zurück zur Übersicht

Jahresendspurt – CISOs, get your prios right!

Die erste Jahreshälfte ist Geschichte. Ein guter Zeitpunkt für jeden Chief Information Security Officer (CISO), um laufende und anstehende Projekte zu betrachten und Prioritäten kritisch zu beleuchten. Ziel sollte es sein, Projekte zu identifizieren, die das größte Risikominimierungspotential heben und sie entsprechend zu forcieren.

Aus Diskussionen auf dem diesjährigen Gartner Security and Risk Management Summit, der kürzlich stattfand, resultiert eine Top 10 Liste solcher Projekte, für die dies üblicherweise zutrifft, da Unternehmen die genannten Maßnahmen nur rudimentär umgesetzt haben und das Optimierungspotential entsprechend groß ist. Lassen Sie uns einen Blick auf die Themen werfen, die viele CISOs beschäftigen.

#1: Privileged Account Management (PAM)

Privilegierte User Accounts, die über weitreichende Berechtigungen verfügen, sind häufig ein Key Target in vielen Cyberangriffen. Diese Accounts bergen den Schlüssel zu den Kronjuwelen eines Unternehmens. Ziel eines PAM-Projektes ist es genau diese Accounts zu schützen, zum Beispiel durch entsprechende Managementsysteme die Zugriff und Nutzung dieser kritischen Accounts regeln, als auch durch detektierende Maßnahmen, die verdächtiges Verhalten und Missbrauch solcher Benutzeraccounts erkennen (Stichwort UEBA). Als Minimalanforderung gilt hierbei vor allem, dass man sich beim Schutz dieser Accounts nicht ausschließlich auf Passwörter als alleinigen Authentifizierungsfaktor verlässt, sondern konsequent Multi-Faktor-Authentifizierung (MFA), beispielsweise mit One-Time Password Token (OTP) umsetzt.

#2: Risikobasiertes Vulnerability Management

In vielen Unternehmen können Operations Teams nicht mehr schritthalten mit der Fülle der zu patchenden Schwachstellen. Ressourcen und zur Verfügung stehende Wartungsfenster reichen einfach nicht aus, um alle Lücken zu patchen. Um dieses Dilemma zu lösen, müssen aktuelle Bedrohungslage und mitigierende Schutzmaßnahmen in die Priorisierung der zu patchenden Schwachstellen einbezogen werden. Risikobasiertes Vulnerability Management tut genau dies, indem die Informationen über gefundene Schwachstellen mit Threat-Intelligence-Informationen, die die aktuelle Bedrohungslage wiedergeben, korreliert werden. Ziel ist es, die Schwachstellen zu finden, deren Behebung das Risiko am meisten senkt.

#3: Anti-Phishing

CISOs von Unternehmen, deren Mitarbeiter ständig Opfer von Phishing Atttacken werden, sollten hier ansetzen und zwar mit einem mehrstufigen Ansatz: Technische Maßnahmen, Security Awareness & Prozessoptimierung. Technische Maßnahmen sollten so viele Phishing Attacken wie möglich blocken. Doch die Benutzer sind elementarer Bestandteil der Cyber Defense Strategy. Zeigen Sie Ihren Benutzern worauf es ankommt, um nicht zum Opfer zu werden. Setzen Sie dabei auf Konzepte, die weniger mit erhobenem Zeigefinger drohen und stattdessen positive Verhaltensweisen und Erfahrungen in den Blickpunkt rücken. Analysieren Sie Geschäftsprozesse, die besonders anfällig für Phishing-Attacken sind und bauen Sie in diese auch prozessuale Sicherheitsnetze ein.

#4: Application Control auf Servern

Das Zero-Trust-Prinzip ist ein schon länger ein gern verwendetes Buzz Word. Oft ist es jedoch schwierig umzusetzen, zumindest wenn es um eine durchgängige Umsetzung geht. Aber auch hier gilt: „Don’t try to eat the elephant at once!”. Für bestimmte Teile der IT-Infrastruktur ist eine gute Balance zwischen Aufwand und Nutzen möglich. So zum Beispiel beim Thema Application Control auf Servern. Server erfüllen zumeist eine dedizierte Aufgabe, für die eine überschaubare Anzahl von Softwarekomponenten zum Einsatz kommt. Diese werden in Whitelists erfasst und freigegeben, die Ausführung anderer Komponenten hingegen wird blockiert. Gerade auch für Legacy-Systeme für die kein Support und damit keine Updates mehr zur Verfügung gestellt wird oder auch für IoT Devices kann dieser Ansatz sinnvoll sein, besonders auf diesen Systemen .

