Die Welt der System- und Datensicherheit verändert sich, und mit ihr müssen sich einige Grundannahmen ändern. Es ist nicht mehr sicher anzunehmen, dass Ihr Netzwerk geschützt ist und dass Cyberkriminelle nicht in den Perimeter eindringen können. Mit den richtigen Ressourcen und Möglichkeiten können und werden sie es tun. Tatsächlich könnten sie dies bereits getan haben. Anstatt sich ausschließlich auf den Schutz des Netzwerks zu konzentrieren, müssen IT- und Sicherheitsteams für den Fall planen, dass es kompromittiert wird. Unternehmen müssen nicht nur auf das Beste hoffen – dass keine Angriffe in Systeme und Infrastruktur eindringen –, sondern auch mit dem Schlimmsten rechnen.
Dies ist eine entscheidende Sache zu verstehen. Viele Cyberangriffe sind jetzt darauf ausgelegt, Malware einzuschleusen, die es Hackern ermöglicht, Daten abzuschöpfen oder zu einem späteren Zeitpunkt einen größeren Angriff zu starten. Diese Malware kann Monate oder sogar Jahre unentdeckt liegen, die Hacker warten auf ihren Moment oder stehlen unauffällig Daten. Im Dezember 2016 entdeckte Yahoo, dass die Benutzerdaten von rund 500 Millionen Nutzern gestohlen wurden. Noch ärgerlicher war, dass der Verstoß tatsächlich zwei Jahre zuvor passiert war.
Das ist nicht so ungewöhnlich, wie Sie vielleicht hoffen. Die Studie „Cost of Data Breach“ des Ponemon Institute aus dem Jahr 2017 ergab, dass Unternehmen im Durchschnitt mehr als sechs Monate brauchten, um eine Datenschutzverletzung zu erkennen, bei böswilligen oder kriminellen Angriffen sogar 214 Tage. Aus diesem Grund wechseln viele Sicherheitsexperten von einer Denkweise, die davon ausgeht, dass die Systeme ihrer Organisation vollständig gesichert sind, zu einer Denkweise, die davon ausgeht, dass diese Systeme möglicherweise bereits kompromittiert wurden.
Siehe verwandt Das Geschäft mit MalwareDie Wahrheit über VerschlüsselungDie 10 besten (oder sollte das schlimmsten sein?) Malware-Angriffe
Mit den Worten von Simon Shiu, Direktor des Security Lab und HP Labs Bristol, und Boris Balacheff, Cheftechnologe für Systemsicherheitsforschung und -innovation bei HP Labs, akzeptiert die Sicherheitsbranche endlich, dass „bei ausreichenden Ressourcen ein Angriff irgendwann erfolgen wird erfolgreich. Das bedeutet, nicht nur Sicherheitsvorkehrungen zu entwerfen, sondern auch Mechanismen, die erkennen, wenn Schutzmaßnahmen fehlschlagen, und dabei helfen, Geräte oder Infrastrukturen sowohl bei Maschinengeschwindigkeit als auch in großem Umfang wieder in einen guten Zustand zu versetzen.“ Diese Denkweise hat HP Labs dazu veranlasst, Technologien wie HP SureStart zu entwickeln , die nicht nur unbefugte Änderungen an der Firmware eines PCs oder Druckers erkennen, sondern auch eine automatische Wiederherstellung ermöglichen, bevor ernsthafter Schaden angerichtet werden kann. Belastbarkeit ist der Schlüssel.
Diese Hoffnung auf das Beste, Plan für das Schlimmste Mentalität ist es wert, angenommen zu werden. In einer Welt, in der Hacker eine gezielte, anhaltende Bedrohung darstellen können, muss jede Organisation vorbereitet sein.
Bereiten Sie sich darauf vor, verletzt zu werden
Es mag seltsam erscheinen, sich auf etwas vorzubereiten, an dem Sie hart arbeiten, um sicherzustellen, dass es nicht passiert, aber es unterscheidet sich nicht vom Abschluss einer Hausratversicherung, auch wenn Sie angemessene Maßnahmen ergreifen, um Ihren Besitz gegen Überschwemmung, Feuer und Diebstahl zu schützen.
So wie Sie die Türen nicht unverschlossen lassen würden, müssen Sie dennoch für angemessene Sicherheit sorgen. Verwalteter Zugriff auf vertrauliche Daten und klare Sicherheitsrichtlinien sind nach wie vor von entscheidender Bedeutung, ebenso wie die Aufklärung der Mitarbeiter über die Gründe. Die Einführung von Zwei-Faktor-Authentifizierungssystemen ist ebenfalls eine kluge Idee, mit einem Passwort, das durch Fingerabdruck oder Gesichtserkennung oder durch Authentifizierung über eine Smartphone-App gesichert wird. Die neuesten HP ProBook- und EliteBook-Laptops unterstützen eine oder beide Formen der biometrischen Anmeldung zusammen mit dem Windows Hello-Authentifizierungsframework von Microsoft. Das wird viel dazu beitragen, Ihre Endpunkte sicher zu halten.
Sichere Hardware kann auch Ihre Widerstandsfähigkeit stärken. HP-Drucker mit Intrusion Detection- und SureStart-Technologie können nicht von Malware als Geisel genommen und als Stützpunkt für weitere Angriffe verwendet werden. HP-PCs und -Laptops mit einer neuen Generation von SureStart können nicht auf Firmware-Ebene infiziert und dazu verwendet werden, nach Anmeldeinformationen zu schnüffeln oder die Infektion über das Netzwerk zu verbreiten. Wenn SureStart erkennt, dass die Firmware geändert wurde, schüttelt es den Angriff einfach ab und kehrt zu einem zuletzt bekannten guten Zustand zurück. Je mehr Technologie Sie zur Eindämmung eines potenziellen Verstoßes einsetzen, desto weniger Schaden kann ein solcher Verstoß anrichten und desto schneller lässt sich dieser Verstoß beheben. So funktioniert Resilienz.
Darüber hinaus benötigen Organisationen jedoch eine ganze Menge Daten. Nur wenn sie ihre SIEM-Tools (Security Information and Event Management) optimal nutzen und so viele Aktivitäten wie möglich protokollieren, können Unternehmen eine klare Basisansicht des normalen Verhaltens im Netzwerk erstellen, sodass sie dann Abweichungen davon erkennen können Norm. Je mehr Aktivitäten Sie protokollieren und überwachen, desto mehr können Ihre SIEM-Tools berichten und analysieren. Umso größer ist die Chance, dass Sie einen Verstoß erkennen und schnell dagegen vorgehen.
Schließlich, und vielleicht am wichtigsten, benötigt jede Organisation einen Plan zur Reaktion auf Sicherheitsverletzungen. Darin wird klar beschrieben, was im Falle eines Verstoßes geschehen soll, und es werden klare Rollen und Verantwortlichkeiten festgelegt, ohne Unklarheiten darüber, wer was wann tun muss. Es hilft, Benchmarks zu definieren, anhand derer Sie den Schweregrad eines Verstoßes einschätzen können, und dann angemessene und verhältnismäßige Reaktionen für jeden einzelnen, wobei die Sicherheit Ihres Unternehmens, die Datensicherheit Ihrer Kunden und alle gesetzlichen oder Compliance-Anforderungen berücksichtigt werden. Ihr Plan muss in Bezug auf das Timing und Ihr internes Fachwissen realistisch sein, und er benötigt die Unterstützung von Führungskräften in der Organisation. Wenn ein Branchensystem heruntergefahren werden muss, um wertvolle Daten zu sichern, brauchen Sie jemanden auf höchster Ebene, der den Fall unterstützt. Es muss auch festgelegt werden, wer wann identifiziert werden muss; In Großbritannien und Europa wird die Benachrichtigung von Behörden und in einigen Fällen von Kunden bald gemäß der Datenschutz-Grundverordnung (DSGVO) obligatorisch sein.
Feststellen eines Verstoßes
Sobald Sie eine Basisansicht des normalen Netzwerkverhaltens haben, ist es einfacher, Diskrepanzen zu erkennen und die Fehlalarme von denen zu trennen, die untersucht werden müssen. Gibt es eine Diskrepanz zwischen den verwendeten Ports und dem durch sie fließenden Anwendungsdatenverkehr? Wird von ungewöhnlichen Orten zu bestimmten Zeiten auf Daten zugegriffen?
