¿Conoces nuestros servicios de Respuesta ante Incidentes y Análisis Forense Digital, basados en NIST CSF?

Kennen Sie unsere Services zur Reaktion auf Vorfälle und zur digitalen forensischen Analyse, die auf NIST CSF basieren?

19. Februar 2025 Iñigo Ladrón Morales

Bei Zerolynx sind wir Experten für professionelle Dienstleistungen für Unternehmen im Hinblick auf Cybersicherheit. Speziell im Bereich Unternehmenssicherheit, Cybersicherheit Unternehmen, Geheimdienst corporate, cyberintelligence corporate und Erbesicherung.

Unsere Dienstleistungen orientieren sich an den wichtigsten und anerkanntesten internationalen Empfehlungen, Rahmenwerken und Standards für Cybersicherheit . Aus diesem Grund basiert unser gesamtes Angebot auf dem NIST-Framework (National Institute of Standards and Technologies of the United States) und insbesondere auf dessen vorgeschlagenem Cybersicherheits- Framework, bekannt als NIST Cybersecurity Framework (NIST CSF) .

Somit wird das Zerolynx-Angebot durch eine breite Palette professioneller Dienstleistungen gegliedert, die aufeinander abgestimmt sind der sechs Funktionen des NIST CSF-Frameworks:

AUSWEIS.
Schutz.
Erkennung.
Antwort.
Erholung.
Regierung.

In diesem Artikel konzentrieren wir uns auf das Serviceangebot von Zerolynx, das sich an Vorfallreaktion und dieDigitale Forensik.

Das Ziel von Reaktionsdiensten besteht darin, mit widrigen Situationen wie Cyberangriffe oder jede andere Art von Cyber-Vorfall. Der Schlüssel liegt nicht nur darin, rechtzeitig zu erkennen und zu handeln, sondern auch darauf zu reagieren:

Sowohl in Zeit (so schnell wie möglich handeln, bevor die Situation eskaliert), bevor wenn die Auswirkungen größer sind oder ein Punkt erreicht ist, an dem eine unwiederbringliche Katastrophe eintritt).
Wie in der Form (unter Verwendung der am besten geeigneten, wirksamsten und effizientesten Mechanismen, die als geeignetes Handeln gelten). je nach Art der eintretenden Situation, der Art der Bedrohung, des Risikos, des Angriffs, der betroffenen Elemente und der wahrscheinlichen Auswirkungen).

Letztendlich besteht die Antwort darin, die Bedrohung schnellstmöglich und bestmöglich einzudämmen , abhängig von der Art der betreffenden Bedrohung und ihren möglichen Folgen. Etwas a priori Banales, aber für Laien nicht trivial.

Darüber hinaus kann der Begriff „ Antwort “ andere Bedeutungen haben und zusätzliche Konzepte implizieren. Nach Angaben der RAE ( Königliche Akademie der spanischen Sprache ) kann es bedeuten:

“Zufriedenheit mit einer Frage, einem Zweifel oder einer Schwierigkeit”.
“Antwort…”.
“Antwort, Widerlegung...”.
“Aktion, mit der jemand korrespondiert…”.
“Wirkung, die mit einer Aktion erreicht werden soll”.
„Offensive Aktion nach der Abwehr eines Angriffs“. Dies passt vielleicht am besten zu der Situation, in der wir uns befinden, wo wir klarstellen könnten: „Offensive Aktion ausgeführt.“ nachdem ein CYBER-Angriff gestoppt wurde“.

Zusammenfassend sind einige der Begriffe, die eine Antwort definieren:

Handeln (offensiv handeln).
Halt halt.
Antworten (widerlegen, ablehnen).
Lösen.
Antworten.

Daher ist die Vorfallreaktion ( Cyber Incident Response) könnte als die Aktivität definiert werden, die darin besteht, (rechtzeitig) zu handeln, um zu stoppen, abzulehnen, zu lösen oder zu lösen und darauf zu reagieren eine Bedrohung (Cyberbedrohung), von der wir wissen, dass sie bereits aufgetreten ist.

Wie wir sehen, handelt es sich nicht um eine einzelne unabhängige und isolierte Aufgabe, sondern um einen Zyklus von Aktivitäten, die zeitlich abhängig und verkettet sind.

Jeder von ihnen erfordert eine bestimmte Spezialisierung und Aktivitätszeiten in seinem entsprechenden Zyklus. Darüber hinaus müssen wir uns jederzeit darüber im Klaren sein, in welcher Phase der Reaktion wir uns befinden (unmittelbare Entdeckung, vorläufige oder endgültige Maßnahmen, Prozess der Beendigung oder Abwehr des Angriffs, Lösung des Vorfalls und seiner Auswirkungen oder Reaktion auf den Angriff). . oder „Angriff auf Angriff“), um angemessen handeln zu können.

