#RSAC: Den Menschen in den Mittelpunkt der Reaktion auf Vorfälle stellen

  • Der Mensch sollte im Mittelpunkt der Incident-Response-Programme von Unternehmen stehen, so zwei Referenten von Proofpoint in einer Sitzung auf der RSA Conference 2022.

    Brian Reed, stellvertretender Direktor für Strategie bei Proofpoint, stellte einleitend fest, dass „wir uns oft bei der Betrachtung der Technologie verfangen, aber am Ende des Tages sind es die Menschen, die zählen.“

    Er verwies auf das NIST 800-61 Incident Response Framework, in dem festgelegt ist, was Sicherheitsteams vor, während und nach einem Vorfall tun müssen. Dieses Rahmenwerk kann dabei helfen, ein Programm zur Reaktion auf Vorfälle „auf eine menschenzentrierte Weise“ aufzubauen, so Reed.

    Jeremy Whittkop, Senior Director, Technical Services bei Proofpoint, argumentierte, dass die Aktivitäten nach einem Vorfall die wichtigste Komponente dieses Rahmens sind. Er forderte die Unternehmen auf, andere Vorfälle zu recherchieren und mit Gleichgesinnten zu sprechen, um zu verstehen, welche Vorfälle sie durchlebt haben. „Das Traurige daran ist, dass ähnliche Unternehmen und Branchen immer wieder von den gleichen Dingen betroffen sind, weil sie nicht aus den Fehlern anderer lernen“, erklärte er.

    Beide Redner wiesen auf die Bedeutung von Tabletop-Übungen hin, um die Verfahren zur Reaktion auf Vorfälle zu verbessern. „Das Wichtigste ist, dafür zu sorgen, dass die Kommunikationswege zwischen verschiedenen Gruppen, die vielleicht nicht immer gut miteinander reden, offen sind“, sagte Reed.

    Whittkop betonte, dass nicht viel Zeit bleibt, um auf einen erfolgreichen Angriff zu reagieren, und dass deshalb „jeder, der beteiligt sein muss, wissen muss, was er tut“. Dies kann manchmal bedeuten, dass schnell die Strafverfolgungsbehörden kontaktiert werden müssen, um einen böswilligen Insider-Bedrohungsakteur zu fangen.

    Um wirksam auf Insider-Bedrohungen reagieren zu können, müssen Unternehmen die verschiedenen Verhaltensweisen und Motivationen dieser Akteure verstehen. Reed rät, diese Personen in drei Kategorien einzuteilen: unvorsichtige Benutzer, gefährdete Benutzer und böswillige Benutzer. „Faszinierend an den Prozentsätzen ist, dass die unvorsichtigen Benutzer bei weitem die Mehrheit der Fälle ausmachen – die unvorsichtigen, versehentlichen und fahrlässigen Leute.“

    Einmal klassifiziert, sollten diese Insider von der Organisation auf unterschiedliche Weise behandelt werden. „Es geht darum, zu verstehen, wer die Nutzer sind, und das System so zu gestalten, dass es sich an ihren Aktivitäten orientiert.“

    Darüber hinaus stellten die Referenten fest, dass bei der Reaktion auf Vorfälle im Allgemeinen zu viel Gewicht auf den Inhalt gelegt wird. Dies ist zwar wichtig, aber man muss auch die Interaktionen der Benutzer mit diesen Daten berücksichtigen, wie z. B. den Kontext und das Verhalten. Dies kann verhindern, dass Mitarbeiter fälschlicherweise für bösartige Insider-Bedrohungsaktivitäten verantwortlich gemacht werden. Whittkop zitierte einen Kunden, der sagte: „Wenn man menschliches Verhalten verurteilt, kann man nicht falsch liegen.“

    Er fügte hinzu: „Es geht nicht nur darum, ob ich sehen kann, was passiert ist, sondern ob ich sicher genug sein kann, um Maßnahmen zu ergreifen.“ Unternehmen sollten Informationen aus verschiedenen Quellen zusammenstellen, um diese Einschätzung vornehmen zu können, so Reed.

    Ein weiterer wesentlicher Aspekt eines auf den Menschen ausgerichteten Programms zur Reaktion auf Vorfälle, der in der Sitzung hervorgehoben wurde, ist die Festlegung des „Wer, Was und Warum“ einer Organisation. Dies ermöglicht eine möglichst effektive Reaktion und den Schutz wichtiger Daten:

    Wer – sind Ihre Hochrisiko-Benutzer, z. B. solche mit geringem Sicherheitsbewusstsein oder mit vielen Privilegien?

    Was – Daten, über die Sie sich Sorgen machen

    Wie – Ihre Daten könnten gefährdet sein

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com