Wie Sie ein Cybersecurity-Programm aufsetzen

Stellen Sie sicher, dass Ihr Unternehmen den Best Practices folgt

Rapid7 Managed SOC

Was sind die Grundlagen eines Cybersecurity-Programms?

Sicherheit in der Technologie nimmt an Bedeutung zu, und so auch das damit verbundene Vokabular. Wenn Sie neu im Sicherheitsbereich sind, fragen Sie sich vielleicht, wo Sie anfangen sollen, was zu tun ist, was Sie brauchen, warum Sie es brauchen, und so weiter. Die Wahrheit ist: Sie sollten sicherstellen, dass Sie und Ihre Organisation eine Kombination dieser fünf grundlegenden Best Practices erfüllen, bevor Sie etwas anderes tun:

  1. Asset-Inventur
  2. Multi-Faktor-Authentifizierung (MFA)
  3. Patch-Management
  4. Netzwerksegmentierung
  5. Dezentralisierung

Wenn Sie diese Grundlagen konsequent durchsetzen, wird sich in den meisten Fällen Ihr Gesamtrisiko erheblich verringern. Was Sie wissen müssen:

Asset-Inventur

Dies ist die Basis und fundamentale Grundlage jedes erfolgreichen Sicherheitsprogramms. Ohne diese wären die anderen Best Practices in diesem Artikel viel weniger effektiv.

Über einen soliden Asset-Bestand zu verfügen, hängt von ein paar einfachen Dingen ab: zu wissen, welche Assets Sie haben, wo sie sich in Ihrem Netzwerk befinden, welche Software und Konfigurationen sie aufweisen und welche Nutzer und Systeme Zugriff auf sie haben.

Was gilt aus der Sicherheitsperspektive als Asset? Für Anfänger sind das alle Arten von elektronischen Systemen mit Netzwerkzugriff einschließlich: Laptops, Desktop-Rechner, Server, Firewalls, Switches, Router, Telefone, Drucker, Cloud-Anwendungen und vieles mehr.

Wenn Ihr Asset-Bestand Lücken aufweist, bedeutet das, dass auch Ihr Sicherheitsprogramm Lücken hat. Wenn Sie vorgeben, dass auf allen Laptops Festplattenverschlüsselung (Full-Disk Encryption) aktiviert ist, bevor Ihr IT-Team sie den Mitarbeitern übergibt, aber Sie und Ihr IT-Team nicht über die fünf neuen Laptops Bescheid wissen, die Ihr HR-Team gerade mit einer Firmenkreditkarte gekauft hat, dann werden diese wahrscheinlich nicht verschlüsselt werden (bis es jemandem auffällt).

Lösungen für Netzwerk- und Schwachstellenscans können bei der Pflege Ihres Bestands helfen sowie dabei, Lücken in Ihrem Asset-Bestand zu identifizieren. Wenn Sie eine Kombination aus Netzwerkscans und Endpoint-Agents nutzen, hilft das bei der Erzeugung von ergiebigen, echtzeitnahen Asset-Daten für Ihren Bestand.

Multi-Faktor-Authentifizierung

Jedes gute Sicherheitsprogramm beginnt mit Multi-Faktor-Authentifizierung für den Zugriff auf sensible persönliche oder geschäftliche Daten. Die Arten der Authentifizierung werden in drei Kategorien eingeteilt:

  • Etwas, das Sie wissen: zum Beispiel ein Passwort
  • Etwas, das Sie haben: ein Telefon, Geldautomatenkarte usw.
  • Etwas, das Sie ausmacht: ein Fingerabdruck

Passwörter bieten große Schwachstellen und können beispielsweise durch Phishing-Angriffe, Passwort-Rate-Attacken und Malware leicht gestohlen werden. Wenn Sie nur ein Passwort verwenden, um Ihre Daten zu sichern, muss ein Angreifer nur eine einzige, minimale Sicherheitsschleuse passieren, um Ihr Konto zu kompromittieren. Wenn für die Benutzer mehrere Arten der Authentifizierung vorgegeben sind, wird die Beschaffung von Benutzerinformationen (und damit der Zugriff) für Angreifer wesentlich schwieriger und teurer.

