Sicherung der Cyber-Zukunft Australiens Teil 4: Verwaltung der Angriffsfläche

Während die Unternehmen, in deren Datenbestände eingedrungen wurde, sich bemühen, die Folgen zu bewältigen, stellt sich für den Rest von uns die Frage: Werden wir die nächsten sein?
Die Zunahme der Fernarbeit, die Einführung von Cloud-Diensten und der verstärkte Datenaustausch zwischen Partnern haben die Cybersicherheitsarbeit dramatisch erschwert. Die Vorstellung von einem einzigen Perimeter, der mit Firewalls und Magnetkarten überwacht werden kann, ist ein Relikt der Vergangenheit. Da die Angriffsflächen immer verteilter und komplexer werden, haben Cyberkriminelle mehr Schwachstellen als je zuvor, die sie ausnutzen können. Wenn es eine Lehre gibt, die man aus dem Blutbad ziehen kann, dann die, dass die Bewertung und der Schutz der Angriffsfläche entscheidend für das Management von Cyberrisiken ist.

Je genauer man hinschaut, desto mehr Lücken gibt es

Der Staub der diesjährigen Cyberangriffe hat sich noch nicht gelegt, aber es scheint, dass jeder Angriff eine andere Schwachstelle ausnutzte. Bei dem Optus-Hack entdeckte ein Krimineller eine falsch konfigurierte API. Bei Medibank ließen unzureichende Identitäts- und Zugriffskontrollen eine Ransomware-Gruppe eindringen, während bei MyDeal kompromittierte Anmeldedaten für den Zugriff auf Datensätze verwendet wurden. Vinomofo gab beim Testen von Änderungen an seiner digitalen Plattform echte Kundendaten preis, während das Australian Music Examinations Board die Software seines Online-Shops nicht schnell genug gepatcht hat.

Wie diese Mischung zeigt, sind Kriminelle Opportunisten, die nach Schwachstellen suchen, um es auf personenbezogene Daten (PII) abgesehen zu haben. Bei diesen Vorfällen haben API-Fehlkonfigurationen, unzureichende Identitäts- und Zugriffskontrollen und langsame Patches Kriminellen Einlass gewährt. Die Realität sieht so aus, dass es bei der Vielzahl von Integrationen und potenziellen Einstiegspunkten in modernen Unternehmen einfach keine praktische Möglichkeit gibt, jede einzelne Sicherheitslücke zu schließen. Bei so vielen verschiedenen Angriffsmöglichkeiten stellt sich die Frage, wo Sie mit Ihrer Verteidigung beginnen sollten.

Beginnen Sie damit, Ihre Daten zu identifizieren und aktiv zu verwalten

Es mag selbstverständlich sein, aber es ist schwieriger, Ihr Vermögen zu schützen, wenn Sie nicht wissen, was (oder wo) es ist. Die von Ihnen gespeicherten Daten sollten regelmäßig überprüft werden. Das gilt insbesondere für personenbezogene Daten, die durch Richtlinien wie das australische Datenschutzgesetz und die Datenschutzgrundverordnung der Europäischen Union geregelt werden.

Viele Unternehmen denken nicht über Daten nach, wenn sie sie einmal erfasst haben, aber in vielen Fällen - denken Sie an Daten, die zur Zertifizierung des Kontos oder der Adresse einer Person verwendet werden - bietet das Festhalten dieser Daten keinen Nutzen für Sie, sondern stellt ein ernstes Risiko dar, wenn Ihre Angriffsfläche verletzt wird.

Ein Audit, das Cloud-basierte Speicher, Partnerorganisationen und Testplattformen einbezieht, kann Ihnen dabei helfen, Daten, die Sie nicht benötigen, zu entfernen, die Daten, die Sie benötigen, zu identifizieren und herauszufinden, wer auf sie zugreift. Ältere Teile Ihres Netzes stellen ein besonderes Risiko dar. "Altsysteme können leicht kompromittiert werden", sagt ein Mitglied des Mimecast-Beirats, "und Unternehmen müssen die Zeit und die Ressourcen in die Suche und Aktualisierung investieren". Datennutzungsberichte sind hier ein wichtiges Instrument, mit dem Sie häufig genutzte Daten sehen und Bereiche mit ungewöhnlichem Datenverkehr identifizieren können.

Bewerten Sie Ihre Angriffsfläche

Sobald Sie Ihre Daten geprüft haben, können Sie beurteilen, wie Angreifer sie erreichen könnten. Open-Source-Informationen, Überwachung und Bedrohungsdaten können Ihnen helfen, Schwachstellen zu erkennen. Sie müssen auch die Auswirkungen der Offenlegung von Daten gegen die Kosten für den Schutz der Daten abwägen. Einige Organisationen geben sich mit einer einfachen Bewertung zufrieden oder mit einer Bewertung, die sich eher auf die Erfüllung allgemeiner Reifegrade oder gesetzlicher Vorgaben bezieht. Aber eine gründliche risikobasierte Analyse, die die Auswirkungen verschiedener Bedrohungen in Dollar beziffert, kann CISOs und Vorständen helfen, Ressourcen wissenschaftlicher zuzuweisen.

Jede Organisation wird einen anderen Ansatz für die Bewertung wählen, je nach ihrer Umgebung, den dort vorhandenen Daten und der Art ihrer Arbeitsabläufe. Ein nützliches Modell ist die CIA-Triade, die die Vertraulichkeit, Integrität und Zugänglichkeit von Daten als Kernprinzipien für die Entscheidungsfindung betrachtet.