#5: Micro Segmentation & Network Visibility

Hat ihr Unternehmen ein flaches Netzwerk, ganz egal ob im eigenen Datacenter oder in der Cloud (IaaS)? Micro Segmentation kann ein lohnender Ansatz sein, um das Risiko, das durch intransparente Kommunikationsbeziehungen entsteht, zu senken. Es geht in erster Linie gar nicht darum, mit Hilfe von Firewalls und Network Security Groups die Kommunikation zu reglementieren. Nur allzu leicht schießt man hier über das Ziel hinaus, was oft zu verschleppten Projektrealisierungen und unnötig hohen Aufwänden führt. Setzen Sie sich zunächst Visibilität und Transparenz als Zielmarken. Verschaffen Sie sich einen Überblick über Ihre Netzwerktopologie und platzieren Sie entsprechende Sensorik an Übergängen von Schutzbedarfszonen und anderen neuralgischen Punkten, um sich in die Lage zu versetzen, die Kommunikationsbeziehungen Ihrer Infrastruktur zu verstehen und Eindringlinge erkennen zu können. Erst danach sollte man über die Reglementierung nachdenken.

#6: Incident Detection & Response

Für viele Unternehmen stellt sich beim Thema Cyberangriff die Frage nach dem OB gar nicht, sondern nur nach dem WANN und WIE. Die Erkennung (Detection) und zeitnahe Ergreifung von Gegenmaßnahmen (Response) sind elementare Bestandteile ihrer Verteidigungsstrategie. Hier lohnt es sich zu prüfen, wie diese Funktionen kontinuierlich optimiert werden können.

Gartner nennt hier drei mögliche Ansatzpunkte:

  • Integration von EDR-Funktionen (Endpoint Detection & Response) in Endpoint-Protection-Plattformen (EPP).
  • Erweiterung von SIEM-Systemen um UEBA-Funktionalitäten (User & Entity Behavior Analytics).
  • Deception – Maßnahmen um Angreifer zu täuschen und ihre Ressourcen zu binden, um verdächtige Aktivitäten aufdecken zu können.

#7: Cloud Security Posture Management (CSPM)

Besonders Unternehmen, die IaaS/PaaS Deployments für geschäftskritische Anwendungen nutzen können hier ein großes Risikominimierungspotential heben. Cloud Plattformen wie Microsoft Azure und Amazon AWS bieten mittlerweile vielfältige Funktionen, mit denen ein effektives und effizientes Risikomanagement in diesen Umgebungen möglich ist. Man muss sie nur nutzen.

#8: Automated Security Scanning

Wird in Ihrem Unternehmen agile Softwareentwicklung betrieben und das DevOps-Prinzip gelebt? Dann ist die Integration von automatischen Sicherheitsscans in den CI/CD Workflow Pflicht. Prüfen Sie konsequent Open Source Software Komponenten und Container auf Schwachstellen, bevor diese in Produktion gehen. Versuchen Sie diese Integration so nahtlos wie möglich zu gestalten, denn der Feind des DevOps sind alle Maßnahmen, die Deployments unnötig verlangsamen.

#9: Cloud Access Security Broker (CASB)

Hat Ihr Unternehmen viele Mitarbeiter, die mobil arbeiten und setzen diese dabei in großem Umfang Cloud Services (SaaS) ein? Dann wissen Sie ja welche Applikationen das sind und welche Informationen damit verarbeitet werden. Nein? Dann sollten Sie sich einen Überblick verschaffen. CASB-Lösungen unterstützen Sie dabei. Beginnen Sie auch hier zunächst mit Visibilität und arbeiten Sie sich dann zu Reglementierung und Zugriffsteuerung vor.

#10: Software-defined Perimeter

Flexibilisierung von Arbeitszeitmodellen und agile Sourcingstrategien machen bedarfsgerechte Zugriffssteuerung auf die dafür notwendigen Systeme unerlässlich. Konventionelle Remote-Access-Lösungen, die in der Vergangenheit auf Basis von VPN-Technologien realisiert wurden, können hier oft nicht die notwenige Granularität der Zugriffsberechtigungen abbilden. Jetzt sollten diese Konzepte neu gedacht werden, um zukünftige Anforderungen abdecken zu können.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer