Seien Sie einen Schritt voraus: Was macht ein umfassendes Threat Prevention System aus?
Es ist verständlich, dass Führungskräfte aus allen Bereichen aktiv nach neuen Wegen suchen, um ihre Cloud-basierten und hybriden Betriebsabläufe zu schützen. Vor allem fortschrittliche Threat Prevention System sind sehr gefragt. Doch was sollte ein solches System beinhalten und welche Sicherheitsbereiche sollte es abdecken?
Um aufkommenden Bedrohungen zu widerstehen, empfiehlt unser Informationssicherheitsteam CISOs, sich auf die folgenden fünf Bereiche zu konzentrieren:
- Nutzung eines Identity Management Service
- Implementierung fortschrittlicher Datensicherungssoftware
- Festlegung neuer Standards für das Vertrauen in Geräte
- Starker Fokus auf Cloud Sicherheit
- Verbesserung der Sicherheit der Infrastruktur
Nun wollen wir diese unter die Lupe nehmen, um besser zu verstehen, wie man in jedem einzelnen Bereich herausstechen kann.
1. Identity Management
Der Wert eines jeden Systems zum Schutz vor Bedrohungen wird erheblich gemindert, wenn Ihr Unternehmen das Identity Management nicht ernst genug nimmt. Kompromittierte Benutzeranmeldeinformationen bieten Hackern eine direkte Möglichkeit, in Ihre Systeme einzudringen und auf sensible Unternehmensdaten zuzugreifen.
In den meisten Fällen fungieren Ihre Mitarbeiter als " unbeabsichtigte Insider", die durch ihr alltägliches Verhalten Kriminellen unwissentlich Zugang gewähren. Um dies zu veranschaulichen, beschloss ein Finanzunternehmen mit weltweit 250.000 Mitarbeitern zu überwachen, wie seine Mitarbeiter mit dem Internet interagieren. Ihre Entdeckung war erschütternd: Jeden Tag unternahmen die Mitarbeiter über 660 Millionen Versuche, auf verschiedene Websites zuzugreifen. Davon wurden 2,2 Millionen als "bösartig" eingestuft und von dem installierten Threat Prevention System blockiert. Außerdem wurden von der Anti-Malware-Lösung am Netzwerkrand 244 verdächtige Dateien erfasst.
Aus diesen Daten können wir schließen, dass viele dubiose Websites Anmeldeinformationen und private Daten von Mitarbeitern stehlen könnten. Sie könnten außerdem gesammelt werden, um an Hacker weiterverkauft zu werden, die mit Hilfe von Algorithmen zum Knacken von Passwörtern in Unternehmenssysteme eindringen.
Die neuere Generation von Identity Management Software kann auf zweierlei Weise dazu beitragen, die Kosten für kompromittierte Anmeldedaten zu senken:
- Erstens können Sie Single Sign-On (SSO) und Two Factor Authentication (2FA) für den Zugriff auf alle Unternehmenskonten einrichten. Dadurch werden Risiken im Zusammenhang mit schwachen Passwörtern/der Wiederverwendung von Passwörtern vermieden.
- Zweitens kann ein zentralisiertes Identitätsmanagement-System Ihnen einen vollständigen Einblick in den Zustand und das Surfverhalten der einzelnen Benutzer geben. Durch die proaktive Überwachung und die Verwaltung von Zugriffsrechten kann Ihr Sicherheitsteam eine genauere Kontrolle über die Benutzerberechtigungen ausüben und im Falle eines Sicherheitsvorfalls schnell die "Reißleine" ziehen.
In unserem letzten Beitrag haben wir Ihnen gezeigt, wie Sie Azure Identity Management Lösungen nutzen können, um Cloud-basierte Abläufe zu sichern.
