Kapitel 6. Beende

Es ist nicht so wichtig, wer das Spiel beginnt, sondern wer es zu Ende bringt.

John Wooden

Wenn du die Bedrohungen, mit denen du konfrontiert bist, identifiziert und untersucht hast, wie diese Bedrohungen in dein Netzwerk eingedrungen sind und sich dort bewegt haben, ist es an der Zeit, sie zu entfernen. In dieser Phase, die als "Finish" bezeichnet wird, geht es nicht nur darum, die Einfallstore zu beseitigen, die böswillige Akteure in dein Netzwerk gelegt haben, sondern auch darum, die Ursachen zu beseitigen, die ihnen überhaupt erst den Zugang ermöglicht haben.

Zur Beendigung eines Angriffs gehört mehr als nur die Entfernung von Malware aus einem System, deshalb verbringen wir so viel Zeit mit der Find- und Fix-Phase. Um die Aktivitäten eines Angreifers richtig zu beenden, ist es wichtig zu verstehen, wie dieser Bedrohungsakteur vorgeht, und nicht nur Malware oder Artefakte zu entfernen, die ein Angriff hinterlassen hat, sondern auch Kommunikationskanäle, Fußangeln, redundante Zugänge und alle anderen Aspekte eines Angriffs, die wir in der Fix-Phase aufgedeckt haben. Um einen Angreifer richtig auszuschalten, ist ein tiefes Verständnis des Angreifers, seiner Motive und seiner Handlungen erforderlich, damit du mit Zuversicht handeln kannst, wenn du die Systeme sicherst und die Kontrolle über dein Netzwerk zurückgewinnst.