Incident Response 
Incident Response
Unter einem Incident versteht man einen Vorfall, der die Integrität vorhandener IT Systeme negativ beeinflusst. Dazu zählen zum Beispiel Malware-Attacken, aber auch Formen von Denial of Service (DoS) oder auch Distributed Denial of Service (DDoS), bei denen von einer Vielzahl verschiedener, meist gefälscher IP-Absenderadressen permanent Datenpakete an das betroffene Netzwerk oder einen einzelnen Server gesendet werden. Als kritisch einzustufen sind unter Umständen auch und besonders Sicherheitslücken, die in verwendeter Software gefunden wurden oder andere Softwarefehler, welche zu einer unbeabsichtigten Fehlfunktion führen. Erwähnenswert ist in diesem Zusammenhang, dass ein gehärteter Kernel generell einen wirksamen Schutz gegen viele Angriffsmethoden bietet.
Beschreibung
Im schlimmsten Fall kann dies auf nicht hochverfügbaren Systemen zum Total-Ausfall des normalen Betriebes und zu enormen finanziellen Schäden führen. Wird ein Incident erkannt, sollten sofort geeignete Gegenmaßnahmen ergriffen werden. Dies kann beispielsweise durch Anpassung des Firewall-Regelwerkes, Patchen von installierter Software, Änderung der Konfigurationsdateien oder das Erstellen und Einbinden eigener Shellskripte erreicht werden.
Durch forensische Elemente (Forensik bedeutet hier die Analyse von Daten aus dem Dateisystem) können bei Bedarf Änderungen, die durch das Eindringen in das System oder andere Anomalien verursacht wurden, erfasst werden. Die gesamte Vorgehensweise wird pro Vorfall in der Incident Datenbank auf den NetworkSEC-Systemen dokumentiert. Bestandteile von Incident Response sind meist:
- Damage Assessment: Feststellen des Ausmasses von entstandenem Schaden an betroffenen Diensten
- Response: Antwort, z.B. Blockieren des Angriffes, Inspektion betroffener Dienste, Anpassen von Konfigurationen, Erforschen von Zusammenhängen
- Recovery: z.B. Patchen von Sicherheitslücken in Software, Backups aufspielen, Wiederherstellen der ursprünglichen Funktionalität, Implementieren von geeigneter zusätzlicher Funktionalität durch Shell-Skripte, um zukünftige Fehlfunktionen oder Angriffe auszuschliessen.
Features
- Kompetente und umfassende Beratung
- Umgehende Durchführung
- Ständige Verfügbarkeit (DSL,Mobile Broadband Internet Zugänge)
- Bei Netzwerkangriffen/-ausfällen: Kontaktaufnahme mit involvierten Providern, falls erwünscht
- Ausführliche interne Dokumentation
- Fester Stundensatz (zzgl. Anfahrtskosten, falls erforderlich)