Werden benutzerdefinierte Tunnel, nicht autorisierte Proxys, Remote-Desktop-Protokolle, Entwicklungstools oder Dateiübertragungsanwendungen von Teams und Mitarbeitern verwendet, die dafür keine Geschäftsgrundlage haben? Werden Benutzeranmeldeinformationen außerhalb der Geschäftszeiten von 9 bis 5 Mitarbeitern verwendet? Gestohlene Zugangsdaten werden häufig verschenkt, beispielsweise wenn sich ein Benutzer viel häufiger als gewöhnlich, in kürzeren Abständen oder gleichzeitig von mehr als einem Gerät aus anmeldet.
Auch Datenströme können verdächtig sein. Sehen Sie sich an, wo darauf zugegriffen wird, wer darauf zugreift, wie viel übertragen wird und wohin. All diese Protokollierung, Überwachung und Analyse kann harte Arbeit sein – weshalb es am besten ist, so viel wie möglich zu automatisieren – aber es ist viel einfacher, als von einem Kunden oder Dritten von einem Verstoß zu hören. Leider werden etwa 27 % der Datenschutzverletzungen auf diese Weise entdeckt.
Eindämmen und Reparieren
Der Hauptgrund für einen Plan ist, dass Sie schnell handeln müssen, wenn Sie eine Sicherheitslücke entdecken. Sie können daran arbeiten, den Zugriff auf gefährdete Daten einzuschränken, Anfragen zu protokollieren und das Ausmaß des Verstoßes einzuschätzen. Sie können die zuständigen Behörden oder – falls erforderlich – Kunden und Endverbraucher benachrichtigen und alle erforderlichen Sicherheitsvorkehrungen treffen. Am wichtigsten ist, dass Sie überprüfen können, ob der Angriff tatsächlich beendet ist. Gibt es noch verdächtige Aktivitäten? Wurden Mechanismen für den Zugriff auf Daten beibehalten? Gibt es Anzeichen dafür, dass die Gerätefirmware manipuliert oder Geräte im Netzwerk infiziert wurden?
Sie werden auch all die Daten benötigen, die Sie protokolliert haben. Dies ist der Beweis, der Ihnen helfen kann, Aktivitäten bis zum Eintrittspunkt zurückzuverfolgen, die verwendeten Konten oder Software-Schwachstellen zu isolieren und dann Abhilfemaßnahmen zu ergreifen. IP-Adressen, Kontodaten, Anmeldeaktivitäten, Sicherheitsdaten und eine Reihe von Artefakten können verwendet werden, um von einem Ereignis zum vorherigen Ereignis zurückzuverfolgen und herauszufinden, wo ein Angriff stattgefunden hat und wo er sich ausgebreitet hat. Dies ist, was Sie brauchen, um den Verstoß zu beheben und dann sicherzustellen, dass er sich nicht wiederholt. Es ist ebenso wichtig, Ihre Korrekturaktivitäten zu protokollieren. Schließlich können Sie zu einem späteren Zeitpunkt gerufen werden, um zu zeigen, dass Sie alles in Ihrer Macht Stehende getan haben.
Indem Sie schnell handeln, Ihre Schwachstellen beheben, Ihre Systeme bereinigen und patchen und sicherstellen, dass alle Beteiligten benachrichtigt werden, können Unternehmen, die von einem Verstoß betroffen sind, den Schaden minimieren, ihren Ruf schützen und behördliche Strafen vermeiden. Sie können einen Verstoß nicht unbedingt verhindern, aber Sie können steuern, was passiert, wenn es doch passiert. Indem Sie Resilienz in Ihre Systeme und Sicherheitsrichtlinien einbauen, stellen Sie sicher, dass Sie auf das Schlimmste vorbereitet sind und dennoch auf das Beste hoffen.
Erfahren Sie, wie Sie Ihr Unternehmen vor Hackern wie The Wolf schützen können…