Cyber Defense Center aufbauen und optimieren

Der Erfolg eines CDCs ist von vielen Faktoren abhängig. Wir bringen Ihr geplantes oder bestehendes CDC in die Erfolgsspur.

Effiziente Cyber Defense Center

"Resilience is good, Detection is a must, Response the key!"

Cyber Security und insbesondere Detection und Response sind bei vielen Unternehmen immer noch Bereiche mit - sagen wir mal - Optimierungsbedarf. Die gleichzeitige Entwicklung von Detection und Response von 0 auf 100 in kürzester Zeit scheitert in der Regel an Kompetenzen, Ressourcen, Budget und zu hohen Erwartungshaltungen.

Aber wo soll der Schwerpunkt liegen? Wir entwickeln mit Ihnen gemeinsam eine Strategie für Ihr Cyber Defense Center (CDC) und setzen die richtigen Prioritäten, um Ihr CDC Schritt für Schritt erfolgreich zu machen.

Cdc Coaching

So optimieren wir Ihr CDC gemeinsam

CDC Strategie und Organisation

Alle im Unternehmen, insbesondere das Top-Management, sollten verstehen, was Ihr Cyber Defense Center leisten kann und was nicht. Als ISMS- und Management-Consultants sind wir in der Lage, die Erwartungen des Managements sowie interne und externe Anforderungen zu erheben und zu harmonisieren.

Anschließend vermitteln wir Ihnen Best Practice Ansätze und entwickeln mit Ihnen gemeinsam eine Strategie und einen Aktionsplan für Ihr CDC, ausgerichtet auf die folgenden Bereiche:

  • Leitbild (Mission Statement)
  • Aufgabenbereich und angebotene Dienstleistungen und Funktionen
  • Ausbildung des Personals
  • Technologie-Stack

< >

Security Incident Response Prozess

Im Rahmen eines Workshops prüfen wir Ihr bisheriges Security Incident Handling. Wir passen den ISO-basierten Security Incident Management Prozess (SIMP, Details weiter unten) an Ihre aktuelle Umgebung, Ihre verfügbaren Ressourcen, Tools, Ihr Knowhow und Ihre Unternehmenskultur an. Dabei berücksichtigen wir auch unterstützende Prozesse wie Content Engineering, Threat Hunting, regelmäßige Lessons Learned Sessions oder Schnittstellen zur ITIL getriebenen IT Organisation.

Und gemeinsam mit Ihnen transformieren wir diese Prozesse dann von reinen Policy-Dokumenten zu pragmatischen, hilfreichen Leitfäden für die täglichen Aufgaben innerhalb des Cyber Defence Centers.

< >

Runbooks und Automatisierung

Nach Schaffung der Organisationsstruktur und des SIMP definieren wir Kategorien für die verschiedenen Incidents, die sowohl laufend auftretende Ereignisse (beispielsweise Phishing) wie auch die schwerwiegenderen Fälle (beispielsweise kompromittierte Webserver) berücksichtigen.

Für diese Kategorien schärfen und optimieren wir Ihre Detection- und Response-Fähigkeiten:

  • Wir prüfen, ob Sie die ausgewählten Incidents überhaupt zuverlässig und flächendeckend erkennen können.
  • Wir definieren Schweregrade (Severity) und davon abhängige Priorisierung und Reaktionszeiten. Pro Incident legen wir zudem die Ermittlungsziele fest.
  • Für die Analysten im 1st Level bereiten wir Checklisten vor, zur schnellen und korrekten Kategorisierung und Priorisierung von neuen Incidents.
  • Für die Bearbeitung der jeweiligen Incidents erstellen wir detaillierte Runbooks, die alle Schritte für Sofortmaßnahmen (Containment), Analyse, Bereinigung (Remediation) und Wiederherstellung (Recovery) beschreiben.
  • Und wir unterstützen Sie bei der Automatisierung einzelner Analyseschritte in Ihrem SOAR (Security Orchestration, Automation, and Response).

 

< >

Schulungen und Simulationen

Auch wenn Ihre CDC-Belegschaft ziemlich schnell jede Menge "Training on the job" mit Phishing und Malware-Samples erhalten wird, kann eine fundierte Schulung dadurch nicht ersetzt werden. Die Teammitglieder sollten Ihr Know-how individuell erweitern und so immer weitere Bereiche abdecken können.

Darüber hinaus sollte Ihr Cyber Defense Center - wie jede Feuerwehr - die Behandlung großer Incidents trainieren.

  • Red vs. Blue oder Purple Teaming stellen das Cyber Defense Center in den Mittelpunkt und trainieren mit gezielten Simulationen die CDC-Prozesse und das Incident Handling.
  • Krisenstabsübungen trainieren die gemeinsame Reaktion des Krisenstabs, der PR-Abteilung und einzelner Spezialisten wie dem CDC-Team.

Aus unserer Sicht sind beide Trainingsarten für funktionierende Incident-Prozesse von großer Bedeutung.