Aus diesem Grund ist es wichtig, Experten auf diesem Gebiet zu haben. Es geht nicht darum, eine Antwort zu geben, und es führt auch nicht zu irgendetwas, sondern es erzeugt eher noch mehr Probleme , egal was passiert“. Es geht darum, mit Wissen, Kapazität und Erfahrung auf intelligente, koordinierte und professionelle Weise eine konkrete, genaue und maßgeschneiderte Reaktion zu geben, je nach Gefährlichkeit der Situation, ihren Risiken, betroffenen Elementen, möglichen Auswirkungen und sogar abgeleiteten Nebeneffekten . ihr.

Aus diesem Grund sind fachmännische Beratung und Arbeit erforderlich, um die Situation einzudämmen und so zu reagieren, wie es sollte und erwartet wird. Erfahrung in solchen Situationen vermeidet Situationen von „kopflosen Hühnern“, entschuldigen Sie den Ausdruck .

Wären Sie im Falle eines Banküberfalls in der Lage, als Vermittler zu fungieren, die die Situation analysieren, verhandeln, in der Lage sind, die Räuber zu verhaften, die Situation aufzuklären und auf die Kriminellen zu reagieren ... und das alles zu gegebener Zeit? Trittfrequenz, jederzeit die notwendigen Schritte unternehmen?... Nun, das Gleiche gilt im Falle einesdigitalen Sicherheitsvorfalls (Cyber-Vorfall).

Hierfür stehen Ihnen die Expertenteams von Zerolynx mit Wissen, Erfahrung, Professionelle Beratung, Reaktion und Durchführung einer forensischen Analyse, wenn alles erledigt ist, damit es funktioniert kommt nicht wieder vor (selbst bei forensischen Sachverständigen, Rechtsexperten usw., im Einklang mit den Vorgaben von Artikel 340<). /b> des Zivilprozessgesetzes – 1/2000).

Sowohl in der Antwort als auch in der forensisch später trägt unsere Arbeit dazu bei. Im ersten Moment ist Eindämmung der Schlüssel. Je früher, desto besser und auf die bestmögliche Weise. Darüber hinaus ist es sehr wichtig, die zu diesem Zeitpunkt und später vorhandenen Beweise zu sammeln es ist wahrscheinlich, dass sie verschwinden.

Damit dämmen wir den Angriff / Cyberangriff oder Vorfall / Cyber-Vorfall, gleichzeitig analysieren wir den Situation durch forensische Techniken, die es uns ermöglichen, das Beweise der Situation, wie es getan werden sollte, damit es gültig ist und für administrative, rechtliche und andere Zwecke verwendet werden kann auch in der Justizzentrale: Beweissicherung und Pflege von Chain of Custody der gesammelten Beweise.

„Erfahrung ist die Mutter der Wissenschaft“ und ebenso kann es hilfreich sein, einen Vorfall erlitten zu haben uns mit dem gelernte Erkenntnisse, die von entscheidender Bedeutung sind. Mit ihnen müssen wir uns stärken und einen besseren Prozess, ein besseres System sowie Abwehr-, Erkennungs- und Reaktionsmechanismen für zukünftige Ereignisse aufbauen (Reaktionsplan).

Aber wie funktionieren sie und wie werden diese Arten von Dienstleistungen bereitgestellt? Wie bieten wir sie von Zerolynx an, damit sie am effektivsten, effizientesten und vorteilhaftesten sind? für Ihr Unternehmen oder Ihre Firma?

Wir wissen, dass jedes Unternehmen eine Welt mit unterschiedlichen Tätigkeitsbereichen, unterschiedlichen Dienstleistungs- und/oder Produktportfolios, unterschiedlichen Bedürfnissen, Zielen und Strategien ist.

Aus diesem emotionalen Grund passen wir uns an Ihr Unternehmen an, an jede Art von Unternehmen, Ziele und Bedürfnisse und bietet Reaktionsdienste vollständig auf die jeweilige Situation zugeschnitten.

