Mithilfe der in der Vorbereitung festgelegten Instrumente (Log Management, SIEM, SOAR, EDR, NDR, …) und Verfahren (Forensik) bzw. Services (SOC) arbeiten die Teams daran, verdächtige Aktivitäten zu erkennen und zu identifizieren. Wenn ein Vorfall entdeckt wird, müssen die Teammitglieder mittels Forensik die Art des Angriffs, seine Quelle und die Ziele des Angreifers ermitteln.
Während der Identifizierung müssen alle gesammelten Beweise geschützt und für eine spätere eingehende Analyse aufbewahrt werden. Die Incident Response Mitglieder sollten alle unternommenen Schritte und gefundenen Beweise mit allen Details dokumentieren. Dies kann Ihnen helfen, die Strafverfolgung effektiver zu gestalten, wenn ein Angreifer identifiziert wird.
In dieser Phase, nachdem ein Vorfall bestätigt wurde, werden in der Regel auch Kommunikationspläne initiiert. Diese Pläne informieren Sicherheitsmitarbeiter, Interessengruppen, Behörden, Rechtsbeistände und schließlich die Benutzer über den Vorfall und die zu ergreifenden Maßnahmen.
Eine wichtige Rolle bei der Beweissicherung spielt der Incident Response Koordinator. Er ist die rechte Hand des Notfallmanagers und unterstützt organisatorisch mit Handlungsempfehlungen laut Incident Response Plan.
Ist ein Unternehmen Opfer eines Cyberangriffs geworden, sind wir mit unserem SOC zur Stelle. Wir analysieren den Vorfall, ermitteln den Schaden und sichern Daten und somit Beweise, die auf das Hackerteam schließen lassen. Dazu bedienen wir uns auch der Mitre Att@ck Matrix.
Wir gehen dem Vorfall analytisch und systematisch auf den Grund.
Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist die deutsche IT-Sicherheitsbehörde und unterscheidet 8 forensische Datenarten:
Bei der Datensicherung gehen wir in drei Phasen vor:
Folgende Fragen werden damit beantwortet: