web analytics

So geht Tabletop Exercise – Source: www.csoonline.com

Rate this post

Source: www.csoonline.com – Author:

Cybersecurity Tabletop Exercises bereiten Ihr Team auf den Ernstfall vor – insofern sie richtig aufgesetzt sind.

Übung macht den Incident-Response-Meister.

Übung macht den Incident-Response-Meister.

Foto: GaudiLab – shutterstock.com

Die Bedrohungslage entschärft sich bekanntermaßen nie – umso wichtiger ist es, dass Sicherheitsentscheider und ihre Teams nicht in eine Schockstarre verfallen, wenn ein Ernst-, beziehungsweise Notfall auftritt. An dieser Stelle kommen Cybersecurity Tabletop Exercises ins Spiel.

In diesem Artikel lesen Sie:

  • wie sich Tabletop-Übungen definieren,

  • wie Sie diese effektiv(er) umsetzen sowie

  • welche Szenarien dabei in Betracht kommen können.

Tabletop Exercise definiert

Bei einer Tabletop Exercise handelt es sich um eine informelle Diskussion, bei dem Sicherheits-Teams ihre Rollen und Reaktionen für den Ernstfall besprechen und anhand von Beispielszenarien durchspielen. Das ist in erster Linie eine gute Gelegenheit, um Business-Continuity-Pläne auf den Tisch zu bringen und diese anhand eines simulierten Ernstfalls auf den Prüfstand zu stellen.

“Unternehmen, die einen gesunden Respekt vor ihren Cyberrisiken haben, führen Tabletop-Übungen durch”, konstatiert Dan Burke, Senior VP und National Cyber Practice Leader bei der Technologieberatung Woodruff Sawyer, und fügt hinzu: “Einen Incident-Response-Plan zu entwerfen, ist vorteilhaft. Allerdings wird erst ein Test dieser Strategie auch praktische Insights und Erfahrungswerte liefern.”

10 Tipps für effektive Security-Tabletop-Übungen

Um Ihre Tabletop Exercises auch möglichst wirksam aufzusetzen, sollten Sie allerdings einige Dinge beachten. Welche, das haben wir verschiedenen Sicherheitsexperten und -entscheidern entlockt.

1. Maßschneidern

Sehen Sie davon ab, generische Breach-Situationen durchzuspielen. Stattdessen sollten Sie ein Szenario wählen, das spezifisch auf Ihr Unternehmen zugeschnitten ist.

Evgeny Gnedin, Head of Information Security Analytics beim Sicherheitsanbieter Positive Technologies, empfiehlt einen so konstruktiven wie destruktiven Ansatz: “Spielen Sie Ereignisse durch, die für Ihr Unternehmen wirklich kritisch sind. Fragen Sie das Management, wovor das Unternehmen wirklich Angst hat und welche Szenarien es zerstören könnten.”

2. Über technisches Personal hinausgehen

Die IT- oder Security-Abteilung kann die Tabletop-Übung leiten – die Teilnehmer sollten allerdings aus allen Teilen der Belegschaft stammen.

Ben Smith, Field CTO beim Network-Security-Spezialisten NetWitness, spezifiziert: “Ihre Tabletop Exercise sollte auch Vertreter von Rechtsabteilung, Aufsichtsbehörden, Marketing, Kundensupport und auch dem Personalwesen miteinbeziehen. Schließlich müssen diejenigen Mitarbeiter, die in einer Recovery-Phase mit Kunden, Partnern und anderen Stakeholdern in Kontakt stehen, wissen, was sie preisgeben dürfen und was nicht. Möglicherweise benötigen sie auch neue oder andere Tools, um das Unternehmen während der Krise möglichst effektiv repräsentieren zu können.”

3. Management an Bord holen

Ganz unabhängig vom Ergebnis Ihrer Tabletop-Übung werden Sie nicht in die Lage kommen, Optimierungen einzuziehen, wenn die Unternehmensleitung nicht mitzieht. Das sieht auch Timothy Williams, Vice Chairman beim Risk-Management-Anbieter Pinkerton, so: “Der entscheidende Faktor ist die oberste Führungsebene, also diejenigen, die in einer Krise entweder finale Entscheidungen treffen oder diese dem CEO nahelegen.”

Dabei ist auch regelmäßig problematisch, dass C-Level-Führungskräfte nicht immer selbst an Tabletop Exercises teilnehmen. Curtis Fechner, Engineering Fellow beim Sicherheitsanbieter Optiv, hat eine gute Strategie auf die Lager, die die Executives möglicherweise umstimmt: “Eventuell hilft es, sie daran zu erinnern, dass ihre Teilnahme im Fall einer echten Notlage nicht optional ist.”

4. Moderator sorgfältig wählen

Tabletop-Übungen die uninspiriert oder gar gelangweilt moderiert werden, entfalten wenig Begeisterungspotenzial.

John Dickson, CEO von Bytewhisper Security, weiß, worauf es in Sachen Moderation ankommt: “Gute Moderatoren halten Tabletop-Übungen auf eine unterhaltsame Art und Weise ab und sorgen dafür, dass sich die Teilnehmer wohlfühlen. Sie erinnern eher an einen guten Talkshow-Moderator als an einen Keynote-Speaker. Dabei ist ihre Fähigkeit zum Pivoting entscheidend: Hat ein Teilnehmer ein gutes Argument, sollte ein effektiver Moderator in der Lage sein, dieses mit Beispielen aus der Praxis zu untermauern.”

5. Menschen testen, nicht Technologien

Eventuell kritisieren einige Teilnehmer Ihrer Tabletop Exercise, dass das gewählte Szenario die Technologie, die sie tagtäglich verwenden, außenvorlässt. Das fällt allerdings in die Kategorie Themaverfehlung.

Sounil Yu, CTO beim KI-Sicherheitsspezialisten Knostic, erklärt, warum: “Der wesentliche Benefit einer Tabletop-Übung besteht darin, Mitarbeiter darauf vorzubereiten, in unerwarteten Situationen zuverlässig zu arbeiten. In vielen Katastrophenszenarien kann es vorkommen, dass Technologien nicht verfügbar sind. Eine übermäßige Abhängigkeit von Technologie in Response- und Recovery-Situationen ist genau das, was es zu vermeiden gilt.”

6. Szenarien mit aktiven Bedrohungen verknüpfen

Vielleicht sind Sie versucht, Ihre Cybersecurity Tabletop Exercise einfach aus den neuesten Schlagzeilen zusammenzustellen. Es lohnt sich allerdings, an dieser Stelle mehr Zeit und Mühe zu investieren, um ein wirklich realistisches Szenario zu generieren.

“Medienberichte heranzuziehen geht grundsätzlich in Ordnung”, gesteht Optiv-Entwicklungsspezialist Fechner zu, mahnt jedoch: “Dennoch sollten Sie sich auf tatsächliche und aktuelle Threat Intelligence verlassen, die beispielsweise von Regierungsbehörden oder Security-Anbietern bereitgestellt wird.”

7. Rollen annehmen

Cybersecurity Tabletop Exercises sind eng verwandt mit Tabletop-Rollenspielen wie Dungeons & Dragons. Und ähnlich wie bei diesen RPGs sollte jeder Teilnehmer der Übung in der Rolle aufgehen, die er im fiktiven Szenario einnimmt.

Jacob Ansari, Security Governance Partner beim Mobile-Payment-Dienstleister Cash App, empfiehlt dabei auch über den Tellerrand zu blicken: “Statt jedem Teilnehmer seine aus dem Alltag gewohnte Rolle zuzuweisen, kann es sich lohnen, die Funktionen durchzumischen. Das ermöglicht den Teilnehmern, neue Perspektiven zu gewinnen – und eventuelle strategische Lücken zu identifizieren und zu schließen.”

8. Teilnehmerzahl limitieren

“Viel hilft viel” ist selten ein sinnvoller Ansatz, so auch beim Thema Tabletop-Übungen.

Rob Lelewski, VP of Cybersecurity Strategy bei Zurich Global Ventures, illustriert die Gefahr überlaufener Exercises: “Je größer die Gruppe, desto höher die Gefahr, dass Desinteresse und mangelndes Engagement aufkommen.”

Der Experte empfiehlt deshalb, die Zahl der Teilnehmer auf maximal 20 zu beschränken.

9. Nichts überstürzen

Es mag offensichtlich erscheinen, aber eine Security Tabletop Exercise mal eben in der Mittagspause abzuhalten, ist keine zielführende Idee.

“Wer versucht, in einer Stunde durchzukommen, wird wenig Zeit haben, Details zu besprechen”, schlussfolgert Fechner. “Berücksichtigt man diverse Ablenkungen, würden so nur etwa 20 Minuten für die eigentliche Diskussion bleiben. Ich würde für eine Tabletop-Übung eher einen drei- bis vierstündigen Zeitrahmen vorsehen.”

10. Safe Space schaffen

Wenngleich Tabletop Exercises für die langfristige Verbesserung des allgemeinen Security-Niveaus essenziell sind, sollten die Teilnehmer dabei nicht das Gefühl haben, “gewinnen” oder sich für Fehler rechtfertigen zu müssen.

Wie Ansari einräumt, kann das eine Herausforderung sein, schließlich würden Mitarbeiter vor ihren Vorgesetzten im Regelfall nicht schlecht dastehen wollen: “Der Koordinator sollte deshalb klare Grundregeln aufstellen, die den Mitarbeitern die Freiheit geben, zu handeln. Schließlich handelt es sich um ein fiktives Szenario, das Schwachstellen in den Plänen selbst, in der Ausbildung, in der Koordination oder in anderen wesentlichen Aspekten aufdecken soll.”

4 Tabletop-Beispielsszenarien

Tabletop-Szenarien sollten sich – wie bereits erwähnt – idealerweise an den spezifischen Ängsten Ihres Unternehmens orientieren. Dennoch haben wir einige Sicherheitsexperten um Beispielszenarien gebeten, um Ihnen ein Gefühl dafür zu vermitteln, wie so etwas aussehen – und ablaufen – kann. Eventuell können Sie hieraus einige Ideen ableiten, um eigene Tabletop-Szenarien für Ihre Mitarbeiter zu entwickeln.

1. Zero-Day-Schwachstelle

Segment 1: Ein Mitarbeiter klickt auf einen Link in einer E-Mail, mit der er aufgefordert wird, an einer obligatorischen Sicherheitsschulung teilzunehmen. Auf der Website zu der der Link führt, gibt er seine Anmeldedaten ein. Als er sich die E-Mail noch einmal ansieht, bemerkt er eine seltsame Formatierung, Rechtschreibfehler und ein Banner, das darauf hinweist, dass diese E-Mail von einer Quelle außerhalb des Unternehmens stammt. Dann verlangsamt sich der Rechner plötzlich, woraufhin der Mitarbeiter den etablierten Prozessen folgt und das Incident-Response (IR)-Team kontaktiert. Die Spieler, die die Rolle des IR-Teams übernehmen, skizzieren die Schritte, die sie als Reaktion darauf unternehmen würden.

Segment 2: Die in der Phishing-E-Mail verlinkte Webseite weist nachweislich eine Verbindung zu einer IP-Adresse in Osteuropa auf. Dieser Host hat offenbar auch intern nach einem Protokoll gescannt, das mit einem häufig verwendeten Softwarepaket (mit dem fiktiven Namen Acme123) verbunden ist, und mit Servern interagiert, auf denen dieses läuft.

Segment 3: Daten-Traffic der Malware-Callback-Pattern aufweist, kommuniziert von einem Acme123-Server mit einer anderen IP, diesmal in Asien. Plötzlich wird eine Zero-Day-Schwachstelle bei Acme123 bekannt.

Segment 4: Ein Server weist Anzeichen einer neuen Malware auf, die die Zero-Day-Schwachstelle ausnutzt, aber es ist nicht klar, ob Daten exfiltriert wurden. Die Teams müssen nun Forensik betreiben, die Mitarbeiter benachrichtigen, die Strafverfolgungsbehörden sowie betroffene Kunden und Führungskräfte kontaktieren respektive informieren.

2. Supply-Chain-Angriff

Segment 1: Die Sales-Abteilung eines Unternehmens hat ein neues Software-Tool angeschafft, um Leads zu tracken. Dieses wird On-Premises auf einer vom Anbieter bereitgestellten, virtuellen Maschine installiert. Auf einen Due-Diligence-Prozess wurde mit Blick auf den Anbieter verzichtet, die Vertriebsleitung hat das genehmigt. In den ersten Wochen nach Einsatz des Tools häufen sich Benutzerbeschwerden in Zusammenhang mit gesperrten Konten und Kennwortfehlern. Darüber hinaus werden einige Warnmeldungen zu verschlüsselten PowerShell-Aktivitäten auf mehreren Workstations generiert.

Segment 2: Ein Sicherheitsanalyst im Team stellt fest, dass mehrere Gigabyte verschlüsselter Daten an einen in Russland gehosteten VPS gesendet wurden. Weitere Alerts tauchen auf, die auf Tools wie Mimikatz und Secretsdump hinweisen. Eine Datei namens exfil.zip mit aktuellem Zeitstempel taucht auf, die sich auf derselben Freigabeebene befindet, die auch das F&E-Team für seine geschäftskritische Tätigkeit verwendet.

Segment 3: Über Nachrichtenportale wird bekannt, dass das Lead-Tracking-Tool von staatlichen Akteuren kompromittiert wurde und eine Hintertür enthält, die einen Algorithmus zur Domänengenerierung verwendet, um die Kontrolle über den Outbound Port 443 zu übernehmen. Aus den Meldungen geht hervor, dass die Bedrohungsakteure es auf branchenspezifische Informationen abgesehen haben und nicht mit Ransomware-Kampagnen in Verbindung stehen.

3. Ransomware-Attacke

Segment 1: Das Unternehmen wird von einer Standard-Ransomware getroffen, die die meisten Enterprise-Systeme befällt und ein Prozent des jährlichen Unternehmensumsatzes innerhalb der nächsten 48 Stunden fordert. (Das Szenario sollte eine Entscheidung über diese Forderung innerhalb des vorgesehenen Zeitrahmens erfordern).

Segment 2: Unabhängig von der Entscheidung in Segment 1 eskaliert der Ransomware-Akteur die Situation weiter, veröffentlicht sensible Daten und droht, weitere folgen zu lassen, wenn das Unternehmen der Forderung nicht nachkommt (oder erneut zahlt, je nach Fall).

Segment 3: Es wird bekannt, dass die Angreifer die gestohlenen Daten außerdem dazu genutzt hat, die Kunden des Unternehmens anzugreifen, was zu massiven Breaches führt.

Segment 4: Eine Regierungsbehörde leitet Untersuchungen ein, weil sich herausstellt, dass der Ransomware-Angreifer Sanktionen unterliegt. Das verwickelt das Unternehmen, das bereits tief in der Krise steckt, in noch mehr Schwierigkeiten.

4. Chemieunfall

Segment 1: Eine Explosion ereignet sich in einem Chemiewerk zwei Kilometer von der Firmenzentrale entfernt. Die lokalen Medien berichten, dass eine unbestimmte Anzahl von Mitarbeitern des Chemieunternehmens verletzt oder getötet wurde. Unterdessen versuchen die zuständigen Behörden festzustellen, in welchem Umfang tödliche Giftstoffe in die Luft gelangt sind. Was die Explosion verursacht hat, ist nicht bekannt.

Segment 2: Die Krankenhäuser in der Region sind überfüllt mit Patienten mit Atemwegbeschwerden. Die Gesundheitsbehörden fordern die Menschen in der ganzen Region auf, vorsichtshalber “Schutzräume” aufzusuchen. Der Firmensitz befindet sich im direkten Umfeld der Explosion – das Unternehmen muss entscheiden, was es seinen Mitarbeitern raten soll. Dabei besteht Unsicherheit darüber, ob es die Belegschaft anweisen kann, die Region nicht zu verlassen. Erste Spekulationen darüber tauchen auf, dass Terroristen die Explosion verursacht haben könnten.

Segment 3: Das Unternehmen bittet die Mitarbeiter, das Gebäude nicht zu verlassen. Viele tun es trotzdem, weil sie sich um ihre Familien kümmern wollen. Das Sicherheitspersonal möchte außerdem wissen, wie es mit Menschen umgehen soll, die in der Lobby des Unternehmens Schutz suchen wollen.

Segment 4: Die unmittelbare Gefahr ist vorüber, und die Behörden erklären, dass die Explosion ein Unfall war. Mehrere Mitarbeiter wurden ins Krankenhaus eingeliefert. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

vgwort

SUBSCRIBE TO OUR NEWSLETTER

From our editors straight to your inbox

Get started by entering your email address below.

Original Post url: https://www.csoonline.com/article/3495499/so-geht-tabletop-exercise.html

Category & Tags: Risk Management – Risk Management

Views: 0

LinkedIn
Twitter
Facebook
WhatsApp
Email

advisor pick´S post