SEC10-BP07 Durchführen von Simulationen
Organisationen wachsen und entwickeln sich weiter. Gleiches gilt auch für die Bedrohungslandschaft. Daher ist es wichtig, Ihre Fähigkeiten zur Vorfallreaktion kontinuierlich zu überprüfen. Die Durchführung von Simulationen (auch bekannt als Gamedays) ist eine Methode, mit der diese Bewertung durchgeführt werden kann. Bei Simulationen werden reale Sicherheitsereignisse als Szenarien verwendet, die die Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) eines Bedrohungsakteurs nachahmen und es einer Organisation ermöglichen, ihre Fähigkeiten zur Vorfallreaktion einzusetzen und zu bewerten, indem sie auf diese simulierten Cyberereignisse so reagieren, wie sie es im Ernstfall tun würden.
Vorteile der Nutzung dieser bewährten Methode: Simulationen haben eine Vielzahl von Vorteilen:
-
Validierung der Cybersicherheit und Stärkung des Vertrauens Ihres Vorfallreaktionsteams
-
Testen der Genauigkeit und Effizienz von Tools und Workflows
-
Optimierung der Kommunikations- und Eskalationsmethoden Ihres Vorfallreaktionsplans
-
Möglichkeit, auf weniger verbreitete Vektoren zu reagieren
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Es gibt drei Hauptarten von Simulationen:
-
Tabletop-Übungen: Beim Tabletop-Ansatz für Simulationen handelt es sich um eine Diskussionsrunde, an der die verschiedenen, mit der Vorfallreaktion betrauten Stakeholder teilnehmen, um Rollen und Verantwortlichkeiten zu üben und etablierte Kommunikationstools und Playbooks zu verwenden. Die Übung kann in der Regel an einem ganzen Tag sowie an einem virtuellen und/oder physischen Ort durchgeführt werden. Da sie auf Diskussionen basiert, konzentriert sich die Tabletop-Übung auf Prozesse, Menschen und Zusammenarbeit. Technologie ist ein integraler Bestandteil der Diskussion, aber der tatsächliche Einsatz von Tools oder Skripten für die Vorfallreaktion ist in der Regel kein Teil der Tabletop-Übung.
-
Übungen des lila Teams: Übungen des lila Teams verbessern die Zusammenarbeit zwischen dem Vorfallreaktionsteam (blaues Team) und den simulierten Bedrohungsakteuren (rotes Team). Das blaue Team besteht aus Mitgliedern des Security Operations Center (SOC), kann aber auch andere Stakeholder enthalten, die an einem tatsächlichen Cyberereignis beteiligt wären. Das rote Team besteht aus einem Penetrationstest-Team oder wichtigen Stakeholdern, die in offensiver Sicherheit geschult sind. Das rote Team arbeitet bei der Planung eines Szenarios mit den Übungsleitern zusammen, damit das Szenario korrekt und durchführbar ist. Bei Übungen des lila Teams liegt das Hauptaugenmerk auf den Erkennungsmechanismen, den Tools und den Standard-Betriebsabläufen (Standard Operating Procedures, SOPs), mit denen die Maßnahmen zur Vorfallreaktion unterstützt werden.
-
Übungen des roten Teams: Bei einer Übung des roten Teams führt das Offensivteam (rotes Team) eine Simulation durch, um ein bestimmtes Ziel oder eine Reihe von Zielen aus einem vorher festgelegten Bereich zu erreichen. Die Verteidiger (blaues Team) kennen nicht unbedingt den Umfang und die Dauer der Übung, was eine realistischere Einschätzung darüber ermöglicht, wie sie auf einen tatsächlichen Vorfall reagieren würden. Da es sich bei den Übungen des roten Teams um invasive Tests handeln kann, sollten Sie vorsichtig sein und Kontrollen implementieren, um sicherzustellen, dass die Übung Ihrer Umgebung nicht tatsächlich schadet.
Erwägen Sie, in regelmäßigen Abständen Cybersimulationen durchzuführen. Jeder Übungstyp kann den Teilnehmern und der gesamten Organisation einzigartige Vorteile bieten. Sie können also etwa mit weniger komplexen Simulationstypen beginnen (beispielsweise mit Tabletop-Übungen) und dann zu komplexeren Simulationstypen übergehen (Übungen des roten Teams). Wählen Sie auf der Grundlage Ihres Sicherheitsreifegrads, Ihrer Ressourcen und der gewünschten Ergebnisse einen Simulationstyp aus. Einige Kunden entscheiden sich aufgrund der Komplexität und der Kosten möglicherweise gegen Übungen des roten Teams.
Implementierungsschritte
Unabhängig von der Art der gewählten Simulation folgen diese im Allgemeinen den folgenden Implementierungsschritten:
-
Definieren Sie die wichtigsten Übungselemente: Definieren Sie das Simulationsszenario und die Ziele der Simulation. Beide sollten von der Führungsebene akzeptiert werden.
-
Identifizieren Sie die wichtigsten Stakeholder: Für eine Übung sind mindestens Übungsleiter und Teilnehmer erforderlich. Je nach Szenario können gegebenenfalls weitere Stakeholder einbezogen werden – etwa aus der Rechts- oder Kommunikationsabteilung oder aus der Geschäftsleitung.
-
Erstellen und testen Sie das Szenario: Das Szenario muss möglicherweise während der Erstellung neu definiert werden, falls bestimmte Elemente nicht realisierbar sind. Als Ergebnis dieser Phase wird ein fertiges Szenario erwartet.
-
Führen Sie die Simulation durch: Die Art der Simulation bestimmt die Durchführung (ein Szenario auf Papier im Vergleich zu einem hochtechnischen, simulierten Szenario). Die Übungsleiter sollten ihre Taktiken an den Übungsobjekten ausrichten und alle Übungsteilnehmer nach Möglichkeit einbeziehen, um den größtmöglichen Nutzen zu erzielen.
-
Arbeiten Sie den After-Action Report (AAR, Abschlussbericht) aus: Identifizieren Sie Bereiche mit guten Ergebnissen sowie verbesserungswürdige Bereiche und potenzielle Lücken. Der AAR sollte die Effektivität der Simulation sowie die Reaktion des Teams auf das simulierte Ereignis messen, damit der Fortschritt im Laufe der Zeit mit zukünftigen Simulationen verfolgt werden kann.
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos: