#115 Blockieren und tackeln der Sicherheit
Subscribe to get the latest
on 2022-12-01 00:00:00 +0000
with Darren W Pulsipher, John Evans,
In dieser Folge spricht Darren mit dem wiederkehrenden Gast John Evans, Chief Technology Advisor bei World Wide Technology (WWT), über Cybersicherheit.
Keywords
#cybersecurity #ransomware #userbehavioralanalytics #compliance #zerotrust #people #process #policy
Grundlegend für alle anderen Cyber-Sicherheitsmaßnahmen ist eine grundlegende Cyber-Hygiene. Viele Unternehmen müssen diese Grundlagen beachten. Dies wird durch aktuelle Nachrichtenschlagzeilen belegt, die einen Anstieg von Angriffen wie Distributed-Denial-of-Service-Angriffen zeigen, die leicht zu verhindern sein sollten.
Aus seiner Erfahrung in der Arbeit mit der staatlichen Gemeinde glaubt John, dass die meisten Angriffe einer typischen Angriffskette folgen. Die meisten Angriffe auf staatliche und lokale Regierungen resultieren aus freiliegenden Netzwerkprotokollen oder E-Mail-Phishing. Diese stellen attraktive Eintrittspunkte für Hacker dar, und sobald sie drin sind, sind schlechte Patching-Praktiken oft der Grund, warum sie Fuß fassen und sich seitlich bewegen können. Das zusammen mit schwachen Passwortrichtlinien oder schwacher Durchsetzung von Passwortrichtlinien und Unfähigkeit zur Wiederherstellung kann zu einer Katastrophe führen.
In einem 2019 viel beachteten Ransomware-Zwischenfall nahm die betroffene Organisation an, dass sie sicher sei, da sie dieselbe Datenmenge in ihrer Produktions- und Backup-Umgebung hatte. Aber sie hatten ihre Backups oder Wiederherstellungsfähigkeiten nie getestet, was sich als schlecht erwies. Eine grundlegende Cybersicherheit hätte diesen Vorfall verhindern können.
Es gibt vier wesentliche Grundlagen, auf die jede Organisation achten sollte. Erstens müssen sie die Menschen wiederholt schulen, um Phishing-Betrug zu vermeiden. Das Training mag wiederholt oder banal erscheinen, aber dass Menschen auf diese Betrugsversuche hereinfallen, ist eine erhebliche Schwachstelle in einer Organisation. Hoffentlich werden Passwörter in naher Zukunft nicht mehr nötig sein.
Zweitens müssen sie Firewalls entsprechend konfigurieren; nur weil RTP- oder Netzwerkprotokoll-Ports geschlossen sind, bedeutet das nicht, dass es keinen offenen Port an einer weniger prominenten Stelle gibt. Sicherheit durch Obskurität funktioniert nicht.
Drittens müssen sie schlechte Patching-Richtlinien vermeiden, sowohl beim Kunden als auch beim Server, in den Rechenzentren und auch am Rand. Viele Organisationen sind in technischer Verschuldung und können ihre alten Systeme nicht aktualisieren. Daher akzeptieren sie die Schwachstellen und Risiken, weil sie keine Investitionen in ein Update tätigen möchten.
Viertens müssen sie die Fähigkeit haben, sich zu erholen. Nur weil Sie wissen, dass Sie Ihre Daten sichern können, können Sie mit der Sicherung auch wirklich verwenden und wiederherstellen? Testen ist unerlässlich.
Diese vier Grundlagen, zusammen mit einigen anderen, reichen aus, um nahezu alle Angriffe auf Organisationen abzuwehren, die keine regelmäßigen Ziele sind. Dieses Modell gilt nicht für Organisationen, die nationale Angriffe erleiden; sie setzen bereits all diese Maßnahmen um und benötigen zusätzliche Sicherheitsmaßnahmen.
Eine Überlegung für viele Organisationen ist die Konformität im Verhältnis zum Risiko. Einige Organisationen müssen alte Maschinen, Anwendungen und Prozesse aufrüsten, um konform zu sein, was mit erheblichen Kosten verbunden ist. Für Organisationen mit einem nicht aktualisierbaren System wäre ein risikobasierter Ansatz möglich, bei dem im Falle eines Systemfehlers die Kosten für die Aktualisierung des Systems niedriger wären als die Kosten des Risikos. Natürlich wäre es sicherer, auf Konformität umzusteigen, aber die Mehrheit der Menschen betrachtet den risikobasierten Ansatz als sicherer. Kleinere Unternehmen könnten mit diesem Ansatz durchkommen, aber Regierungsorganisationen haben beispielsweise aufsichtsrechtliche Anforderungen.
Es gibt zwei Gründe, warum eine Organisation sich für die Einhaltung von Vorschriften entscheiden könnte, außer aufgrund einer Vorgabe. Erstens ist es für viele Organisationen, die nicht verstehen, wie man Risiken ermittelt oder priorisiert, eine einfache Lösung. Die Einhaltung von Vorschriften bietet einen allgemeinen Rahmen, auf den man zurückgreifen kann. Es ist jedoch keine Lösung für alle, da jemand anderes Risiken auf eine allgemeine Weise priorisiert. Zweitens, wenn etwas Schreckliches passiert und Sie es zum Beispiel Ihrem Vorstand erklären müssen, können Sie sagen, dass Sie anerkannte Standards befolgt haben.
Compliance ist eine Art Stützdenken, da man nicht alle Risikobewertungen durchführen und herausfinden muss, was getan werden muss. Aber zum Beispiel könnte eine kleine Gemeinde ohne CISO einen Systemadministrator anweisen, einen Compliance-Framework als guten Ausgangspunkt zu verwenden. Wenn kein CISO zur Verfügung steht, gibt es auch die Möglichkeit eines teilzeitlichen virtuellen CISO für Anleitung. John tut dies für Kunden, was ein rentabler Weg zu einer besseren Sicherheit ist.
Das Konzept des Null-Vertrauens betrachtet auch ein Maß an Sicherheit im Vergleich zum Risiko. Sie müssen das Risiko verstehen, jemandem Zugriff auf ein bestimmtes System oder Daten zu gewähren, und dann die entsprechende Gewissheit haben, dass die Person wirklich diejenige ist, die sie vorgibt zu sein. Im Zentrum des Null-Vertrauens steht ein hohes Maß an Sicherheit, das das Risiko abmildert.
Zero Trust bedeutet nicht, dass alles abgesperrt und alle Prozesse langsamer werden. Wenn zum Beispiel jemand die Niederschlagsmengen einsehen möchte, ist keine hohe Sicherheitsüberprüfung der Person erforderlich. Wenn jedoch jemand auf die “Kronjuwelen” Ihrer Organisation zugreifen möchte, müssen zusätzliche Kontrollen zur Identitätsüberprüfung vorhanden sein.
Die Abstimmung des Sicherheitsniveaus mit dem Risikograd ist herausfordernd; es erfordert eine Entscheidungspunkt-Architektur. Im Beispiel des Risikos beim Zugriff auf eine Datenquelle muss eine Organisation wissen, um was für Daten es sich handelt und sie entsprechend dem Risiko kategorisieren. Für eine reife Organisation kann dies schwierig sein. John weiß von einer Bundesbehörde, die über zwei Jahre damit verbracht hat, sicherzustellen, dass ihre Daten korrekt identifiziert, klassifiziert und markiert wurden, bevor sie mit einer Entscheidungspunkt-Architektur weitergemacht haben.
Identität und Daten sind die zwei Ausgangspunkte für Zero Trust. Außerdem ist es sinnvoll, zu vermeiden, alles auf einmal zu versuchen und umzusetzen. Es könnte am besten sein, mit einem Teil einer Organisation zu beginnen und es im Laufe der Zeit auf die restliche Organisation auszuweiten.
Digitale Identität wird immer ausgeklügelter. John glaubt, dass unsere Transaktionen in Zukunft hauptsächlich auf einem Ansatz des sogenannten “Zero Trust” basieren werden. Zum Beispiel, wenn er $10.000 von seiner Bank auf ein Offshore-Konto überweisen möchte, sollte die Bank sicherstellen, dass es sich tatsächlich um ihn handelt und diese Transaktion behandeln, als würde jemand versuchen, auf sehr sensible, hochriskante Informationen zuzugreifen. Wenn er jedoch in den Laden geht, um eine Tasse Kaffee für einen Dollar zu kaufen, ist diese Art von Sicherheit nicht notwendig. Viele der “Zero Trust” Prinzipien werden sich in unseren Alltag integrieren.
Benutzerverhaltensanalyse wird ebenfalls ins Spiel kommen. Genauso wie ein Kreditkartenunternehmen bei ungewöhnlichen Einkäufen Alarm schlägt, zum Beispiel, wenn ein System weiß, dass John 20 Wörter pro Minute tippt und plötzlich 100 Wörter pro Minute tippt und versucht, auf sensible Informationen zuzugreifen, gibt es eine Warnung.