2. Datenschutz im Unternehmen
Eine strenge Datenschutzpolitik ist sowohl eine rechtliche als auch eine Sicherheitsanforderung. Die DSGVO schreibt die "Integrität und Vertraulichkeit" der Daten sowie die "Beschränkung der Speicherung" vor. Ebenso wie der California Consumer Privacy Act (CCPA) im Jahr 2019.
Obwohl in beiden Bestimmungen vage formuliert ist, welche Datenschutzstandards und -methoden angewandt werden sollen, gibt es keine Unklarheit über die Sanktionen. Sie sind teuer und drohen Unternehmen, die fahrlässig mit sensiblen Daten umgehen.
Zwar werden in den verschiedenen Unternehmen unterschiedliche Arten von Daten gespeichert und verwaltet, doch sollte das allgemeine Niveau des Schutzes von Unternehmensdaten Folgendes umfassen:
- Alle operativen Daten
- Systeme, Netzwerke und Konfigurationsdaten
- Personenbezogene Daten von Kunden/Nutzern und Mitarbeitern
- Prüfung der mit externen Dritten geteilten Daten.
Darüber hinaus sollten Ihre Datensicherungslösungen so konfiguriert sein, dass sie Folgendes unterstützen:
- Schutz von Endpunktdaten
- Schutz von Kommunikationsdaten
- Schutz der Konfigurationsdaten
- Überwachung des Datenschutzes.
Das bedeutet viel Arbeit, insbesondere für Unternehmen mit hybrider oder Multi-Cloud-Infrastruktur. Zwar verfügen die meisten Cloud-Dienste über systemeigene Datenschutzmechanismen und kontinuierliche Datenschutzlösungen, die zentral konfiguriert werden können, um verschiedene Datentypen zu schützen (ruhende, genutzte und bewegte Daten) und die Sicherheitsüberwachung des Datenaustauschs zu ermöglichen.
Microsoft Azure zum Beispiel verwendet SSL/TLS zum Schutz aller Daten bei der Übertragung und verwendet Verschlüsselung für den gesamten LDAP- und Partitions-/Replikationsverkehr. Ruhende Daten können mit dem Distributed Key Manager (DKM) verschlüsselt und mit symmetrischen Schlüsseln, privaten asymmetrischen Schlüsseln und Passwörtern geschützt werden.
Dennoch ist besondere Wachsamkeit geboten, wenn es um die Sicherung verschiedener Arten von Vermögenswerten geht. Hier ist eine abschreckende Geschichte von Blind. Vor ein paar Jahren testete die anonyme Social-Media-App für den Arbeitsplatz Berichten zufolge ein internes Tool für die Nutzer. Während dieser Tests stellte ein externer Sicherheitsexperte fest, dass eine der Elasticsearch-Backend-Datenbanken des Unternehmens, in der einige sensible Benutzerdaten gespeichert waren, ohne Passwort aktiv war. Mit anderen Worten: Jeder hätte die Möglichkeit, Informationen über Benutzerkonten zu stehlen und damit an die Öffentlichkeit zu gehen, wenn er wüsste, wo er suchen muss.
Das Fazit: Der Schutz von Cloud-Daten ist eine gemeinsame Aufgabe. Während der Cloud-Anbieter Ihnen alle Tools und Services zum Schutz Ihrer Daten und Infrastruktur zur Verfügung stellt, ist es die Aufgabe Ihres IT-Sicherheitsanalysten, dafür zu sorgen, dass der Schutzwall absolut dicht ist.
3. Benutzerverifizierung und Gerätevertrauen
Ein sicheres Identity Management ist seit der raschen Verlagerung zur Remote-Arbeit ebenfalls von größter Bedeutung geworden. Durch die Nutzung privater mobiler Geräte, Laptops und ungeschützter Heimnetzwerke durch die Mitarbeiter ist die Sicherheitsbelastung der Unternehmensinfrastruktur erheblich gestiegen.
