Download - CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

Transcript
Page 1: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

CIOS PLAYBOOK FÜR 2020 DIE IT IST NICHT GENUG

2020

Page 2: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

2

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

1. Vorwort

2. Leitfaden zur Erkennung und Reaktion

2.1. Gefahren erkennen

2.1.1. Die Anatomie eines Angriffs

2.1.2. So gehen die Eindringlinge vor

2.2. Auf Gefahren reagieren

2.2.1. Welche Strategie ist für Sie die richtige?

2.2.2. Von DIY zu ROI

3. Zusammenfassung & Entscheidungshilfen

3

4

5

6

8

10

INHALTSVERZEICHNIS

Page 3: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

Sehr geehrte Leserinnen und Leser,

über die letzten Jahre betrachten immer mehr Unternehmen IT-Sicherheit als einen erweiterten Bereich des Risikomanagements. Sie

wägen die Bedrohungen und Risiken ab und klassifizieren Sie nach Wahrscheinlichkeit, Schadenshöhe und anfallenden Kosten.

Der Fehler: Der Unterschied zwischen den Schätzungen der Unternehmen und den Schäden der Realität sind enorm.

Was aber dagegen tun? Und welche Strategie ist die richtige für Ihr Unternehmen?

In diesem Playbook erläutern wir wie Sie Cyber-Gefahren erkennen können, wie Sie im Falle eines Angriffs reagieren müssen und

welche Lösungen Ihnen im Kampf gegen die Eindringlinge zur Verfügung stehen.

Wir wünschen Ihnen viel Vergnügen beim Lesen und Erfolg in Ihrer Verteidigung,

Ihr F-Secure Team

1. VORWORT

ÜBER F-SECURE

Niemand kennt Cybersicherheit so gut wie F-Secure. Seit drei Jahrzehnten treibt F-Secure Innovationen im Bereich

Cybersicherheit voran und verteidigt Zehntausende von Unternehmen und Millionen von Menschen. Mit unübertroffener

Erfahrung im Bereich des Endgeräteschutzes sowie der Erkennung und Reaktion schützt F-Secure Unternehmen und

Verbraucher vor allem, von fortgeschrittenen Cyberangriffen und Datenverletzungen bis hin zu weit verbreiteten

Ransomware-Infektionen. Die fortschrittliche Technologie von F-Secure kombiniert die Leistungsfähigkeit des

maschinellen Lernens mit der menschlichen Expertise seiner weltbekannten Security Labs für einen einzigartigen Ansatz

namens Live Security.

Die Sicherheitsexperten von F-Secure haben an mehr europäischen Cyberkriminalitätsuntersuchungen teilgenommen

als jedes andere Unternehmen auf dem Markt, und ihre Produkte werden weltweit von über 200 Breitband- und

Mobilfunkbetreibern sowie Tausenden von Wiederverkäufern verkauft.

F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd. Notiert.

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

3

Page 4: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

2.1 GEFAHREN ERKENNEN

2.1.1 Die Anatomie des Angriffs

Ausgeklügelte Cyber-Angriffe beginnen meist an der Spitze und

arbeiten sich nach unten durch. Wenn neue Arten von Angrif-

fen entdeckt werden, sind sie in der Regel auf ressourcenreiche

Akteure (z.B. Nationalstaaten) zurückzuführen. Diese Gegner

verfolgen standardmäßig zuerst die Ziele mit dem höchs-

ten Wert. Da die bei solchen Angriffen verwendeten Tactics,

Techniques and Procedures (kurz TTPs) in vielen Fällen öffent-

lich bekannt werden, gelangen sie in die Hände von weniger

organisierten Cyberkriminellen. Neue TTPs werden dann meist

gegen Regierungen, militärische Ziele und Verteidigungsunter-

nehmen eingesetzt. Auf der Leiter folgen in der Regel Banken

und Anbieter kritischer Infrastruktur (z.B. Energieunternehmen).

