Incident Response
Wir sind uns darüber im Klaren, dass Sicherheitsvorfälle unvermeidbar sind. Daher ist eine angemessene Vorbereitung auf solche Vorfälle ein wesentlicher Bestandteil einer guten Sicherheitsstrategie. SophosLabs – ein weltweites Team für Threat Intelligence und Data Science – stärkt das Unternehmen mit cloudnativen und KI-gestützten Lösungen gegen Cyberangriffe.
Sophos ist eine der 600.000 Organisationen, die durch Sophos-Produkte geschützt werden. Unsere Pläne konzentrieren sich darauf, wie wir während eines Vorfalls sicher und zuverlässig kommunizieren, welche Rollen wir benötigen, um effektiv zu reagieren, wie wir auf verschiedene Arten von Vorfällen reagieren, Prioritäten analysieren und Kunden sowie Aufsichtsbehörden bei Bedarf benachrichtigen.
Wir haben unsere Pläne unter Berücksichtigung des NIST 800-61 Computer Security Incident Handling Guide entwickelt und überprüfen diese Pläne regelmäßig auf Einhaltung der Branchenstandards.
Unsere hochqualifizierten Cybersecurity-Fachleute haben erstklassige Incident-Response-Fähigkeiten zu bieten, u. a. umfassendes Monitoring, fortschrittliche Erkennung, automatisierte Reaktion, Incident-Management, forensische Analyse und Zugang zu externen Experten. Durch unsere Rolle als erste und häufigste Nutzer von Sophos-Produkten sowie durch unseren Zugang zu den Produktteams und SophosLabs sind wir in einer einzigartig effektiven Position, um auf Cybersecurity-Vorfälle zu reagieren.
Übersicht über unser Incident-Response-Programm
Ziel von Sophos ist es, mit unseren leistungsstarken, intuitiven Produkten und Services Unternehmen jeder Größe die weltweit effektivste Cybersecurity zu bieten. Eine effektive Reaktion auf eine breite Palette potenzieller Sicherheitsvorfälle ist entscheidend, um das Ziel von Sophos zu erreichen. Kurz gesagt: Zum Schutz unserer Kunden muss unser Incident-Response-Programm unsere Produkte und unser Unternehmen schützen.
Sophos verwendet die Definition eines Sicherheitsvorfalls nach NIST 800-61: Verstoß oder unmittelbare Gefahr eines Verstoßes gegen Sicherheitsrichtlinien für Computer, Richtlinien zur akzeptablen Nutzung oder Standard-Sicherheitspraktiken. Dies ist eine bewusst breite Definition, damit wir eine optimale Reaktionszeit erreichen können, um Bereiche zur Verbesserung und Transparenz für Kunden zu identifizieren. Durch diese Definition können auch Datenlecks identifiziert werden, was in einer Definition, die sich auf bestätigte Angriffe konzentriert, möglicherweise nicht enthalten ist.
So identifizieren wir Sicherheitsvorfälle
Es gibt viele Möglichkeiten, wie Sophos Sicherheitsvorfälle identifiziert oder ermittelt. Hier einige Beispiele:
- Sicherheitsüberwachungsfunktionen, die oft in unseren Produkten enthalten sind, oder ergänzende Methoden, die wir entwickelt haben
- Bug-Bounty-Berichte
- Ergebnisse aus Penetrationstests
- Schwachstellenanalyse
- Code- und Anwendungsanalyse
- Forschungs und Threat-Intelligence-Analyse
- Kundenbenachrichtigungen
Zur Meldung eines möglichen Sicherheitsvorfalls besuchen Sie bitte unser Programm zu verantwortungsvollen Offenlegung.
Untersuchung und Analyse
Nach der Entdeckung oder verifizierten Meldung eines Vorfalls nutzen wir zunächst etablierte Kommunikationskanäle, um den Informationsaustausch innerhalb des Incident-Response-Teams zu erleichtern.
Ein standardmäßiger Mindestplan für ein Treffen zur Untersuchung und Analyse der Incident Response umfasst Folgendes:
- Aktuelle Fakten ermitteln
- Aktuelle Informationen zum Stand der Maßnahme teilen
- Nächste Schritte vereinbaren
- Bewertung zur Priorität des Vorfalls bestätigen: Priorität 1/2/3.
- Zeitpunkt des nächsten Treffens vereinbaren
- Protokoll zu den durchgeführten Maßnahmen und Entscheidungen hinsichtlich des Vorfalls führen
Prioritätsbewertung
Wir arbeiten mit vier Vorfallsprioritätsstufen.