Ein wichtiger Hinweis hier ist, dass die Vorgabe von zwei Formen der Authentifizierung derselben Kategorie aus der Sicherheitsperspektive nicht ausreicht. Wenn Sie beispielsweise die Benutzer auffordern, ein Passwort einzugeben und dann eine Sicherheitsfrage zu beantworten, wie z. B. „Was ist der Mädchenname Ihrer Mutter?“, dann zählt das nicht als Zwei-Faktor-Authentifizierung. Da beide der Kategorie „etwas, das Sie wissen“ angehören, handelt es sich nur um eine doppelte Ein-Faktor-Authentifizierung. Ein Passwort (etwas, das Sie wissen) einzugeben und dann einen 6-stelligen Code, der von einer App auf einem Smartphone generiert wird (etwas, das Sie haben), zählt jedoch.

Patch-Management

Vereinfacht bedeutet Patch-Management, dass Ihre gesamte Software auf dem aktuellen Stand, installiert und korrekt konfiguriert ist. Dies beinhaltet die Beschaffung, Prüfung und Installation von Patches (d. h. Software-Updates) auf den Systemen und Geräten Ihrer Organisation. Um dies effektiv zu tun, müssen Sie sich ständig über verfügbare Patches informieren, entscheiden, welche Patches auf welchen Systemen benötigt werden, deren Installation überwachen und auf Probleme nach der Patch-Installation testen. Dies wird typischerweise als Kollaboration zwischen IT- und DevOps-Teams behandelt, im Gegensatz zum Sicherheitsteam.

Patch-Management ist eng verbunden mit dem Schwachstellen-Management oder dem Prozess der Feststellung, ob Sie Schwachstellen in Ihrer IT-Umgebung haben. Hinter dem Patch-Management stehen drei Elemente: Priorisierung der Schwachstellenbehebung, Evaluierung von Sicherheitsmaßnahmen (d. h. vorhandene Sicherheitstechniken oder Systeme, die das Risiko einer Schwachstelle reduzieren) und sicherstellen, dass jedes von Ihnen implementierte Patch korrekt installiert ist.

Deshalb sind diese Elemente wichtig: Die Anwendung eines Patches wird manchmal einen anderen Teil der von Ihnen benutzten Software schädigen, was mehr schadet als nutzt. Das Verständnis dieses inhärenten Risikos spielt eine große Rolle bei der Priorisierung der Patches, die Sie anwenden möchten. Falls ein Patch eine Software schädigt, was dazu führt, dass Sie das Patch entfernen müssen, dann wird es schwieriger für einen Angreifer, wieder entstandene Schwachstellen zu nutzen, wenn Sie Sicherheitsmaßnahmen getroffen haben, die das ausgleichen. Ein Beispiel für eine solche ausgleichende Sicherheitsmaßnahme kann etwa die Implementierung von Firewall-Regeln beinhalten, die die Anzahl der Systeme begrenzen, die mit einem anfälligen System kommunizieren können, das nicht leicht gepatcht werden kann.

m mögliche negative Auswirkungen zu vermindern, testen Sie Patches auf nicht-kritischen Systemen oder in Testumgebungen, die Ihre Produktionsumgebung widerspiegeln, bevor Sie Patches auf allen Ihren Systemen installieren.

Dezentralisierung

Dezentralisierung ist ein Konzept, welches Die Verteilung von Daten auf Ihren Netzwerken und Cloud-Diensten vorsieht. Wenn ein Nutzer oder Server in einem Netzwerk kompromittiert wird, stellt dieses Konzept sicher, dass der Angreifer nicht notwendigerweise Zugang zu zusätzlichen Unternehmensdaten hat, die in den übrigen Netzwerken und Cloud-Diensten gespeichert werden, die Ihr Unternehmen nutzt. Wenn ein Angreifer beispielsweise einen Weg in ein bürointernes System zur gemeinsamen Datennutzung in einem dezentralen Umfeld findet, kann er wahrscheinlich nur auf diese geteilten Dateien zugreifen, aber nicht notwendigerweise auf alle Dateien Ihres Anbieters für Cloud-Speicherung. Wenn Sie jedoch eine zentralisierte Umgebung haben und ein Server kompromittiert wird, können die Angreifer Möglichkeiten finden, sich leicht von diesem Server zu anderen Unternehmenssystemen und Daten wie E-Mail-Servern, Bilanzen oder Benutzerverzeichnissen zu bewegen.

