lolloj - Fotolia

Wie Unternehmen Cyberbedrohungen gezielt begegnen können

Den heutigen Cyberbedrohungen angemessen zu begegnen, gehört zu den großen Herausforderungen für Unternehmen. Ein Katalog von Handlungsempfehlungen kann da Unterstützung bieten.

Bei den CIS Critical Security Controls handelt es sich um eine Reihe von Handlungsempfehlungen zur Abwehr von Cyberangriffen. Dabei werden Maßnahmen empfohlen, die Unternehmen dabei unterstützen sollen, die gängigsten Angriffsmethoden in den Griff zu bekommen – und dies auch nachvollziehbar zu machen. Die Bandbreite der Themenempfehlungen reicht von der Erfassung der verwendeten Hard- und Software über gezielte Schutzmaßnahmen, wie etwa in Sachen Benutzerrechte und Netzwerksicherheit, bis hin zum Umgang mit entsprechenden Sicherheitsvorfällen.

Die Empfehlungen und Maßnahmen sind von den häufigsten Angriffsmustern abgeleitet. Sie basieren auf den Erkenntnissen aus einer Vielzahl von gesammelten Daten über Bedrohungen. Daraus wurden die für Unternehmen umsetzbaren Anleitungen der Critical Security Controls entwickelt, die dabei helfen sollen, die Gesamtsicherheit zu erhöhen. Über Kennzahlen und Metriken können Unternehmen ihren eigenen Status bestimmen.

2018 ist die Version 7 dieser 20 wichtigen Sicherheitsempfehlungen erschienen. Im Gespräch mit SearchSecurity.de hat James Tarala, Senior Instructor beim SANS Institute und Principal Consultant bei Enclave Security, die Critical Security Controls und die neuesten Entwicklungen erläutert.

Was genau sind die Critical Security Controls und wie können Sicherheitsexperten und -verantwortliche diese nutzen?

James Tarala: Die CIS Critical Security Controls wurden entwickelt, um Cybersicherheitsverletzungen zu identifizieren und einzudämmen. Nach Angaben des US Federal Bureau of Investigations (FBI) wächst die Zahl der erfolgreichen Cyberangriffe Jahr für Jahr, Tendenz steigend. Die bereitgestellten Kontrollen sollen Unternehmen eine Roadmap mit priorisierten, technischen Maßnahmen bieten, die sie implementieren können, um diese Angriffe effektiv zu bekämpfen. Basierend auf den Beobachtungen und Erfahrung von privaten und staatlichen Organisationen auf der ganzen Welt sind wir in der Lage, die Verteidigungsmaßnahmen zu identifizieren und priorisieren, die diese Organisationen durchführen sollten, um zu verhindern, dass Cyberangriffe erfolgreich sind.

Was sind die wichtigsten Änderungen und Ergänzungen, die in die neue Version 7 der CIS Critical Security Controls eingeflossen sind?

Tarala: In der neuesten Version der CIS-Kontrollen (Version 7.0) wurden Änderungen vorgenommen, um die heute am häufigsten beobachteten Angriffe von Unternehmen widerzuspiegeln. Jede Version umfasst neue Technologien und Prioritäten, die auf den am häufigsten beobachteten Angriffen gegen Unternehmen basieren. In dieser Version haben wir uns auch auf die Formulierung der Security Controls selbst konzentriert, um Unternehmen ihre Implementierung zu erleichtern. Jede Sub-Kontrolle konzentriert sich auf einen bestimmten Schritt der Verteidigung. Wir haben auch die Maßnahmen und Metriken neu konzipiert, die Organisationen verwenden können, um den Reifegrad ihrer Sicherheitsmaßnahmen zu bestimmen. Jede Security Control hat eine spezifische Kennzahl und Metrik, um Unternehmen eine umfassende Liste von Leistungsindikatoren zur Verfügung zu stellen. Wir haben sogar ein Qualitäts-Management-Programm (Six-Sigma) in die Metriken integriert, um den Sicherheitsteams zu helfen, die gleiche Sprache zu sprechen, die von anderen im gesamten Unternehmen verwendet wird.

Die Kontrollen der Version 7 sind in drei Gruppen organisiert, die aufsteigend priorisiert sind. Was bedeutet dies für Unternehmen in der Praxis?

Tarala: Wir haben die Kontrollen in Gruppen organisiert und priorisiert, damit Unternehmen leichter entscheiden können, wo sie ihre Aufmerksamkeit und ihre Ressourcen konzentrieren. Eine der größten Herausforderungen für Unternehmen sind der Einsatz der begrenzten Ressourcen – sowohl personell als auch finanziell. Bestimmte Abwehrmaßnahmen haben eine größere Wirkung als andere. Wenn eine Organisation entscheiden muss, wo sie investieren soll, dann macht es Sinn, sich auf das Wesentliche zu konzentrieren, und nicht auf das, worüber in den Nachrichten am meisten gesprochen wird oder was in diesem Jahr im Trend liegt. Wir arbeiteten mit Forschern zusammen, um die Priorisierung zu entmystifizieren und Transparenz zu schaffen, wohin die Zeit und Aufmerksamkeit gelenkt werden sollte.

