Forensik und Incident Response
Incident Response
Auch bekannt als: IR, Vorfallsreaktion
Definition
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
Beispiele
- Eindämmung eines bestätigten Business Email Compromise: Token widerrufen, Zugangsdaten zurücksetzen, Betroffene informieren.
- Koordination von Bereinigung und Wiederherstellung eines Ransomware-infizierten ERP über IT, Recht und Geschäftsleitung.
Verwandte Begriffe
Incident-Response-Plan
Dokumentiertes, freigegebenes Playbook, das festlegt, wie eine Organisation Cybervorfälle vorbereitet, erkennt, eindämmt, bereinigt und auswertet.
DFIR (Digitale Forensik und Incident Response)
Kombinierte Disziplin, die digitale forensische Ermittlung und Incident Response zusammenführt, um Vorfälle zu erkennen, einzudämmen, zu bereinigen und auszuwerten.
Tabletop-Übung
Diskussionsbasierte Simulation, in der Beteiligte einen hypothetischen Cybervorfall durchspielen, um Pläne, Rollen, Entscheidungen und Kommunikation zu prüfen.
SOAR
Plattform, die SOC-Workflows automatisiert und orchestriert, indem sie Erkennungen, Anreicherungen und Response-Aktionen in Playbooks verkettet, die übergreifend über Security-Tools ausgeführt werden.
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
Security Operations Center (SOC)
Zentralisiertes Team und Einrichtung, das die IT-Umgebung einer Organisation rund um die Uhr überwacht, Sicherheitsvorfälle erkennt, untersucht und darauf reagiert.