Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
CIS Control 17. Incident-Response-Management

CIS Control 17. Incident-Response-Management

Jun 23, 2022

Das Center for Internet Security (CIS) bietet Critical Security Controls (CSCs) an, die Organisationen dabei helfen, die Cybersicherheit zu verbessern. CIS CSC 17 umfasst Vorfallreaktion und -management. (In früheren Versionen der CIS controls wurde die Handhabung von Sicherheitsvorfällen in Kontrolle 19 behandelt.)

CIS CSC 17 konzentriert sich darauf, wie man einen Plan zur Reaktion auf Angriffe und andere Sicherheitsvorfälle entwickelt, einschließlich der Wichtigkeit, klare Rollen für die Verantwortlichen der verschiedenen Aufgaben zu definieren.

Ausgewählte verwandte Inhalte:

Die Empfehlungen helfen, die Reaktionsfähigkeit zu verbessern. Unternehmen können jedoch auch den Council of Registered Security Testers (CREST) Cybersecurity Incident Response Guide nutzen, um einen besseren Sicherheitsplan und Vorfallreaktion zu erstellen.

Bevor man sich mit den Schutzmaßnahmen für Incident Response und Managementkontrolle befasst, ist es wesentlich zu verstehen, was als ein Vorfall gelten könnte.

Sicherheitsereignisse und Sicherheitsvorfälle: Was ist der Unterschied?

Ein Sicherheitsereignis und ein Sicherheitsvorfall sind in der Sprache der Informationssicherheit zwei verschiedene Dinge. Sicherheitsvorfälle sind in der Regel das Ergebnis von Sicherheitsereignissen, die nicht rechtzeitig behandelt wurden. Zum Beispiel ist eine unsachgemäße Änderung der Konfiguration einer Zugriffskontrolle, wie ein GPO oder eine Sicherheitsgruppe, ein Sicherheitsereignis. Wenn ein Hacker diese Konfigurationsänderung ausnutzt, um Daten aus Informationssystemen zu stehlen, handelt es sich um einen Sicherheitsvorfall. Vorfälle treten viel seltener auf als Ereignisse und können weitaus schädlicher sein. Vereinfacht gesagt, ist ein Vorfall ein Ereignis mit schädlichen Folgen.

Für ein effektives Incident-Response-Management sollte ein spezielles Team einen detaillierten Reaktionsplan für alle bekannten Sicherheitsvorfälle erstellen, einschließlich festgelegtem Personal und Wiederherstellungsfähigkeiten. Ein solider Plan hilft dabei, Sicherheitsprobleme wie Datenintegrität sowie die Einhaltung von Datenschutzvorschriften und anderen Regelungen zu adressieren.

Hier sind die neun Sicherheitsmaßnahmen der CIS Incident Response Kontrolle:

17.1. Bestimmen Sie Personal für das Management der Incident-Bearbeitung

Diese Schutzmaßnahme schlägt vor, einen Hauptansprechpartner und einen Stellvertreter zu benennen, um den Prozess der Vorfallsbearbeitung zu verwalten, einschließlich der Koordination und Dokumentation von Reaktions- und Wiederherstellungsmaßnahmen bei Vorfällen. Diese Ernennung sollte jährlich und immer dann überprüft werden, wenn bedeutende Änderungen die Sicherheit beeinflussen.

Der Hauptansprechpartner kann ein Mitarbeiter innerhalb des Unternehmens oder ein externer Dienstleister sein. Beide Ansätze haben ihre Vor- und Nachteile. Wenn ein Mitarbeiter der Hauptverantwortliche ist, bleibt das Reaktionsmanagement innerhalb der Organisation, aber abhängig von der Größe der Organisation kann dies für einen einzelnen Mitarbeiter zu viel sein. Ein Drittanbieter, der auf Sicherheitsmanagement spezialisiert ist, könnte einen Sicherheitsvorfall möglicherweise besser bewältigen. Wenn ein Drittanbieter für die Risikobewertung und die Reaktion auf Vorfälle bestimmt wird, empfiehlt die Schutzmaßnahme, dass mindestens eine Person innerhalb der Organisation die Aufsicht führt.

17.2. Kontaktinformationen für die Meldung von Sicherheitsvorfällen einrichten und pflegen

Es ist wichtig, genaue Kontaktdaten für alle Parteien zu pflegen, die Informationen über Sicherheitsvorfälle erhalten sollen. Die Kontaktdetails dieser Parteien sollten leicht und schnell zugänglich sein. Die Liste kann nach Priorität geordnet werden.

