Reaktion auf Vorfälle: Beweisaufnahme und Wiederherstellung

Weiter geht es mit den Phasen zur korrekten Bewältigung eines Sicherheitsvorfalls im letzten Artikel „ Erste Schritte bei der Reaktion auf Vorfälle“. “ gesehen, wie wir handeln müssen, wenn wir erkennen, dass der Vorfall aufgetreten ist. In der Anfangsphase konnte der mögliche Schaden für die Organisation eingedämmt werden. In dieser zweiten Phase werden wir versuchen, mehr Licht auf den Vorfall zu werfen und zu klären, wie das Unternehmen seine normale Geschäftstätigkeit wieder aufnehmen könnte.

Identifizierung der Schwere des Angriffs

Nach der ersten Bewertung, Kommunikation und Eindämmung müssen wir feststellen, welche Systeme, Geräte und Informationen möglicherweise kompromittiert wurden. Dies wird nützlich sein, um die betroffenen Vermögenswerte zu identifizieren und die als angemessen erachteten Maßnahmen zu ergreifen, um den Schaden einzuschätzen und zu verhindern, dass er erneut auftritt. Abhängig von den betroffenen Vermögenswerten variiert die Vorgehensweise. Da jeder Fall anders ist, sollten Sie versuchen, die folgenden Empfehlungen zu befolgen:

Vorfallklasse Art des Vorfalls

Angriff Gezielter Angriff (einschließlich Social-Engineering-Angriff)
Website-Änderung
Schädlicher Code Weitverbreitete Infektion
Einzelinfektion
Denial-of-Service (DOS) Erfolgreich
Erfolglos (Versuch)
Unbefugter Zugriff, Diebstahl oder Verlust von Daten Unbefugter Zugriff
Diebstahl oder Verlust von Ausrüstung
Datenverlust
Tests und Anerkennungen Unbefugte Tests
Überwachung von Systemalarmen
Körperlicher Schaden Executive Level auf C-Ebene Unbefugte Sachbeschädigung oder Änderungen an Systemen
Missbrauch von Privilegien und unangemessene Nutzung Missbrauch von Privilegien oder Sicherheitsrichtlinien

Executive Level auf C-Ebene

Urheberrechtsverletzung oder Piraterie

Unzulässige Verwendung der Marke
Ermitteln Sie, welche Art von Angriff vorliegt, z. B. Ransomware, Diebstahl vertraulicher Informationen oder unbefugter Zugriff auf die Umjetna inteligencija u prodaji: kako je primijeniti i alati Website. Wenn wir jetzt mehr Details über die betroffenen Vermögenswerte wissen, können wir das tatsächliche Ausmaß des Angriffs erkennen und ihn anders klassifizieren als in der Anfangsphase.
Bestimmen Sie den verwendeten Ursprungspunkt oder Angriffsvektor. Dabei kann es sich um Firmen-E-Mails, ein mit Malware infiziertes USB-Flash-Laufwerk usw. handeln.

Stellen Sie fest, ob der Angriff speziell gegen das

Unternehmen gerichtet war oder ob es sich im Gegenteil um einen zufälligen Angriff handelt. Bei Vorfällen, die durch Situationen im Zusammenhang mit allgemeiner und unpersönlicher Kommunikation, durch E-Mails oder adb directory durch ungepatchte Schwachstellen auf der Unternehmenswebsite verursacht werden, handelt es sich höchstwahrscheinlich um zufällige Angriffe. Im Gegenteil: Wenn es bei dem Angriff um persönliche Informationen über das Opfer oder über die vom Unternehmen verwendete Software geht, ist es sehr wahrscheinlich, dass der Angriff gezielt erfolgt.
Basierend auf der Art des Angriffs und dem verwendeten Vektor werden die möglicherweise kompromittierten Vermögenswerte identifiziert.

Leave a comment

Your email address will not be published. Required fields are marked *