Die gleichen TTPs werden dann gegen die Schwerindustrie und

schließlich gegen alle anderen (Fertigung, Einzelhandel, KMU

usw.) eingesetzt.

Bedrohungen für ein Unternehmen sind nicht auf Angriffe

von außen beschränkt. Versehentliche und absichtliche Lecks

können und werden von Insidern im Unternehmen verursacht,

die über einen ausreichenden Zugang zu kritischen oder ver-

traulichen Vermögenswerten verfügen. Vorgelagerte Angriffe,

bei denen ein Partner, Lieferant oder Auftragnehmer von einem

Angreifer kompromittiert wird, der einen Brückenkopf in einer

benachbarten Organisation errichten möchte, sind ebenfalls

sehr häufig. In mehreren Fällen, an denen wir beteiligt waren,

wurde sogar der physische Einbruch in das Firmengelände als

Teil des Angriffsvektors genutzt.

4

Abbildung 1: F-Secure

99,9% 0,1%

VON

MEN

SCH

EN V

ERÜ

BT

E AN

GRIFFE

Von

Ma

sch

inen

ver

übt

e A

ng

riffeSpyware

RansomwareBanking-Trojaner

Selbstreplizierende Botnetze

Endpoint SecurityE-Mail-Sicherheit

Firewall

Speer-PhishingSeitliche Bewegung Berechtigungserhöhung Datenexfiltration

Verwaltete Erkennung und ReaktionEndpunkterkennung und -reaktionVorfallsreaktionsdienste

Häufig geschütztI In der Regel kein Schutz

Page 5: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

5

2.1.2 So gehen Eindringlinge vor

Cyber-Bedrohungen sind asymmetrischer Natur. Ein

Angreifer muss nur einmal erfolgreich sein, um Zugang zu

einem Netzwerk zu erhalten. Verteidiger müssen allerdings

hundertprozentig erfolgreich sein, wenn sie die Angreifer

fernhalten wollen. Man kann sich nicht darauf verlassen, dass

man die ganze Zeit erfolgreich ist.

Traditionelle Lösungen, wie Firewalls und Endpoint-Security-

Software leisten gute Arbeit bei dem was sie leisten sollen

- nämlich Bedrohungen zu erkennen und zu blockieren.

Aber man kann nicht erwarten, dass diese Lösungen

fortgeschrittene Angreifer aufhalten. Jeder Gegner, der die

nötigen Skills hat, wird einen Angriff ausführen, der darauf

abzielt, diese Verteidigung zu umgehen. Und sie müssen

nicht einmal Malware verwenden, um in der Organisation

Fuß zu fassen. Im Gegensatz zu dem, was Ihnen vielleicht

gesagt wurde, verwenden erfahrene Angreifer selten, wenn

überhaupt, Malware.

Cyber-Angriffe folgen in der Regel dem gleichen Muster:

Angreifer beginnen damit, den Umkreis einer Organisation

mit Speer-Phishing, Watering Hole oder Man-in-the-Middle-

Angriffen zu durchbrechen. Manchmal können Angreifer

Zugang erhalten, indem sie eine Schwachstelle in einem

öffentlich zugänglichen System ausnutzen oder sogar Zugang

zu einem bereits gefährdeten System erwerben. Sobald sie

sich innerhalb des Systems befinden, führen sie Erkundungen

durch, erhöhen Privilegien (durch Ausnutzung falsch

konfigurierter oder anfälliger Systeme), suchen nach Domain-

Admin-Passwörtern (unter Verwendung von Tools wie

Mimikatz) und bewegen sich lateral auf interessante Systeme.

Sie stellen oft eine Beharrlichkeit mit handelsüblichen RATs wie

Orcus, Litemanager oder luminocityLink her.

