Stellen Sie sicher, dass Ihr Unternehmen Best Practices anwendet.
Plattform entdeckenWenn Sie neu auf dem Gebiet der Cybersicherheit sind, fragen Sie sich vielleicht, wo Sie anfangen sollen, wie Sie vorgehen sollen, was Sie brauchen und warum Sie es brauchen. In den meisten Fällen können Sie Ihr Gesamtrisiko erheblich verringern, wenn Sie mit den folgenden Grundlagen beginnen.
Dies ist die Basis und fundamentale Grundlage jedes erfolgreichen Sicherheitsprogramms. Über einen soliden Asset-Bestand zu verfügen, hängt von ein paar einfachen Dingen ab: zu wissen, welche Assets Sie haben, wo sie sich in Ihrem Netzwerk befinden, welche Software und Konfigurationen sie aufweisen und welche Nutzer und Systeme Zugriff auf sie haben.
Was gilt aus der Sicherheitsperspektive als Asset? jede Art von elektronischem System, das über das Netz zugänglich ist, einschließlich (aber nicht beschränkt auf):
Wenn Ihr Asset-Inventar Lücken aufweist, wird dies wahrscheinlich auch bei Ihrem Sicherheitsprogramm der Fall sein. Wenn Sie vorgeben, dass auf allen Laptops Festplattenverschlüsselung (Full-Disk Encryption) aktiviert ist, bevor Ihr IT-Team sie den Mitarbeitern übergibt, aber Sie und Ihr IT-Team nicht über die fünf neuen Laptops Bescheid wissen, die Ihr HR-Team gerade mit einer Firmenkreditkarte gekauft hat, dann werden diese wahrscheinlich nicht verschlüsselt werden (bis es jemandem auffällt).
Lösungen für Netzwerk- und Schwachstellenscans können bei der Pflege Ihres Bestands helfen sowie dabei, Lücken in Ihrem Asset-Bestand zu identifizieren. Wenn Sie eine Kombination aus Netzwerkscans und Endpoint-Agents nutzen, hilft das bei der Erzeugung von ergiebigen, echtzeitnahen Asset-Daten für Ihren Bestand.
Jedes gute Sicherheitsprogramm beginnt mit einer Schulung zur Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf wichtige persönliche oder geschäftliche Daten. Formen der Authentifizierung lassen sich in drei Kategorien einteilen:
Passwörter bieten große Schwachstellen und können beispielsweise durch Phishing-Angriffe, Passwort-Rate-Attacken und Malware leicht gestohlen werden. Wenn Sie nur ein Passwort verwenden, um Ihre Daten zu sichern, muss ein Angreifer nur eine einzige, minimale Sicherheitsschleuse passieren, um Ihr Konto zu kompromittieren. Wenn für die Benutzer mehrere Arten der Authentifizierung vorgegeben sind, wird die Beschaffung von Benutzerinformationen (und damit der Zugriff) für Angreifer wesentlich schwieriger und teurer.
Ein wichtiger Hinweis hier ist, dass die Vorgabe von zwei Formen der Authentifizierung derselben Kategorie aus der Sicherheitsperspektive nicht ausreicht. Wenn Sie beispielsweise die Benutzer auffordern, ein Passwort einzugeben und dann eine Sicherheitsfrage zu beantworten, wie z. B. „Was ist der Mädchenname Ihrer Mutter?“, dann zählt das nicht als Zwei-Faktor-Authentifizierung.
Da beide der Kategorie „etwas, das Sie wissen“ angehören, handelt es sich nur um eine doppelte Ein-Faktor-Authentifizierung. Ein Passwort (etwas, das Sie wissen) einzugeben und dann einen 6-stelligen Code, der von einer App auf einem Smartphone generiert wird (etwas, das Sie haben), zählt jedoch.
Vereinfacht bedeutet Patch-Management, dass Ihre gesamte Software auf dem aktuellen Stand, installiert und korrekt konfiguriert ist. Dies beinhaltet die Beschaffung, Prüfung und Installation von Patches (d. h. Software-Updates) auf den Systemen und Geräten Ihrer Organisation.
Um dies effektiv zu tun, müssen Sie sich ständig über verfügbare Patches informieren, entscheiden, welche Patches auf welchen Systemen benötigt werden, deren Installation überwachen und auf Probleme nach dem Patchen testen. Dies wird typischerweise als Kollaboration zwischen IT- und DevOps-Teams behandelt, im Gegensatz zum Sicherheitsteam.
Patch-Management ist eng verbunden mit dem Schwachstellen-Management oder dem Prozess der Feststellung, ob Sie Schwachstellen in Ihrer IT-Umgebung haben. Hinter dem Patch-Management stehen drei Elemente: Priorisierung der Schwachstellenbehebung, Evaluierung von Sicherheitsmaßnahmen (d.h. vorhandene Sicherheitstechniken oder Systeme, die das Risiko einer Schwachstelle reduzieren) und sicherstellen, dass jedes Patch korrekt installiert ist.
Deshalb sind diese Elemente wichtig: Die Anwendung eines Patches wird manchmal einen anderen Teil der von Ihnen benutzten Software schädigen, was mehr schadet als nutzt. Das Verständnis dieses inhärenten Risikos spielt eine große Rolle bei der Priorisierung der anzuwendenden Patches.
