Die Häufigkeit von Cybersicherheitsvorfällen steigt stetig. Ransomware-Angriffe, die Unternehmen daran hindern, ohne Zahlung einer Gebühr auf ihre Dateien und Daten zuzugreifen, haben sich in den letzten 12 Monaten verdreifacht. Darüber hinaus zeichnet sich ein neuer Trend ab, bei dem Hacker drohen, sensible Informationen preiszugeben, wenn kein Geld ausgehändigt wird. Dies birgt für Unternehmen das zusätzliche Risiko hoher Bußgelder, wenn Datenschutzverletzungen gegen Datenschutzrichtlinien wie die DSGVO verstoßen.

Wie bei vielen Dingen im Leben ist es manchmal leicht, selbstgefällig in Bezug auf Risiken zu werden, die mit bestimmten Ereignissen verbunden sind, es sei denn, wir sind selbst Opfer geworden oder haben das Ergebnis als genauer Beobachter miterlebt. Cybersicherheit fällt in diese Kategorie.

Während die meisten Unternehmen und Einzelpersonen der Meinung sind, dass sie genug getan haben, um einen Cyberangriff zu verhindern, indem sie eine grundlegende Netzwerk-Firewall und Antiviren-Scanner installieren und warten; Nur sehr wenige nehmen sich die Zeit, eine echte Risikobewertung ihrer Gefährdung durch Cyberkriminalität durchzuführen.

Cybersicherheit ist ein breites und komplexes Thema. Obwohl wir niemals versuchen könnten, in einem kurzen Artikel eine umfassende und narrensichere Cybersicherheitsstrategie zu beschreiben, können wir Ihnen einige sehr nützliche Hinweise geben, die einen großen Beitrag dazu leisten sollten, die wichtigen Daten und den Betrieb eines Unternehmens vor unerwünschten Angriffen zu schützen.

Schritt 1 Erstellen Sie eine Sicherheitsrichtlinie und einen Notfallwiederherstellungsplan

Wie bei so vielen unerwünschten Situationen ist die beste Vermeidungsmethode die Prävention, aber um zu verhindern, dass etwas passiert, müssen wir zunächst verschiedene Wege in Betracht ziehen, die möglichen Wege zu blockieren, die zu unserem befürchteten Ergebnis führen.

„Indem Sie sich nicht vorbereiten, bereiten Sie sich darauf vor, zu scheitern.“ - Benjamin Franklin

Es ist alarmierend, wie viele Unternehmen es versäumen, eine angemessene Sicherheitsrichtlinie zu erstellen und aufrechtzuerhalten oder einen Reaktionsplan für Vorfälle und ein Verfahren zur Notfallwiederherstellung einzurichten.

Die Zunahme der Heimarbeit hat dazu geführt, dass viel mehr Endgeräte Zugriff auf Unternehmensnetzwerke über Remoteverbindungen benötigen, was die Notwendigkeit einer robusten Sicherheitsrichtlinie noch weiter verstärkt.

Aus diesem Grund hat das britische National Cyber ​​Security Centre (NCSC) ein Toolkit für Cyber-Resilienz mit Unterstützung des British Retail Consortium (BRC), um dem Einzelhandel zu mehr Sicherheit zu verhelfen. Dieser umfassende Leitfaden kann jedoch eine solide Ressource für jedes Unternehmen sein, das seine Cyber-Sicherheitsrichtlinie erstellen oder verbessern möchte. Dieser Leitfaden richtet sich sowohl an Rollen auf strategischer als auch auf Direktorenebene, die keine technischen Experten sind, deren Rolle und Verantwortlichkeiten jedoch zunehmend die Cybersicherheitsstrategie oder -praxis umfassen.

Ein Notfallreaktions- und Wiederherstellungsplan ist auch ein wesentlicher Schritt, um die Auswirkungen eines Cyberangriffs zu begrenzen und den Geschäftsbetrieb nach einem Ereignis wiederherzustellen. Einige der Fragen, die dies beantworten sollte, sind:

  • Wer sollte nach einem Cyberangriff kontaktiert werden? Regierungsbehörden, Strafverfolgungsbehörden, externe Sicherheitsdienstleister?
  • Wenn eine Ransomware-Anforderung gestellt wird, wer innerhalb oder außerhalb der Organisation für die Kommunikation mit den Hackern verantwortlich sein sollte; oder sollte mich überhaupt kontaktieren?

Vielleicht haben Sie das im Internet kursierende komische Mem gesehen, das einen IT-Geräteschrank mit Glasfront mit der Überschrift „Im Falle eines Cyber-Angriffs Glas zerbrechen und Kabel ziehen“ zeigt.