Daher legen wir bei der Erbringung dieser Art von Dienstleistungen mehrere Arbeitsschritte fest:

Wir analysieren die Situation im Detail und überprüfen das Szenario und seine Umgebung, die Vermögenswerte und Elemente und betroffenes Personal (sowohl intern als auch extern – zum Beispiel Lieferanten, Subunternehmer oder Dritte) und gegebenenfalls Hintergrundinformationen.
Mit dem Ziel, den Vorfall aufzuzeichnen, handlungsfähig zu sein und forensische Aktivitäten über alles, was passiert ist und was damit zusammenhängen könnte, durchführen zu können, haben wir die Beweissammlung unter Anwendung der notwendigen Mechanismen, um die Chain of Custody , wir erstellen einen dokumentarischen Datensatz mit allen Informationen.
Die wichtigen Informationen sind das, was wir aus den gesammelten Beweisen extrahieren können, für die wir unterschiedliche verwenden modernste forensische Technologien und Techniken, wobei besondere Sorgfalt und Fokus auf die Gewährleistung der Integritätdieser Informationen und der Nichtabstreitbarkeitdavon.
Basierend auf dem Standard UNE 71506 analysieren wir alle gesammelten Informationen.
Mit all dem sind wir nun in der Lage, einen detaillierten forensischen Expertenbericht (gemäß den Vorgaben der Norm UNE 197001) von dem, was passiert ist und die durchgeführten Aktionen, um anzuhalten und zu reagieren.

Im Einzelnen sind unsere Response- , Intelligence- und Cyber-Intelligence -Dienste die folgenden:

Forensische Expertise. Wenn Sie Opfer eines Cybervorfalls oder Cyberangriffs werden, analysieren wir detailliert die Situation, das Geschehen, die betroffenen Elemente oder Vermögenswerte , die Auswirkungen, die Motive, die Akteure und Angriffsvektoren. Mit all dem erstellen wir einen forensischen Bericht und können auf diese Weise nicht nur helfen, sondern auch als externe Experten fungieren. Wir haben vor einiger Zeit in den Artikeln „ Evidence Hunters: Navigating Email Forensics “ und „ Portable Expert System for the Secure and Semi-Automatic Acquisition of Digital Evidence “ sowie „ Tan“ aus verschiedenen Perspektiven ein wenig über diesen Dienst gesprochen wie man sich schützt und wie man reagiert .“
Threat Hunting oderBedrohungsjagd. Wir sind dafür verantwortlich, kontinuierlich alle möglichen Szenarien auf der Suche nach Bedrohungen zu überwachen, die Ihr Unternehmen betreffen könnten Geschäft. Es ist, als ob wir davon ausgegangen wären, dass Ihr Unternehmen auf irgendeine Art und Weise einem Cyberangriff ausgesetzt sein wird und wir haben es kontinuierlich überwacht und mögliche Eintrittskanäle oder Angriffsvektoren überwacht. Auf diese Weise können wir einen Cyberangriff vorhersehen und ihn „in Echtzeit erkennen. Nehmen wir an, es ist der „Snitch-Dienst“, der proaktiv (nicht reaktiv) analysiert und Ausgabe einer Frühwarnung für den Fall, dass etwas Verdächtiges entdeckt wird. Dazu analysieren wir fortlaufend sogenannte TTPs (Tactics, Techniques and Procedures), die häufig von Cyberkriminellen verwendet werden.
Reaktion auf Vorfälle . Haben Sie den Verdacht oder sind Sie sicher, dass Sie Opfer eines Cyber-Angriffs geworden sind oder waren? Sie wissen nicht, was Sie tun und wie Sie sich verhalten sollen oder was Sie tun sollen? Dieser Service ist die Antwort, da wir Sie während des gesamten Prozesses unterstützen, von der Bewertung der Situation über ihre Festnahme oder Eindämmung bis hin zur Bewertung des Geschehens, der Gründe, die es verursacht haben, der verwendeten Mechanismen usw., um dies zu erreichen in der Lage sein, Ihre Aktivität normal und ohne (oder mit möglichst geringen) Auswirkungen wiederherzustellen und Maßnahmen zu ergreifen, um eine Wiederholung zu verhindern. Einen Einblick in diesen Service haben wir bereits im Artikel „ Es ist genauso wichtig, sich zu schützen wie zu reagieren “ gegeben.
Playbook-Design. Ist der BegriffPlaybook Klingt es für Sie chinesisch? Es handelt sich um eine Liste oder Verkettung von Aktionen, einen strategischen und praktischen Leitfaden für Schritte, die als Reaktion auf eine bestimmte Situation zu befolgen sind. In diesem Fall handelt es sich um eine Cyber-Vorfall. Was ist in einer solchen Situation wie und in welcher Reihenfolge zu tun? Ein Playbook ist die Antwort und Anleitung, die Sie Schritt für Schritt befolgen müssen. Diese Abfolge von Anweisungen oder Aktivitäten wird im Allgemeinen von den Cyber-Incident-Response-Teams verwendet und angewendet automatisiert. Aber vorher müssen wir es definieren. Ist das in Ihrem Unternehmen möglich? Keine Sorge! Wir sind dafür verantwortlich, dieses Playbook zu definieren, angepasst und personalisiert an Ihr Unternehmen, Ihre Aktivität, Eigenschaften und Bedürfnisse.