Angesichts der rasanten Verlagerung hin zur Remote-Arbeit mussten 45 % der Unternehmen ihre Mitarbeiter auffordern, persönliche Geräte für die Arbeit zu nutzen. Mehr als 6 Monate nach Beginn der Pandemie geben 42 % zu, dass sie diese Geräte noch nicht gesichert haben.
Hier ergeben sich mehrere Probleme:
- Persönliche Geräte von Mitarbeitern sind einem größeren Malware-Risiko ausgesetzt, da sie weniger gut gewartet werden.
- Es ist kaum möglich, eine wachsende Zahl von Geräten an Unternehmensnetzwerke anzuschließen und jedes Gerät ordnungsgemäß zu überprüfen.
In der Folge passiert dies: Ein vertrauenswürdiger Benutzer meldet sich von einem infizierten Computer aus über ein VPN beim Unternehmensnetzwerk an. Die Malware gelangt über das VPN in das Unternehmensnetzwerk. Alternativ könnten die Nutzer auch verschiedene Websites besuchen und fragwürdige Software auf ihre Geräte herunterladen. Während solche Aktionen innerhalb des Unternehmensnetzes begrenzt sind, ist ein über VPN verbundener remoter Rechner nicht dagegen geschützt. So entstehen Sicherheitsvorfälle.
Um schlimme Szenarien zu verhindern, können CISOs mehrere Dinge tun:
- Wählen Sie eine Sicherheitslösung, mit der Sie IT-Unternehmensrichtlinien für VMs, Hosting-Betriebssysteme, Unternehmensanwendungen und sensible Daten erstellen und durchsetzen können.
- Implementieren Sie eine zentralisierte VM-Authentifizierung, um die Identitäten der Nutzer zu überprüfen.
- Erwägen Sie einen dynamischen oder Just-in-Time-Zugriff auf VMs, um die Gefährdung Ihrer Systeme durch die Außenwelt zu verringern.
- Aktivieren Sie die kontinuierliche Überwachung aller Ihrer VMs, um mögliche Schwachstellen frühzeitig zu erkennen.
4. Cloud-Sicherheit
Wie bereits erwähnt, sind der Anbieter und das Unternehmen gemeinsam für die Cloud-Sicherheit verantwortlich. Diese Tatsache kann zu Sicherheitsproblemen für frühe Cloud-Anwender führen, die versuchen, lokale SIEM-Praktiken (Security Information and Event Management) auf die neu geschaffene Cloud-Umgebung zu übertragen. Das Problem ist, dass die meisten regelbasierten SIEM-Lösungen für die Abwehr fortgeschrittener Bedrohungen nicht mehr ausreichen.
Neben der Gewährleistung eines ordnungsgemäßen Cloud Identity Management und eines kontinuierlichen Datenschutzes sollten Sie auch die folgenden bewährten Praktiken nutzen:
- Überwachung auf Multi-Vektor-Anomalien: Eine neuere Generation von Algorithmen für Machine Learning kann dazu beitragen, Muster zu erkennen, die auf Betrug hindeuten und nicht auf einmalige, geringfügige Sicherheitsverstöße (z. B. nicht genehmigter App-Download).
- Einrichten von intelligenten Warnmeldungen: Seien Sie sich darüber im Klaren, dass Ihr SOC-Team nicht in der Lage sein wird, auf jedes Ereignis zu reagieren, das Ihr Threat Prevention System erkennt (einschließlich falsch-positiver Ereignisse). Mit Cloud-basierten SIEM-Lösungen wie Azure Sentinel können Teams benutzerdefinierte Analyseregeln für die Erkennung von Bedrohungen festlegen (Whitelisting bekannter Ereignisse und/oder Benutzer mit geringem Risiko). Außerdem können Sie die Warnmeldungen so konfigurieren und priorisieren, dass sie besser auf Ihre Arbeitsabläufe abgestimmt sind.