Vorfallsprioritätsstufen
| Priorität | Beschreibung |
|---|---|
| 0 | Kritischer Vorfall mit maximaler Auswirkung |
| 1 | Sehr schwerwiegender Vorfall mit umfassenden Auswirkungen |
| 2 | Erheblicher Vorfall mit signifikanten Auswirkungen |
| 3 | Kleinerer Vorfall mit geringfügigen Auswirkungen |
Unsere Incident-Response-Manager legen die Priorität eines Vorfalls auf Grundlage der potenziellen Auswirkungen auf das Unternehmen und die Kunden fest. Wir verwenden verschiedene Kriterien zur Bedrohungsbeurteilung, um die Priorität eines Vorfalls zu bestimmen, darunter Auswirkungen auf Kunden, funktionale Auswirkungen, Informationsauswirkungen, Wiederherstellbarkeit, Datenmenge und -klassifikation, Bedrohungsakteur und geschäftliche Auswirkungen. Die Priorität eines Vorfalls wird an wichtigen Punkten im gesamten Reaktionsprozess neu bewertet und bei Bedarf angepasst.
Rollen und Verantwortlichkeiten
Zu Beginn eines Vorfalls wird ein einziger Incident Response Manager basierend auf der zugewiesenen Priorität des Vorfalls identifiziert. Für diese Rolle können mehrere Personen eingesetzt werden, wenn eine 24/7-Abdeckung erforderlich ist. Ein einzelner Incident Response Manager gibt uns klare Anweisungen, damit wir sofort handeln und effektiv kommunizieren können.
Je nach Art des Vorfalls sind unterschiedliche Rollen erforderlich. Zu den häufigsten Rollen gehören:
Rollen und Verantwortlichkeiten bei Vorfällen
| Rolle | Wofür? |
|---|---|
| IR Manager | Entscheidet über die Bewertung der Priorität, Eskalation, Zusammensetzung des vollständigen Incident-Response-Teams sowie die Einleitung und Durchführung der Untersuchung. |
| Executive Sponsor | Kommuniziert bei Bedarf mit dem Senior Management Team (SMT) und genehmigt Entscheidungen zur Reaktion auf Vorfälle mit Priorität 0/1. |
| IR-Team | Interdisziplinäres Team zur Untersuchung, Analyse und Eindämmung von Cybersecurity-Vorfällen. |
| IR Program Owner | Verantwortlich für den Incident-Response-Plan und die Einsatzbereitschaft des interdisziplinären Teams, Aktualisierung des IR-Plans und der Dokumentation sowie regelmäßige Überprüfungen. |
| Datenschutz und Kundenkommunikation | Trifft Entscheidungen über Benachrichtigungen an Kunden und andere externe Stellen. |
Eindämmung, Ausmerzung und Wiederherstellung
Zweck der Eindämmung ist es, die Auswirkungen eines Vorfalls zu stoppen, bevor er weiteren Schaden verursachen kann. Nachdem ein Vorfall eingedämmt ist, können wir uns die erforderliche Zeit nehmen, um das Problem umfassend anzugehen.
Nachdem ein Vorfall eingedämmt wurde, kann eine Ausmerzung notwendig sein, um Komponenten und Nebenwirkungen des Vorfalls zu beseitigen. Für Sicherheitsvorfälle, die sich an Sophos richten, müssen wir sowohl an unsere Unternehmens-Assets als auch an unsere Produktt-Assets denken, einschließlich unserer Cloud-Angebote.
Gängige Ausmerzungsaufgaben umfassen:
- Änderungen an der Konfiguration oder am Code/Hotfixes
- Austausch oder Deaktivierung von Systemen
- Deaktivierung von Funktionen
- Datenqualitätsbereinigung
- Deaktivieren von kompromittierten Benutzerkonten
- Identifizieren und Beheben aller Sicherheitslücken, die ausgenutzt wurden
Im Wiederherstellungsprozess stellen Sophos-Techniker die Systeme auf den Normalbetrieb wieder her, bestätigen, dass die Systeme normal funktionieren, und beheben (falls zutreffend) Schwachstellen, um ähnliche Vorfälle zu verhindern. Unsere Kultur und unser Innovationsansatz als Sicherheits- und Cloud-Unternehmen tragen zu einer schnellen Wiederherstellung bei. Wir verlassen uns auf Continuous-Integration- und Bereitstellungsfähigkeiten in unseren Geschäftsbereichen. Wir implementieren Systeme kontinuierlich bedarfsgerecht und schnell neu.
Kundenbenachrichtigung
Echtheit ist einer der Unternehmenswerte von Sophos. Vor dem Hintergrund, dass sich unser Unternehmen dem Schutz verschrieben hat, bedeutet dieser Wert, dass wir Kunden so schnell wie möglich benachrichtigen, wenn ihre Daten an einem bestätigten Vorfall oder einer Verletzung beteiligt sind.
Maßnahmen nach Vorfällen
Nachdem ein Vorfall bearbeitet und gelöst wurde, konzentrieren wir uns darauf, aus dem Vorfall zu lernen. Wir führen Post-Mortem-Sitzungen durch, um zu besprechen, wie wir mit dem Vorfall umgegangen sind, und die Ursache des Vorfalls herauszufinden. Basierend auf diesen Besprechungen passen wir unsere Verfahren zum Umgang mit Vorfällen an und verbessern sie, um unser Sicherheitsprofil zu optimieren und ähnliche Vorfälle in Zukunft zu verhindern und schneller zu erkennen.
Reaktion auf Vorfälle mit unseren eigenen Tools
Das Sophos Global Security Operations Center (GSOC) überwacht kontinuierlich Warnmeldungen aus unserer Infrastruktur und sucht nach Anomalien im gesamten Netzwerk. Wir tun dies, indem wir verschiedene Erkennungstools implementieren und überwachen, einschließlich der vollständigen Suite von Sophos Next-Gen-Produkten.
- Sophos Intercept X Advanced mit EDR kombiniert die Fähigkeiten von Intercept X mit Endpoint Detection and Response (EDR) zu einer zentralen Agent-Lösung, um uns bei der Bewältigung einer Vielzahl von Bedrohungen zu unterstützen. Mit Live Discover und Live Response können wir Bedrohungen schnell identifizieren, innerhalb von Minuten darauf reagieren, forensische Snapshots remote erstellen und Probleme durch Isolierung betroffener Endpoints eindämmen. Durch die Verwendung der Forensic Snapshot-Funktion können wir weitere Indikatoren für Kompromittierung (IoCs) und Artefakte identifizieren. Netzwerkartefakte werden dann von unserer Sophos Firewall blockiert. Unter https://news.sophos.com/en-us/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/ erfahren Sie mehr darüber, wie wir die Bedrohungsdaten von Intercept X nutzen.
- Die Sophos Firewall nutzt Intrusion Prevention, um neueste Netzwerkangriffe zu erkennen und zu verhindern. Unsere Firewalls ermöglichen es uns, schädliche Domänen, URLs und IP-Adressen zu blockieren und verdächtige Dateien, die über das Netzwerk übertragen werden, in der sicheren Cloud-Umgebung von SophosLabs zu analysieren. An bestimmten Stellen im Netzwerk setzen wir auch den Erkennungsmodus ein, bei dem die Firewall als Netzwerk-Sensor für IDS-Ereignisse und das Reporting zu Netzwerkaktivitäten fungiert.
- Da immer mehr unserer Workloads in die Cloud verschoben werden, benötigten wir ein Tool, das uns Transparenz bietet. Mit Sophos Optix identifizieren und bewerten wir Cloud-Dienste, die für das Unternehmen ein Risiko darstellen, und erhalten proaktiv Benachrichtigungen über verdächtiges Verhalten. Die Lösung ermöglicht es uns, schnell wichtige Fragen zu beantworten, z. B.: Wer ist der Besitzer? Mit wem wird kommuniziert? Welche Rollen und Berechtigungen werden verwendet? Welche Regeln und Sicherheitsgruppen werden verwendet? Wenn das Netzwerk und die von seinen Ressourcen genutzten Rollen schnell visualisiert werden, können Probleme effizienter identifiziert werden.
- Sophos setzt eine Vielzahl von Systemen ein und kann Daten von verschiedenen Sophos- und Nicht-Sophos-Produkten gleichermaßen sammeln. Es kann schnell zur Herausforderung werden, kontextbezogene Informationen über bestimmte Systeme zu erhalten. Während der Erkennungs- und Analysephase eines Vorfalls ist es aber unerlässlich, dass wir so schnell und effizient wie möglich die richtigen Informationen haben, um fundierte Entscheidungen treffen zu können. Die Sophos Central APIs geben uns die Möglichkeit, Sophos Central und die zugehörigen Integrationspartner zu nutzen: https://news.sophos.com/de-de/2019/12/19/die-macht-der-sophos-central-api-entfesseln/.