Kapitel 7. Ausnutzen

Wenn du dich nur auf den Feind konzentrierst, wirst du die Bedrohung ignorieren.

Oberst Walter Piatt

Nach den Phasen "Finden", "Beheben" und "Beenden" wird in der Regel der abschließende Bericht über die Reaktion auf einen Vorfall vorgelegt, und die Einsatzkräfte wenden sich dem nächsten Problem zu, das ihre Aufmerksamkeit erfordert. Aber das ist nicht das Ende dieses Buches. Während der gesamten Untersuchung sammeln die Incident-Response-Teams viele Daten über die Angreifer, suchen nach zusätzlichen Informationen in ihren Netzwerken und ergreifen Maßnahmen, die sich auf die Operationen des Angreifers auswirken. Jetzt müssen wir all diese Daten sammeln, sie auf ihren Informationswert hin analysieren und sie nicht nur in Aufdeckungs- und Präventionsmethoden, sondern auch in strategischere Initiativen wie Risikobewertungen, Priorisierung von Maßnahmen und zukünftige Sicherheitsinvestitionen integrieren. Jetzt musst du den nachrichtendienstlichen Teil des F3EAD-Zyklus anwenden: Ausnutzen, Analysieren und Verbreiten.

Es ist kein Geheimnis, warum die meisten Sicherheitsteams den F3EAD-Zyklus nicht zu Ende bringen: Es ist schon schwer genug, Informationen zu beschaffen, aber die Verwaltung dieser Informationen bereitet noch mehr Kopfschmerzen. Der Umgang mit Prozessen, Timing, Alterung, Zugriffskontrolle und Formaten ist so komplex, ...