Gorodenkoff - stock.adobe.com
Bewährte Maßnahmen zur Verhinderung von Cyberangriffen
Laufend entwickeln Cyberangreifer neue Tricks, um sich in fremde Netze einzuschleichen und um Daten zu klauen. Vier Bereiche sind zum Schutz vor diesen Attacken besonders wichtig.
Das Wissen, wie sich Cyberangriffe effektiv stoppen lassen, gehört heute zu den essentiellen Kenntnissen, die jeder IT- und Security-Profi in Unternehmen benötigt. Aber die schiere Größe und der Umfang der möglichen Sicherheitsprobleme machen diese Aufgabe zu einem fast unüberwindlich erscheinenden Problem.
Unternehmen müssen sich heutzutage nicht mehr nur gegen Ransomware wappnen, sondern auch vor fortgeschrittenen Phishing-Kampagnen hüten, mit Web-Application-Exploits rechnen und vor Angreifern in Acht nehmen, die sich lateral durch ihre Netzwerke von System zu System bewegen. Die in ihren IT-Umgebungen kontinuierlich zunehmende Fülle neuer Plattformen, Mobilsysteme, Cloud-Lösungen und Application Frameworks sorgen für zahlreiche bisher nicht gekannte Möglichkeiten, über die sich Hacker in Firmennetze einschleichen können und die von den Security-Teams in den Unternehmen möglichst schnell gefunden und geschlossen werden müssen.
Leider ist keine einzige beste Methode bekannt, um Cyberangriffe zu verhindern. Aber es gibt immerhin einige effektive Möglichkeiten, um einen Großteil von ihnen zu stoppen oder zumindest rechtzeitig einzugrenzen, bevor ein ernster Schaden entstehen kann. Die folgenden vier Tipps helfen Ihnen dabei, Ihre IT-Security zu verbessern und das generelle Risiko für Cyberattacken auf Ihr Unternehmen zu senken.
1. Fokussieren auf das Management von Patches und Konfigurationen
Die meisten Firmen kennen den dauernden Kampf um ein fehlerfreies Konfigurieren und Patchen ihrer Systeme und Anwendungen. Die dafür benötigten Werkzeuge sind deswegen in der Regel gut bekannt. Aber es gibt einige moderne Methoden und Lösungen, mit denen sich die Routineaufgaben des Patchens und Konfigurierens deutlich verbessern und erleichtern lassen.
Da ist zunächst die DevOps-Bewegung zu nennen, der wir ein Deployment-Modell auf Basis von Images verdanken, mit dem sich die Last durch laufend einzuspielende Patches deutlich reduzieren lässt. Im ersten Schritt werden die Patches dabei in einem virtuellen Server oder einem Container-Image installiert. Diese werden dann getestet und anschließend genutzt, um die bisher verwendeten Systeme komplett gegen neue, frische (und sorgfältig gepatchte) virtuelle Server oder Container zu ersetzen. In Legacy-Umgebungen ist das natürlich leichter gesagt als getan. Diese Vorgehensweise hat jedoch den großen Vorteil, dass wir nicht mehr jeden Tag darum kämpfen müssen, alte Systeme über längere Zeiträume und mit allen uns zur Verfügung stehenden Mitteln am Laufen zu halten.
Die zweite Verbesserung beruht auf dem zunehmenden Einsatz von Automatisierung- und Orchestrierungs-Plattformen wie zum Beispiel Chef, Puppet oder Ansible. Mit ihnen lässt sich ein bekannter Systemzustand auf Basis definierter Konfigurationsstandards erzwingen. Dazu wird ein „Playbook“ erstellt, mit dem sich mit Hilfe eines oder mehrerer automatisierter Management-Tools alle vorher festgelegten Maßnahmen implementieren und durchsetzen lassen.
Während die genannten Methoden in vielen Cloud-Umgebungen bereits genutzt werden können, gibt es erst wenige Firmen, die diese Prinzipien und Werkzeuge auch in ihren lokalen Systemen einsetzen. Für alle Umgebungen, bei denen dies nicht möglich ist, sollte der Fokus deswegen auf einer umfassenden Inventarisierung aller Anwendungen und Systeme liegen, die so gut es eben geht mit Patches auf dem jeweils aktuellen Stand gehalten und mit anderen Sicherheitsmaßnahmen vor Angreifern geschützt werden. Mit anderen Worten gelten hier dieselben Security-Empfehlungen, wie wir sie seit Jahren kennen und nutzen.
2. Priorisieren von Tests des gesamten statischen Codes und aller dynamischen Web-Applikationen
Aufgrund der zahlreichen „in der freien Wildbahn“ zu findenden Web-Application-Exploits muss ein besonderer Fokus auf der allgemeinen Softwaresicherheit liegen. Entwickler benötigen ein automatisiertes Scannen ihres statischen Codes auf Lücken sowie Risikoanalysen und Kontrollen durch Sicherheits- und Softwarespezialisten. Insbesondere Anwendungen, die kurz vor dem Ausrollen in produktiven Umgebungen stehen sowie die Softwareversionen, die noch entwickelt und getestet werden, sollten regelmäßig dynamisch und mit Hilfe von Penetrationstests überprüft werden. So lassen sich auch allgemeine Applikationsprobleme und Fehler in der Konfiguration schneller aufspüren.