Anschließend werden sie die Daten mit subtilen Methoden

ausfiltern, die beispielsweise ein normales Benutzerverhalten

nachahmen. Die meisten der Tools, die ein Angreifer benötigt,

sind im Betriebssystem selbst integriert. Und Angreifer sind

geschickt darin, sich vor netzwerkbasierten IDS-Systemen

(Intrusion Detection System) zu verstecken, indem sie sich

im Befehls- und Kontrollverkehr verstecken. Es ist fast

unmöglich, moderne Angriffstechniken allein durch die

Analyse des Netzwerkverkehrs zu erkennen. Tatsächlich

gibt es zu viele Möglichkeiten für einen Angreifer, sich zu

verstecken. Alle diese Techniken liegen unter dem Radar

herkömmlicher Perimeter-Abwehrsysteme wie Firewalls,

Endpoint-Schutz und Spam-Filterung.

In den meisten Fällen können Gegner, sobald ein

Unternehmen einmal verletzt wurde, ungestraft handeln,

solange sie wollen. Es ist nicht ungewöhnlich, dass ein

Unternehmen herausfindet, dass es von einem Dritten

(z.B. einer Zertifizierungsstelle) bedroht ist. Nach unserer

Erfahrung beträgt die Zeit zwischen dem Auftreten einer

Störung und der Entdeckung durchschnittlich 200 Tage.

Denken Sie darüber nach: Die meisten Unternehmen

benötigen Monate oder sogar Jahre, bis sie herausfinden, dass

sie gehackt wurden.

Gartner prognostiziert, dass „bis 2020 60 Prozent

der Budgets für die Informationssicherheit in Unter-

nehmen für Ansätze zur schnellen Erkennung und

Reaktion bereitgestellt werden, was einem Anstieg

von weniger als 30 Prozent im Jahr 2016 entspricht“.

Also, fragen Sie sich selbst: Wie viel von Ihrem Budget

haben Sie gerade für die Erkennung und Behebung

von Sicherheitsbrüchen bereitgestellt? Wir schät-

zen, dass es nicht annähernd 60 Prozent sind. Nach

unserer Erfahrung haben nur 10% der Unternehmen,

mit denen wir gesprochen haben, überhaupt darüber

nachgedacht.

Bis 2020 werden 60 Prozent der Budgets für die

Informationssicherheit in Unternehmen für Ansätze

zur schnellen Erkennung und Reaktion bereitgestellt

werden, was einem Anstieg von weniger als 30 Pro-

zent im Jahr 2016 entspricht.

Abbildung 2: F-Secure

Page 6: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

6

2.2 AUF GEFAHREN REAGIEREN

2.2.1 Welche Strategie ist für Sie die richtige?

Der Fachkräftemangel im IT-Bereich ist allgegenwärtig. Es

wird geschätzt, dass derzeit zwei Cybersicherheitsjobs auf

einen ausgebildeten Sicherheitsspezialisten kommen. Im

Zuge der anhaltenden Digitalisierung wird dieses Problem

noch wachsen. Die einzige Möglichkeit, sich effektiv gegen

Angreifer zu wehren, besteht aber darin, eben jene Experten

im Team zu haben. Gleiches gilt für die Aufrechterhaltung der

Bedrohungsintelligenz, die Konfiguration von Systemen, das

Red-Teaming und die korrekte Reaktion auf Vorfälle. Das gilt

für kleine mittelständische Unternehmen wie für Enterprises.

So werden Sie vermutlich mehr als ein oder zwei Experten auf

Ihrer Gehaltsliste benötigen.

Und obwohl Sie letztendlich Ihr eigenes internes Team,

Systeme und Fachwissen entwickeln könnten, bedeutet dies

in den meisten Fällen, dass Sie ein langwieriges und teures

Projekt übernehmen müssen. Schlussendlich kann ein eigenes

24/7 Security Operations Center (SOC) mit ausreichend

qualifizierten Ressourcen die Gesamtbetriebskosten auf ein

Level bringen, das nur die größten Unternehmen bereit sind

zu investieren.