Falls ein Patch eine Software schädigt, was dazu führt, dass Sie das Patch entfernen müssen, dann wird es schwieriger für einen Angreifer, wieder entstandene Schwachstellen zu nutzen, wenn Sie Sicherheitsmaßnahmen getroffen haben, die das ausgleichen. Ein Beispiel für eine ausgleichende Kontrolle wäre die Implementierung von Firewall-Regeln, die die Anzahl der Systeme einschränken, die mit einem vulnerablen System kommunizieren können.
Um mögliche Auswirkungen zu minimieren, empfiehlt es sich, Patches auf nicht kritischen Systemen oder in Testumgebungen zu testen, die Ihre Produktionsumgebung widerspiegeln.
Durch die Dezentralisierung werden Daten über Ihre Netzwerke und Cloud-Dienste verteilt, um sicherzustellen, dass ein Angreifer im Falle einer Kompromittierung eines Benutzers oder Servers im Netzwerk Ihres Unternehmens nicht unbedingt Zugriff auf Unternehmensdaten hat, die anderswo gespeichert sind.
Wenn ein Angreifer beispielsweise einen Weg in ein bürointernes System zur gemeinsamen Datennutzung in einem dezentralen Umfeld findet, kann er wahrscheinlich nur auf diese geteilten Dateien zugreifen, aber nicht notwendigerweise auf alle Dateien Ihres Anbieters für Cloud-Speicherung. Wenn Sie jedoch eine zentralisierte Umgebung haben und ein Server kompromittiert wird, können die Angreifer Möglichkeiten finden, sich leicht von diesem Server zu anderen Unternehmenssystemen und Daten wie E-Mail-Servern, Bilanzen oder Benutzerverzeichnissen zu bewegen.
Dezentralisierung bietet zwei Vorteile:
Wenn Sie ein kleines Sicherheitsteam haben, kann es unglaublich schwierig sein, die Dutzenden von Cloud-Anwendungen zu überwachen, die Ihr Unternehmen nutzt. Glücklicherweise investieren etablierte Cloud-Service-Anbieter viel in ihre eigenen Sicherheitsteams und -programme, die sich auf den umfassenden Schutz ihrer Umgebung konzentrieren.
Durch die Trennung der Anbieteranwendung vom Rest Ihres Netzwerks kann sich Ihr Sicherheitsteam auf die Kernumgebung Ihrer Organisation konzentrieren, während sich das Sicherheitsteam des Anbieters auf den Schutz der Anwendung oder Dienstleistung konzentrieren kann, die der Anbieter für Sie hostet.
Wenn eine Anwendung eines Anbieters in einer dezentralisierten Umgebung kompromittiert wird, bedeutet dies, dass die Auswirkungen des Verstoßes auf diese Anwendung oder diesen Anbieter beschränkt sind.
Dadurch wird es für einen Angreifer schwieriger (jedoch nicht unmöglich, wie bei den jüngsten Sicherheitsverletzungen zu sehen war), auf den Rest Ihrer Systeme und Informationen zuzugreifen. Je schwieriger es für einen Angreifer ist, auf einen zentralen Server zuzugreifen, desto mehr Zeit und Geld muss er in den Angriff investieren und desto wahrscheinlicher ist es, dass er darauf verzichtet oder erkannt wird.
Dabei wird ermittelt, welche Ihrer Netzwerksysteme und -geräte miteinander kommunizieren müssen, und dann wird nur diesen Systemen erlaubt, miteinander zu kommunizieren.
Betrachten Sie beispielsweise eine Krankenschwester, die an einem Laptop des Krankenhauses arbeitet. In einem gut segmentierten Netzwerk sollte der Laptop nur mit einem oder zwei anderen Systemen wie einem Druckserver (zum Drucken von Patientendaten) und dem Programm zur Aufzeichnung von Patientendaten kommunizieren können. In einem „flachen Netzwerk“, d.h. einem Netzwerk ohne Segmentierung zwischen den Systemen, könnte dieser Laptop jedoch mit jedem anderen System im Netzwerk kommunizieren. Wenn ein Angreifer diesen Laptop kompromittiert, kann er jedes andere System im Netzwerk durch komplett ungehinderte Ausbreitung im Netzwerk (lateral movement) angreifen.
Um Ihr Netzwerk effektiv zu segmentieren, ist es wichtig, dass Sie Ihre kritischsten Anlagen katalogisieren, verstehen, wo sie sich in Ihrem Netzwerk befinden und welche Systeme und Nutzer auf sie zugreifen können. Wenn mehr als die genannten Systeme und Benutzer Zugriff auf die Daten haben, sollte dies behoben werden.
Um die gesamte Angriffsfläche eines Systems oder einer Anwendung zu minimieren, sollten Sie versuchen, den Zugriff immer nach dem Prinzip des Least Privilege Access (LPA) zu gewähren. Sie müssen weiterhin sicherstellen, dass nichts im Netzwerk direkt mit Ihren Datenbankservern kommunizieren kann. Dort werden in der Regel kritische Anwendungsdaten gespeichert.
Sobald Sie diese grundlegenden Best Practices eingeführt haben, wird es für Angreifer wahrscheinlich schwieriger, sich in Ihrem Netzwerk frei zu bewegen. Und je teurer und zeitaufwändiger der Angriff ist, desto wahrscheinlicher ist es, dass der Angreifer den Versuch abbricht oder erwischt wird.