4. Aktivierung eines externen Kommunikationsplans
Nun ist es an der Zeit, sich mit wichtigen Partnern und Behörden in Verbindung zu setzen. Unternehmen können externe technische Partner zur Unterstützung heranziehen, einschließlich ihres Speicheranbieters und anderer IT-Anbieter. Wenn Geschäftsführer nach einem Angriff mit den Medien, Aufsichtsbehörden und der Rechtsabteilung zusammenarbeiten, ist es hilfreich, eine aktualisierte Liste mit Kontakten in den lokalen Büros der Strafverfolgungsbehörden zu führen. Der ebenfalls kontaktierte Cyberversicherungsanbieter kann die Deckungen und Einschränkungen erläutern. Ebenso ist es ratsam, sich gegebenenfalls mit den örtlichen Behörden in Verbindung zu setzen und auf etwaige Compliance-Verpflichtungen und mögliche Strafen hinzuweisen.
Unternehmen sollten auch ihren Plan zur Benachrichtigung der betroffenen Kunden vorstellen. Möglicherweise haben sie eine Mitteilung verfasst, um die Informationen zu teilen, zu deren Weitergabe sie verpflichtet sind, und Empfehlungen für die Betroffenen zu formulieren und klar darzulegen, was als nächster Schritt folgt.
5. Start des forensischen Prozesses
Monsegur sagt: „Vorausgesetzt, Sie verfügen über alle geeigneten Netzwerküberwachungsinstrument
Nun gilt es die betroffenen Geräte für die forensische Überprüfung zu priorisieren. Das Sicherheitsteam sollte feststellen, welche Art von Angriff gestartet wurde und in welchem Umfang die Umgebung davon betroffen ist. Je eher dies geschieht, desto eher kann das Team Patches anwenden und auch ein sauberes Backup wiederherstellen. Danach können Unternehmen den Wiederherstellungsprozess in einer gestaffelten Umgebung beginnen.
Tipp: „Bereiten Sie Ihre Umgebung auf spätere Untersuchungen mit Ihren Anbietern oder den Strafverfolgungsbehörden vor“, rät Monsegur. Wenn ein Unternehmen mit der Durchführung einer Untersuchung beauftragt wurde, ist sicherzustellen, dass es eine Übergabe zwischen diesem Unternehmen und den Strafverfolgungsbehörden gibt.
6. Einsatz der gestaffelten Wiederherstellungsumgebung
Nun ist es an der Zeit, mit der eigentlichen physischen Wiederherstellung zu beginnen. Im Rahmen des Wiederherstellungsplans für den Katastrophenfall sollten Unternehmen eine Wiederherstellungsumgebung einrichten, die bereits getestet wurde und einsatzbereit ist, damit sie nach einem Ereignis sofort wieder online gehen können. Dazu gehört auch eine Sichtverbindung zu neuer Hardware und Systemen, da es keine Garantie dafür gibt, dass sie ihre vorhandene Ausrüstung oder Hardware weiterverwenden können. Diese könnte von Behörden oder Ermittlern als Beweismittel beschlagnahmt oder muss unter Quarantäne gestellt werden.
Mit SafeMode-Snapshots können Unternehmen außerdem sofort mit der Wiederherstellung von unveränderlichen Backups ihrer Daten beginnen. Während eines Ereignisses ist diese Funktion besonders wichtig, da Angreifer sie nicht daran hindern können, schnell wieder online zu gehen.
Auf die Wiederherstellung vorbereitet sein
Wenn Unternehmen wissen, mit welchen Herausforderungen sie zuerst konfrontiert werden und welche Sofortmaßnahmen sie in der Frühphase eines Angriffs ergreifen können, können sie Verluste, Kosten und Risiken minimieren. Eine entsprechende Plattform für Storage und Data Management kann helfen, in der „Während“-Phase schnell zu handeln. Dazu trägt beispielsweise eine ständige Verschlüsselung der Daten im Ruhezustand bei, ohne Leistungseinbußen oder Verwaltungsaufwand. Da sich gesicherte Daten nicht ändern oder löschen lassen, ist deren Wiederherstellbarkeit gewährleistet, worauf es letztlich ankommt.
www.purestorage.com