Aufbau einer mehrschichtigen Sicherheit für moderne Bedrohungen

Cyber Security News

Justin Jett, Director of Audit and Compliance bei Plixer, erörtert die Elemente einer erfolgreichen fortschrittlichen Sicherheitsposition.

In Anbetracht der jüngsten Meldungen über größere Angriffe, die von externen böswilligen Akteuren verursacht wurden, einschließlich eines Ransomware-Angriffs auf eine US-amerikanische Benzin-Pipeline, ist die Notwendigkeit eines erhöhten Sicherheitsniveaus so wichtig wie eh und je, und mehrschichtige Sicherheit bleibt der Schlüssel dazu.

Angesichts der grassierenden Ransomware-Angriffe und anderer Cybersecurity-Vorfälle, die die Schlagzeilen beherrschen, schenken Organisationen und Regierungen mehr Aufmerksamkeit, und viele sind bereit, das nötige Geld auszugeben, um einige der Probleme zu beheben, die es diesen Bedrohungsakteuren leicht machen, ein Computersystem oder Netzwerk erfolgreich zu infiltrieren und zu kompromittieren. Präsident Joe Biden unterzeichnete diese Woche eine Durchführungsverordnung, die Initiativen zur Verbesserung der nationalen Cybersicherheit enthält. Auf der anderen Seite des Atlantiks zeigt ein aktueller Bericht des britischen National Cyber Security Centre, wie Großbritannien seine Maßnahmen zur Cybersicherheitsabwehr ausbaut.

Laut dem kürzlich veröffentlichten Cisco-Bericht “Future of Secure Remote Work”, für den mehr als 3.000 globale IT-Entscheidungsträger aus 30 Branchen befragt wurden, gaben 85 Prozent der Befragten an, dass Cybersicherheit seit Beginn der Pandemie extrem wichtig geworden ist. Dies liegt vor allem daran, dass Unternehmen schnell auf ein mehrheitlich von zu Hause aus arbeitendes Modell umstellen mussten, was eine Anpassung der Richtlinien und Sicherheitsansätze an die neue Normalität bedeutete.

Mehrschichtige Sicherheit ist nicht veraltet

Es wurde schon oft gesagt, aber es lohnt sich, es zu wiederholen. Ein mehrschichtiger Sicherheitsansatz ist der beste Weg, um die Wahrscheinlichkeit eines erfolgreichen Einbruchs oder einer Sicherheitsgefährdung zu verringern. Und auch wenn einige Sicherheitsebenen trivial oder offensichtlich erscheinen mögen, sind sie alle gleich wichtig.

Es ist ähnlich wie bei einem Wasserreinigungssystem. So wie die erste Schicht der Wasserreinigung darin besteht, die großen und offensichtlichen Partikel zu entfernen, kann die erste Schicht der Cybersicherheit einfach eine Netzwerk-Firewall sein, die den offensichtlich bösartigen Datenverkehr blockiert. Es wäre lächerlich, eine Umkehrosmose an rohem Abwasser zu versuchen, ohne vorher den offensichtlich giftigen Inhalt zu entfernen.

Mit jeder Schicht, die Sie zu Ihrem Netzwerk hinzufügen, werden Sie wahrscheinlich mehr und mehr Verunreinigungen, d. h. bösartige Aktivitäten, entfernen. Das Hinzufügen von Firewalls, Intrusion Prevention- und Detection-Systemen sowie Antivirenprogrammen zur Bekämpfung von Malware ist also immer eine gute Möglichkeit, die Wahrscheinlichkeit zu verringern, dass etwas durchkommt.

Aber manchmal braucht man weitere Analysen dieser Daten. Genau wie bei Wasser ist es unmöglich, ohne richtige Analyse zu wissen, ob es schlecht ist.