Mit einem Mangel an qualifizierten Abwehrkräften auf ihrer

Seite und mit den Schwierigkeiten und Kosten, die mit dem

Aufbau eigener Fähigkeiten zur Erkennung und Reaktion

auf Angriffe verbunden sind, kämpfen Unternehmen gegen

Cyberangriffe und Verluste.

Diesem personellen Dilemma kann man auf drei Wegen

entgegentreten:

OPTION 1:

Do it yourself (mit der Möglichkeit, Ihr Team zu erweitern)

Viele Unternehmen haben die Ressourcen, um massiv in

ihre eigenen Sicherheitsteams und -infrastrukturen zu

investieren. Aber auch gut aufgestellte Unternehmen mit

eigenem SOC können es für sinnvoll erachten, ihr eigenes

Team mit einem Partner zu erweitern, der ausschließlich

Cybersicherheitsdienste anbietet. Nicht jedes Unternehmen,

das sich mit der Erkennung und Reaktion im eigenen Haus

beschäftigt, hat notwendigerweise Mitarbeiter, die rund um

die Uhr arbeiten, um ihre Arbeit zu schützen. Ein erweitertes

Team, das neben Ihrem IT-Team arbeitet, kann Ihnen helfen,

das Problem der Einstellung und Einbindung eines IT-

Sicherheitsteams das groß genug ist zu lösen.

Ein solcher Ansatz kann ausreichen, um den Umfang

eines Angriffs schnell zu bestimmen, festzustellen, ob

personenbezogene Daten betroffen sind oder nicht,

und die gesetzlichen Anforderungen zu erfüllen,

Datenschutzverletzungen innerhalb von 72 Stunden zu melden

(wie von der DSGVO gefordert).

OPTION 2:

Managed Detection and Response mit F-Secure, rund um

die Uhr

Um die Schwierigkeit zu überwinden, qualifizierte

Cybersicherheitsexperten einzustellen und zu halten, bieten Unternehmen wie F-Secure vollständige Managed

Detection and Response (MDR)-Dienste an. Das „managed“

bezieht sich darauf, dass es auf Ihrer Seite einen minimalen

Installationsprozess gibt, um die Dinge zum Laufen zu bringen.

Danach wird alles – von der Fehlererkennung bis zur Reaktion

– von uns erledigt. Unsere Teams aus Bedrohungsjägern,

Abbildung 3: F-Secure

Abbildung 4: F-Secure

Page 7: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

Einsatzkräften und Forensik-Experten stehen rund um die Uhr

zur Verfügung, um einen vollständig verwalteten Service zur

Erkennung und Reaktion auf Sicherheitsbrüche zu bieten.

Mit dem Managed Detection & Response Service profitieren

Sie von den erstklassigen Cyber-Sicherheitsexperten von

F-Secure, die Ihr Netzwerk rund um die Uhr überwachen. Sie werden alle Entdeckungen innerhalb von Minuten über-

prüfen und den Schweregrad des potentiellen Angriffs

bestimmen, bevor Ihr Team alarmiert wird oder

automatisierte Reaktionen eintreten. False-Positive-

Erkennungen werden sofort markiert, um sicherzustellen,

dass Ihr Team nur Zeit mit echten Bedrohungen verbringt.

Die Zusammenarbeit mit unseren Cyber-Sicherheitsexperten

bedeutet, dass alle Entdeckungen mit einer Anleitung und

bei Bedarf mit einer weiteren Klarstellung einhergehen. Die

Verfügbarkeit von menschlichem Fachwissen bedeutet, dass Ihr Team deutlich weniger Zeit für die Erkundung benötigt.

Managed Detection & Response Services bieten aber nicht

nur menschliches Fachwissen. Es handelt sich um einen

Service, der auf Bedrohungsintelligenz, Probenanalyse und

Entscheidungssystemen mit maschinellem Lernen und

Funktionen der künstlichen Intelligenz basiert, die seit über

einem Jahrzehnt im eigenen Haus entwickelt werden. Und

auch wenn ein Unternehmen schließlich seine eigenen

internen Systeme und sein Fachwissen auf das von uns

erreichte Niveau bringen könnte, würde dieser Prozess sehr

lange dauern.