Die Liste umfasst in der Regel diejenigen, die für das Reaktionsmanagement verantwortlich sind, und diejenigen, die die Macht haben, bedeutende Entscheidungen zu treffen. Ein Incident-Response-Team muss möglicherweise auch Strafverfolgungsbehörden, Partnerunternehmen, Cyber-Versicherungsanbieter oder die Öffentlichkeit informieren.

Es sollten Mechanismen vorhanden sein, um relevante Parteien über einen Vorfall umgehend zu kontaktieren und zu informieren. Die Automatisierung des Benachrichtigungsprozesses bei Vorfällen kann dabei helfen.

Die Kontaktdaten sollten mindestens einmal im Jahr oder häufiger aktualisiert werden, um sicherzustellen, dass die Benachrichtigungen alle relevanten Parteien erreichen.

17.3. Etablieren und Pflegen eines unternehmensweiten Prozesses für die Meldung von Vorfällen

Die vorherige Schutzmaßnahme betrifft wer über Vorfälle informiert werden sollte. Diese Schutzmaßnahme befasst sich damit, wie Vorfälle gemeldet werden sollten, einschließlich des Zeitrahmens für die Meldung, der Mechanismen zur Meldung und der zu meldenden Informationen (wie der Vorfallstyp, Zeitpunkt, Bedrohungslevel, betroffenes System oder Software, Prüfprotokolle usw.)

Das Vorhandensein eines dokumentierten Berichterstattungsablaufs erleichtert es jedem, der von einem Vorfall erfährt, die richtigen Personen rechtzeitig und wirksam zu informieren. Dieser Prozess sollte der gesamten Belegschaft zur Verfügung stehen und jährlich sowie immer dann überprüft werden, wenn bedeutende Änderungen eintreten, die die Sicherheit beeinflussen könnten.

17.4. Etablieren und Pflegen eines Incident-Response-Prozesses

Diese Schutzmaßnahme erfordert die Erstellung eines Fahrplans für die Reaktion auf Vorfälle, indem Rollen und Verantwortlichkeiten, Kommunikations- und Sicherheitspläne sowie Compliance-Anforderungen definiert werden. Ohne zugewiesene Aufgaben und klare Anweisungen könnten die Beteiligten denken, dass jemand anderes eine bestimmte Aufgabe übernimmt, wenn tatsächlich niemand dafür zuständig ist.

Der Reaktionsprozess sollte im Allgemeinen die Schritte umreißen, einschließlich der Überwachung und Identifizierung der mit dem Vorfall verbundenen Cyberbedrohung, der Definition der Ziele für die Handhabung des Vorfalls und des Handelns, um Schäden zu verhindern oder Vermögenswerte wiederherzustellen. Viele Incident-Response-Teams verwenden jump kits, die Ressourcen enthalten, die für die Untersuchung und Reaktion auf Vorfälle benötigt werden, wie Computer, Backup-Geräte, Kameras, tragbare Drucker und digitale Forensik-Software wie Protokollanalysatoren.

Normalerweise ist der erste Schritt, die Art des Vorfalls zu ermitteln, damit geeignete Reaktionsverfahren eingeleitet werden können. Mit klaren Zielen vor Augen können Teams Anstrengungen unternehmen, um die Bedrohung zu verlangsamen. Anschließend können sie die richtigen Schritte basierend auf ihrem dokumentierten Aktionsplan unternehmen, um den Vorfall zu bewältigen und etwaige Schäden rückgängig zu machen.

Dieser Prozess sollte einmal im Jahr und immer dann überprüft werden, wenn bedeutende Änderungen die Sicherheit beeinflussen können.

17.5. Schlüsselrollen und Verantwortlichkeiten zuweisen

Wie im vorherigen Schutzmechanismus dargelegt, müssen Incident Responder ihre Rolle in den Reaktionsverfahren kennen. Weisen Sie Schlüsselrollen und Verantwortlichkeiten verschiedenen Einzelpersonen oder Teams zu, sofern zutreffend. Dies kann das Sicherheitsteam (Incident Responder), Systemadministratoren, juristisches Personal, Öffentlichkeitsarbeit (PR) und Personalabteilung (HR) Teammitglieder und Analysten umfassen. Natürlich werden die Sicherheits- und IT-Teams den Löwenanteil der Verantwortlichkeiten im Falle eines Cybersicherheitsvorfalls tragen. Jedoch sollten auch andere wesentliche Mitarbeiter, wie die in den Rechts- oder Personalabteilungen, ihre Funktionen kennen.