Worauf sollten Unternehmen bei einem Umstieg auf die neue Version achten? Und ist ein solcher expliziter Umstieg überhaupt notwendig?

Tarala: Aus technologischer Sicht gibt es zwei Schwerpunkte, die Unternehmen berücksichtigen sollten – Application Whitelisting und Multi-Faktor-Authentifizierung. Es hat sich immer wieder gezeigt, dass die Application Control funktioniert. Wenn Organisationen die Binärdateien – ausführbaren Dateien oder Skripte, denen sie vertrauen – vorab auflisten und alles andere blockieren, haben sie eine sehr starke Verteidigung gegen ihre Gegner. Auf die gleiche Weise eliminiert die Multi-Faktor-Authentifizierung die Wucht der beobachteten Angriffe, die auf Login-Daten und die Authentifizierung abzielen, und schränkt die Fähigkeit der Angreifer ein, sich nach der anfänglichen Kompromittierung eines Systems innerhalb des Netzwerks zu bewegen. Diese Kontrollen sind aufwendig umzusetzen, und sie werden in keinem Unternehmen über Nacht in Kraft treten. Aber wir hören von immer mehr Unternehmen, die sich die Zeit genommen haben, diese Kontrollen zu implementieren, dass sie zu den effektivsten Schritten gehören, die sie für ihre Verteidigung unternommen haben.

Gibt es eine Empfehlung, wie sich Unternehmen einen Überblick über die Umsetzung der Security Controls verschaffen können? Wie sollte ein Audit der Security Controls aussehen?

Tarala: Organisationen sollten erwägen, ihren Prozess der Implementierung der Critical Security Controls damit zu beginnen, eine Gap-Analyse ihrer Organisation im Hinblick auf die CIS-Kontrollen durchzuführen. Eines der kostenlosen Tools, die wir Unternehmen an die Hand geben, um sie bei der Durchführung einer Gap-Analyse zu unterstützen, ist auf hier verfügbar. Anhand eines Fragenkatalogs ermöglicht es Unternehmen, zu identifizieren, welche Kontrollen sie bereits implementiert haben und in welchem Umfang sie in ihrem Unternehmen implementiert wurden. Durch die Beantwortung dieser Fragen lässt sich leicht erkennen, wo Schwächen liegen und welche Kontrollen sie als nächste einführen sollten. Das Tool bietet auch eine Reifegradbewertung, mit dem das Unternehmen seinen Fortschritt über die Zeit verfolgen und sich mit anderen Organisationen vergleichen kann.

Wie wird über die Updates der Critical Security Controls entschieden und wie funktioniert der Prozess dahinter?

Tarala: Im Center for Internet Security arbeitet ein sehr großes Team aus Freiwilligen zusammen, um zu entscheiden, wie sich die nächste Version der Kontrollen entwickeln wird. Der CIS hat ein Benchmark-Tool implementiert, um Änderungen an den von der Community vorgeschlagenen Kontrollen auf der Grundlage der neuesten Bedrohungsintelligenz und des Verständnisses für das Verhalten von Angreifern zu verfolgen.

James Tarala, SANS Institute

„Wenn eine Organisation entscheiden muss, wo sie investieren soll, dann macht es Sinn, sich auf das Wesentliche zu konzentrieren, und nicht auf das, worüber in den Nachrichten am meisten gesprochen wird oder was in diesem Jahr im Trend liegt.“

James Tarala, SANS Institute

Tony Sager leitet das Komitee zur Überwachung der Entwicklung der Kontrollen und Kelli Tarala, Philippe Langlois und ich arbeiten zusammen, um die von der Community vorgeschlagenen Inhalte zu überprüfen, zu bearbeiten und den Teams zu helfen, eine Einigung über die Formulierung der Kontrollen zu erzielen. Für die neueste Version haben über 1.000 Experten Feedback abgegeben oder an der Entwicklung der Dokumentation mitgewirkt.

Wie werden sich die Critical Security Controls weiterentwickeln? Auf welchen Bereichen liegt besondere Aufmerksamkeit?

Tarala: Der Fokus der Critical Security Controls lag immer darauf, zu verstehen, wie Angreifer ihre Ziele avisieren, und die effektivsten Verteidigungen zu identifizieren, um sie zu stoppen. Wir erinnern uns regelmäßig daran, dass „die Offensive die Verteidigung leiten muss“, wenn wir entscheiden, welche Kontrollen eingesetzt werden sollen. Während sich die Angreifer weiterentwickeln und ihre Angriffe auf neue Bereiche konzentrieren, werden sich auch die CIS-Kontrollen weiterentwickeln. Zum Glück sind Hacker keine Zauberer, sie sind nicht allmächtig. Die meisten Angreifer nutzen bekannte Angriffsvektoren, die gestoppt werden können, solange ein Unternehmen bereit ist, zielgerichtet über die Kontrollen zu entscheiden, die implementiert werden sollen. Solange die Unternehmen dazu bereit sind, können Angreifer und Verletzungen gestoppt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloser E-Guide: Cyberbedrohungen besser erkennen

Das Wissen über Cyberangriffe richtig einsetzen

Regeln für Security-Awareness-Schulungen

Erfahren Sie mehr über Identity and Access Management (IAM)