Incident Response
Incident Response – rasche Hilfe bei einem Cyber-Angriff
Trotz präventiver Sicherheitsmassnahmen sind Security Incidents leider in jedem Unternehmen möglich. Bei Malware-Befall oder Verdacht auf einen gezielten Cyberangriff gilt es vor allem schnell und professionell zu reagieren, um die Situation rasch einzuordnen, die Ausbreitung einzudämmen und die Systeme zu bereinigen. AVANTEC unterstützt Sie mit Senior Security Experten im Bereich Incident Response. Unsere Engineers sind in digitaler Forensik ausgebildet und zertifiziert.
Standardisierter Incident-Response-Prozess für professionelle Reaktion
Security Incidents können von einem einzelnen, mit Malware infizierten Endpoint bis hin zu grossflächig kompromittierten Netzwerken und Datendiebstahl reichen. Trotz umfangreicher präventiver Schutzmassnahmen können leider Incidents nicht vollständig ausgeschlossen werden. Mit zuverlässigen Detection Mechanismen und einer schnellen und professionellen Reaktion durch das AVANTEC Incident-Response-Team sowie einem systematischen Vorgehen im Verdachts- oder bestätigten Incident-Fall kann aber in der Regel die Ausbreitung eingedämmt und das Schadensausmass begrenzt werden. Wir unterstützen Sie ebenfalls bei der zuverlässigen Bereinigung von infizierten Systemen, der Wiederherstellung des Normalbetriebs und bei der Ursachenforschung und den daraus abgeleiteten Massnahmen für die Erhöhung Ihres Schutzdispositivs. Verlassen Sie sich im Notfall auf das Know-how und die Erfahrung von unseren SANS-zertifizierten Security-Experten.
Bei diesen Schritten können wir Sie im Falle eines Security Incidents unterstützen:
- Erste Sofortmassnahmen bei einem Angriff: Isolation, Scan der Infrastruktur und Spurensicherung
- Abschätzen des Angriffs-Ausmasses: Lagebeurteilung, Aufklärung und Recherche
- Business-Continuity sicherstellen: Wiederherstellung und Ursachenbehebung
Sofortmassnahmen bei einem Cyberangriff
- Isolation: Infizierte Rechner oder das entsprechende Netzwerksegment werden umgehend und komplett isoliert, um eine weitere Ausbreitung zu verhindern.
- Scan der Infrastruktur: Ihre Infrastruktur wird nach weiteren infizierten Systemen durchsucht. Die Informationen aus der Aufklärung helfen potenziell infizierte Rechner ausfindig zu machen. Wenn die AV-Lösung mittlerweile die Malware erkennen kann, ist ein solcher Scan trivial. Andernfalls benötigen Sie eine Endpoint Detection & Response Lösung (EDR), welche alle Clients und Server auf die entsprechenden IOCs überprüfen kann.
- Spurensicherung: Falls eine weiterführende und forensische Analyse des Angriffs in Betracht gezogen wird, müssen die infizierten Systeme entweder unberührt bleiben (mal abgesehen von der Isolation) oder die entsprechenden Daten müssen zuerst komplett sichergestellt werden (z. B. mittels Image und Memory-Dump).
Angriffs-Ausmass abschätzen
- Lagebeurteilung: Das Spektrum eines erfolgreichen Angriffs ist breit. Es reicht von der einfachen Malware, die ausschliesslich lokal einen begrenzten Schaden anrichtet, bis hin zum gezielten Angriff, welcher Ihre Systeme lahmlegen kann oder sich geschickt versteckt und über Monate hin Angreifern einen Zugriff auf Ihr Netzwerk verschafft. Wir analysieren und qualifizieren Security Alerts, Verhalten und Vorgänge in Ihren Systemen, um eine Erstbeurteilung zu erstellen.
- Aufklärung und Recherche: Informationen über den Angriff bzw. die Malware helfen bei der Beurteilung für das weitere Vorgehen. Wir analysieren, um welche Art Angriff es sich handelt und welches Ziel verfolgt wird. Sind weitere Systeme befallen? Was sind typische IOCs (Indicators of Compromise)? Wie können infizierte Rechner bereinigt werden? Für welche Daten haben sich die Angreifer interessiert?
Business Continuity sicherstellen
- Wiederherstellung: Je nach Wichtigkeit der Systeme müssen diese nun rasch wiederhergestellt werden. Wir empfehlen klar ein komplettes Neuaufsetzen und Einspielen von Backups. Das gezielte Bereinigen von einzelnen Ordnern, Dateien und Registry-Keys ist riskant, da möglicherweise nicht alle infizierten Daten gelöscht werden.
- Ursachenbehebung und Verbesserung des Schutzniveaus: Es ist an dieser Stelle wichtig zu verstehen, was die Ursache der Infektion war. Allfällige Einfallstore, veraltete Signaturen oder Patch-Stände bzw. nicht aktuelle oder fehlerhafte Konfigurationen sind umgehend zu beheben, damit es zu keinen weiteren Infektionen kommen kann. Je nach Ursache und Dringlichkeit müssen diese Massnahmen bereits parallel zur Isolation durchgeführt werden bzw. sobald die entsprechenden Informationen vorliegen.
Haben Sie Fragen? Wir helfen Ihnen gerne weiter!
Haben Sie eine Frage zu unseren Produkten und Dienstleistungen? Wünschen Sie weitere Informationen oder Kontakt mit einem Engineer oder Account Manager? Wir freuen uns auf Ihre Kontaktaufnahme.
Unsere Fachspezialisten helfen Ihnen gerne weiter!
