CSIRT: Incident Response Team

CSIRT: Incident Response Team

Ihre Versicherung für den Zugriff auf Experten und Know-how im Notfall

Was versteht man unter CSIRT?

Das Computer Security Incident Response Team (CSIRT) ist ein Team qualifizierter Spezialisten aus verschiedenen Bereichen der Cyber Security, das sich auf die Reaktion und das Management von Cybersicherheitsvorfällen konzentriert. Das CSIRT wird somit im Notfall z. B. bei einem Hackerangriff eingesetzt; es identifiziert Sicherheitsvorfälle, gewinnt die Kontrolle zurück und stellt den Normalbetrieb wieder her. Kurz, es minimiert den möglichen Schaden.

Das Zusammenspiel des CSIRT und SOC

Ein CSIRT ist in der Lage den DFIR (Digital Forensic Incident Response) Service zu erbringen. Das CSIRT ergänzt das Basis Incident Management eines Security Operations Centers (SOC) durch detaillierte forensische Analysen und Untersuchungen. Dadurch werden die Ursachen, Auswirkungen und Techniken eines Angriffs einschliesslich der Erkennung, Eindämmung und Wiederherstellung identifiziert. Um die Vorfälle vollständig zu verstehen, Schwachstellen zu beheben und zukünftige Angriffe zu verhindern, arbeitet das Team eng mit der bestehenden Organisation zusammen. Diese Kombination der Fähigkeiten sorgt für eine umfassende und effektive Sicherheitsstrategie.
Durch den Bereitschaftsdienst (Incident Response Retainer Service) wird sichergestellt, dass die Experten rund um die Uhr verfügbar sind und schnell reagieren können - sei es remote oder vor Ort. Dies minimiert die Ausfallszeit und begrenzt Schäden. Durch regelmässige Zusammenarbeit und präventive Massnahmen verbessern ein CSIRT mit einem DFIR-Service die Sicherheitslage des Unternehmens somit erheblich.

Welchen Mehrwert bietet ein CSIRT und der DFIR-Service?

Der DFIR-Service stellt eine Erweiterung der Incident-Response-Dienstleistungen dar und konzentriert sich unmittelbar auf Vorfälle. Er komplettiert den Servicekatalog der terreActive im Sinne einer Absicherung für den Notfall mit einem Team das rund um die Uhr und auch vor Ort zur Verfügung steht.

Ein CSIRT hilft im Ernstfall bei diesen Fragen:

  • Wie reagieren Sie, wenn Ihrem Unternehmen etwas zustösst?
  • Szenarien: Krypto-Locker, Sicherheitsverletzungen, Datenlecks, Malware.
  • Was sind die Prioritäten, um die Chancen Ihres Unternehmens zu maximieren, die Krise zu überleben?
  • Wie und wann sollten Sie intern und extern kommunizieren?
  • Welche rechtlichen Aspekte müssen Sie beachten, wenn etwas passiert?
  • Sollten Sie Lösegelder aushandeln, und wenn ja, wie?
  • Sind Sie auf die Bewältigung einer unternehmensweiten Krise vorbereitet?
  • Wie sieht das Vorgehen bei weiterführenden Analysen und das Mitigieren der Incidents bzw. die Wiederherstellung des Geschäftsbetriebes aus?
  • Wird ein Vor-Ort Einsatz benötigt?

Für wen eignet es sich?

Für alle, die

  • einen Cyber-Notfall haben
  • als Ergänzung zum eigenen Security-Team im Notfall auf zusätzliche Experten zugreifen möchten und sich mit entsprechendem Know-how absichern möchten
  • die Zeit bis zum Aufbau eines eigenen SOC-Teams überbrücken möchten

Wenn Sie bisher noch kein Kunde von terreActive sind, können Sie die Dienste des CSIRT als eigenständigen Service beziehen.
Für bestehende Kunden bietet sich der Zugriff auf unser CSIRT als ideale Ergänzung zum Threat Detection Service an, für die Möglichkeit mit einem Einsatz vor Ort.

CSIRT mit dem DFIR-Service als Ergänzung zu bestehenden SOC-Services

Trotz der beruhigenden Möglichkeit, sich im Notfall auf ein CSIRT verlassen zu können, sollte man nicht auf eine SOC-Organisation mit den traditionellen Basis SOC-Services verzichten, denn diese bieten den benötigen Grundschutz vor Cyberattacken und minimieren das Risiko, das es überhaupt zu einem Vorfall kommt.
Unsere SOC-Services mit einer auf den Kunden zugeschnittenen Cyber-Defense-Plattform decken gemäss NIST die Bereiche Identify, Protect und Detect, sowie gewisse Standard Mitigationen im Bereich Response ab. Das CSIRT baut darauf auf und kann damit den DFIR-Service im Notfall viel schneller und effizienter erbringen. Damit vervollständigt das CSIRT die Respond- und Recover-Bereiche der NIST-Phasen und bietet einen möglichst vollumfänglichen Schutz und Support in allen Phasen inklusive Vor-Ort-Einsatz.

Vorbereitung

Eine gute Vorbereitung ermöglicht eine effiziente und schnelle Reaktion des CSIRT. Im Idealfall wird dafür vorgängig mit dem Kunden ein Incident Response Readiness Assessment durchgeführt und jährlich überprüft. Das Assessment umfasst folgende Punkte und dokumentiert diese in einem für Audits verwendbaren Bericht:

  • eine Bewertung Ihrer Infrastruktur und Prozesse
  • eine Reihe von Empfehlungen bezüglich Ihrer Sicherheitslage
  • Einrichtung eines Ablaufs für Notfälle (Kontakte)
  • Definition von Rollen und Verantwortlichkeiten

Ablauf und Behebung eines Incidents

Das CSIRT bietet 360° Sicherheit für Ihr Unternehmen.

Haben Sie Fragen oder wünschen Sie eine Beratung?
Name
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.