Die Erweiterung der Verfügbarkeit und Fähigkeiten Ihres

eigenen Teams mit dem Managed Detection & Response

Service von F-Secure hilft Ihnen, die 24/7-Verfügbarkeit

mit einem 30-minütigen Servicelevel zu erreichen und

fachkundige Anleitung zu erhalten, um bei einem Angriff zu

reagieren.

OPTION 3:

Managed Endpoint Detection Response mit einem lokalem

Service Provider: Ein alternativer Ansatz für Managed

Detection and Response ist eine EDR-Lösung (Endpoint

Detection & Response) wie F-Secure Rapid Detection &

Response, die von zertifizierten und geschulten Service

Provider-Partnern bereitgestellt wird. F-Secure schult

unsere lokalen Managed Service Provider, um Sie in allem zu

unterstützen: Von der Überwachung des Gesundheits- und

Sicherheitsstatus Ihrer IT-Umgebung bis hin zur Erkennung

und Anleitung von Reaktionsmaßnahmen im Falle eines

Sicherheitsbruches. Der lokale Dienstleister wird durch eine

Automatisierung unterstützt, mit der er seine Verfügbarkeit

über die Geschäftszeiten hinaus erhöhen kann, und wird

von den Experten von F-Secure bei der Bearbeitung selbst

komplexester Fälle unterstützt.

Viele Unternehmen finden, dass ein lokaler Managed

Service Provider die am besten geeignete Option ist,

um ihre Betriebskosten niedrig zu halten. Nach unserer

Erfahrung handelt es sich in der Regel um kleine und mittlere

Unternehmen.

Selbst wenn Ihr Unternehmen mit Ihrem eigenen SOC gut

ausgestattet ist, können Sie dennoch erwägen, Ihr eigenes

Team mit einem Managed Detection and Response Service zu

erweitern, um eine 24/7-Verfügbarkeit und eine Reaktionszeit

von weniger als 30 Minuten zu erreichen.

7

Page 8: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

2.2.2 Von DIY zu ROI

Da Fachwissen, Überwachung, Bedrohungssuche

und Reaktionsfähigkeiten von F-Secure oder unseren

Dienstanbietern abgedeckt werden, müssen Sie nach

der Entscheidung, den Dienst in Ihrem Unternehmen

zu implementieren, lediglich einfache Sensoren an den

Endpunkten Ihres Unternehmens installieren. Die Zeit von der

ersten Bereitstellung und Konfiguration bis zur tatsächlichen

Erkennung und Reaktion auf Sicherheitsverletzungen beträgt

weniger als eine Woche. Tatsächlich wurde uns von mehreren

Kunden mitgeteilt, dass wir das einfachste System haben, mit

dem sie je gearbeitet haben.

Die Alternative zur Bereitstellung eines verwalteten Dienstes

zur Erkennung und Reaktion auf Sicherheitsbrüche ist

ein langwieriges (in den meisten Fällen 3-5 Jahre) und

teures (mehrere Millionen Euro) Projekt zur Beschaffung,

Bereitstellung und Konfiguration dedizierter Systeme sowie

zur Einstellung und Schulung eines umfangreichen Personals.

Aber bei einem verwalteten Ansatz für Erkennung und

Reaktion geht es nicht nur um einen schnellen Return on

Investment. Wir haben gesehen, wie sich viele Unternehmen

die Mühe gemacht haben, ein SOC zu bauen und ein IDS und

SIEM einzurichten, nur um immer noch keine Gefahren zu

erkennen.

Denn nach unserer Erfahrung ist das Auffinden aktueller

Bedrohungen wie die Suche nach einer Nadel im Heuhaufen.

