So sind die Risiken von Cyberattacken zu minimieren: Reaktiver vs. proaktiver Ansatz
Im nachfolgenden Blog-Artikel werden wir über den jüngsten Malware-Angriff berichten sowie darüber, wie „ultimative“ Sicherheitslösungen Ihrem Unternehmen schaden können und wie der proaktive Sicherheitsansatz helfen kann, die Sicherheitsrisiken zu verhindern und zu minimieren
Keine Panik: Sie brauchen einen Plan
Während die Unternehmen immer noch darum kämpfen, ihre Infrastruktur wiederherzustellen und die Verluste auszugleichen, wird klar, dass insbesondere der letzte Cyberangriff ein klares Zeichen der Verwundbarkeit bei solchen Angriffen war. Nun heißt die ultimative Herausforderung für die CEOs und die IT-Manager eines jeden Unternehmens die Verhinderung der Risiken der zukünftigen Albträume wie diese.
Viele Sicherheitssystemintegratoren sind auf den NotPetya-Ransomware-Zug aufgesprungen, um ihren Kunden entsprechende Sicherheitslösungen anzubieten. Die meisten dieser Lösungen werden als die ultimative „Wunderwaffe“ bei jedem bestehenden Sicherheitsproblem beworben. Die weltweit besten Cyberpraktiken zeigen allerdings, dass es noch kein Allheilmittel gegen die Cyberattacken gibt, es sei denn, die Internetverbindung des Geräts wird getrennt. Die Sicherheitsintegratoren, die in den meisten Fällen lediglich die Vertreiber von Sicherheitssoftware oder -hardware sind, verfolgen einen reaktiven Ansatz in Bezug auf die Cybersicherheit.
Lassen Sie uns überprüfen, warum der reaktive Ansatz bei der Cybersicherheit nicht funktioniert, warum der proaktive Ansatz besser ist und welche wirkungsvollen Möglichkeiten zur Risikominimierung es gibt.
Nachteile des reaktiven Ansatzes
Ein klares Indiz für den reaktiven Ansatz wäre die Konzentration auf bestimmte Schwachstellen, Lücken, Systeme und Bedingungen, die zu dem Cyberangriff geführt haben. Zum Beispiel ist eine der von den Sicherheitsintegratoren angebotenen Sicherheitsmaßnahmen gegen die NotPetya-Malware die Isolierung der gefährlichen Anwendungen, wie der kompromittierten M.E.Doc-Software, die die primäre Quelle des Ausbruchs war. Wir wollen die Schwäche des M.E.Doc-Updatemodells und die Gefahren einer solchen Lieferkettenmethode nicht leugnen, jedoch ist die Software nur eine von allen Schwachstellen, die möglicherweise zu Störungen führen könnten.
Wenn Sie sich nur auf die letzten Versäumnisse konzentrieren, werden Sie gegen die neuen Probleme nicht gewappnet sein. Höchstwahrscheinlich werden die alten Lücken für einen neuen Cyberangriff in der Zukunft sogar irrelevant sein. Temporäre Einweg-Lösungen, wie der Einsatz von Sicherheitshardware und -software, die auf das spezifische Problem reagieren, bewirken eine fragmentierte und/oder kurzfristige Besserung und können die Sicherheitsprobleme nur erratisch lösen. Der reaktive Ansatz ist nie eine Strategie. Da er nicht ausreicht, um wichtige Sicherheitslücken zu schließen, ist es ziemlich sinnlos, den Fokus einfach auf die kleineren Schwachstellen zu verschieben.
Derweil ignorieren die Sicherheitsintegratoren andere Risiken, wie zum Beispiel den menschlichen Faktor, der die Hauptquelle für verschiedene Cyberbedrohungen bis hin zu Hackerinfiltrationen und Datenklau darstellt. Somit kann der reaktive Ansatz ein Zeichen des rein finanziellen Interesses eines Sicherheitsintegrators sein. All das macht den reaktiven Ansatz wirkungslos und nicht zum besten Vorschlag.
Die besten Cyberpraktiken zeigen, dass die optimale Sicherheit durch die Risikoevaluierung und die ständige Unterstützung der Sicherheitsprozesse erreicht wird, zusätzlich können situative Ansätze und große Lückenpatches angewandt werden. Das Sicherheitsmanagement ist ein komplexer systematischer Prozess, der mit allen Aspekten der Unternehmensaktivitäten zu tun hat, angefangen bei der Personaleinstellung und
-kündigung bis hin zum Lieferantenmanagement, der von der Implementierung des Sicherheitsequipments und der sicheren Softwareentwicklung bis zum Betriebskontinuitätsmanagement, von der Datensicherung bis hin zur Überwachung und zur Reaktion auf die Vorfälle geht.
Hier kommt der echte proaktive Ansatz ins Spiel.
Vorteile des proaktiven Ansatzes
Infopulse teilt die Meinung der Cybergemeinschaft, dass es langfristig viel besser ist, den proaktiven Ansatz bei den Sicherheitsprozessen und dem -management zu verfolgen. Da der proaktive systematische Ansatz mehr Zeit und Ressourcen als der Erwerb neuer Sicherheitsausrüstung erfordert, werden die Unternehmen dadurch zu einem besseren Verständnis ihrer Sicherheitsprobleme sowie zu einer rationalen Begründung der in die Sicherheitslösungen zu tätigenden Investitionen geführt.