Die Liste der Rollen und entsprechenden Verantwortlichkeiten sollte jährlich und immer dann überprüft und überarbeitet werden, wenn eine bedeutende Änderung eintritt.

17.6. Mechanismen für die Kommunikation während der Incident Response definieren

Kommunikation ist entscheidend, wenn es um die Meldung und Bewertung von Vorfällen geht. Während die anderen Sicherheitsmaßnahmen festlegen, was kommuniziert werden soll und wer die Information erhalten soll, beschreibt diese Sicherheitsmaßnahme wie kommuniziert werden soll. Es sollten vordefinierte Kommunikationskanäle wie E-Mail oder Telefon vorhanden sein.

Es sollten auch Notfallpläne definiert werden. Zum Beispiel kann ein schwerwiegender Vorfall die E-Mail-Kommunikation unmöglich machen. Daher sollte ein anderer Kommunikationsmechanismus vorhanden sein, um die notwendigen Parteien zu informieren und Updates zur Incident Response zu geben.

17.7. Regelmäßige Übungen zur Incident Response durchführen

Es ist auch wichtig, sich auf reale Vorfälle vorzubereiten, indem regelmäßig Übungen und Szenarien für das Incident Response für Schlüsselpersonal durchgeführt werden. Diese Übungen werden die verschiedenen Aspekte des Incident-Response-Plans und der Verfahren testen und prüfen, wie Kommunikationskanäle, Arbeitsabläufe und Untersuchungen. Zum Beispiel sollte man üben, auf Netzwerkereignisse zu reagieren, die den kritischen Informationsfluss in der Organisation stören. Führen Sie diese Übungen mindestens einmal im Jahr durch.

Die Teams können den NIST Technical Guide to Security Testing and Assessment zur Formulierung von Übungsbohrungen verwenden.

17.8. Durchführung von Nachbereitungen von Vorfällen

Nach jedem Vorfall müssen Organisationen sowohl den Vorfall als auch ihre Reaktion darauf untersuchen. Sie sollten das Personal benennen, das für die Durchführung dieser Analyse und die Erstellung eines Berichts nach dem Vorfall verantwortlich ist, um Folgemaßnahmen und Fehler zu identifizieren.

Der Bericht nach einem Vorfall sollte Fragen wie folgt beantworten:

  • Was ist genau passiert?
  • Was hat es verursacht?
  • Wie haben die verantwortlichen Personen reagiert?
  • Wie lange hat die Antwort gedauert?
  • War das Antwortverfahren angemessen?
  • Was hätte besser gemacht werden können?
  • War die Information im Vorfallsbericht ausreichend?
  • Was hätte anders gemacht werden können?
  • Welche Maßnahmen können solche Vorfälle in Zukunft verhindern?

17.9. Sicherheitsschwellen für Vorfälle festlegen und aufrechterhalten

Diese Schutzmaßnahme hilft Organisationen, Sicherheitsvorfälle von Sicherheitsereignissen zu unterscheiden. Indem verschiedene Vorfälle und deren Auswirkungen definiert werden, können Organisationen sicherstellen, dass ihre Ressourcen kritischen Vorfällen zugutekommen und nicht nur geringfügigen anomalen Ereignissen. Zusätzlich hilft es dabei, ein Prioritätensystem für Vorfälle zu erstellen, sodass die Einsatzkräfte wissen, wann sie reagieren und wie sie reagieren sollen.

Das Identifizieren und Klassifizieren von Vorfällen kann die Reaktionsverfahren für die Zukunft standardisieren. Die Organisation sollte ihre Schwellenwerte aktualisieren, um neue interne und externe Bedrohungen einzubeziehen, die als Vorfälle gelten.

Zusammenfassung

Die neun Sicherheitsmaßnahmen des CIS CSC 17 helfen Organisationen dabei, ein solides Vorfallreaktionsmanagement zu implementieren, einschließlich Rollenzuweisung, Kontaktmanagement, Szenariopraxis und Analyse und Dokumentation von Vorfällen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen