Rollen und Zuständigkeiten definieren
Fähigkeiten und Mechanismen zur Reaktion auf Vorfälle sind besonders im Umgang mit neuen oder umfangreichen Ereignissen wichtig. Diese Ereignisse sind von den formulierten schriftlichen Standards und der Erfahrung Ihres Teams zum jeweiligen Zeitpunkt abhängig. Da wir nicht alle möglichen Ausgänge eines Ereignisses vorhersagen oder kodifizieren können, verlassen wir uns bei einfachen, sich wiederholenden Aufgaben wie das Sammeln von Instance-Speicher oder Diagnoseprotokollen auf die Automatisierung, und lassen Menschen schwierige Entscheidungen treffen. Der Umgang mit unklaren Sicherheitsvorfällen erfordert organisationsübergreifende Disziplin, entschlossenes Handeln und die Fähigkeit, Ergebnisse zu liefern. In Ihrer Organisationsstruktur sollten während eines Vorfalls mehrere Personen verantwortlich und rechenschaftspflichtig sein, konsultiert oder auf dem Laufenden gehalten werden, z. B. Vertreter der Personalabteilung (HR), Ihres Führungsteams und der Rechtsabteilung. Berücksichtigen Sie diese Rollen und Verantwortlichkeiten und überlegen Sie, ob Dritte hinzugezogen werden müssen. Beachten Sie die lokalen Gesetze in verschiedenen Regionen, die Ihren Handlungsspielraum festlegen. Obwohl es verwaltungstechnisch aufwendig erscheinen mag, ein RACI-Diagramm (verantwortlich, rechenschaftspflichtig, konsultiert und informiert) für einen Vorfall zu erstellen, ermöglicht es eine schnelle und direkte Kommunikation und erläutert die Führung in verschiedenen Phasen des Ereignisses.
Vertrauenswürdige Partner können an der Untersuchung oder Vorfallreaktion beteiligt werden und zusätzliches Fachwissen sowie wertvolle Kontrollen einbringen. Wenn Sie diese Fähigkeiten in Ihrem eigenen Team nicht besitzen, können Sie eine externe Partei zur Unterstützung beauftragen. Wenn Sie einen externen Anbieter engagieren, stellen Sie sicher, dass er Ihre Teammitglieder schult. Wenn diese externen Parteien mit Ihren internen Entwicklern und Betreibern zusammenarbeiten, können sie die Fähigkeiten Ihrer Teammitglieder erweitern, und dieses neue Fachwissen kann Ihr IR-Programm in Zukunft bereichern.
Bei einem Vorfall ist es wichtig, die Besitzer und Entwickler der betroffenen Anwendungen und Ressourcen einzubeziehen, da sie als SME wichtige Informationen und Kontext liefern können. Üben Sie mit den Entwicklern und Anwendungsbesitzern und bauen Sie eine Beziehung zu ihnen auf, bevor Sie sich für eine Vorfallreaktion auf ihr Fachwissen verlassen. Anwendungsbesitzer oder SME müssen möglicherweise in Situationen einschreiten, in denen die Umgebung unbekannt ist, unvorhergesehene Komplexitäten vorliegen oder die Responder keinen Zugriff haben. Anwendungs-SMEs sollten sich dem IR-Team annähern und mit ihm üben.
Training anbieten
Um Abhängigkeiten zu reduzieren und die Reaktionszeit zu verkürzen, müssen Ihre Sicherheitsteams und Responder mit Cloud-Services vertraut sein und die Möglichkeit haben, Erfahrungen mit den spezifischen Cloud-Plattformen Ihres Unternehmens zu sammeln. Ein Teil dieser Trainings findet im Rahmen des Team Building und der Erstellung von Runbooks zu Beginn des Prozesses statt. Indem Sie möglichst viele Personen in den ersten Schritt der Erstellung von Runbooks einbeziehen, können Ihre internen Teams ihr Wissen erweitern. Das Training wird greifbarer, wenn die Teams beginnen, die Runbooks bei Tabletop-Übungen zu befolgen.
AWS und andere Dritte bieten auch Online-Sicherheitsworkshops (AWS Security Workshops
AWS bietet verschiedene Trainingsoptionen und Lernpfade durch digitale Schulungen, Präsenzschulungen, APN-Partner und Zertifizierungen. Weitere Informationen finden Sie unter AWS Training und Zertifizierung
