Moderne Unternehmen sind für ihren täglichen Betrieb vollständig von ihrer IT-Infrastruktur abhängig. Die Sicherung einer IT-Infrastruktur kann eine entmutigende Aufgabe sein. Glücklicherweise gibt es gängige Best Practices, die bei einigen der größten Unternehmen der Welt zum Erfolg geführt haben. Diese Best Practices haben gemeinsame Merkmale, die für fast jede Umgebung dupliziert werden können.
Bevor wir beginnen, lassen Sie uns die Fehler vieler Sicherheitsexperten in der Vergangenheit untersuchen. Als Sicherheitsmanager müssen wir verstehen, dass die sichersten Umgebungen, unabhängig von der Ausgereiftheit Ihrer Tools oder dem Talent Ihrer Mitarbeiter, letztendlich durch das schwächste Glied in Ihren Kontrollen gefährdet werden. Wie gehen wir also mit diesen Schwachstellen um? Beginnen wir damit, sie zu identifizieren.
Mitarbeiter
Mitarbeiter sind das einfachste und erfolgreichste Ziel für Angriffe. Alle Tools und Gelder der Welt können an einem Freitagabend von einem sorglosen Dateneingabeoperator umgangen werden. Ein gut verwalteter SSO-und Multi-Faktor-Authentifizierungsmechanismus verhindert beispielsweise, dass Angreifer auf Ihre Umgebung zugreifen, selbst wenn ein Benutzerkonto kompromittiert ist. In den letzten sechs Monaten habe ich auf zwei verschiedene kritische Vorfälle reagiert, die zeigen, dass ansonsten narrensichere Tools wie MFA nicht so effektiv sind, wie einst angenommen wurde. Bei jedem dieser Vorfälle nahm das Opfer eine MFA-Herausforderung an, obwohl es außerhalb der Geschäftszeiten lag und es sich nicht in der Nähe eines Computers befand. In beiden Fällen fehlte es dem Mitarbeiter an Voraussicht und Geduld, um zu verstehen, welche Folgen die Aktionen hatten.
In einem anderen Beispiel überschwemmten Angreifer viele Mitarbeiter mit SMS-Phishing-Nachrichten (Smishing). Der Angreifer würde die gleichen Methoden verwenden, die andere Social Engineers anwenden, indem er dem Opfer ein Gefühl der Dringlichkeit und die Bereitschaft des Opfers, zu gefallen, vermittelt. In diesen Fällen gab sich der Angreifer als CEO aus und forderte das Opfer auf, Geschenkkarten für einige VIP-Kunden zu kaufen. Allzu oft kann sich dieser Angriff auszahlen.
Im letzten Beispiel können wir die Plage von Phishing-E-Mails erörtern, die Benutzer zu einem Portal schicken, das mit Office 365 oder Okta identisch ist, um Passwörter zu stehlen. Basierend auf meinen eigenen internen Phishing-Aufklärungskampagnen in mehreren Unternehmen ist diese Taktik in etwa 20 Prozent der Fälle effektiv.
In all diesen Beispielen ist der einzige gemeinsame Nenner die Handlungen der Mitarbeiter. Trotz der Millionen, die wir für Firewalls, EDR und den Aufbau eines soliden Sicherheitsprogramms ausgeben, können sie alle durch das unersetzliche schwache Glied unserer eigenen Mitarbeiter zunichte gemacht werden.
Schlechtes Verständnis Ihrer Bedrohung Landschaft und interne Ressourcen
Beim Erstellen einer sicheren Anwendung würde ein erfahrener Entwickler das Konzept eines Bedrohungsmodells in seinen Arbeitsablauf integrieren. Dabei zeichnen sie häufig den Datenfluss und die Kommunikation in ihrer Anwendung auf, während sie Faktoren wie Anwendungsbibliotheken, Verschlüsselungstypen, TCP-Ports usw. detailliert beschreiben. Diese Menge an Details und die Zeit, die zum Erstellen eines Bedrohungsmodells benötigt wird, wird der Unternehmens-IT selten zur Verfügung gestellt Infrastrukturen. Es wird selten in Betracht gezogen, sich die Zeit zu nehmen, um Verständnis zu erlangen und eine visuelle Darstellung Ihrer Umgebung zu erstellen, aber es wird sich während Ihrer gesamten Zeit in einer Organisation auszahlen Ausgangspunkte in Ihrer Umgebung. Dies ist weitaus herausfordernder, als Sie vielleicht erwarten. Betrachten Sie die folgenden Beispiele aus der Praxis:
Vor fünf Jahren genehmigte ein Manager ein Kabelmodem und eine Wi-Fi-Verbindung zum Computer seines Verwaltungsassistenten, damit er an den Wochenenden auf seinen Desktop zugreifen konnte. Ein Anbieter richtete eine ISDN-Leitung ein an einen ISP zur Verwaltung eines HLK-Systems Entwickler erstellten Remote-Desktops in Ihrer AWS DEV-Umgebung, um direkt von zu Hause aus darauf zugreifen zu können. Diese Umgebung verfügt über ein direktes Backend zu Ihrem Rechenzentrum. Ein Legacy-VPN-Konzentrator wurde seit zehn Jahren nicht aktualisiert und verwendet einen Fallback-Authentifizierungsmechanismus mit lokalen Konten. Versteckt in einer Legacy-Firewall-Konfiguration ist TCP/22 Allow Rule Inbound für PCAnywhere from die 1990er.
Nun stehen wir auch vor dem Problem der Fuzzing Edge unserer Netzwerkinfrastruktur. Moderne IT-Infrastrukturen verfügen über vielfältige Möglichkeiten, mit Benutzern zu interagieren. Dazu gehören SaaS-basierte Webportale, SMS-Texte, von Benutzern verwaltete mobile E-Mails, BYOD-Geräte und so weiter. Wie kann dies zu Problemen für Sie führen? Nehmen wir die folgenden Beispiele aus der Praxis:
Sie haben Ihren Entwicklern erlaubt, von ihren eigenen Mobilgeräten über die mobile Android-App auf Ihre cloudbasierte Confluence-App zuzugreifen. Einer Ihrer Entwickler hat ein durch Root kompromittiertes Telefon. Wurde Ihre Confluence-Infrastruktur kompromittiert? Ein neuer Mitarbeiter checkt seine E-Mails über ein Webportal in einem Internetcafé in Singapur. Sie vergessen, sich abzumelden, und Sie haben kein Vertrauen in die Sicherheit des Computers, von dem aus sie sich angemeldet haben. Woher wissen Sie, ob das Konto dieses Mitarbeiters kompromittiert wurde?
So besorgniserregend die Sicherung Ihres Netzwerks auch ist, wir stehen auch vor dem Problem schlecht gewarteter Software. Ich schaudere, wenn ich daran denke, wie viele Instanzen anfälliger SolarWinds immer noch auf der ganzen Welt laufen. Ganz zu schweigen von anfälligen Webbrowsern, Anwendungsbibliotheken usw.
Erkennen Sie langsam das Problem? Wenn Ihre Infrastruktur wächst und altert, werden all diese Szenarien nicht nur möglich, sondern wahrscheinlich.
Trotz allem, was technische Vertriebsmitarbeiter behaupten mögen, gibt es keine einzige ganzheitliche Lösung für diese Probleme. Vielmehr müssen Sie Ihre Bemühungen und Ressourcen koordinieren, um einen Plan und Prozess zu formulieren, um Kontrolle und Einblick in Ihre Umgebung zu erlangen. Verwirrt? Keine Sorge, wir klären dies weiter unten:
Die Notwendigkeit, ein Sicherheitsprogramm aufzubauen
Das Finden von Sicherheitslösungen ist wie das Kaufen von Röhrenjeans–eine Größe passt nicht allen. Stattdessen müssen wir ein Team aus Mitarbeitern, Prozessen und Werkzeugen aufbauen, das sich zu dem entwickelt, was wir ein Sicherheitsprogramm nennen. Ein vollständiges Sicherheitsprogramm sollte mindestens die folgenden Säulen haben:
Netzwerksicherheit
Wie die Luft, die wir atmen, moderne Computerumgebungen verlassen sich auf das Netzwerk für ihre Funktionalität. Das Netzwerk ist eine Grundlage für die IT-Sicherheit und erfordert qualifizierte Mitarbeiter und erstklassige Tools, um es ordnungsgemäß zu verwalten. Dies umfasst nicht nur die herkömmliche Firewall-, Switch-und VPN-Konfiguration, sondern auch WLAN-Zugriff und Cloud-Konfigurationen. Die meisten modernen Praktiker für Netzwerksicherheit sollten Cloud-Lösungen verstehen und wissen, wie sie sie in Ihr traditionelles Modell integrieren können.
Compliance Officer
Irgendwann in ihrer Karriere, jeder Sicherheitspraktiker werden mit dem unmöglichen Argument konfrontiert, dass Sie Ihre Umgebung besser gegen einen CFO absichern müssen, der es einfach nicht versteht. Die Notwendigkeit der Einhaltung durch die Industrie und den Bund ist der einfachste Weg, um Finanzmittel für Ihre Projekte zu erhalten. Hier kommt ein Compliance Officer ins Spiel. Der Compliance Officer hilft Ihnen, besser zu verstehen, welche Anforderungen aus rechtlicher Sicht an die Organisation gestellt werden, und hilft Ihnen, die Lücken zu identifizieren, die Sie haben, um diese Anforderungen zu erfüllen. Diese Einhaltung ist oft nicht verhandelbar, sodass der Ball der Finanzierung oft bei Ihnen liegt. Das Dokumentieren und Nachweisen der Compliance trägt auch dazu bei, die Cyber-Versicherung zu sichern und den Kunden zu beweisen, dass Ihre Umgebung sicher ist. Indem Sie SOC2-Berichte erstellen und nachweisen, dass Sie Industriestandards wie NIST2, ISO27001, PCI, GDPR und andere erfüllen, öffnen Sie Märkte, an denen Ihr Unternehmen sonst nicht teilnehmen kann. Oft meiden die hochtechnischen Mitglieder Ihres Teams den Compliance-Beauftragten so wie er ist eine Verwaltungsstelle. Sie sollten sie ignorieren – ein talentierter Compliance-Beauftragter entscheidet über ein Sicherheitsprogramm.
Sysadmin und Endpunktsicherheit
Die Wichtigkeit, den Endpunkt zu sperren und die Gewährleistung erstklassiger EDR (Endpoint Detection and Response Tools) darf nicht übersehen werden. Aus eigener Erfahrung habe ich gesehen, dass eine große Anzahl von Angriffen durch das Entfernen von Administratorrechten von Unternehmenscomputern sowie durch die Verhinderung der Ausführung oder Malware des EDR verhindert wurden. Eine gute EDR-Lösung sollte Ihnen einen Einblick in die historischen Aktionen auf Ihren Endpunkten sowie eine globale Methode zum Identifizieren und Blockieren von Anwendungen basierend auf Hashes, Verhalten und Anwendungsnamen geben. Weit weg ist die alte Antiviren-Software, die auf bekannten Malware-Hashes basiert. Die Verwendung eines modernen EDR für die Endpunktsicherheit bietet unternehmensweite forensische Möglichkeiten und Abhilfe sowie das Blockieren von Verhaltensweisen, die bei Malware üblich sind.
Oft übersehen, aber ebenso wichtig ist die Fähigkeit, Endpunkte und Server für Probleme außerhalb der Sicherheit zu verwalten. Moderne Systemadministratoren benötigen Tools wie SCCM, Tanium und Jamf von Microsoft, um Ihren Software-Footprint zu identifizieren und massenhaft Konfigurations-und Software-Updates vorzunehmen. Denken Sie daran, dass viele Sicherheitsvorfälle auf anfällige Software zurückzuführen sind. Bei einer Infrastruktur von 10.000 Hosts und Servern benötigen Sie eine zentralisierte Verwaltung, wenn Sie Schritt halten wollen. Apropos Schwachstellen…
Schwachstellenmanagement
Angenommen, ein neuer Zero-Day wird in freier Wildbahn veröffentlicht. Woher wissen Sie, ob Sie anfällig sind? Wie können Sie das für Sie spezifische Risiko ermitteln? Die Antwort liegt in der Sichtbarkeit, die durch ein Vulnerability Management System (VMS) gewonnen wird.
VMS bestehen aus Scannern, die über Ihre Umgebung verteilt sind und sich aktiv bei Ihren Geräten anmelden. Sie überprüfen Softwareversionen, Konfigurationsfehler und andere wichtige Details, die Ihnen nicht nur bei der Visualisierung Ihrer Umgebung helfen, sondern auch bei der Priorisierung Ihrer Behebungsbemühungen. Diese Daten werden in einem zentralen Repository gespeichert, das eine detaillierte Bewertung basierend auf den oben genannten Industriestandards ermöglichen kann. Ein VMS-Programm ist ein Muss und wird von vielen Compliance-Standards gefordert. Wenn Sie VMS zusammen mit Ihrer Endpunktverwaltungssoftware verwenden, können Sie Sicherheitsprobleme in Ihrer Umgebung proaktiv beheben, bevor sie ausgenutzt werden können.
Zu beachten: Ein schlecht verwaltetes VMS kann Ausfälle in Anwendungen und Netzwerken verursachen. Sie müssen kommunizieren, wann ein VMS-Scan ausgeführt wird, und die Scans drosseln und die Scanner basierend auf den beobachteten Anforderungen Ihrer Umgebung auf die Whitelist setzen. Andernfalls kommt es zu massiven Ausfällen. Fragen Sie mich, woher ich das weiß.
Security Operations Center
Ein SOC ist, wie alle Teile des Sicherheitsprogramms, eine Sammlung von Personen und Prozessen , und Werkzeuge. Es handelt sich um eine reaktive Funktion, die Sicherheitsereignisse in Ihrer Umgebung überwacht und auf Ereignisse reagiert, um den Umfang der Auswirkungen zu begrenzen. Das SOC wird mit anderen Teams zusammenarbeiten, um diese Ereignisse in Zukunft zu verhindern.
Ein SOC funktioniert, indem es Protokolle von so vielen relevanten Ressourcen wie möglich sammelt und diese Protokolle an ein Tool namens”Sicherheitsinformations-und Ereignisverwaltung”sendet. (SIEM)-Plattform. Das SIEM normalisiert diese Protokolle und vergleicht sie mit bekannten Ereignissen, historischen Trends und Informations-Feeds von Drittanbietern, um zu entscheiden, dass etwas nicht stimmt.
So gut die besten SIEMs auch sind, wir brauchen immer noch Leute, die doppelt Überprüfen Sie die Ergebnisse und arbeiten Sie daran, sie zu beheben. Neue Tools mit dem Namen „Security Orchestration, Automation, and Response“ (SOAR) können die Behebung von Sicherheitsvorfällen schnell erledigen, aber sie erfordern starke Fähigkeiten zur Verwaltung. Die meisten SOCs verlassen sich immer noch auf sorgfältig geschriebene Runbooks und Standardarbeitsanweisungen, die ihre Analysten befolgen müssen. Sobald ein Vorfall identifiziert wird, muss die gesamte IT-Infrastruktur bereit und willens sein, der Sicherheit bei der Behebung des Problems zu helfen. Eine spezialisierte Position namens”Incident Commander”(IC) muss diese Bemühungen leiten. Wenn ein kritisches Ereignis erkannt wird, sollte niemand in der Organisation unterhalb der Führungsebene in der Lage sein, die Abhilfebemühungen des SOC und des IC zu blockieren oder zu behindern. Wenn Sie eine Organisation kennen, die dieses Modell richtig anwendet, lassen Sie es mich wissen!
Mitarbeiterschulungskampagne
Die letzte Säule in einem Sicherheitsprogramm zahlt sich am meisten aus Dividende mit den geringsten Ressourcen – Mitarbeiterschulung. Die Mitarbeiter bleiben das schwache Glied in Ihrer Infrastruktur, und die Schulung der Mitarbeiter zum Thema Cyberbewusstsein ist eine Möglichkeit, die Wahrscheinlichkeit ihrer Missetaten zu verringern. Cyber-Schulungen sind wichtig, um Mitarbeiter an aktuelle Angriffe zu erinnern, denen sie möglicherweise begegnen, sind aber auch für Compliance-Standards wie SOC2-Audits erforderlich. Aufklärungskampagnen sollten auch vierteljährlich zufällige E-Mail-Phishing-Tests beinhalten, die dem Mitarbeiter eine gefälschte E-Mail senden können, um seine Phishing-Anfälligkeit einzuschätzen.
Der Aufbau eines Sicherheitsprogramms mit diesen Säulen und geeigneten Tools wird den meisten Sicherheitsanforderungen von Unternehmen gerecht. Andere Faktoren wie Anwendungssicherheit und Entwicklung sollten ebenfalls berücksichtigt werden, aber sie sind eine Spezialisierung für sich. Die Nutzung dieser Säulen und die entsprechende Personalausstattung helfen CISOs dabei, ihre Organisation zu sichern und in ihrer Karriere erfolgreich zu sein.
Bildnachweis: deepadesigns/Shutterstock
Aaron Cooper ist Vice President of Security Operations bei Nuspire. Er ist ein erfahrener Sicherheitsexperte und SOC-Manager mit mehr als 20 Jahren Erfahrung in verschiedenen Unternehmensinfrastrukturen. Er verfügt über mehrere Jahre Erfahrung in der Verwaltung und Gestaltung sicherer Netzwerkumgebungen, um die Anforderungen von Finanz-und Unternehmenskunden zu erfüllen. Im Laufe seiner Erfahrung hat er formelle Präsenzschulungen geleitet und Prozesse für die Reaktion auf Vorfälle und Betrugsoperationen entwickelt. Zu Aarons Spezialisierungen gehören auch die Verwaltung von Sicherheitsbetriebszentren, das Entwerfen und Implementieren hochsicherer und verfügbarer Datennetzwerke unter Wahrung der HIPAA-, SOX-und PCI-Konformität. Er verfügt außerdem über umfangreiche Erfahrung mit einer Reihe von Intrusion Detection-, Load-Balancing-und Firewall-Lösungen.