Verwendung von NIST SP 800-61 zur Vorbereitung auf den nächsten Sicherheitsvorfall bei Drittanbietern

Mehr Drittanbieter bedeuten mehr Angriffsmöglichkeiten für Cyberkriminelle, die es auf Ihr Unternehmen abgesehen haben. Hier erfahren Sie, wie der NIST Computer Security Incident Handling Guide Ihnen helfen kann, sich auf den nächsten Angriff vorzubereiten.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter November 18, 2021 6 min gelesen
Decorative image

Das Drittanbieter-Ökosystem Ihres Unternehmens ist wahrscheinlich größer als je zuvor, was die Anfälligkeit für Ransomware, die Preisgabe von Zugangsdaten und Daten, Technologieausfälle, Denial-of-Service-Angriffe und andere Bedrohungen erhöht. Wenn Sie die jüngsten Schlagzeilen über Sicherheitsverletzungen gelesen haben, dürfte es Sie nicht überraschen, dass Angriffe auf Ihre Partner, Lieferanten und Dienstleister verheerende Auswirkungen auf Ihren Ruf und Ihr Geschäftsergebnis haben können. Glücklicherweise bietet das National Institute of Standards and Technology (NIST) einen praktischen Leitfaden für den Umgang mit Cyberangriffen, die Ihr Unternehmen und dessen Dritte betreffen.

Anwendung des NIST SP 800-61 Incident Handling Framework auf das Risiko von Drittanbietern

Der NIST Computer Security Incident Handling Guide, SP 800-61, schreibt vier grundlegende Phasen vor, die Sicherheitsteams für ihre Programme zur Behandlung von Vorfällen berücksichtigen sollten. Im Folgenden finden Sie Zusammenfassungen der einzelnen Phasen mit zusätzlichen Hinweisen darauf, wo das Risikomanagement Dritter ins Spiel kommt. Eine vollständige und detaillierte Anleitung finden Sie in der NIST-Veröffentlichung.

Vorbereitung

  • Kommunikationspläne: Beginnen Sie mit der Erstellung von Kontaktlisten, Kommunikationsplänen und Eskalationsverfahren. Achten Sie darauf, wichtige Dritte in Ihre Kommunikationspläne einzubeziehen und Informationen über deren Notfallkontakte und Eskalationswege zu sammeln. Dies wird auch in Phase 2 hilfreich sein: Erkennung und Analyse.
  • Einrichtungen: Einrichtung interner Kriegsräume und sicherer Lagereinrichtungen.
  • Technologie: Stellen Sie sicher, dass die Reaktionsteams Zugang zu Hardware (Laptops, Server, Backup-Geräte) und Software (z. B. Packet Sniffers, Protokollanalysatoren, forensische Software, Problemverfolgung und Images von sauberen Installationen für die Wiederherstellung) haben.
  • Dokumentation: Dokumentieren Sie die Ressourcen für die Vorfallsanalyse, einschließlich Port-Listen, Technologien (z. B. verwendete Betriebssysteme und Anwendungen), Netzwerkdiagramme, Grundlinien der erwarteten Netzwerkaktivitäten und mehr.
  • Prävention: Implementierung von Host-, Netzwerk- und Malware-Sicherheitssoftware. Führen Sie interne und externe Risikobewertungen durch und erstellen Sie ein Schulungsprogramm für das Sicherheitsbewusstsein.