Es gibt viele bewährte Standards und „Best Practices“ für das Unternehmenssicherheitsmanagement, allen voran NIST, PCI DSS, ISF SoGP, ISO 27000, OWASP, ITIL und einige andere. Wenn sie allerdings unvorsichtig eingesetzt werden, können diese Standards zu komplex werden und bei den Unternehmern Bedenken hervorrufen, v.a. wenn diese in Dokumentationsbergen und verzettelten Organisationsprozessen versinken.
Natürlich haben wir Erfahrung bei der Umsetzung von ISO 27000, ISF SoGP, ITIL und anderen Standards, und können diese auf unterschiedlichste Bedürfnisse anpassen. Jedoch ist die Laufzeit der Sicherheitsprozesse bei den Kunden nicht immer lang. Nicht alle sind bereit, in die Prozesse, Verfahren, Aufzeichnungen und Messungen tief einzutauchen. Einige Unternehmen bevorzugen den systematischen und zugleich einfachen Ansatz zur IT-Sicherheit.
Ein schnelles und optimales alternatives „Rezept der IT-Sicherheit“ befindet sich in einem relativ kleinen Dokument mit dem Titel “Die CIS-kritischen Sicherheitskontrollen für eine effektiven Cyberabwehr”, das vom SANS Institute entwickelt wurde und von dem Zentrum für die Internetsicherheit, einer gemeinnützigen Organisation der Vertreter der US-amerikanischen Unternehmen und Institutionen, ständig aktualisiert wird.
Das oben genannte Dokument enthält 20 Tätigkeitsfelder, die eher auf der technischen als auf der organisatorischen Ebene angesiedelt sind:
- Bestandsaufnahme von autorisierten und nicht autorisierten Geräten.
- Bestandsaufnahme von autorisierter und nicht autorisierter Software.
- Sichere Konfigurationen für die Hardware und die Software auf den mobilen Geräten, den Laptops, Workstations und Servern.
- Kontinuierliche Schwachstellenanalyse und Korrektur.
- Kontrollierte Anwendung der Administratorrechte.
- Wartung, Überwachung und Analyse von Überwachungsprotokollen.
- E-Mail- und Web-Browser-Schutz.
- Malware-Abwehr.
- Einschränkung und Kontrolle der Netzwerk-Ports, -Protokolle und -Dienste.
- Möglichkeit der Datenwiederherstellung.
- Sichere Konfigurationen für die Netzwerkgeräte wie Firewalls, Router und Switches.
- Boundary-Abwehr.
- Datenschutz.
- Kontrollierter Zugriff nach dem Need-to-know-Prinzip.
- Drahtlose Zugangskontrolle.
- Kontoüberwachung und -steuerung.
- Begutachtung der Sicherheitskompetenzen und entsprechende Weiterbildung zur Lückenfüllung.
- Sicherheit der Anwendersoftware.
- Reaktion auf die Sicherheitsverletzungen und deren Management.
- Penetrationstests und Red-Team-Übungen.
Als Kompromiss zwischen dem Full-Scale-Prozess und dem prozeduralen Ansatz sowie dem einmaligen „Wunderwaffen“-Ansatz bieten wir also an, diesen Kontrollsatz zu verwenden, um die Sicherheit der IT-Infrastruktur zu stärken.
Sicherheitsstrategie und Absicherung der Infrastruktur
Infopulse hat die proaktiven Ansätze bei Projekten in aller Welt und in der Ukraine für unsere Kunden wie Bosch, ING, Evry u.a. erfolgreich umgesetzt und integriert. Eines unserer neuesten Projekte ist die mobile App “My ZNO”, mit deren Hilfe die Schülerinnen und Schüler die Ergebnisse der landesweiten externen Prüfungen auf dem Sprung abrufen können. Die Bekanntmachung der Ergebnisse der externen Prüfungen und damit der Höhepunkt der App-Nutzung fielen zeitlich mit dem NotPetya-Angriff zusammen. Die Anwendung „My ZNO“ und die Infrastruktur unseres Unternehmens waren davon nicht betroffen, da sich Infopulse strikt an die Sicherheitsrichtlinien und -prozesse hält.
Die Risikoevaluierung ist derzeit der einzige Weg, die Ausgaben für die Sicherheitsausrüstung und -software zu optimieren, die die Malware-Ausbrüche und andere sicherheitsrelevante Ereignisse verhindern. Als kompetenter Ansprechpartner für die Sicherheitsprüfungen, Penetrationstests, die Risikobewertung, Sicherheitsüberwachung, Infrastrukturabsicherung und die anderen Sicherheitsbereiche ist Infopulse immer bereit, die Erfahrung zu teilen.
Wir helfen unseren Kunden, „smarte“ Ansätze für die Infrastrukturabsicherung umzusetzen. Bei dem Aufbau der inneren Sicherheit verwenden wir Methoden, bei denen es nicht notwendig ist, für überteuerte Lösungen zu bezahlen, die bei neuen und bevorstehenden Problemen und Angriffen nicht immer wirken. Infopulse entwickelt für unsere Kunden maßgeschneiderte Lösungen, die ihren spezifischen Geschäftsanforderungen entsprechen und die die Sicherheit der gesamten IT-Infrastruktur und insbesondere den Schutz vor Malware erhöhen.
Haben Sie ein Sicherheitsprojekt, bei dem Sie Hilfe benötigen, oder würden Sie gerne über bestimmte Aspekte der Sicherheit im Internet diskutieren?
Kontaktieren Sie uns und wir besprechen das!