Wenn es um Cybersicherheit geht, ist das alte Sprichwort "die einfachen Dinge gut machen" heute wichtiger als je zuvor. Die drei einfachen Grundsätze der Cybersicherheit, die Ihnen helfen, eine solide Grundlage zu schaffen und künftige Krisen zu verhindern, sind:
- geringstes Privileg
- Minimierung der Angriffsfläche
- Verteidigung in der Tiefe.
Diese Grundsätze gibt es schon seit Jahrzehnten, aber sie gelten heute mehr denn je, denn wir leben in einem zunehmend cloud-orientierten Umfeld, in dem wir jederzeit wachsam sein müssen.
Geringstes Privileg
Least Privilege" ist ein Grundprinzip der Informationssicherheit. Je weniger Privilegien ein Benutzer hat, desto weniger Möglichkeiten hat ein Angreifer, diese auszunutzen. Wenn Sie Ihre Systeme entwerfen, sollten Sie sich immer fragen: "Welches ist der Mindestumfang an Zugriffsrechten, den dieser Benutzer benötigt, um seine Aufgabe zu erfüllen?" Die Beschränkung von Benutzern (oder Anwendungen) auf das absolute Minimum, das sie für ihre Arbeit benötigen, verringert das Risiko versehentlicher oder böswilliger Schäden und minimiert auch die Auswirkungen eines erfolgreichen Angriffs.
Minimierung der Angriffsfläche
Unter Minimierung der Angriffsfläche versteht man die Praxis, die Angriffsfläche so weit wie möglich zu reduzieren. Dies kann geschehen, indem unnötige Funktionen und Komponenten aus Systemen entfernt werden, Systeme gegen Angriffe gehärtet werden und die Grundsätze der geringsten Privilegien aus der Sicht der Anwendungen oder Dienste angewandt werden.
Verteidigung in der Tiefe
Eine umfassende Verteidigung wird oft übersehen, aber es ist eine sehr riskante Strategie, sich nur auf einen einzigen Sicherheitsmechanismus zu verlassen. Angreifer sind sehr kreativ und finden oft Wege, eine Sicherheitsmaßnahme zu umgehen, wenn diese ihr einziges Ziel ist. Durch die Verwendung mehrerer Sicherheitsebenen schaffen Sie Hindernisse, die der Angreifer überwinden muss, was es für ihn schwieriger, zeitaufwändiger und teurer macht, seine Ziele zu erreichen.
Diese drei Grundsätze bilden die Grundlage für gute Cybersicherheitspraktiken. Wenn Sie sie befolgen, können Sie Ihr Unternehmen besser vor Cyberbedrohungen schützen. Die Umsetzung dieser Grundsätze mag nicht immer einfach sein, aber sie ist die Mühe wert, um Ihre wichtigen Vermögenswerte und Daten zu schützen.
Log4Shell-Zero-Day-Schwachstelle
Die jüngste Log4Shell-Zero-Day-Schwachstelle in Apache Log4J2 hat gezeigt, wie sinnlos der ständige Kreislauf ist, mit der Entdeckung von Schwachstellen in Software Schritt zu halten, wobei diese Schwachstellen kompromittiert werden und Unternehmen in den Krisenmodus übergehen, um die anfällige Software zu entschärfen und zu patchen. Dies ist ein nicht enden wollender reaktiver Kreislauf, bei dem man immer hinter der Entwicklung zurückbleibt. Wenn man sich diese und andere große Sicherheitslücken der letzten Jahre genau ansieht, fällt auf, dass die Einhaltung der seit langem etablierten übergreifenden Sicherheitsprinzipien in der Regel schon für Abhilfe sorgt, so dass die gefährdete Organisation im Rahmen eines normalen Betriebszyklus und nicht erst in einer großen Krise Patches erstellen kann. Natürlich wird es immer Ausnahmen von der Regel geben, aber in 95 % der Fälle bietet dieser Ansatz eine solide Grundlage für eine Organisation, die weitaus widerstandsfähiger gegen Sicherheitsverletzungen ist. Die Grundprinzipien der geringsten Privilegien, der Minimierung der Angriffsfläche und der Verteidigung in der Tiefe sollten bei der Entwicklung einer organisatorischen Sicherheitsstrategie immer eine wichtige Rolle spielen.
Überprüfung des log4shell-Exploits
Das Hauptelement, das mir bei der Überprüfung des log4shell-Exploits auffiel, war die Anforderung, dass die ausgenutzte verwundbare Anlage die Möglichkeit haben muss, den bösartigen Code direkt aus dem Internet herunterzuladen. Wenn man auf die übergreifenden Sicherheitsgrundsätze zurückgreift, insbesondere die Minimierung der Angriffsfläche und die geringsten Rechte, muss man sich wirklich fragen, warum der fragliche Server und die fragliche Anwendung Inhalte herunterladen oder über ein beliebiges Protokoll direkt mit dem gesamten Internet kommunizieren dürfen? Sicherlich war diese Funktionalität nie Teil der funktionalen Designanforderungen für den fraglichen Dienst? Warum ist sie also vorhanden?
Falsche Annahmen
Ich befürchte, dass in unserer modernen Welt heute standardmäßig davon ausgegangen wird, dass ein technisches Gerät, egal welcher Art, einfach Zugang zum Internet haben muss. Während dies für Heimnetzwerke angemessen ist, wo die Möglichkeit, dass ein Gerät seine Software regelmäßig aktualisiert, den Haushalt schützt, ist es für ein Unternehmensnetzwerk nicht angemessen. Trotzdem arbeiten viele Unternehmen weiterhin auf diese Weise, was die Wahrscheinlichkeit, dass sie über eine Schwachstelle wie log4shell oder einen anderen traditionellen Angriffsvektor kompromittiert werden, drastisch erhöht.
Surfen der Mitarbeiter im Internet vs. Internetzugang im Rechenzentrum
Es ist paradox, dass der Internetzugang der Mitarbeiter in den meisten Unternehmen streng kontrolliert und durch Web-Proxys / Inhaltsfilter / Malware-Erkennungsgeräte genau überwacht wird, aber in den Rechenzentren oder cloud -Umgebungen (in denen sich in der Regel die wertvollsten und kritischsten Vermögenswerte des Unternehmens befinden) genießen die Server mehr oder weniger ungehinderten (und unnötigen) Zugang zum Internet. Für jede Organisation, die es ernst meint mit der Sicherung ihrer kritischen Werte, ist es von entscheidender Bedeutung, dass der Internetzugang von Servern auf die Funktionen beschränkt wird, die für die jeweilige Aufgabe des Servers erforderlich sind (z. B. Firewall - Quelle / Ziel / Protokoll). Es sollte selbstverständlich sein, dass "Web-Browsing" über einen Proxy oder anderweitig niemals von einem geschäftskritischen Server aus erlaubt werden sollte!
Sicherheitsgrundsätze sind ein "work in progress"
Wenn man davon ausgeht, dass die Minimierung der Angriffsfläche und die Minimierung der Privilegien für viele Unternehmen noch ein "work in progress" sind, wird die Verteidigung in der Tiefe immer wichtiger.
Meiner Erfahrung nach kann sich kaum ein Technologie- oder Sicherheitsteam zu 100 % auf sein Wissen über die Geschäftsumgebung verlassen. CMDBs und Bestandsverzeichnisse von Anlagen/Software sind selten vollständig, und Versäumnisse bei der Unternehmensführung im Laufe der Jahre führen oft dazu, dass Anlagen verwaist sind oder ohne das Wissen und die Aufsicht der Sicherheitsteams eingeführt werden.
Da es sich bei diesen Assets um "Unbekannte" handelt, sind normale Praktiken zur Installation von Host-Sicherheitskontrollen (AV, Endpoint Detection and Response - EDR usw.), Härtung und Überwachung nicht vorhanden. Es ist daher absolut notwendig, die Unternehmens- und cloud Netzwerkumgebungen mithilfe eines leistungsfähigen Network Detection and Response (NDR)-Systems ganzheitlich auf Bedrohungen zu überwachen. Dadurch können Sie nicht nur die Anlagen erkennen, die Ihnen bisher vielleicht nicht bekannt waren (was zu einer höheren Genauigkeit Ihrer CMDB führt), sondern auch Angriffsszenarien über die verschiedenen an das Netzwerk angeschlossenen Anlagen Ihres Unternehmens und den damit verbundenen Benutzerkontext hinweg erkennen und visualisieren. Wenn das Unvermeidliche eintritt und es einem Angreifer gelingt, in Ihre Verteidigungssysteme einzudringen, sind Sie in einer viel besseren Position, um die Bedrohung einzudämmen und schnell zu beseitigen!
Und der Gewinner ist...
Leider sind die Dinge in der Sicherheitsbranche selten eindeutig; es gibt keine Möglichkeit zu gewährleisten, dass ein Unternehmen zu 100 % sicher ist. Wenn Sie jedoch nach den dargelegten Grundsätzen denken und handeln und den Teil der Risikomanagement-Gleichung, den Sie kontrollieren können, vollständig unter Kontrolle haben, können Sie sicher sein, dass Sie nur selten kritisch gefährdet sind und Krisen nur selten auftreten, selbst angesichts des neuesten "Zero Day"!