Obwohl dies auf einen sehr nüchternen und reaktiven Ansatz hindeutet, hat es einige Vorteile, wonach jede Organisation Verfahren zur Begrenzung weiterer Schäden durch die Sicherung wichtiger Datenbestände und die vorübergehende Sperrung des Zugriffs auf Teile des Unternehmensnetzwerks einführen und testen sollte.

Passwortverwaltung und bewährte Verfahren sind ein weiteres wichtiges Element jeder Cybersicherheitsrichtlinie. Viele Unternehmenssysteme verlassen sich auf benutzergenerierte Passwörter, die es den Mitarbeitern erschweren, sich mehrere Passwörter zu merken und sicherzustellen, dass sie nicht an andere weitergegeben werden. Sie werden vielleicht überrascht sein zu hören, dass viele gängige Maßnahmen zur Verbesserung der Komplexität von Benutzerkennwörtern gedacht sind und tatsächlich kontraproduktiv sind.

Diese Mechanismen belasten das Personal zusätzlich, fördern die Wiederholung von Passwörtern in allen Systemen, belasten die Systemadministratoren zusätzlich, wenn Passwörter vergessen werden, und können in einigen Fällen die Erkennung einer Sicherheitsverletzung verschleiern. Die folgenden Passwortrichtlinien sollten vermieden werden:

  • Erzwingen Sie keine Anforderungen an die Kennwortkomplexität
  • Erzwingen Sie kein regelmäßiges Ablaufen des Passworts

Stattdessen sollte der Schwerpunkt auf der Bereitstellung von Anleitungen zur Passworterstellung liegen, beispielsweise durch die Einführung der Technik der „drei zufälligen Wörter“, die Benutzern helfen kann, entsprechend komplexe Passphrasen zu verwenden, an die sie sich tatsächlich erinnern können. Im Idealfall sollte nach Möglichkeit Technologie eingesetzt werden, um das Personal zu reduzieren und dabei zu helfen, mit der Passwortüberlastung umzugehen.

Das NCSC bietet ausgezeichnete Anleitungen zu Passwortstrategien die Ihrem Unternehmen helfen können, sicher zu bleiben.

Schritt 2 Informieren Sie Ihr Team über Cybersicherheit

98% der Cyberangriffe basieren auf Social Engineering. Der einfachste Weg für Hacker, eine Malware-Nutzlast zu übermitteln oder an private Informationen zu gelangen, besteht darin, einen Mitarbeiter eines Unternehmens dazu zu bringen, einem schädlichen Link zu folgen, einen Anhang zu öffnen oder sensible Informationen oder Daten wie Benutzernamen, Passwörter oder Bankdaten preiszugeben.

Die Tarnung als vertrauenswürdige Instanz in einer elektronischen Kommunikation mit böswilliger Absicht fällt unter den allgemein bekannten Oberbegriff „Phishing“. Es gibt jedoch viele Formen von Phishing, die mit Labels wie „Spear Phishing“ und „Whaling“ versehen sind, die vielen Mitarbeitern möglicherweise weniger bekannt sind. Schulungen, die den Mitarbeitern helfen sollen, die wahrscheinlichen Formen von Phishing-Angriffen zu erkennen, sind eine sehr wertvolle Übung für jedes Unternehmen. Dies kann nur in Lehrbuchform sein, aber ein effektiverer Ansatz wäre, simulierte Phishing-Angriffe durchzuführen, die entweder intern oder über ein externes Unternehmen durchgeführt werden.

Es gibt viele Phishing-Simulator-Tools auf dem Markt, die das Phishing-Training unterstützen. Infosec Resources ist eine hervorragende Online-Informations- und Schulungsressource für Cybersicherheit, die Folgendes bietet: der Infosec IQ Security Awareness Training & Anti-Phishing Simulator sowie ein zusammenfassender Artikel, der die aktuellen Die 9 besten Phishing-Simulatoren.

Schritt 3 Betriebssystem-Sicherheitspatches und Malware-Definitionsdateien immer aktualisieren

Cyber-Angriffe suchen nach Schwachstellen, die in jeder Schicht des Technologie-Stacks existieren, dies reicht von der physischen Netzwerkinfrastruktur in den unteren Schichten bis hin zu den Geschäftsanwendungen an der Spitze. Die Rolle eines jeden Systemadministrators im Kontext der Cybersicherheit ist ein ständiger Wettlauf gegen die Bösen, bei dem die Hacker immer die Oberhand haben.