Erkennung und Analyse

  • Angriffsvektoren: Berücksichtigen Sie alle Wege, die Angreifer nehmen können, um Ihr Unternehmen zu erreichen (z. B. Angriffe über Webanwendungen, Phishing, Impersonation, unsachgemäße Nutzung, verlorene/gestohlene Geräte usw.). Vergewissern Sie sich, dass Sie Ihre Verbindungen und Beziehungen zu Dritten und Vierten als Teil dieses Prozesses darstellen.
  • Anzeichen für einen Vorfall: Suchen Sie nach Vorläufern potenzieller zukünftiger Vorfälle und nach Indikatoren für bereits eingetretene Vorfälle. Hier sind Risikoüberwachungsdienste von Drittanbietern nützlich, um öffentliche und private Quellen von Bedrohungsdaten zu analysieren.
  • Vorfallsanalyse: Versuch der Feststellung, ob ein Vorfall tatsächlich stattgefunden hat
    ob ein Vorfall tatsächlich eingetreten ist, indem die Genauigkeit der im vorherigen Schritt beschriebenen Vorläufer und Indikatoren untersucht wird. NIST SP 800-61 enthält mehrere Empfehlungen, um die Analyse zu erleichtern und effektiver zu gestalten.
  • Dokumentation von Vorfällen: Implementieren Sie ein Problemverfolgungssystem, um alle relevanten Informationen zu jedem Vorfall aufzuzeichnen. Risikomanagement-Plattformen von Drittanbietern bieten in der Regel Dokumentenmanagement-Funktionen für die Verfolgung von Vorfällen.
  • Priorisierung von Vorfällen: Aufgrund unvermeidlicher Ressourcenbeschränkungen empfiehlt das NIST, Vorfälle auf der Grundlage ihrer funktionalen Auswirkungen, der Auswirkungen auf die Informationen und der Wiederherstellbarkeit zu priorisieren. Die Einstufung Ihrer Anbieter und Lieferanten für die Überwachung und Bewertung am Frontend kann Ihnen dabei helfen, angemessen zu reagieren, wenn Vorfälle auftreten.

Eindämmung, Ausrottung und Wiederherstellung

  • Eingrenzung: Hier versuchen Sicherheitsteams, das "Ausbluten" zu stoppen und die Auswirkungen eines Vorfalls zu minimieren. Die Taktik zur Eindämmung hängt von der Art des Vorfalls ab und kann die Sperrung eines fehlerhaften Benutzerkontos, die Blockierung des Netzwerkverkehrs, die Isolierung von Systemen, die Umleitung von Angreifern in eine Sandbox und andere Maßnahmen umfassen. Bei der Entscheidung über die Vorgehensweise müssen mehrere Kriterien abgewogen werden, darunter der potenzielle Schaden, die Notwendigkeit der Beweissicherung, die Verfügbarkeit der Dienste, die verfügbaren Ressourcen und vieles mehr.
  • Sammlung von Beweisen: Die Sammlung von Beweisen ist nicht nur für die Aufklärung des Vorfalls notwendig, sondern auch entscheidend für alle nachfolgenden Gerichtsverfahren. Es ist wichtig, rechtliche Unterstützung bei der Sammlung von Beweisen und der Aufbewahrung von Unterlagen einzuholen, um sicherzustellen, dass die Beweise vor Gericht zulässig sind.
  • Identifizierung von Angreifern: Während NIST SP 800-61 die Notwendigkeit betont, sich auf die Eindämmung, Ausrottung und Wiederherstellung zu konzentrieren, zeigt der Leitfaden einige Möglichkeiten auf, wie angreifende Hosts identifiziert werden können. Dazu gehören die Überprüfung der IP-Adressen der angreifenden Hosts, Suchmaschinenrecherchen, Datenbanken für Vorfälle und die Überwachung der Kommunikationskanäle der Angreifer. Risikoüberwachungslösungen von Drittanbietern können bei diesen Bemühungen helfen.
  • Ausrottung und Wiederherstellung: Unter Eradikation versteht man die Entfernung von Malware, die Deaktivierung kompromittierter Konten und die Entschärfung ausgenutzter Schwachstellen, während unter Recovery die Wiederherstellung des normalen Systembetriebs verstanden wird. Drittanbieter im Bereich Risikomanagement bieten häufig Abhilfedienste an, um bei Sicherheitsrisiken zu helfen.

