[Assessments] Rapid Cyberattack Assessment

  • Article

Aus der Serie "Microsoft Security Assessments" diesmal das Thema Rapid Cyberattack Assessment:

Ziel:

Bei dem Rapid Cyberattack Assessment (RCA) geht es im ersten Schritt darum den IST Status bei grundlegenden Sicherheitsprozessen zu erfassen. Dies umfasst u.a. den Patch Prozess, Backups, Admin/Account Isolation, etc.

Dabei soll eine Prioritäten Liste für die nächsten Schritte entstehen die sich in "Critical/Sofort" und "High/Baldigst" unterteilen lässt.

Für euch als Microsoft Partner ist das Ziel natürlich nach der Erfassung auch die Umsetzung der To-Do Liste zu gewinnen.

ž

Inhalt:

  • Rapid Cyberattack Assessment Workshop Overview-v1.0.pptx
    Überblick über das Assessment, Einstieg in das Thema "Warum ist das wichtig" und Grundlegendes über Defense Strategies.
  • Rapid Cyberattack Assessment Workshop Roadmap-v1.0.pptx
    Präsentation der Prioritätenliste/Roadmap und Abgleich mit den Einschätzungen des Kunden. Dies ist noch nicht die finale Präsentation, sondern dient als Diskussionsgrundlage zur Vorbereitung der Abschlusspräsentation.
  • Rapid Cyberattack Assessment Workshop-Closeout Presentation-v1.0.pptx
    Dies ist die Abschlusspräsentation mit der finalen Darstellung der Findings und der empfohlenen nächsten Schritte.
  • Rapid Cyberattack Assessment Workshop-Delivery Guide-v1.0.docx
    Die ausführliche Anleitung wie das Assessment auszuliefern ist.
  • Rapid Cyberattack Assessment Workshop-How to use RCA tool-v1.0.docx
    Dokumentation über das Rapid Cyberattack Assessment Tool.
  • Rapid Cyberattack Assessment Workshop-Kick-off Meeting-v1.0.pptx
    Präsentation für das eigentliche Kickoff Meeting, dient u.a. auch zur Anberaumung incl. Vision, Scopeing und Vorgehen.
  • Rapid Cyberattack Assessment Workshop-On-site Engagement Overview-v1.0.pptx
    Zur finalen Planung der On-Site Aktivitäten, insb. Finalisierung der Termine und Teilnehmer sowie der Auflistung von möglichen Risiken und der Erfolgskriterien.
  • Rapid Cyberattack Assessment Workshop-Questionnaire_v1.0.docx
    Fragebogen zur Erfassung der aktuellen Situation und Prozesse. Dort sind bereits die Fragen aus dem RCA Tool enthalten (und auch als solche kenntlich gemacht), ggf. also die Antworten aus dem RCA Tool hier konsolidieren.
  • Rapid Cyberattack Assessment Workshop-SoW Example-v1.0.docx
    Ein Beispiel Statement of Work zur Durchführung des Assessments

Vorgehen

FYI: Ich habe im Modern Workplace ChampCall im Februar (ab ca. 36:03min) das Vorgehen kurz gezeigt, also schaut es euch gerne an, denn dort gebe ich auch ein, zwei Tipps, die aus der Doku nicht hervorgehen! 😉

Das RCA besteht im Wesentlichen aus 2 Komponenten:

Erfassung des IST Standes basierend auf

  1. Beantwortung des Fragebogens
  2. Ergebnis der Sammlung durch das RCA Tool

 

Das Beantworten des Fragebogens ist idealerweise in zwei Schritten durchzuführen: zum einen direkt in dem RCA Tool und anschließend zum Teil übertragend, zum Teil mit neuen Antworten in dem Word Dokument.

Warum in den zwei Schritten? Wenn dies über das Tool passiert (btw. kann natürlich auch genau andersherum durchgeführt werden und die Antworten aus dem Word Doc in das RCA Tool übertragen werden), dann erhält man am Ende eine vorgefertigte PowerPoint Ansicht mit der Zusammenfassung der Ergebnisse.

Zusätzlich kommt noch das Ausführen des Tools gegen die zu Analysierenden Maschinen.

Wichtig: dies kann ggf. betriebsratsrelevant sein, da hier auch Software Inventarisiert wird!

Je nach Größe des Environments/Kunden macht es durchaus Sinn den Scope des RCA über eine OU oder IP Adressliste einzuschränken, im Screenshot habe ich * gewählt - also "nimm alle Server die du findest".

Ergebnis/Outcome:

Als Ergebnis spuckt das RCA Tool mehrere Dateien aus:

  1. ExcelResubmissionReport.xlsx
  2. RapidCyberattackAssessmentAffectedNodes.xlsx (optional, nur wenn das RCA auch "gegen" Maschinen eingesetzt worden ist)
  3. RapidCyberattackAssessmentKeyRecommendations.docx
  4. RapidCyberattackAssessmentManagementPresentation.pptx

 

Die aus dem RCA kommenden Ergebnisse müssen noch entsprechend angereichert werden durch die weiteren Ergebnisse aus dem erweiterten Fragebogen und mit dem Kunden zusammen auf eine Prioritätenliste (vgl.ExcelResubmissionReport.xlsx) geeinigt werden.

Call to action:

Wenn ihr als Microsoft Partner dieses (oder auch die anderen) Assessments durchführen möchtet und benötigt dazu (technische) Unterstützung, so sprecht bitte eure entsprechenden Partner Development Manager und Partner Technical Strategists an.

Last but not least hier noch der Link auf den Download der Assessment Unterlagen (aktuell nur auf engl. - wenn hier ein *wirklicher* Bedarf und Impact an einer Lokalisierung existiert, dann lasst es mich bitte wissen!) Rapid Cyberattack Assessment (Unterlagen)

Rapid Cyberattack Assessment (Tool)

 

Und nicht vergessen im "Microsoft Security Assessments" Post habe ich noch drei weitere Assessments beschrieben/verlinkt.