Der Grund dafür ist, dass die meisten herkömmlichen Sicherheitstools wie Firewalls, Anti-Malware und Anti-Viren-Scanner auf einem sogenannten „Blacklisting“-Ansatz basieren, bei dem Listen bekannter Schwachstellen und Malware-Codes ständig aktuell gehalten werden müssen. Natürlich wurden diese Schwachstellen bereits ausgenutzt, wenn sie auf einer Blacklist erscheinen. Daher ist dieser traditionelle Ansatz ein sehr reaktiver Ansatz, der Hackern in der Zeit zwischen Malware-Erkennung und Definitionsdatei-Updates immer die Tür offen lässt.

Die meisten Betriebssysteme und Blacklisting-basierten Sicherheitstools bieten automatische Updates, die für maximalen Schutz aktiviert werden sollten. Viele Organisationen mit unzureichend ausgestatteten IT-Abteilungen oder begrenzten Budgets, wie der öffentliche Sektor, verfügen jedoch oft über veraltete Systeme und Sicherheitstools, die ein leichtes Ziel für Cyberkriminalität darstellen.

Application Whitelisting ist das proaktive Gegenteil von Sicherheitstools, die Blacklisting verwenden, und basiert auf der Prämisse, dass kein Anwendungscode ohne vorherige Autorisierung auf eine Netzwerkressource zugreifen kann. Auf Whitelisting basierende Sicherheitstools können einen schützenden Ringzaun um wichtige Netzwerkressourcen bilden und letztendlich die Grundlage für einen „Zero-Trust“-Ansatz für die IT-Sicherheit bilden. Zero-Trust ist ein Paradigmenwechsel in der Cybersicherheit, der aufgrund der erhöhten Sicherheitsrisiken durch die Verlagerung auf Remote-Arbeit immer stärker in den Fokus rückt.

Dieser nützliche Artikel von TechBeacon beschreibt, wie Whitelisting und Blacklisting passen am besten in eine Sicherheitsstrategie einbinden und wie sie effektiv zusammenarbeiten können.

Schritt 4 Sicherheitslücken schließen

Abgesehen von den in Schritt 3 beschriebenen Netzwerkschwachstellen, die normalerweise das Ergebnis eines Versehens bei der Softwareentwicklung sind, ist der andere häufigste Einstiegspunkt für Cyberangriffe, wenn die Türen zu Netzwerken weit offen gelassen wurden.

Da Microsoft Windows das am häufigsten installierte Betriebssystem ist, das weltweit auf 77 bis 87.8% geschätzt wird, ist es nicht überraschend die am meisten gezielte Plattform. Remote Desktop Protocol (RDP) ist eine vorinstallierte Microsoft Windows-Anwendung, die es Ihren Mitarbeitern erleichtert, sich per Fernzugriff mit Arbeits- oder Heimcomputern zu verbinden, und wird von Millionen verwendet. Da RDP so weit verbreitet ist, ist es ein häufiges Ziel für Man-in-the-Middle-Cyberangriffe.

Mit dem gestiegenen Bedarf an Fernzugriff als Folge von COVID-19 haben Cyberangriffe, insbesondere auf RDP-Server, deutlich zugenommen.

Obwohl RDP auf einem verschlüsselten Kanal arbeitet, gibt es in früheren Versionen von RDP eine bekannte Schwachstelle in der Verschlüsselungsmethode, die es zu einem bevorzugten Gateway von Hackern macht. Microsoft schätzt, dass derzeit fast 1 Million Geräte durch RDP-Sicherheitsrisiken anfällig sind. Das Unternehmen hat einen Legacy-Patch für seine veralteten Plattformen herausgegeben, darunter Windows XP, Windows Server 2008, Windows 2003 und Windows 2007. (RDP wird auf diesen Legacy-Plattformen als Terminaldienste bezeichnet). Windows 8, 10 und neuere Betriebssysteme sind auf diese Weise nicht anfällig.

Nach dem Anstieg der EPLR-Nutzung in diesem Jahr, Microsoft hat Sicherheitsleitfäden für die Einführung von Remotedesktops herausgegeben.

Um den Fernzugriff weiter zu sichern, sollten Mechanismen wie die 2-Faktor-Authentifizierung aktiviert werden, sofern verfügbar, um die Identität von Personen zu überprüfen, die versuchen, auf das Unternehmensnetzwerk zuzugreifen oder andere Aufgaben wie Aktualisierungen personenbezogener Daten oder Transaktionsanfragen ausführen.

Sicherheitsexperten empfehlen Unternehmen, mindestens einmal pro Quartal eine Netzwerkschwachstellenbewertung durchzuführen. Dies ist nicht nur aus Sicherheitsgesichtspunkten eine sehr vorteilhafte Aufgabe, sondern kann auch eine Voraussetzung sein, um bestimmte Branchenzertifizierungen zu erfüllen.

