Wurden Sie schon einmal von einem Sicherheitsanbieter gefragt, welche 16.000 Werte Sie schützen wollen? Ein Anbieter, der Ihnen auf die Frage, warum er das fragt, ruhig mitteilt, dass das alles ist, was er für Sie abdecken kann?
Wir alle haben schon genug lange Listen von "Dingen", die wir produzieren und auf dem neuesten Stand halten müssen, als dass wir noch etwas dazu tun wollen. Selbst wenn sie sich dieser Aufgabe annehmen wollen, können die meisten Unternehmen nicht einmal sagen, was sich in ihrer Umgebung befindet. Sie denken vielleicht nicht, dass der Windows 2000-Server im Laborschrank an das Netzwerk angeschlossen ist, aber es ist so. Angreifer werden diese Systeme finden und alles in Ihrem Netzwerk ausnutzen, um das zu bekommen, was sie wollen.
Die Verwaltung von Anlagen ist eine der schwierigsten Herausforderungen für IT-Organisationen. Dieser Blog über das Aufspüren von Geisterbeständen ist zwar schon ein paar Jahre alt, bietet aber einen hervorragenden Überblick über die Komplexität und die damit verbundenen Sicherheitsherausforderungen, von denen wir viele nachempfinden können. In vielen Fällen werden bei der Reaktion auf Vorfälle kompromittierte Anlagen identifiziert, die in den Bestandsverzeichnissen der Anlagenverwaltung als vor Jahren außer Betrieb genommen aufgeführt sind. Niemand hat den Server vom Netz genommen. Er war noch eingeschaltet, verbunden, nicht gewartet und wurde vom Angreifer erfolgreich genutzt.
Selbst wenn Sie über ein perfektes Inventar aller Ihrer Systeme verfügen, ist es unwahrscheinlich, dass Sie genau wissen, welche dieser 16.000 Anlagen für Ihr Unternehmen entscheidend sind. Wenn Unternehmen Schwierigkeiten haben, zu verstehen, welche Systeme sich in ihrem Netzwerk befinden, wie sollen sie dann erkennen, welche davon ausdrücklich kritisch sind?
Was genau ist mit "kritisch" in diesem Zusammenhang gemeint? Handelt es sich um etwas, das wichtige Daten für Ihr Unternehmen enthält? Diese Definition würde so ziemlich jedes System in Ihrer Umgebung einschließen. Denken Sie nur an die vielen Datenverluste, die im Laufe der Jahre allein durch verlorene Laptops entstanden sind. Wurden diese Systeme als kritisch eingestuft? Oder waren sie "nur ein weiterer Laptop", den jemand mit nach Hause nahm, um ihn am Ende einer langen Woche fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung eingerichtet wird, mit sensiblen Daten geladen wird und dann im Netzwerk zurückgelassen und vergessen wird?
Wenn es Ihnen wie vielen anderen geht und Sie davon ausgehen, dass Ihre zentrale Netzwerkinfrastruktur den Löwenanteil der kritischen Geräte unterstützt, sollten Sie diesen Bericht von FireEye über APT41 vom März 2020 unbedingt lesen. Der Bericht zeigt, dass APT41 aktiv die Cisco-Routing-Infrastruktur eines Unternehmens ausnutzt. Wenn Sie das Routing des Datenverkehrs kontrollieren können, sind Sie in der Lage, auf alle Daten zuzugreifen, die ein Gerät durchlaufen, ohne die kritische endpoint kompromittieren zu müssen.
Das beste Beispiel für das Internet der Dinge (IoT) und nicht-kritische Anlagen, die von fortschrittlichen, hartnäckigen Bedrohungen ausgenutzt werden, ist immer noch APT28 - auch bekannt als Fancy Bear oder Strontium -, das in diesem ZDNet-Artikel über einen von Microsoft veröffentlichten Bericht detailliert beschrieben wird. Ein wichtiger Punkt ist die Vielzahl der IoT-Geräte, die APT28 zur Durchführung des Angriffs nutzt, darunter VoIP-Telefone, Drucker und Videodecoder. Dies verdeutlicht den Wunsch der Cyberkriminellen, IoT-Geräte in einem organisierten Angriff auf breiterer Basis zu nutzen, und zeigt, dass sich Angreifer wenig darum scheren, was nach ihrer Definition "kritisch" ist, und sich stattdessen darauf konzentrieren, alles zu nutzen, was ihnen hilft, ihre Ziele zu erreichen.
Mein letzter Punkt ist dieser: Als Verteidiger sollten Sie nicht gezwungen sein, willkürliche Entscheidungen zu treffen, die auf unvollkommenen Informationen darüber beruhen, welche Ressourcen Sie mit den Sicherheitsfunktionen, die Sie in den Kampf einbringen, schützen können und welche nicht. Ihre Sicherheitslösungen sollten Sie als Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Einschränkungen und mit hohem Vertrauen frühzeitig zu erkennen, unabhängig davon, wo Angreifer operieren. Sie verdienen es, Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige wenige Endpunkte.
Es ist Cybersecurity Awareness Month. Sichern Sie Ihr Netzwerk und reduzieren Sie Ihr Geschäftsrisiko mit Network Detection and Response (NDR). Wenn Sie sehen möchten, wie das geht, vereinbaren Sie eine Demo.