Cyber Defense Center aufbauen und optimieren

Im Rahmen eines Workshops prüfen wir Ihr bisheriges Security Incident Handling. Wir passen den ISO-basierten Security Incident Management Prozess (SIMP, Details weiter unten) an Ihre aktuelle Umgebung, Ihre verfügbaren Ressourcen, Tools, Ihr Knowhow und Ihre Unternehmenskultur an. Dabei berücksichtigen wir auch unterstützende Prozesse wie Content Engineering, Threat Hunting, regelmäßige Lessons Learned Sessions oder Schnittstellen zur ITIL getriebenen IT Organisation.

Und gemeinsam mit Ihnen transformieren wir diese Prozesse dann von reinen Policy-Dokumenten zu pragmatischen, hilfreichen Leitfäden für die täglichen Aufgaben innerhalb des Cyber Defence Centers.

Nach Schaffung der Organisationsstruktur und des SIMP definieren wir Kategorien für die verschiedenen Incidents, die sowohl laufend auftretende Ereignisse (beispielsweise Phishing) wie auch die schwerwiegenderen Fälle (beispielsweise kompromittierte Webserver) berücksichtigen.

Für diese Kategorien schärfen und optimieren wir Ihre Detection- und Response-Fähigkeiten:

• Wir prüfen, ob Sie die ausgewählten Incidents überhaupt zuverlässig und flächendeckend erkennen können.
• Wir definieren Schweregrade (Severity) und davon abhängige Priorisierung und Reaktionszeiten. Pro Incident legen wir zudem die Ermittlungsziele fest.
• Für die Analysten im 1st Level bereiten wir Checklisten vor, zur schnellen und korrekten Kategorisierung und Priorisierung von neuen Incidents.
• Für die Bearbeitung der jeweiligen Incidents erstellen wir detaillierte Runbooks, die alle Schritte für Sofortmaßnahmen (Containment), Analyse, Bereinigung (Remediation) und Wiederherstellung (Recovery) beschreiben.
• Und wir unterstützen Sie bei der Automatisierung einzelner Analyseschritte in Ihrem SOAR (Security Orchestration, Automation, and Response).

Auch wenn Ihre CDC-Belegschaft ziemlich schnell jede Menge "Training on the job" mit Phishing und Malware-Samples erhalten wird, kann eine fundierte Schulung dadurch nicht ersetzt werden. Die Teammitglieder sollten Ihr Know-how individuell erweitern und so immer weitere Bereiche abdecken können.

Darüber hinaus sollte Ihr Cyber Defense Center - wie jede Feuerwehr - die Behandlung großer Incidents trainieren.

• Red vs. Blue oder Purple Teaming stellen das Cyber Defense Center in den Mittelpunkt und trainieren mit gezielten Simulationen die CDC-Prozesse und das Incident Handling.
• Krisenstabsübungen trainieren die gemeinsame Reaktion des Krisenstabs, der PR-Abteilung und einzelner Spezialisten wie dem CDC-Team.

Aus unserer Sicht sind beide Trainingsarten für funktionierende Incident-Prozesse von großer Bedeutung.

Forensik-Knowhow, Prozesse und automatisierte Runbooks führen noch nicht automatisch zu einem "World Class" Cyber Defense Center. Dazu braucht es weitere Faktoren, Ressourcen und laufende Weiterentwicklung. Dazu zählen ein klares Mandat, regelmäßiges Management-Reporting, saubere Kommunikation der internen Dienste, Optimierung der Runbooks und die Evaluierung und Implementierung neuer Technologien, beispielsweise aktueller Endpoint Detection und Response Tools (EDR).

Wir prüfen in einer systematischen Bewertung regelmäßig den Reifegrad Ihres CDC in Bezug auf organisatorische Parameter, Prozesse, verfügbare Analystenressourcen und Tools. Dabei orientieren wir uns am SIM3-Modell der Open CSIRT Foundation und dem Mitre Att&ck Framework.