Vor allem Unternehmen, die ihre eigenen Webanwendungen entwickeln, müssen hier einen hohen Aufwand betreiben. Empfehlenswert sind spezialisierte Lösungen zum Scannen des statischen Codes sowie auch der Web-Application-Umgebungen. Sie sollten dazu in der Lage sein, ihre Ergebnisse in Abhängigkeit vom jeweiligen Kontext und der erwarteten Priorität darstellen zu können und zudem mit Lösungen zum Schwachstellen-Management zusammenarbeiten können.
3. Implementieren eines umfassenden Backup-Systems
Aufgrund der zunehmenden Bedrohung durch Ransomware und anderer zerstörerischer Malware sollten Lösungen zum Backup und Recovery ganz oben an der Spitze der To-Do-Liste des CISOs oder des lokalen Sicherheitsbeauftragten stehen. Dieser Bereich ist besonders kritisch und sollte nicht vernachlässigt werden. Viele Unternehmen setzen jedoch immer noch rein auf lokale, physische Speicher wie Dateiserver, Network-Attached Storage (NAS) oder Bandspeichersysteme für ihre Daten. Es ist in der letzten Zeit aber ein deutlicher Trend in Richtung remote untergebrachter Cloud-basierter Storage-Lösungen zu erkennen. Das hängt auch mit den zunehmend sinkenden Kosten für Cloud-Storage zusammen.
Wenn es mit den Sicherheitsvorstellungen eines Unternehmens vereinbar ist, dann sollte es entfernte Storage-Lösungen nutzen, da sich auch dadurch die Datensicherheit erhöhen lässt. Auf jeden Fall sollten Sie gewährleisten, dass alle Netzwerkfreigaben und Dokumentenspeicher regelmäßig gesichert werden. Das gilt natürlich besonders für die Ressourcen, die sensible und für Ihr Unternehmen besonders wichtige Daten enthalten. Außerdem sollten Sie monatlich die Backups sowie auch die ordnungsgemäße Wiederherstellung der Daten überprüfen. Mittlerweile bieten Firmen wie Microsoft, Google und Amazon bezahlbare Cloud-Speicher-Lösungen an. Dazu kommen andere Anbieter wie Dropbox und Box sowie spezialisierte Cloud-Storage-Provider wie CommVault und Zerto, die je nach Ausgangslage ebenfalls eine gute Wahl sein können.
4. Optimieren der Netzwerk- und Application-Segmentierung
Auch in Zukunft werden traditionelle Zugangskontrollen zum Netzwerk wie Access Control Lists (ACLs) in Routern und Switches sowie Firewalls ebenso ihren Platz in modernen segmentierten Infrastrukturen haben. Viele Sicherheitsexperten haben ihr bisheriges Vorgehen jedoch mittlerweile auf den Prüfstand gestellt. Der Grund ist die deutliche Zunahme lateraler Bewegungen von Angreifern bei einem Sicherheitsvorfall. Folgende Maßnahmen sollten unternommen werden:
- Statt sich weiterhin nur auf extern nach innen ausgerichtete Attacken zu konzentrieren, sollte die gesamte IT-Umgebung als potentiell nicht vertrauenswürdig oder gar als vermutlich kompromittiert eingeschätzt werden. Dazu kommt, dass die schwersten Angriffsszenarien meist intern stattfinden, weil die Angreifer immer mehr Advanced Malware und ausgefeilte Phishing-Attacken einsetzen.
- Es ist zudem wichtig, genau zu verstehen, wie sich die Anwendungen auf den Clients im Netz verhalten sollten und welche legitimen Daten sie über das Netzwerk übertragen. Änderungen daran oder Anomalien deuten auf Infektionen beziehungsweise auf bislang unerkannte Eindringlinge hin.
- In der gesamten Umgebung sollten zudem vertrauenswürdige System-zu-System-Beziehungen aufgebaut werden. Ein großer Teil der Kommunikation in Firmennetzen ist heutzutage entweder komplett unnötig oder nicht relevant für die Systeme oder Anwendungen, die das Unternehmen wirklich benötigt.
Neue Tools helfen Ihnen dabei, Cyberattacken rechtzeitig zu stoppen. Sie basieren auf Richtlinien, die bekanntes Verhalten von Anwendungen in Beziehung zu unerwartetem Traffic im Netzwerk setzen. Dieser Bereich wird gelegentlich auch als Mikrosegmentierung bezeichnet. Oft wird dafür spezielle Agenten-Software auf den Servern und Clients benötigt. Zur Durchsetzung der Richtlinien lassen sich dann etwa die Switches nutzen. Mikrosegmentierung setzt auch oft auf Virtualisierung (Hypervisor), speziellen Richtlinien und einer Application Mapping Engine auf, mit der sich typisches Verhalten in der Umgebung aufzeichnen und kontrollieren lässt. Damit ist es dann beispielsweise möglich, eine äußerst fein auf die jeweiligen Anwendungen abgestimmte Segmentierung zu erreichen.
In Anbetracht der zahlreichen, dringend benötigten Maßnahmen bei der Planung einer soliden IT-Sicherheit, kann leicht ein Gefühl der Überforderung entstehen. Deswegen sollten Sie eindeutige Prioritäten setzen, wenn es um die Entwicklung Ihrer Strategie gegen Cyberattacken geht. Die vier im Artikel vorgestellten Maßnahmen sind dafür ein guter Anfang.