Aktivitäten nach einem Vorfall

  • Ermittlung der Lehren aus dem Vorfall: Halten Sie eine Nachbesprechung ab, um den Vorfall und seine Behandlung zu besprechen und zu überlegen, wie die Behandlung von Vorfällen in Zukunft verbessert werden kann. Die daraus resultierenden Berichte können für die interne Kommunikation und Schulung sowie für die Aktualisierung der dokumentierten Prozesse verwendet werden.
  • Nutzung von Vorfalldaten: Daten wie die Anzahl der Vorfälle, die Zeit, die für die Bearbeitung von Vorfällen aufgewendet wurde, sowie objektive und subjektive Bewertungen von Vorfällen können für verschiedene Zwecke verwendet werden, z. B. zur Ermittlung von systemischen Sicherheitsschwächen und zur Rechtfertigung zusätzlicher Investitionen. Eine Anwendung für das Risikomanagement von Drittanbietern ist die Identifizierung zusätzlicher Kontrollen, die in den Risikobewertungen Ihrer Anbieter abgefragt werden.
  • Erstellung einer Richtlinie für die Aufbewahrung von Beweismaterial: Der letzte Schritt besteht darin, eine Richtlinie für die Aufbewahrung von Beweismaterial zu definieren, die auf der potenziellen Verwendung in Rechtsfällen, umfassenderen Datenaufbewahrungsrichtlinien und Kostenbeschränkungen basiert. Eine Plattform für das Risikomanagement von Drittanbietern kann dabei helfen, Beweise und Dokumentationen zu speichern, zu kennzeichnen und zu katalogisieren, die sich auf bestimmte Drittanbieter beziehen.

Berücksichtigung von Drittparteien in Ihrer Strategie zur Behandlung von Vorfällen

Sind Sie bereit, Anbieter und Zulieferer in Ihre Planung für den Umgang mit Zwischenfällen einzubeziehen? Beginnen Sie damit, sich zwei einfache Fragen zu stellen:

  1. Sind Drittanbieter mit Ihrem Netzwerk verbunden? Könnten sie eine Quelle für eine Malware-Infektion sein?
  1. Befinden sich Ihre Daten in den Umgebungen von Drittanbietern? Könnten Sie von einer Ransomware-Infektion betroffen sein, die deren Datenspeicher und Backups kapert?

Wenn Sie eine der beiden Fragen mit "Ja" beantwortet haben, ist es wichtig, dass Sie das Risiko von Drittanbietern in Ihrem Prozess zur Behandlung von Vorfällen berücksichtigen - wie in der obigen NIST 800-61 Zusammenfassung beschrieben.

Gleichzeitig sollten Sie in Ihre Risikobewertungen von Drittanbietern auch Fragen zu den Verfahren für die Behandlung von Zwischenfällen einbeziehen. Beginnen Sie bei der Beschaffung und Auswahl von Anbietern mit allgemeinen Fragen. Verfügt der potenzielle Anbieter beispielsweise überhaupt über einen Plan zur Reaktion auf Zwischenfälle? Bauen Sie dann Fragen zu den spezifischen Strategien zur Verhinderung, Erkennung und Reaktion auf Angriffe in die nachfolgenden Bewertungen ein. Inhärente Risikobewertungen sollten alle nennenswerten Schwachstellen vor dem Onboarding aufdecken.

Und schließlich sollten Sie Ihre regelmäßigen Bewertungen durch eine kontinuierliche externe Überwachung ergänzen, um potenzielle Gefährdungen durch Dritte und Zwischenfälle zu erkennen , bevor sie sich auf Ihr Unternehmen auswirken.

Sicherstellung der Widerstandsfähigkeit und Verfügbarkeit als Reaktion auf Verstöße von Drittanbietern

Wir sind immer mehr auf Produkte und Dienstleistungen von Dritten angewiesen, haben aber in vielen Fällen unsere Kontrollen und Prozesse für den Umgang mit Zwischenfällen nicht angepasst, um "Was wäre, wenn..."-Szenarien in Bezug auf Zwischenfälle und Verstöße von Dritten zu berücksichtigen. Zumindest sollten sich Ihre Risikomanagementverfahren für Drittanbieter auf die Aufrechterhaltung der Widerstandsfähigkeit und Verfügbarkeit konzentrieren, wenn Sie mit einer Malware-Infektion, einer Datenexposition, einem unerlaubten Zugriff oder einer gefährdeten Lieferkette konfrontiert werden (z. B. SolarWinds und andere).

Weitere Anleitungen zu diesem Thema finden Sie in der On-Demand-Version meines Webinars How to Prepare for the Next Third-Party Attack (Wie Sie sich auf den nächsten Angriff von Drittanbietern vorbereiten), oder informieren Sie sich über den Third-Party Incident Response Service von Prevalent, der Ihnen dabei helfen kann, Risiken von Verletzungen durch Anbieter schnell zu erkennen, zu bewerten und zu beheben.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.