Incident Management Services

Transkript

1 DATENBLATT Incident Management Services Optimal ergänzt mit Informationen zu Cyberbedrohungen Erst bei einem tatsächlichen Sicherheitsverstoß zu realisieren, dass Sie eigentlich überhaupt nicht auf den Ernstfall vorbereitet sind, ist das denkbar ungünstigste Szenario. Sicherheitsvorfälle sind Krisensituationen, die nicht nur für die IT-Abteilung eine große Belastung darstellen, sondern für alle Mitarbeiter, die angemessene Gegenmaßnahmen identifizieren und einleiten sollen. Ohne einen bewährten Reaktionsplan oder eine effektive Strategie müssen gestresste Mitarbeiter wichtige Entscheidungen ohne klare Informationen zu Reihenfolge und Priorität treffen. Allzu leicht sind diese Entscheidungen dann die falschen der Vorfall zieht sich hin und die Auswirkungen werden noch schlimmer. Incident Response auf Basis erstklassiger Informationen zu Cyberbedrohungen Bedrohungsinformationen bilden die Grundlage für alle Aspekte unseres Serviceportfolios. Wir haben einen globalen Überblick über das gesamte Bedrohungsspektrum. Die Daten, die das SecureWorks Counter Threat Unit (CTU) Forschungsteam formuliert, geben Ihnen mehr Kontext zu den Bedrohungen, denen sich Ihre Organisation gegenübersieht. Über offenes Feedback werden Informationen zu Bedrohungsakteuren und ihren Praktiken aktiv unter unseren Sicherheitsforschern und Incident Response Sicherheitsberatern weitergegeben. Malware-Analysen und Reverse-Engineering liefern weitere Daten und zusätzlichen Kontext zu der spezifischen Bedrohung. Im Ergebnis profitieren unsere Kunden von präziserem und effektiverem Reaktions- Support bei Sicherheitsvorfällen. sorgen wir dafür, dass Sie sich selbst auf die komplexesten und weitreichendsten Sicherheitsvorfälle effektiv vorbereiten, auf sie reagieren und sich von ihnen erholen können. SecureWorks unterstützt Sie mit durchgängigem Support vor, während und nach einem Sicherheitsvorfall. Incident Management Services Incident Management Retainer Services Proaktive Services VOR EINER SICHERHEITSVERLETZUNG Reaktive Services NACH EINER SICHERHEITSVERLETZUNG So funktioniert es Incident Management Advisory Das SecureWorks Incident Response Team gewährleistet die schnelle Eindämmung und Beseitigung von Incident Management Risk Assessment Compromise Assessment Incident Coordination Digital Forensic Analysis Bedrohungen und minimiert so sowohl die Dauer von Sicherheitsverstößen als auch ihre Auswirkungen. Response Plan Review / Development Programme Development Incident Response Remote / Onsite PCI Forensic Investigations (PFI) Mit unseren erstklassigen Informationen zu Cyberbedrohungen und unserer globalen Reichweite Response Training / Exercises Briefings and Workshops Incident Surveillance Malware Analysis and Reverse Engineering Erstklassige Informationen Das SecureWorks Incident Response Team nutzt unsere erstklassigen Informationen zu Bedrohungsakteuren und ihren Praktiken bei jedem Vorfall. Diese Daten liefern wertvollen Kontext zu der Bedrohung: zu ihrem Zweck, den Personen, die sie angestoßen haben, und zu ihrer effizienten Eliminierung aus Ihrer Umgebung.