Beginnen Sie mit den Grundlagen - und vertrauen Sie niemandem

CISOs sollten immer mit den Grundlagen beginnen. Wenn Sie die richtigen Grundlagen schaffen, können Sie Ihre Cybersicherheit mit relativ geringem Kostenaufwand erheblich verbessern. Das bedeutet, dass wir Tools überprüfen, sicherstellen, dass Zertifizierungen auf dem neuesten Stand sind, Firewalls optimieren und ein rigoroses Patch-Management durchführen, das sicherstellt, dass risikoreiche Updates sofort eingespielt werden. "Die Sicherheitsverantwortlichen sagen schon seit Jahren die richtigen Dinge", sagt ein anderes Mitglied des Mimecast Advisory Board. "Jetzt muss die IT-Abteilung zuhören und sich der Realität stellen, in der wir uns jetzt befinden. Das perfekte Beispiel ist das Patchen; das muss man ständig machen. Es geht darum, die richtigen Gewohnheiten auf allen Ebenen zu schaffen, von der Führung bis zum IT-Betrieb".

Wenn diese Maßnahmen konsequent durchgeführt werden, verringern sie die Angriffsfläche erheblich. Aber es ist wichtig, daran zu denken, dass wir nur die Wahrscheinlichkeit eines Verstoßes verringern können. Irgendwann wird jemand den Durchbruch schaffen. Wenn sie es doch tun, können Segmentierung und Nullvertrauen sicherstellen, dass sie nicht zu weit kommen. Die Netzsegmentierung beruht auf Teilnetzen mit strenger Zugangskontrolle. Zero-Trust-Frameworks sind ganzheitlichere Lösungen, bei denen jede Anfrage separat bewertet und validiert wird, unabhängig davon, wer sie stellt und wo er sich in Ihrem Netzwerk befindet. Das bedeutet, dass im Falle eines Verstoßes der Schaden begrenzt und minimiert werden kann.

Management menschlicher Risiken mit Identitäts- und Berechtigungsmanagement

Genauso wie Sie Ihre Daten prüfen, sollten Sie auch Ihre Mitarbeiter prüfen. Starke Zugangsprotokolle, die die Anmeldedaten der Benutzer löschen, sobald sie das Unternehmen verlassen, und sicherstellen, dass die Mitarbeiter nur die Anmeldedaten haben, die sie benötigen, sollten Hand in Hand mit einer starken Authentifizierung gehen, unabhängig davon, ob diese auf Attributen oder Rollen basiert. MFA und die neuesten passwortlosen Technologien machen es Angriffen mit gestohlenen Zugangsdaten schwerer, erfolgreich zu sein.

"Identität ist ein großes Thema: wie wir die Fähigkeiten verbessern und welche Kontrollen und kontextbasierten Technologien verfügbar sind", stimmt ein Mitglied des Mimecast Advisory Board zu. "Wir überprüfen jetzt den Haushalt, um die Fähigkeiten zur Anpassung an neue Bedrohungen zu verbessern.

Die richtige Schulung kann das Risiko menschlicher Fehler verringern und dafür sorgen, dass das Bewusstsein für den Umgang mit dem Internet in Ihrem Unternehmen wächst. Sie sollte zielgerichtet sein und auf realen Szenarien beruhen - die jüngsten Vorfälle bieten reichlich Material -, wobei ein angemessener Schwerpunkt auf Phishing, Geräte, die Nutzung sozialer Medien und Teilzeit- und Gig-Mitarbeiter gelegt werden sollte. Vernachlässigen Sie niemanden: Sie können sicher sein, dass die Angreifer das nicht tun.

Budget und Zustimmung der Führungskräfte sind entscheidend

Die Entdeckung eines Risikos für Ihre Angriffsfläche ist nur ein geringer Gewinn, wenn Sie nicht in der Lage sind, Ihre Verteidigungsmaßnahmen zu verstärken. Wie ein Mitglied des Mimecast-Beirats anmerkt, sind die Budgets der CISOs oft begrenzt. "Leider werden Schwachstellen oft bei Pen-Tests entdeckt", erklären sie, "aber die Zeit und das Geld, um die Schwachstelle zu beheben, sind nicht vorhanden, so dass die Behebung nicht durchgeführt wird.

Das macht diese Angriffswelle zu einer großen Chance für die Sicherheitsbehörden. Besorgte Vorstände wenden sich an ihre CISOs, um Lösungen zu finden. "Wir sind die neuen coolen Kids", scherzt ein anderes Mitglied, "denn endlich interessiert es jeden, was wir zu sagen haben". Wenn man das Eisen schmiedet, wenn es heiß ist, kann man der Sensibilisierungsschulung mehr Gewicht verleihen und andere Abteilungen dazu ermutigen, die Cybersicherheit in ihre Entscheidungsfindung einzubeziehen, sowie die Geldmittel des Vorstands lockern.

Gelernte Lektionen und Angriffsfläche

Die Angriffe auf Optus, Medibank und Co. haben Organisationen im ganzen Land aufgerüttelt. Nutzen Sie also den Augenblick. Jetzt ist ein guter Zeitpunkt für Unternehmen, die gespeicherten Daten und die Angriffsflächen, die sie umgeben, zu überprüfen. Die von uns aufgeführten Maßnahmen hätten fast alle großen Einbrüche in diesem Frühjahr verhindern können.

Indem Sie Ihre größten Vermögenswerte bewerten und die richtigen Maßnahmen zu deren Schutz ergreifen, können Sie Ihr Risikoprofil massiv reduzieren. Und indem Sie die Prüfung und Optimierung zu einer kontinuierlichen, laufenden betrieblichen Praxis machen, können Sie echte Cyber-Resilienz aufbauen.