Um dies an einem aktuellen Praxisbeispiel zu

veranschaulichen, haben unsere Sensoren in einer

Kundeninstallation mit 1.000 Knoten über einen Zeitraum von

einem Monat rund 2.000.000.000 Ereignisse gesammelt. Die

Rohdatenanalyse in unseren Backend-Systemen filterte diese

Zahl auf 900.000. Unsere maschinellen Lernsysteme und

Broad Context Detection™ Mechanismen haben diese Zahl

dann auf 25 reduziert. Schließlich wurden diese 25 Ereignisse

analysiert, wobei 15 echte Bedrohungen entdeckt und vom

Kunden verifiziert wurden.

Die Sache ist die: Wenn Sie mit Ihrer eigenen IDS/SIEM-Lösung

arbeiten, ist es Ihre Organisation, die diese 900.000 Ereignisse

verarbeiten muss. Und deshalb sind wir zu unzähligen

Kundenstandorten gegangen und haben Bedrohungen in

ihrem Netzwerk gefunden, obwohl diese Kunden bereits sehr

bekannte IDS-Lösungen einsetzen. Das Durchkämmen von

noise und Fehlalarmen ist schwierig und kann selbst bei den

fleißigsten Analysten zur Ermüdung führen.

Abbildung 5: F-Secure

8

Page 9: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

9

RAPID DETECTION & RESPONSE CENTER

Im Mittelpunkt des Ansatzes von F-Secure für fortschrittlichen Schutz vor Bedrohungen steht unser Security

Operations Center (SOC), das die Grundlage für alle unsere Detektions- und Reaktionsdienste bildet. Die

SOC-Mitarbeiter haben Zugang zu unseren eigenen, erstklassigen Analyse- und Bedrohungssuchwerkzeugen,

zu all unseren Bedrohungsdaten und zu einer Fülle von Informationen und Wissen von unseren Cyber Security

Services und F-Secure Labs-Organisationen.

Die Mitarbeiter unseres Security Operations Centers sind für eine Vielzahl von Aufgaben geschult.

THREAT HUNTER

Threat Hunter sind unsere Ersthelfer. Sie überwachen den Dienst und suchen nach Bedrohungen. Wenn ein

Threat Hunter etwas Verdächtiges entdeckt, werden Beweise gesammelt, um den Vorfall zu überprüfen.

Wenn ein echter Vorfall entdeckt wird, erhält er eine Priorität. Warnmeldungen mit hoher Priorität werden

generiert, wenn ein starker Hinweis auf eine anhaltende Verletzung vorliegt, und in diesen Fällen wird der

Kunde sofort telefonisch kontaktiert. In unkritischen Fällen wird dem Kunden eine Anleitung per E-Mail

zugesandt. Threat Hunter halten den Kunden auch über laufende Untersuchungen auf dem Laufenden.

INCIDENT RESPONDER

Incident Responder werden komplexe Fälle zugewiesen, die Kunden nicht alleine bewältigen können und die

den Kunden entweder aus der Ferne oder vor Ort unterstützen können. Das Personal der Incident Responder

kann je nach Kundenbedürfnis bei einer Reihe von technischen und nicht-technischen Reaktionsmaßnahmen

helfen. Wir sind auch mit der Beweissicherung für Strafverfolgungszwecke vertraut, falls erforderlich.

FORENSIK-EXPERTEN

Forensik-Experten sind Spezialisten, die mit den schwierigsten Fällen beauftragt werden. F-Secure ist eines

der wenigen Unternehmen weltweit, das ein sehr breites Spektrum an forensischen Aufgaben bewältigen

kann, das von der internen Netzwerk-Triage bis hin zum Deep Reverse Engineering von einzigartigen

Malware-Samples reicht. Dies ermöglicht es uns, selbst die kompliziertesten nationalstaatlich verursachten

Angriffe zu bewältigen:

Page 10: CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FÜR ... · DIE IT IST NICHT GENUG. 5 2.1.2 So gehen Eindringlinge vor. Cyber-Bedrohungen sind asymmetrischer Natur. Ein Angreifer

CIOS PLAYBOOK – DIE IT IST NICHT GENUG

Wir hoffen, dass dieses Paper Ihnen einen Einblick in Angriffs-

und Abwehrmethoden geben konnte. Die wichtigsten Punkte,

die Sie aus diesem Playbook mitnehmen sollten, haben wir für

Sie zusammengefasst:

• Die meisten Unternehmen wissen einfach nicht, ob sie

angegriffen wurden oder nicht.