2 Incident Management Retainer Sie möchten sicherstellen, dass Sie bei einem Sicherheitsverstoß die richtigen Ressourcen an der Hand haben? Im Rahmen unserer Incident Management Retainer Services garantieren wir Ihnen die schnelle Verfügbarkeit unseres hoch qualifizierten Incident Response Teams. Es hilft Ihnen, den Verstoß einzudämmen, den Schaden zu minimieren und sich von dem Vorfall zu erholen. Der Service bietet sofortige Unterstützung über unser Counter Threat Operation Centers (CTOC) und weltweit unübertroffene Vor-Ort- Unterstützung: Eintreffen am Kundenstandort in weniger als 36 Stunden in den USA und Großbritannien Mitarbeiterentsendung innerhalb von 48 Stunden für internationale Kunden Der Retainer Service ist nicht nur eine Versicherung, die Ihnen Zugang zu Top-Know-how garantiert, wenn Sie es am dringendsten benötigen er gibt Ihnen auch die Möglichkeit, das Kompetenzspektrum Ihres eigenen Incident Response-Teams zu erweitern. Nicht genutzte Retainer Stunden können für proaktive Services genutzt werden. Sobald sich das Ablaufdatum Ihres Vertrags nähert, kontaktieren wir Sie, damit Sie die verbleibenden Stunden sinnvoll einsetzen können. Proaktive Services Ganz gleich, ob Sie bereits einen Reaktionsplan haben, der geprüft und getestet werden muss, oder erst einen entwickeln möchten wir können Ihnen helfen. Unsere erfahrenen Berater führen eine detaillierte Bewertung Ihrer gesamten Incident Response-Strategie durch, inklusive Dokumentation, Personal und Verfahren. Sie erhalten Empfehlungen zur Verbesserung des Plans, damit Sie optimal auf alle Arten von Cyberbedrohungen vorbereitet sind. Incident Management Risk Assessment Im Rahmen des Incident Management Risk Assessment Service überprüfen wir Ihre vorhandene Incident Response-Strategie inklusive Dokumentation, Personal und Verfahren. Anschließend identifizieren wir etwaige Lücken in Ihren Verfahren und machen Vorschläge, um die Effektivität Ihres Plans im Ernstfall zu verbessern. Response Plan Review and Developments Die Sicherheitsberater des SecureWorks Incident Response Teams unterstützen Sie bei der Entwicklung eines effizienten Reaktionsplans, auch als Computer Security Incident Response Plan (CSIRP) bezeichnet. Ein solcher Plan basiert auf Best Practices im Bereich IT-Sicherheit und wird individuell auf Ihre Organisation zugeschnitten. Er dokumentiert detailliert alle nötigen Schritte, sodass Sie und Ihr Team bei einem Sicherheitsverstoß schnell und effektiv reagieren und den Schaden für Ihre Organisation minimieren können. Zusätzlich enthält Ihr Plan oder CSIRP die neuesten Informationen zu den für Ihre Organisation relevantesten Bedrohungen und Szenarien, die wir spezifisch für Sie zusammenstellen. Response Training and Exercises Die Entwicklung eines soliden Plans ist ein essenzieller Schritt. Er muss jedoch auch getestet werden, um festzustellen, wie effizient Sie bei einer tatsächlichen Sicherheitsverletzung reagieren können. SecureWorks kann die Ausarbeitung und Bewertung von Incident Response-Testverfahren vereinfachen. Wir bieten verschiedene Testformate an und liefern Ihnen Analysen und Ergebnisse, die Sie in zukünftige Übungen einfließen lassen können. Unsere erfahrenen Berater bestimmen gemeinsam mit Ihnen die beste Schulungsstrategie für einen Test Ihres Reaktionsplans. Tabletop Exercises Ziel einer Tabletop-Übung ist die Validierung von Rollen, Zuständigkeiten, Koordination und Entscheidungsfindung. Unsere Incident Response Sicherheitsexperten werden plausible simulierte Übungen ausarbeiten und durchführen, um das Verhalten Ihres Teams zu testen. Anschließend geben sie detailliertes Feedback und Empfehlungen für Verbesserungen. Functional Training Im Rahmen funktionsorientierter Übungen können Ihre Mitarbeiter in einer Simulation testen, ob sie im Ernstfall in der Lage sind, ihre jeweiligen Aufgaben effektiv durchzuführen. Die Übungen dienen dazu, die Rollen und Zuständigkeiten von spezifischen Teammitgliedern und Verfahren hinsichtlich eines oder mehrerer funktioneller Aspekte Ihres Plans praktisch einzustudieren.

3 First Responder Training Wie Ihre Mitarbeiter im Ernstfall reagieren und was Sie tun, ist nicht nur für die Eindämmung einer Sicherheitsverletzung entscheidend, sondern auch für die Erfassung wichtiger Daten. Wir bieten First Responder Schulungen an, damit die Befehlskette bei einem Vorfall korrekt funktioniert und Ihre Mitarbeiter genau wissen, wie sie den vorhandenen Plan umsetzen müssen. Compromise Assessment Im Rahmen des Compromise Assessment Service evaluieren wir die Fähigkeit Ihrer Organisation, gezielte oder technisch raffinierte Bedrohungen zu erkennen, abzuwehren und auf sie zu reagieren. Der Service hilft Ihnen, zu beurteilen, wie groß das Risiko durch gezielte Bedrohungen wie Advanced Persistent Threats (APT) für Ihre Organisation ist, und dieses Risiko effektiv zu reduzieren. Program Development Der SecureWorks Program Development Service hilft Ihnen, herauszufinden, wie gut Ihre Organisation im Ernstfall einem Angriff standhalten kann. Zusätzlich identifizieren wir gemeinsam mit Ihnen Strategien, um Attacken abzuschwächen. Die SecureWorks Berater analysieren Ihre Prozessdiagramme, Richtlinien, Verfahren und Rahmenvorgaben sowie andere relevante Informationen, um sich einen Überblick über Ihre aktuellen Praktiken und die für Sie geltenden Vorgaben zu verschaffen und Ihre Reaktionsfähigkeit im Ernstfall zu evaluieren. Ausgehend von dieser Bewertung helfen wir Ihnen bei der Implementierung von Richtlinien sowie bei der Definition von Reaktions-Workflows, Rollen und Zuständigkeiten. Briefings and Workshops Die SecureWorks Briefings and Workshops Services unterstützen Sie dabei, praxistaugliche Lehren aus vergangenen Vorfällen zu ziehen und den allgemeinen Status Ihres Incident Response-Programms zu bewerten. Wir können Sie auch effektiv zu allen Themen beraten, die in den Bereich Incident Management and Response fallen. Dabei bestimmen wir in Zusammenarbeit mit Ihnen die geeigneten Inhalte für die entsprechenden Sitzungen. Reaktive Services Im Fall einer Sicherheitsverletzung können gut vorbereitete Organisationen Betriebsunterbrechungen, finanzielle Auswirkungen, rechtliche Konsequenzen, Datenverluste und Wiederherstellungszeiten minimieren. Unsere Investigativexperten sind schnell verfügbar. Per Remote- Verbindung können sie sofort mit der Risikobewertung beginnen und den besten Ansatz zur Eindämmung des Ereignisses bestimmen. Um die komplette Eliminierung der Bedrohung zu gewährleisten, können Sie verschiedene Services miteinander kombinieren. Nach der Eindämmung und Minimierung der Auswirkungen übermitteln wir unsere wichtigsten Erkenntnisse an Ihre Entscheidungsträger, inklusive Lösungsempfehlungen für Konflikte mit rechtlichen Vorgaben oder sonstigen Vorschriften. Incident Coordination Zusätzlich zum Support bei der Vorfallsverwaltung bietet SecureWorks Beratungsservices zur Analyse und Koordination von Vorfällen. Bei der Vorfallreaktion arbeiten wir oft mit den Führungsteams, der Rechtsabteilung, dem PR-Team und anderen wichtigen Stakeholdern unserer Kunden zusammen. Unsere Aufgabe ist es, diesen Schlüsselpersonen unabhängige Informationen und Einschätzungen an die Hand zu geben, basierend auf den Hinweisen, die wir während der Lösung des Vorfalls gesammelt haben. So helfen wir Ihnen, die Kosten und Auswirkungen eines Cyberangriffs effektiv einzudämmen. Incident Response Remote/Onsite Unsere Incident Management and Digital Forensics Experten sorgen für die schnelle Eindämmung und Beseitigung von Bedrohungen, wodurch Dauer und Auswirkungen einer Sicherheitsverletzung minimiert werden. Wir stehen Ihnen bei der Bewältigung des Vorfalls zur Seite sowohl vor Ort als auch per Remote-Support. Darüber hinaus unterstützen wir Sie falls nötig bei der Erfassung von forensischen Informationen für Analysen oder etwaige Rechtsstreitigkeiten.

4 Incident Surveillance Um zusätzliche Informationen zur Angriffsquelle und den verwendeten Methoden zu erhalten, versucht SecureWorks folgendes: Identifizierung spezifischer Verweise auf die durch die aktuelle Attacke in Mitleidenschaft gezogenen Systeme/Bestände des Kunden in Untergrundforen etc. Identifizierung spezifischer Verweise auf die Systeme/Bestände des Kunden in Angriffs-Tools oder Malware- Kits Analyse historischer proprietärer und öffentlicher Daten zu gezielten Angriffe auf die Systeme/ Bestände des Kunden Überwachung und Analyse von Kommunikationen zur aktuellen Attacke in Untergrundforen etc. Identifizierung spezifischer Verweise auf die Systeme/Bestände des Kunden in Angriffs-Tools oder Malware- Kits Digital Forensic Analysis Mithilfe von verschiedenen forensischen Tools erfasst und analysiert SecureWorks Daten auf den verschiedensten Medien und in den verschiedensten Formaten. Unterstützt werden unter anderem: Festplatten* Arbeitsspeicher (RAM) CD/DVD USB-Sticks Mobilgeräte Skimmer für Kredit-/Debitkarten Andere für die Analyse Formate * Services für die Wiederherstellung von Festplatten sind unter Umständen nicht weltweit verfügbar. In einigen Szenarien beispielsweise bei einigen Insider- Angriffen ist eine forensische Re mote-untersuchung eventuell ausreichend für Sie. PCI Forensic Investigations Als zugelassenes PCI Forensic Investigator (PFI) Unternehmen kann Ihnen SecureWorks bei der Reaktion auf Kreditkarteninformationen betreffende Sicherheitsvorfälle jeden Ausmaßes behilflich sein, von den kleinsten bis hin zu den komplexesten und weitreichendsten Verstößen. Wir helfen Ihnen ebenfalls, den Betrieb nach einem solchen Verstoß wieder aufzunehmen. Unsere Experten nutzen erstklassige Informationen zu Cyberbedrohungen, um die Sicherheitsverletzung zu untersuchen, die wahrscheinliche Ursache zu identifizieren, alle gemäß den Vorgaben des PCI Security Standards Council zu informierenden Stellen über den Fortschritt auf dem Laufenden zu halten und die Bedrohung so schnell wie möglich nicht nur einzudämmen, sondern aus Ihrer Umgebung zu entfernen. Malware Analysis and Reverse Engineering Wurde Ihre Umgebung von mobilem Schadcode (Trojaner, Würmer, Viren usw.) unbekannten Typs infiltriert, beispielsweise Zero-Day-Exploits, kann Secure Works versuchen, diesen Code mittels Reverse-Engineering zu analysieren, um sein Verhalten besser zu verstehen und das Risiko für Ihr Geschäft und Ihre Daten einzuschätzen. Sollte das Ausmaß des Vorfalls es verlangen, wird dieser Service mit unseren Vorfallreaktionsservices kombiniert. Die Codeanalyse kann auch remote als Standalone- Service durchgeführt werden. Wenn eine Codeanalyse erforderlich ist, kann SecureWorks ein kurzes technisches Dokument bereitstellen, das den Schadcode genauer beschreibt. Cloud Services Heute integrieren Organisationen Cloud Computing immer stärker in ihre IT-Infrastruktur. Das SecureWorks Incident Response and Digital Forensics Team unterstützt Kunden bei der Planung im Vorfeld von Verstößen ebenso wie bei der Eliminierung von Bedrohungen nach tatsächlichen Sicherheitsverletzungen. Dabei können wir Incident Response-Bewertungen und -Analysen für öffentliche, private und hybride Cloud Computing- Architekturen anbieten. Berichterstellungsmethoden Natürlich ist auch nach der Identifizierung eines Sicherheitsverstoßes noch viel zu tun. Sie müssen in Alarmbereitschaft bleiben, um die Bedrohung wirklich vollständig zu eliminieren. Erst wenn das geschafft ist, können Sie mit der Dokumentation des Vorfalls beginnen. Diese Phase kann spezifisches rechtliches Prozedere für die sachgemäße Handhabung von Beweismaterial im Hinblick auf etwaige zukünftige Gerichtsverfahren umfassen. Werden Beweise nicht korrekt erfasst und behandelt, bedeutet das für die Strafverfolgungsbehörden eventuell erhebliche Nachteile bei der Festsetzung und Verfolgung der Verantwortlichen für den Angriff.

5 Post-Mortem Analysis Wenn Sie es wünschen, können vierteljährliche Konferenzanrufe organisiert werden, um noch einmal einige oder alle aufgetretenen Vorfälle und die aus ihnen gezogenen Lehren durchzusprechen oder den Gesamtstatus Ihres Incident Response-Programms zu evaluieren. Während eines solchen Anrufes besprechen wir Prozess- und Funktionsverbesserungen, um sicherzustellen, dass Sie mit Vorfällen so effizient und effektiv wie möglich umgehen. Wiederaufnahme des normalen Geschäftsbetriebs Sobald die unmittelbaren Gefahren eines Vorfalls eingedämmt wurden, kann der Fokus auf die vollständige Eliminierung der Bedrohung und die Wiederherstellung der beeinträchtigten Systeme gelegt werden. Eine sachgemäße und sorgfältige Beseitigung ist essenziell. IT-Mitarbeiter glauben oft, ein Vorfall habe sich erledigt, sehen sich aber nur wenige Tage später mit demselben Szenario konfrontiert, weil die Bedrohung nicht vollständig getilgt wurde. Dank der Informationen der Counter Threat Unit und ihrer eigenen Erfahrungen aus Hunderten Einsätzen pro Jahr wissen die Sicherheitsberater des SecureWorks Incident Response Teams, wo sie in Ihrem Netzwerk nach Bedrohungen suchen müssen. Unsere Experten helfen Ihnen, die Bedrohung vollständig aus Ihrer Umgebung zu entfernen und so schnell wie möglich wieder den Normalbetrieb aufzunehmen. Erfüllung von Compliance-Auflagen Unsere Incident Response Experten wissen, dass Sie bei einer Sicherheitsverletzung auch Compliance-Vorgaben einhalten müssen. Wir unterstützen Ihre Teams für Compliance, Datenschutz und Rechtsangelegenheiten bei der Bewertung der Auswirkungen der Sicherheitsverletzung, damit fundierte Entscheidungen im Hinblick auf die Erfüllung Ihrer Verpflichtungen getroffen werden können. Für weitere Informationen erreichen Sie unsere SecureWorks Spezialisten unter Verfügbarkeit je nach Land unterschiedlich SecureWorks, Inc. Alle Rechte vorbehalten. C16