- Überwachung auf Schatten-IT und sanktionierte Anwendungen: Überwachung des Netzwerkverkehrs, um nicht genehmigte und verdächtige Datenströme aufzuspüren. Dies sind typische Indikatoren für eine Schatten-IT.
Um CISOs bei der gezielten Überwachung und Prävention von Schatten-IT zu unterstützen, brachte Microsoft kürzlich das Tool Microsoft Cloud App Security (MCAS) auf den Markt. Diese Lösung hilft IT-Teams dabei, nicht zugelassene Anwendungen zu identifizieren, Benutzer über Alternativen aufzuklären und/oder Richtlinien für die Verwendung ähnlicher Lösungen zu aktualisieren. Laut der Forrester-Studie haben Unternehmen, die MCAS einsetzen, 75 % weniger Sicherheitsvorfälle erlebt.
5. Sicherheit der Infrastruktur
Zu guter Letzt sollten Sie sicherstellen, dass Sie ausreichende Maßnahmen zum Schutz der Unternehmensinfrastruktur - Server, VMs, Netzwerke und Datenbanken, die sowohl vor Ort als auch in der Cloud gehostet werden - vor Cyber-Bedrohungen getroffen haben.
Da ein größerer Teil der Arbeit remote erledigt wird, sollten Führungskräfte die folgenden Praktiken bewusster umsetzen:
- Sicherstellung des ordnungsgemäßen Remote-Zugriffs auf alle Anlagen. Verlassen Sie sich nicht auf die vom Softwarehersteller vorgeschlagenen Standardkonfigurationen. Überprüfen Sie diese für alle wichtigen Remote-Zugangsendpunkte erneut, um sicherzustellen, dass sie tatsächlich den neuesten Sicherheitsstandards entsprechen.
- Machen Sie keine Kompromisse bei der Traffic-Überwachung. Angesichts der größeren Anzahl von Geräten und des stärkeren Datenverkehrs, der über das Internet abgewickelt wird, sind die Netzwerkadministratoren möglicherweise bereit, die Überwachung zu lockern oder sogar sicherheitsrelevante Praktiken wie Split-Tunneling und die Entfernung von IP-Safe-Listen zuzulassen. Dies führt zu einer verworrenen Sichtbarkeit und schränkt die Möglichkeit ein, ein- und ausgehenden Datenverkehr zu überprüfen, der an bösartige Ziele geht.
- Priorisieren Sie den Schutz von privilegierten Benutzern und der von ihnen benötigten Infrastruktur. Überprüfen Sie, ob alle remote zugänglichen Dienste ordnungsgemäß abgesichert sind. Verwenden Sie einen Bastion-Host, um den Zugriff auf kritische VDIs und VMs zu schützen. So können Sie beispielsweise mit Azure Bastion einen privaten SSH/RDP-Zugang zu Azure-basierten VMs einrichten, auf denen die sensibelsten Vorgänge ausgeführt werden.
Fazit
Die Einrichtung eines umfassenden Threat Prevention Systems ist ein zeitaufwändiges Unterfangen. Allerdings ist es auch keine Option, die Kontrollen zu vernachlässigen, da eine einfache Nachlässigkeit zu schwerwiegenden Sicherheitsfolgen führen kann - Datenschutzverletzungen, Informationsdiebstahl und anschließende behördliche Maßnahmen.
Wenn Sie jedoch Microsoft Azure-Kunde sind, sind Sie in puncto Sicherheit besser aufgestellt. Letztes Jahr führte Microsoft einen integrierten Threat Protection Service ein - ein zentrales Bedienfeld für die Konfiguration, Verwaltung und Überwachung von Sicherheitskonfigurationen für alle Identitäten, Infrastrukturen, Endpunkte und Cloud-Anwendungen.
Partner und Microsoft CSP Tier 1 Partner, der auch eigenständige SIEM-Architektur-Implementierungen und SOC-Services anbietet. Lassen Sie uns gemeinsam Ihren Betrieb absichern. Kontaktieren Sie uns!