Um effizient zu sein, muss die Phase der Ausmerzung von Zwischenfällen die folgenden Aspekte berücksichtigen:
Haben Sie den Eintrittspunkt entdeckt?
Die Verhinderung einer erneuten Infektion oder eines erneuten Auftretens des gleichen Problems ist einer der wichtigsten Faktoren bei der Behebung eines Sicherheitsvorfalls.
Wenn Sie sich nicht sicher sind, was schiefgelaufen ist, führen Sie eine interne Protokollanalyse durch oder beauftragen Sie einen Dritten, der Ihnen bei der Entwicklung eines Plans hilft, um zu verhindern, dass das Problem erneut auftritt.
Wie können Sie das Problem beheben und sicherstellen, dass die Bedrohung nicht mehr vorhanden ist?
Um nur einige wenige Aspekte zu nennen, müssen Sie „Lateral Movement“, „dropped payloads“, System Prozesse und eine eventuelle Persistenz berücksichtigen. Diese anderen Aspekte von Cyberangriffen sind häufig verschleiert und daher für klassische signaturbasierte Antivirenprogramme unsichtbar.
Solide Backups und die Möglichkeit, das Datum und die Uhrzeit der Infektion zu bestimmen sowie die Möglichkeit, zu einem Zeitpunkt kurz davor zurückzukehren, sind unerlässlich. Wenn Sie keine Backups haben, ist es sogar noch wichtiger, den Ausgangspunkt der Infektion und alle Anzeichen für eine Gefährdung zu ermitteln.
Nach der Entfernung/Wiederherstellung sollten Sie die Überwachung der betroffenen Systeme verbessern und nicht vergessen, die Kennwörter aller Konten zu ändern, die kompromittiert wurden oder kompromittiert werden könnten.
Welche weiteren Schritte der Absicherung, des Patchings und/oder der Konfiguration sind erforderlich?
Sie sollten alle weiteren Sicherheitsmaßnahmen, die an den betroffenen Systemen vorgenommen werden müssen, in Betracht ziehen und dokumentieren. Patches sind zwingend erforderlich, um die Gefährdung anderer Systeme im Netzwerk zu vermeiden. Vergessen Sie nicht, über alles, was Sie tun, Buch zu führen - es wird für die folgenden Phasen des Reaktionsplans auf den Vorfall nützlich sein.
Ist es Ihnen möglich, das System auf Anzeichen eines möglichen Verstoßes zu überwachen?
Sie müssen festlegen, wie Sie die Überwachung der betroffenen Systeme für mindestens 30 Tage nach der Infektion verstärken werden, unabhängig davon, wie Sie die Infektion beseitigen. Dies ist notwendig, um sicherzustellen, dass die von Ihnen ergriffenen Maßnahmen zur Behebung des Problems erfolgreich waren und dass keine bleibenden Auswirkungen (Rootkits, Backdoors oder kompromittierte User Accounts) entdeckt werden.
Auch hier sind vordefinierte Playbooks sehr hilfreich.