Schwachstellenbewertungen identifizieren und beheben alle Sicherheitsrisiken, weisen diesen Schwachstellen Schweregrade zu und empfehlen bei Bedarf Behebung oder Minderung. Scan-Tools werden verwendet, um alle IP-Adressen im Netzwerk zu scannen und Schwachstellen wie veraltete Software und Patches zu identifizieren. Je nach Umfang können die Bewertungen ein internes Netzwerk einer Organisation, eine externe Grenze oder beides abdecken.

Ein Bericht zur Schwachstellenbewertung zeigt eine detaillierte Netzwerkkarte aller Endpunkte, die mit dem IT-Asset-Register des Unternehmens referenziert werden können. Alle inoffiziell zum Netzwerk hinzugefügten Geräte würden dann identifiziert. Diese betrügerischen Geräte werden selten gehärtet oder gesichert und stellen daher ein unerwünschtes Risiko für das Netzwerk dar.

Das NCSC bietet nützliche Anleitungen, die Unternehmen helfen, auf Schwachstellen zuzugreifen und sie zu priorisieren.

Schritt 5 Sicherung & Sperrung

Die Einhaltung eines Backup-Zeitplans für wichtige operative und sensible Geschäftsdaten ist ein wesentlicher Schutz vor Cyberangriffen. Die Möglichkeit, Systeme aus einem Backup von einem bekannten "sicheren" Zeitpunkt wiederherzustellen, verbessert und beschleunigt Ihre Wiederherstellungschancen nach einem Cyberangriff und verringert hoffentlich die Notwendigkeit, Ransomware-Anforderungen zu erfüllen.

Hacker wissen das natürlich, daher suchen die ausgeklügelteren Angriffe zuerst nach Backup-Dateien, um diese zu verschlüsseln, bevor sie die Live-Produktionsumgebung gefährden. Natürlich können Malware-Codes Verzeichnisstrukturen durchsuchen, um nach zu verschlüsselnden Backup-Dateierweiterungen zu suchen, aber die meisten der größeren Angriffe werden von Menschen gesteuert.

Datenträger, auf denen Sicherungsdateien gespeichert sind, müssen daher vor unbefugtem Zugriff gesichert werden. Blocky for Veeam® verwendet die in Schritt 3 beschriebene Anwendungs-Whitelisting-Technologie, um Backup-Volumes vor Änderungen zu schützen, die nicht der Liste der Systemprozesse entsprechen, die vom Systemadministrator vordefiniert wurden. Im Fall von Veeam® könnte die Anwendung Veeam Backup & Replication als einziger Prozess festgelegt werden, der in der Lage ist, auf ein geschütztes Backup-Volume zu schreiben.

Blocky for Veeam® verwendet Application-Fingerprinting-Techniken, die es einem Malware-Code praktisch unmöglich machen, sich als genehmigte Anwendung auszugeben und die Kontrolle über Backup-Volumes zu erlangen.

Natürlich ist eine frühzeitige Erkennung von Cyber-Angriffen unerlässlich, um den Zeitpunkt zu bestimmen, an dem Ihre Backups „sicher“ und frei von Malware-Infektionen sind. Möglicherweise haben Sie schon seit einiger Zeit infizierte Daten zur Sicherung gesendet.

Das Whitelisting von Anwendungen sollte für jeden wichtigen Datenspeicher in Betracht gezogen und in Verbindung mit herkömmlichen Sicherheitstools als Teil einer Gesamtstrategie verwendet werden.

Die 3-2-1 Regel ist ein Best-Practice-Leitfaden für Backups, der vorschlägt, dass drei verschiedene Kopien Ihrer Produktionsdaten erstellt werden sollten, und zwar mit zwei verschiedenen Arten von Speichermedien, von denen eine extern sein sollte. Um den Schutz vor Ransomware weiter zu verringern, schlägt Veeam® vor, der Regel, dass eines der Medien offline ist, eine weitere „1“ hinzuzufügen.

Beispiele für Offline-Speicher sind Bänder, Wechselfestplatten und Cloud-verbundener unveränderlicher Speicher. Die in der 3-2-1-Regel vorgeschlagenen Offsite- und Offline-Techniken sind sicherlich sehr effektiv, aber für einige Unternehmen könnten die zusätzliche Komplexität und die zusätzlichen Kosten die ihnen zur Verfügung stehenden Ressourcen übersteigen.

Hoffentlich haben Ihnen die hier beschriebenen Tipps und Trends einige neue Bereiche aufgezeigt, die Sie auf Ihrem Weg zur Cybersicherheit in Betracht ziehen sollten. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.