Vorfallreaktionsplan

In diesem Dokument werden die Schritte erläutert, die während eines Vorfallreaktionsplans ausgeführt werden.
1) Die Person, die den Vorfall entdeckt, informiert ihren Vorgesetzten, falls weitere Eskalationen erforderlich sind. Automatische Überwachungsregeln benachrichtigen die verantwortlichen Mitarbeiter und eskalieren das Problem in 2 Stufen, zuerst werden die Vorgesetzten benachrichtigt und dann die Geschäftsleitung. Das Organigramm mit den verantwortlichen Mitarbeitern, Vorgesetzten und der Geschäftsleitung ist für alle Mitarbeiter mit vollständigen Kontaktdaten zugänglich.
2) Wenn die Person, die den Vorfall entdeckt, Mitglied der IT-Abteilung oder der betroffenen Abteilung ist, fährt mit Schritt 4 fort.
3) Nicht-IT-Mitarbeiter sammeln nach Möglichkeit Folgendes:
a) Die Art des Vorfalls
b) Welcher Prozess oder welche Ressourcen waren involviert?
f) Status des Systems und ob das Problem weiterhin besteht
g) Wie der Vorfall festgestellt wurde.
h) Als das Ereignis zum ersten Mal bemerkt wurde, das die Idee stützte, dass der Vorfall auftrat.
4) Der IT-Mitarbeiter oder der betroffene Abteilungsmitarbeiter, der den Anruf erhält (oder den Vorfall entdeckt), verweist auf seine Kontaktliste, damit sowohl das Verwaltungspersonal als auch die Mitarbeiter der Vorfallsreaktion kontaktiert werden können. Der Mitarbeiter protokolliert die empfangenen Informationen in demselben Format wie in Schritt 3. Der Mitarbeiter kann möglicherweise Folgendes hinzufügen:
a) Ist die Ausrüstung geschäftskritisch?
b) Wie schwerwiegend sind die möglichen Auswirkungen?
c) Name des Zielsystems, Betriebssystem, IP-Adresse und Standort.
d) IP-Adresse und Informationen zum Ursprung des Angriffs.
5) Die kontaktierten Mitglieder des Reaktionsteams treffen oder besprechen die Situation telefonisch und legen eine Reaktionsstrategie fest.
a) Ist der Vorfall real oder wahrgenommen?
b) Ist der Vorfall noch im Gange?
c) Welche Daten oder Objekte sind gefährdet und wie kritisch sind sie?
d) Welche Auswirkungen hat der Angriff auf das Unternehmen, wenn er erfolgreich ist? Minimal, ernst oder kritisch?
e) Welches System oder welche Systeme sind betroffen, wo befinden sie sich physisch und im Netzwerk?
f) Liegt der Vorfall im vertrauenswürdigen Netzwerk?
g) Ist die Antwort dringend?
h) Kann der Vorfall schnell eingedämmt werden?
i) Warnt die Antwort den Angreifer und kümmert es uns?
j) Was für ein Vorfall ist das? Beispiel: Virus, Wurm, Eindringen, Missbrauch, Schaden.
6) Ein Incident Ticket wird erstellt. Der Vorfall wird in die höchste zutreffende Stufe einer der folgenden Kategorien eingeteilt:
a) Kategorie zwei - Eine Bedrohung für sensible Daten
b) Kategorie drei - Eine Bedrohung für Computersysteme
c) Kategorie vier - Eine Störung der Dienste
Bei Bedarf werden Partner und Kunden, Servicebenutzer ebenfalls informiert und mit ihnen über notwendige Lösungen beraten.
7) Die Teammitglieder erstellen und befolgen eines der vordefinierten Verfahren. Das Team kann zusätzliche Verfahren erstellen, die in diesem Dokument nicht vorgesehen sind. Wenn es kein anwendbares Verfahren gibt, muss das Team dokumentieren, was getan wurde, und später ein Verfahren für den Vorfall festlegen.
8) Die Teammitglieder wenden forensische Techniken an, einschließlich der Überprüfung von Systemprotokollen, der Suche nach Lücken in Protokollen, der Überprüfung von Aufdeckungsprotokollen und der Befragung von Zeugen und des Opfers des Vorfalls, um festzustellen, wie der Vorfall verursacht wurde.
9) Die Teammitglieder empfehlen Änderungen, um zu verhindern, dass das Ereignis erneut auftritt oder andere Systeme infiziert.
10) Nach Genehmigung durch das Management werden die Änderungen umgesetzt.
11) Dokumentation - Folgendes muss dokumentiert werden:
a) Wie der Vorfall entdeckt wurde.
b) Die Kategorie des Vorfalls.
c) Wie der Vorfall aufgetreten ist, ob per E-Mail, Firewall usw.
d) Woher der Angriff kam, wie IP-Adressen und andere verwandte Informationen über den Angreifer.
e) Wie lautete der Reaktionsplan?
f) Was wurde als Antwort getan?
g) Ob die Antwort wirksam war.
12) Beweissicherung: Erstellen Sie Kopien von Protokollen, E-Mails und anderen Mitteilungen. Führen Sie Zeugenlisten. Bewahren Sie die Beweise so lange auf, bis die Strafverfolgung abgeschlossen ist.
13) Benachrichtigen Sie die zuständigen externen Stellen - benachrichtigen Sie die Polizei und andere zuständige Stellen, wenn eine Verfolgung des Eindringlings möglich ist.