Dezentralisierung bietet zwei Vorteile:

1. Den Vorteil eines dezentralen Sicherheitsteams, das sich auf einen guten Lieferantenmanagementprozess stützt: Wenn Sie ein kleines oder mittelgroßes Sicherheitsteam haben, kann es unglaublich schwierig sein, Dutzende von Cloud-Anwendungen zu überwachen, die Ihr Unternehmen verwendet. Zum Glück investieren etablierte Anbieter von Cloud-Diensten massiv in ihre eigenen Sicherheitsteams und ihr eigenes Sicherheitsprogramm, das wiederum auf den Schutz ihrer Umgebung konzentriert ist. Durch die Trennung der Anbieteranwendung vom Rest Ihres Netzwerks kann sich Ihr Sicherheitsteam auf die Kernumgebung Ihrer Organisation konzentrieren, während sich das Sicherheitsteam des Anbieters auf den Schutz der Anwendung oder Dienstleistung konzentrieren kann, die der Anbieter für Sie hostet.

2. Den Vorteil, die Auswirkungen einer Sicherheitsverletzung einzudämmen, wenn eine bestimmte Anwendung oder ein Nutzer kompromittiert wird: Wenn eine Anwendung des Anbieters in einer dezentralen Umgebung kompromittiert wird, bedeutet das, dass sich der Vorfall auf diese eine Anwendung oder den Anbieter beschränkt. Dadurch wird es für einen Angreifer schwieriger (jedoch nicht unmöglich, wie bei den jüngsten Sicherheitsverletzungen zu sehen war), auf den Rest Ihrer Systeme und Informationen zuzugreifen. Je schwieriger es für einen Angreifer ist, auf einen zentralen Server zuzugreifen, desto mehr Zeit und Geld muss er in den Angriff investieren und desto wahrscheinlicher ist es, dass er darauf verzichtet oder erkannt wird.

Netzwerksegmentierung

Die Netzwerksegmentierung bringt die Dezentralisierung noch einen Schritt weiter: Welche Systeme und Geräte in Ihrem Netzwerk müssen miteinander kommunizieren? Diese Systeme dürfen dann auch nur miteinander kommunizieren, nicht mit anderen.

Betrachten Sie beispielsweise eine Krankenschwester, die an einem Laptop des Krankenhauses arbeitet. In einem gut segmentierten Netzwerk sollte der Laptop nur mit einem oder zwei anderen Systemen wie einem Druckserver (zum Drucken von Patientendaten) und dem Programm zur Aufzeichnung von Patientendaten kommunizieren können. In einem „flachen Netzwerk“, d. h. einem Netzwerk ohne Segmentierung zwischen den Systemen, könnte dieser Laptop jedoch mit jedem anderen System im Netzwerk kommunizieren. Wenn ein Angreifer diesen Laptop kompromittiert, kann er jedes andere System im Netzwerk durch komplett ungehinderte Ausbreitung im Netzwerk (lateral movement) angreifen.

Um Ihr Netzwerk effektiv zu segmentieren, ist es wichtig, dass Sie Ihre kritischsten Anlagen katalogisieren, verstehen, wo sie sich in Ihrem Netzwerk befinden und welche Systeme und Nutzer auf sie zugreifen können. Wenn mehr als die spezifischen Systeme und Nutzer, die tatsächlich Zugriff brauchen, auf die Anlagen zugreifen können, sollte dies geändert werden. Der Zugang sollte stets nach dem Prinzip der minimalen Rechte gewährt werden, um die Gesamtangriffsfläche eines Systems oder einer Anwendung zu minimieren. Sie müssen weiterhin sicherstellen, dass nichts im Netzwerk direkt mit Ihren Datenbankservern kommunizieren kann. Dort werden in der Regel kritische Anwendungsdaten gespeichert.

Die Grundlage schaffen

Sobald Sie diese grundlegenden Best Practices in Ihre Umgebung integriert haben, haben Sie die Grundlage für Sicherheit geschaffen. Es wird schwieriger und teurer für einen Angreifer, sich in Ihrem Netzwerk zu bewegen. Je teurer und zeitintensiver ein Angriff ist, desto wahrscheinlicher wird der Angreifer seinen Angriffsversuch aufgeben oder er wird entdeckt, wenn er den Angriff nicht einstellt.

Erfahren Sie mehr über SecOps

Security Operations: Aktuelles aus dem Rapid7 Blog