< >

Kontinuierliche Verbesserung

Forensik-Knowhow, Prozesse und automatisierte Runbooks führen noch nicht automatisch zu einem "World Class" Cyber Defense Center. Dazu braucht es weitere Faktoren, Ressourcen und laufende Weiterentwicklung. Dazu zählen ein klares Mandat, regelmäßiges Management-Reporting, saubere Kommunikation der internen Dienste, Optimierung der Runbooks und die Evaluierung und Implementierung neuer Technologien, beispielsweise aktueller Endpoint Detection und Response Tools (EDR).

Wir prüfen in einer systematischen Bewertung regelmäßig den Reifegrad Ihres CDC in Bezug auf organisatorische Parameter, Prozesse, verfügbare Analystenressourcen und Tools. Dabei orientieren wir uns am SIM3-Modell der Open CSIRT Foundation und dem Mitre Att&ck Framework.

< >

Wollen Sie ein Cyber Defense Center aufbauen oder optimieren?

Lassen Sie uns in einem Webmeeting über Ihre aktuelle Situation austauschen. Wir stellen Ihnen bei Bedarf auch gerne Referenzen zu "World-Class" CDCs in unserem Kundenkreis her.
Ja, lassen Sie uns sprechen

Der Security Incident Management Prozess (SIMP)

Plan & Prepare

Im Idealfall sind Sie auf den Ernstfall vorbereitet, kennen die wesentlichen Bedrohungen für Ihre Assets und Angriffsszenarien und haben entsprechende Notfallpläne, mit ausreichend Ressourcen und Kompetenzen, sowie unterstützende Tools.

Wir unterstützen Sie bei Bedarf bei den organisationsweiten Vorbereitungen, angefangen von Risikomanagement, Business Continuity Management und Krisenstabsübungen. Auch Ihr CDC, SOC oder CERT unterstützen wir gerne wie beschrieben durch Coaching.

Plan & Prepare

Gute Vorbereitung ist die halbe Miete
< >

Detection & Reporting

Wenn das Haus erst mal in Flammen steht, ist der Totalschaden nicht mehr abzuwenden. Eine schnelle Erkennung ist also extrem wichtig, auch bei Cyber Security Incidents. Angreifer können sich im Schnitt immer noch Monate in fremden IT-Systemen aufhalten, bevor sie entdeckt werden. Viel zu lange!

Sie benötigen automatisierte Systeme (SIEM, EDR, etc.) und sensibilisierte Mitarbeiter, um Angriffe möglichst schnell erkennen und behandeln zu können. Natürlich ist nicht jede Security-Meldung auch gleich ein Incident. Die Kunst es, die Flut an Security-Meldungen so zu filtern, dass eine bewältigbare Anzahl übrigbleibt, ohne aber zu viel zu filtern und damit auf einem Auge blind zu werden. Die Erkennung trainieren wir mit Ihrem CDC in Adversary Simulations.

Detection & Reporting

Erkennung ist ein "Muss"
< >

Assessment & Decision

Wenn Sie einen echten Vorfall entdeckt haben, sollten Sie als erstes den Schweregrad bestimmen, denn je nach Ausmaß, Komplexität und Dringlichkeit können oder müssen verschieden Abteilungen hinzugezogen werden.

Wir arbeiten hier mit einem praxiserprobtem Schnellfragebogen, der uns einen ersten Überblick gibt. In ergänzenden Telefonaten sammeln wir weitere Details und relevante Informationen und leiten - je nach Situation - bereits erste Eindämmungs- und Analysemaßnahmen ein.

Assessment & Decision

Den Schweregrad feststellen und entsprechende Maßnahmen ergreifen
< >

Response

Die eigentliche Response ist in drei parallele Phasen unterteilt:

  • Containment (Eindämmung / Sofortmaßnahmen): Je nach Vorfall empfehlen wir Sofortmaßnahmen, um die weiteren Schaden zu begrenzen, beispielsweise die Isolierung von Systemen oder Blockieren von Malware-Kommunikation.
  • Analysis: in der Analyse machen wir uns mit unseren IT-Forensikern und Incident Response Scannern ein Bild von der Lage und den Ursachen. Diese Erkenntnisse legen die Grundlage für die Remediation.
  • Remediation (Abhilfe): Auf der Grundlage der Analyseergebnisse werden Abhilfemaßnahmen definiert und umgesetzt: kompromittierte Systeme bereinigen oder neu installieren, die Integrität wiederherstellen und verbesserte Schutzmaßnahmen implementieren. Die Remediation-Phase wird parallel zu den anderen Response-Phasen eingeleitet.

Mehr Details zur Response-Phase finden Sie unter Incident Response.

Response

Die richtige Reaktion auf den Notfall geben
< >

Lessons learned

Nach dem Incident ist vor dem nächsten Incident. Kontinuierliche Verbesserungsprozesse (KVP) vervollständigen den Security Incident Management Prozess (SIMP). Neben klassischen "Lessons learned" Meetings (was ist im Incident Response gut, was nicht so gut gelaufen, was können wir nächstes Mal besser machen) werden auch typische Key Performance Indicators (KPIs) definiert und regelmäßig überprüft, beispielsweise die Anzahl der erkannten Vorfälle, die durchschnittliche Zeit bis zur Erkennung oder bis mit der Response begonnen wird.

Lessons learned

Ständig besser werden
< >