• Statische Abwehrsysteme sind nicht einmal annähernd

100-prozentig erfolgreich gegen Angreifer.

• Angreifer sind übervorsichtig und tarnen sich immer

besser.

• Der Aufbau von Fähigkeiten & Fachpersonal zur

Erkennung und Reaktion auf Angriffe ist für Unternehmen

fast unmöglich.

• Managed Security Services können eine schlüssige

Lösung sein, um Personal- und IT-Aufwände gering zu

halten.

Was wir in den letzten Jahren erlebt haben, spiegelt eine neue Realität wieder. Und im Moment ist der Aufbau von

Erkennungs- und Reaktionsfähigkeiten eine komplexe

Aufgabe, die viele einzelne Komponenten umfasst.

F-Secure erwartet, dass auf dem Weg dorthin Komponenten

und Technologien zusammengeführt werden, um

selbstanpassende automatisierte Systeme zu schaffen, die

in der Lage sind, aus neuen Impulsen zu lernen. Solche

Systeme führen automatisch die Netzwerkerkennung,

die Schwachstellenbewertung und das Patchen durch

und führen Aktivitäten zur Reaktion und Behebung von

Sicherheitsbrüchen durch. Wenn Eindringlinge oder TTPs

nach einem Sicherheitsbruch entdeckt werden, werden diese

Systeme automatisch neu konfiguriert, um zu verhindern, dass

dieser Mechanismus in Zukunft verwendet wird.

Im Falle eines Angriffs werden die betroffenen Systeme,

Konten und Zugriffskontrollen automatisch saniert. Wenn

Sie sich dennoch Sorgen machen, dass Sie gehackt werden,

empfehlen wir Ihnen, mit uns oder einem unserer zertifizierten

Dienstleister über die Erkennungs- und Reaktionsdienste von

F-Secure zu sprechen.

DREI GRÜNDE FÜR MANAGED SERVICES VON F-SECURE

1. F-Secure verfügt über umfassende Erkennungs- und

Reaktionsfunktionen, die sofort nach Beginn der

Bereitstellung einsatzbereit sind.

2. Sie müssen keine eigenen Cybersicherheitsexperten

einstellen, keine eigenen Systeme erstellen oder eigene

Reaktionsabläufe durchführen - wir haben das im Griff.

3. Wir kontaktieren Sie umgehend, sollte ein Vorfall in Ihrem

Netzwerk festgestellt werden oder lösen den Fall nach

komfortablen Vollautomatisierungsregeln.

Wenn Sie mehr erfahren möchten, empfehlen wir unser

Whitepaper „Rethink Response“ (englische Ausgabe).

Dieses zeigt auf rund 50 Seiten ausführlich auf, welche

Sicherheitsherausforderungen es aktuell gibt, wie Sie

diese im Detail bekämpfen. Zudem bietet das Whitepaper

Praxisbeispiele von Unternehmen des gehobenen Mittelstands

(anonymisiert). Wir haben auch zahlreiche Blog-Posts zu den

Themen Cyberkriminalität, Erkennung und Reaktion sowie

Details zu den Technologien und Prozessen, die F-Secure

verwendet. Alle diese Informationen finden Sie auf der

Website von F-Secure.

zum Whitepaper-Download!

3. ZUSAMMENFASSUNG &ENTSCHEIDUNGSHILFEN

10