Was sind die Essential Eight (und warum Nicht-Aussies das interessieren sollte)

  • Im Jahr 2017 veröffentlichte das Australian Cyber Security Center (ACSC) eine Reihe von Abhilfestrategien, die Unternehmen dabei helfen sollen, sich vor Cybersicherheitsvorfällen zu schützen. Diese Strategien, die als „Essential Eight“ bekannt wurden, wurden speziell für die Verwendung in Windows-Netzwerken entwickelt, obwohl Variationen dieser Strategien häufig auf andere Plattformen angewendet werden.

    Was sind die „Essential Eight“?

    Bei den Essential Eight handelt es sich im Wesentlichen um einen Rahmen für Cybersicherheit, der aus Zielen und Kontrollen besteht (wobei jedes Ziel mehrere Kontrollen umfasst). Ursprünglich schrieb die australische Regierung den Unternehmen nur die Einhaltung von vier der Sicherheitskontrollen vor, die im ersten Ziel enthalten waren. Ab Juni 2022 müssen jedoch alle 98 nicht-korporativen Commonwealth-Einheiten (NCCEs) den gesamten Rahmen einhalten.

    Nicht-Australier aufgepasst

    Obwohl die Essential Eight speziell auf Australien zugeschnitten sind, sollten Organisationen außerhalb Australiens sie zur Kenntnis nehmen. Schließlich basieren die Essential Eight „auf den Erfahrungen des ACSC bei der Erstellung von Informationen über Cyber-Bedrohungen, der Reaktion auf Cybersicherheitsvorfälle, der Durchführung von Penetrationstests und der Unterstützung von Organisationen bei der Umsetzung der Essential Eight“ (Quelle). Mit anderen Worten könnte man die Essential Eight als eine Reihe von Best Practices betrachten, die auf den eigenen Erfahrungen des ACSC beruhen.

    Ein weiterer Grund für diejenigen außerhalb Australiens, den Essential Eight Beachtung zu schenken, ist, dass die meisten Industrienationen Cybersicherheitsvorschriften haben, die den Essential Eight sehr ähnlich sind. Auch wenn es zwangsläufig Unterschiede in den Vorschriften gibt, scheinen sich die meisten Vorschriften zur Cybersicherheit über die grundlegenden Mechanismen einig zu sein, die eingerichtet werden müssen, um sicher zu sein. Ein Blick auf die australischen Essential Eight kann Organisationen im Ausland helfen, besser zu verstehen, was nötig ist, um ihre Systeme sicher zu halten.

    Die Grundlegenden Acht sind in vier Reifegrade unterteilt, wobei Reifegrad 0 bedeutet, dass die Organisation überhaupt nicht sicher ist. Reifegrad 1 bietet ein sehr grundlegendes Maß an Schutz, während Reifegrad 3 weitaus strengere Anforderungen stellt. Unternehmen sollten bei der Wahl des Reifegrads ihre Gesamtrisiken und IT-Ressourcen bewerten.

    Ziel 1: Anwendungskontrolle

    Das Ziel der Anwendungskontrolle soll verhindern, dass nicht autorisierter Code auf Systemen ausgeführt wird. Reifegrad 1 soll in erster Linie verhindern, dass Benutzer nicht autorisierte ausführbare Dateien, Skripte, Tools und andere Komponenten auf ihren Workstations ausführen, während Reifegrad 2 den Schutz von Servern mit Internetzugang ergänzt. Reifegrad 3 fügt zusätzliche Kontrollen hinzu, wie z. B. Treiberbeschränkungen und die Einhaltung der Sperrlisten von Microsoft.

    Ziel 2: Anwendungen patchen

    Das zweite Ziel konzentriert sich auf die Anwendung von Patches für Anwendungen. Software-Anbieter stellen routinemäßig Sicherheits-Patches bereit, wenn Schwachstellen entdeckt werden. Das Ziel „Patch Applications“ besagt (für alle Reifegrade), dass Patches für Schwachstellen in internetorientierten Diensten innerhalb von zwei Wochen eingespielt werden sollten, es sei denn, es existiert ein Exploit, in diesem Fall sollten die Patches innerhalb von 48 Stunden nach Verfügbarkeit eingespielt werden. In diesem Fall sollten die Patches innerhalb von 48 Stunden nach ihrer Verfügbarkeit eingespielt werden.

