb des Unternehmens ausbreitet, und der Netzwerkzugriff muss eingeschränkt werden. Auf Angriffe vorbereiten Reaktionsplan implementieren Reaktionsplan optimieren Abbildung 2: Reaktionsphasen bei einem Zwischenfall Vorbereitung Reaktion WiederherstellungErkennung Prüfung Uhrzeit Angrifffindet statt Angreifer wird erkannt System e werden geschützt Norm albetrieb wird wiederaufgenom m en www.emea.symantec.com/cyber-resilience
  • 5. In der Wiederherstellungsphase müssen Systeme auf den Zustand vor der Infektion zurückgesetzt werden. Dieser Vorgang wird vereinfacht, wenn Backups der betroffenen Systeme verfügbar sind, vorausgesetzt, sie sind frei von Malware. Dabei sollte sorgfältig darauf geachtet werden, dass Systeme in einen nicht infizierten Zustand zurückversetzt werden. Jeder Zwischenfall sollte nachträglich überprüft werden, um festzustellen, welche Verfahren gut funktioniert haben und wo es Mängel bei vorhandenen Praktiken gab. Diese Gelegenheit sollte genutzt werden, um aus dem Zwischenfall zu lernen und Verfahren so zu optimieren, dass das Sicherheitsniveau des Unternehmens verbessert wird. Aufstellen eines Reaktionsteams In jedem Unternehmen sollte es nicht nur einen Reaktionsplan geben, sondern auch ein Team, das diesen Plan in die Praxis umsetzt. Ein wichtiger Erfolgsfaktor ist hierbei die Unterstützung durch die Geschäftsleitung. Tatsache ist, dass bei einem sich schnell ausbreitenden Zwischenfall die Einbeziehung eines leitenden Managers, der befugt ist, die für die Eindämmung und Beseitigung des Vorfalls notwendigen Maßnahmen zu genehmigen, ein entscheidender Vorteil sein kann. So kann man sich einen schnellen Vorsprung vor den Angreifern verschaffen. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience Diese Maßnahmen können sich auf Benutzer und Services innerhalb des Unternehmens auswirken. Dies betrifft vor allem die Art und Weise, wie Benutzer – und insbesondere das Reaktionsteam – untereinander kommunizieren. Daher sollte es Überlegungen dazu geben, wie die Kommunikation aufrechterhalten wird und wie Benutzer und Führungskräfte über den Verlauf der Vorfallsbehebung informiert werden. Mithilfe von forensischen Analysen sollte festgestellt werden, ob Daten kompromittiert wurden. Außerdem dienen diese Analysen dazu herauszufinden, wie Angreifer in die Systeme eindringen konnten. Die Sicherheitslücke, die für den Angriff ausgenutzt wurde, muss vorrangig geschlossen werden, um zu vermeiden, dass sie nach der Beseitigung des aktuellen Angriffs wiederholt für einen weiteren Angriff genutzt wird. Die Erfassung und Aufbewahrung forensischer Informationen kann auch dazu beitragen, die Verantwortlichen für den Angriff ausfindig zu machen und strafrechtlich zu verfolgen.
  • 6. Relevante Mitarbeiter aus Abteilungen, die möglicherweise von einem Vorfall betroffen sind, sollten in das Reaktionsteam aufgenommen werden. Der wichtigste Beitrag zu diesem Team kommt jedoch von den technischen Mitarbeitern, die den Plan umsetzen und über die notwendigen Fachkenntnisse verfügen, um den Schaden zu beheben. Nicht jede Position innerhalb des Teams muss mit eigenen Mitarbeitern besetzt werden. Externe Experten mit speziellen Fachkompetenzen und Erfahrungen mit ähnlichen Vorfällen können das Team ergänzen. Außerdem sollte die Zusammensetzung des Teams regelmäßig einer Prüfung unterzogen werden. Teammitglieder sind eventuell gezwungen, über längere Zeiträume in Bereitschaft zu sein und sollten daher von anderen Teammitgliedern abgelöst werden, um sich auszuruhen. Übungen und Tests könnten zusätzliche Fähigkeiten aufzeigen, die im Team vorhanden sein sollten. Testen des Plans Gravierende Angriffe sind eher selten. Das ideale Ergebnis wäre, wenn der Vorfallsplan und die Fachkenntnisse des Reaktionsteams nie zum Einsatz kämen. Doch dadurch entstehen neue Risiken. Durch regelmäßiges Testen des Vorfallsplans lassen sich Schwachpunkte aufdecken und verhindern, dass Fachkenntnisse, die nicht genutzt werden, in Vergessenheit geraten. Diese Testläufe können auf dem Papier stattfinden, indem die Reaktion auf einen neuen Angriff und die Behebung des Vorfalls in der Theorie durchgespielt werden. Oder diese Tests werden in Form einer praktischen Übung durchgeführt, bei der ein Team aus Penetrationstestern simuliert, wie Angreifer ein System infizieren können. Regelmäßige Übungen tragen dazu bei, dass die Teammitglieder mit ihren Funktions- und Verantwortungsbereichen vertraut sind. Durch das Testen einer Reihe unterschiedlicher Angriffssituationen wird sichergestellt, dass Verfahren umfassend und flexibel genug sind, um auf zukünftige Angriffe reagieren zu können. Teams sollten nach folgendem Schema vorgehen: Planen, Umsetzen, Prüfen und Handeln. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience
  • 7. Lösungsbeschreibung: Implementieren der richtigen Sicherheitsstrategie für die Zukunft www.emea.symantec.com/cyber-resilience Planen Aufstellen von Zielen, Richtlinien und Verfahren, die sich nach den Bedürfnissen des Unternehmens richten. Umsetzen Implementieren dieser Richtlinien und Verfahren. Prüfen Überprüfen, ob diese in der Praxis zum gewünschten Ergebnis führen. Handeln Ergreifen von Maßnahmen, um Pläne aufgrund gesammelter Erfahrungen zu überarbeiten und sie auf diese Weise zu optimieren. Stärkerer Fokus, weniger Risiko. P lanen U m setzen Hand eln Prüfe n
  • 8. Fazit Unternehmen müssen wissen, wie Angriffe verlaufen, die richtigen Verfahren implementieren und eine klare Reaktionsstrategie entwickeln. Dann können sie künftige Bedrohungen besser abwehren und Schäden nach einem Zwischenfall schneller beseitigen. Referenzen 1 N. Falliere, L. O. Murchu, E. Chien, "W32. Stuxnet Dossier", Symantec Security Response Whitepaper, Februar 2007 S. Davies, "Out of Control", Engineering & Technology v.6 (6) S. 60-62, Juli 2011 2 D. Walker "Saudi Oil Company Back Online After Cyber Sabotage Attempt", SC Magazine, 27. August 2012 3 H. Tsukayama, "Cyber Attack on RSA Cost EMC $66 Million", The Washington Post, 26. Juli 2011 4 "Top Four Mitigation Strategies to Protect Your ICT System", Australian Government Department of Defence Intelligence and Security, S. 1, September 2011 5 "Executive Companion: 10 Steps to Cyber Security", Dept. for Business Innovation & Skills, Centre for the Protection of National Infrastructure, Office of Cyber Security & Information Assurance, S. 1, September 2012
  • 9. Mehr zu diesem Thema "Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology", NIST SP 800-61 Rev. 2. "Guide to Malware Incident Prevention and Handling. Recommendations of the National Institute of Standards and Technology", NIST SP 800-83 Rev. 2. BS ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management. BS ISO/IEC 27035:2011 Information technology – Security techniques – Information security incident management. PD ISO/IEC TR 18044:2004 Information technology – Security techniques – Information security incident management. BS ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity. "Best Practices for Troubleshooting Viruses on a Network", Symantec Support-Datenbank B. Nahorney & E. Maengkom, "Containing an Outbreak. How to clean your network after an incident.", Symantec Security Response Whitepaper. Symantec Security Response, "Security Best Practices" Symantec-Schulung, "Security Awareness Program" Lösungsbeschreibung: Symantec Managed Security Services, "Symantec Security Monitoring Services: Security log management, monitoring, and analysis by certified experts" Lösungsbeschreibung: Symantec Managed Security Services, "Symantec Managed Protection Services: Optimize enterprise security protection while maintaining control" Symantec (Deutschland) GmbH Wappenhalle Konrad-Zuse-Platz 2-5 D-81829 München Tel.: +49 (0)89 9 43 02-0 Fax: +49 (0)89 9 43 02-950 www.symantec.de Symantec ist ein weltweit führender Anbieter für Sicherheits-, Speicher- und Systemverwaltungslösungen, die Kunden bei der Absicherung und Verwaltung ihrer Informationen und Identitäten unterstützen. Symantec und das Symantec-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder der mit ihr verbundenen Unternehmen in den USA oder in anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. © 2013 Symantec Corporation. Alle Rechte vorbehalten. Alle Produktinformationen können sich jederzeit ohne vorherige Ankündigung ändern. Symantec (Deutschland) GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, 81829 München, Amtsgericht München, HRB 148165, USt-IdNr.: DE119364980, Geschäftsführer: Austin McCabe und Norman Osumi. 12/12 Diese und zusätzliche Ressourcen finden Sie unter: www.symantec.com/de/de/security_response www.emea.symantec.com/cyber-resilience Stärkere Fokussierung, weniger Risiko.