Wie Sie Ihren Netzwerkverkehr richtig analysieren

Der Versuch, den Netzwerkverkehr in Echtzeit zu analysieren, kann genauso schwierig sein wie der Versuch, das gesamte Wasser zu testen, das aus einem Feuerwehrschlauch fließt. Man kann es mit einem unverhältnismäßig hohen Aufwand machen, aber es ist nicht skalierbar. Was die Sache noch schwieriger macht, ist die Tatsache, dass böswillige Akteure fast immer Methoden einsetzen, um unentdeckt zu bleiben, einschließlich der Verwendung von Methoden zur langsamen Datenübertragung, um unter dem Radar zu schlüpfen.

Um diese Methoden zu bekämpfen, sollten Netzwerkdaten über einen langen Zeitraum gesammelt und analysiert werden, um festzustellen, woher der bösartige Datenverkehr kommt. Insbesondere maschinelles Lernen über Network Detection and Response (NDR)-Systeme sollte fast immer eingesetzt werden, um Netzwerk- und Sicherheitsteams bei der Identifizierung von bösartigem Datenverkehr zu unterstützen.

Sicherheit für hybride Arbeitsmodelle

Da viele Organisationen geimpfte Mitarbeiter wieder ins Büro lassen und den Mitarbeitern die Entscheidung überlassen, wann oder ob sie zurückkehren, wird sich der Wechsel zu einem hybriden Sicherheitsmodell mit ziemlicher Sicherheit durchsetzen. Dies erhöht den Bedarf an NDR, da sich die Sicherheitsbedürfnisse der Organisation ändern, wenn die Mitarbeiter ihren Arbeitsort wechseln. Für Unternehmen wird es schwieriger, pauschale Regeln für Netzwerkverbindungen zu erstellen, wenn die Mitarbeiter ständig IPs oder Standorte wechseln.

Während einige Unternehmen ihre Mitarbeiter zwingen, sich mit dem Unternehmens-VPN zu verbinden, ist dies nicht immer praktikabel, insbesondere wenn die Bandbreitenkapazität zu Hause begrenzt ist. Stattdessen können Sicherheitsteams Anomalien erkennen, indem sie sich ansehen, wie der Datenverkehr im Laufe der Zeit durch das Netzwerk fließt.

Während die Mitarbeiter vielleicht umziehen, ändern sich die Arten von Verbindungen und Daten, die sie konsumieren, wahrscheinlich genauso häufig. Der Einsatz von NDR-fähigen Systemen gibt Unternehmen den nötigen Einblick, um zu erkennen, wenn Mitglieder des Vertriebsteams beginnen, Inhalte über eine SSH-Verbindung hochzuladen oder wenn die Personalabteilung beginnt, ausgehende Verbindungen über FTP herzustellen. Dies gilt insbesondere dann, wenn nicht alle Benutzer ständig mit dem Netzwerk verbunden sind. Sobald die Verbindung wiederhergestellt ist, ist es wichtig, historische Daten zu haben, um potenziell infizierte Geräte zu identifizieren. [In a nearby article, you can read more about how NDR systems play a role in resolving problems that humans create.]

Menschen: Schwächste Sicherheitsverbindung

Leider sind die Menschen das schwächste Glied, daher ist die Fähigkeit, das Verhalten zu baseline-analysieren und zu erkennen, wenn die Traffic-Muster abweichen, eine Best Practice bei der Erkennung bösartiger Aktivitäten. Durch die Aktivierung eines mehrschichtigen Ansatzes mit langfristiger Baseline-Analyse des Netzwerkverkehrs können Unternehmen jedoch sicherstellen, dass sie über die höchste Sicherheitsstufe verfügen, selbst wenn die Mitarbeiter ständig ihren Arbeitsort wechseln.

Dieser Multi-Layer-Ansatz ist wirklich die einzige Möglichkeit, sich gegen Angriffe zu schützen. Zwar können nicht alle Angriffe gestoppt werden, aber der Schaden, den sie verursachen, kann drastisch reduziert werden.

Justin Jett ist der Direktor für Audit und Compliance bei Plixer.

Weitere Erkenntnisse der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com