Das Paretoprinzip in der Incident Response: Effektivität und Effizienz durch Triage

Hat sich ein Sicherheitsvorfall ereignet, kann man in der Regel mangels Zeit und Experten nicht sämtliche Daten einsammeln und analysieren. Hier hilft das Vorgehen nach Priorität. Dieses Triage genannte Verfahren liefert ausreichend Daten für die wichtigsten Erkenntnisse.

Von Pascal Boxen, Lisa Lobmeyer und Jens Ohlig

iX-tract

Um alle Daten eines Vorfalls einzusammeln und zu analysieren, fehlt in der Regel die Zeit und auch das Personal. Bewährt hat sich hier das Beschaffen der wichtigsten Daten nach vorher festgelegten Kriterien. Dieses Priorisieren nennt man Triage.
Das Framework MITRE ATT&ACK gibt Aufschluss über die Angriffsphasen und möglichen Aktivitäten der Angreifer. Diese können forensischen Artefakten zur Erkennung zugeordnet werden.
Für das Einsammeln der Daten existieren freie Werkzeuge. Mit ihnen kann man Kollektoren erzeugen, die dann nur die darin definierten Daten zusammentragen.
Vordefinierte Listen forensischer Artefakte bieten eine gute Grundlage, auf der viele Angreiferaktivitäten bereits analysiert werden können.

Sei es bei einer Anomalie oder bei einem kompletten Systemstillstand – Organisationen wollen in einem Notfall oder einer Krise Klarheit, Sichtbarkeit und Wissen über das Ausmaß des IT-Sicherheitsvorfalls erlangen. Die Zeit, die bis zur Entscheidungsfindung benötigt wird, ist einer der wichtigsten Faktoren zur Begrenzung der Auswirkungen.

Ursprünglich ist die Triage ein Verfahren in der Medizin. Bei einer Notfallsituation, insbesondere bei einer größeren Katastrophe wie einem Unfall mit unerwartet vielen Verletzten, zählt jede Sekunde und der Einsatz der vorhandenen Ressourcen muss effektiv sein. In der Ersteinschätzung der Situation wird mit den vorhandenen Ressourcen sortiert, wer sofortige Hilfe benötigt und wo der Einsatz von Personal am höchsten priorisiert werden muss.