    Ziel 3: Konfigurieren der Microsoft Office-Makroeinstellungen

    Das dritte Ziel besteht darin, die Verwendung von Makros in Microsoft Office für Benutzer zu deaktivieren, die keine legitime geschäftliche Notwendigkeit für die Verwendung von Makros haben. Unternehmen müssen außerdem sicherstellen, dass Makros für alle aus dem Internet stammenden Office-Dateien blockiert sind und dass die Einstellungen nicht von Endbenutzern geändert werden können. Unternehmen müssen außerdem Antiviren-Software einsetzen, um nach Makros zu suchen. Bei höheren Reifegraden kommen zusätzliche Anforderungen hinzu, z. B. die Ausführung von Makros in Sandboxen.

    Ziel 4: Anwendungshärtung verwenden

    Das vierte Ziel heißt „Application Hardening“, aber bei einem Reifegrad von 1 bezieht sich dieses Ziel hauptsächlich auf das Sperren des Webbrowsers auf den PCs der Benutzer. Konkret müssen die Browser so konfiguriert werden, dass sie weder Java noch Web-Werbung verarbeiten können. Außerdem kann der Internet Explorer 11 nicht zur Verarbeitung von Internet-Inhalten verwendet werden (höhere Reifegrade erfordern das Entfernen oder Deaktivieren des Internet Explorer). Die Browser-Einstellungen müssen so konfiguriert sein, dass sie von den Benutzern nicht geändert werden können.

    Höhere Reifegrade konzentrieren sich auf die Absicherung anderer Anwendungen als nur des Browsers. So muss beispielsweise verhindert werden, dass Microsoft Office und PDF-Reader Kindprozesse erstellen.

    Ziel 5: Administrative Berechtigungen einschränken

    Bei Ziel 5 geht es darum, privilegierte Konten sicher zu halten. Dieses Ziel legt Regeln fest, wie z. B. dass privilegierte Konten nicht auf das Internet, E-Mail oder Webdienste zugreifen dürfen. Ebenso muss es unprivilegierten Konten untersagt sein, sich in privilegierten Umgebungen anzumelden.

    Wenn ein Angreifer versucht, ein Netzwerk zu kompromittieren, wird er als erstes versuchen, sich privilegierten Zugang zu verschaffen. Aus diesem Grund ist es außerordentlich wichtig, privilegierte Konten vor einer Kompromittierung zu schützen. Eines der besten Tools von Drittanbietern ist Specops Secure Service Desk, das unbefugtes Zurücksetzen von Passwörtern sowohl für privilegierte als auch für unprivilegierte Konten verhindert. Auf diese Weise kann ein Angreifer keinen Zugriff auf ein privilegiertes Konto erlangen, indem er einfach eine Passwortrücksetzung anfordert.

    Ziel 6: Betriebssysteme patchen

    So wie die Hersteller von Anwendungen regelmäßig Patches zur Behebung bekannter Sicherheitslücken veröffentlichen, gibt auch Microsoft regelmäßig Windows-Patches heraus. Diese Patches erscheinen in der Regel am „Patch Tuesday“, aber manchmal werden auch Patches außerhalb des Programms veröffentlicht, wenn schwerwiegende Sicherheitslücken behoben werden.

    Das Ziel „Patch Operating System“ legt die grundlegenden Anforderungen für die Bereitstellung von Patches für Windows fest. Darüber hinaus verlangt dieses Ziel, dass Unternehmen regelmäßig nach fehlenden Patches suchen.

    Ziel 7: Mehrstufige Authentifizierung

    Das siebte Ziel definiert, wann die Multifaktor-Authentifizierung verwendet werden muss. Reifegrad 1 ist relativ milde und erfordert eine Multifaktor-Authentifizierung vor allem dann, wenn Benutzer auf das Internet zugreifen oder auf webbasierte Anwendungen (unter anderem). In höheren Reifegraden muss die Multifaktor-Authentifizierung in immer mehr Situationen eingesetzt werden.

    Die Forderung nach Multifaktor-Authentifizierung ist eine der effektivsten Maßnahmen, die eine Organisation ergreifen kann, um die Sicherheit von Benutzerkonten zu gewährleisten. Specops uReset ermöglicht eine Multifaktor-Authentifizierung für Passwort-Rücksetzungsanfragen und trägt so zur Sicherheit von Benutzerkonten bei.

    Ziel 8: Regelmäßige Backups

    Das achte Ziel ist die Erstellung regelmäßiger Backups. Neben der Erstellung von Backups müssen Unternehmen auch Testwiederherstellungen durchführen und verhindern, dass unprivilegierte Konten Backups löschen oder ändern oder auf Backups zugreifen, die nicht ihre eigenen sind. In höheren Reifegraden werden zusätzliche Zugriffsbeschränkungen für unprivilegierte Konten und für privilegierte Konten (mit Ausnahme von Backup-Administratoren und Break-Glass-Konten) festgelegt.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com