Neueste Nachrichten über Technologie und Cybersicherheit

Aktuelle Seite: Startseite / Cyber Security News / Neues Jahr, neue Bedrohungen: 4 Tipps zur Aktivierung Ihrer besten Cyber-Verteidigung

Benötigen Sie einen Plan für den Aufbau einer beeindruckenden Cyber-Verteidigung? Kerry Mandiant, Senior Director bei Mandiant, gibt in dieser detaillierten Aufschlüsselung ihre Tipps.

Zu Beginn eines neuen Jahres voller Ungewissheit gilt für Cybersicherheitsexperten eines nach wie vor: Sie haben einen strategischen Vorteil gegenüber ihren Gegnern. Es mag offensichtlich klingen, aber sie starten Angriffe gegen Sie, in Ihrer Umgebung, die Sie kontrollieren – was Ihnen einen grundlegenden Verteidigungsvorteil verschafft.

Theoretisch.

Leider tun sich Unternehmen jedoch oft schwer, diesen grundlegenden Vorteil zu nutzen. Im Folgenden finden Sie, inspiriert von Mandiants erstmals veröffentlichtem Buch „The Defender’s Advantage“, vier Ideen, wo Sie mit der Aktivierung der Cyberabwehr beginnen sollten, um den größten Nutzen für Ihr Sicherheitsbudget zu erzielen – im Jahr 2022 und darüber hinaus.

Erstellen Sie Ihr Cyber-Bedrohungsprofil

„Das Cyber-Bedrohungsprofil ist wohl das wichtigste Dokument für ein Cyber-Intelligence-Programm. Und die meisten Programme haben entweder keins oder nutzen es nicht, um ihre Operationen zu steuern.“

– Andrew Close, Hauptberater, Entwicklung von Geheimdienstkapazitäten, Mandiant

Einer der wertvollsten Schritte, die ein Unternehmen unternehmen kann, ist die Erstellung eines Cyber-Bedrohungsprofils, das einen tiefen Einblick in die Gegner, Schwachstellen und Risiken des Unternehmens gibt. Die Erstellung eines Cyber-Bedrohungsprofils sollte auf Informationen und Sorgfaltspflicht (nicht auf Schlagzeilen) beruhen und als Grundlage für die anderen Funktionen der Cyber-Abwehr dienen.

Ein Cyber-Bedrohungsprofil untersucht idealerweise eine Kombination aus drei Schlüsselfaktoren: die Bedrohungslandschaft, Ihr Unternehmensprofil und eine Risiko- und Folgenanalyse.

Die Informationen über die Bedrohungslandschaft in Verbindung mit einem detaillierten Unternehmensprofil können Informationen über die aktiven Bedrohungsakteure liefern, die derzeit Angriffskampagnen auf Unternehmen wie das Ihre starten. Das Profil sollte Informationen über Ihre Angriffsfläche, die möglichen Ziele der Angreifer (wertvollste Daten oder Konten) und alle bekannten Schwachstellen sowie den Patching-Status enthalten. Um dies zu erreichen, müssen Sie möglicherweise den Einblick in Ihre Umgebung verbessern.

Der letzte Teil des Dreiklangs besteht darin, das Risiko und die Auswirkungen eines Angriffs auf das Unternehmen zu verstehen. Nicht alle Verstöße sind gleich, und eine ehrliche Risikoanalyse kann dabei helfen, die Ressourcen auf die folgenreichsten Aktivitäten zu konzentrieren.

Organisieren Sie Ihre Umgebung & Operationen für den Kampf

Es gibt sechs kritische Funktionen der Cyber-Abwehr: Information, Befehl und Kontrolle, Jagd, Entdeckung, Reaktion und Validierung. Wenn Sie Ihr Cyber-Bedrohungsprofil in der Hand haben, können Sie damit Ihre Prioritäten festlegen und diese Cyber-Abwehrmaßnahmen nicht nur vorbereiten, sondern auch in den aktiven Dienst überführen. Jeder der sechs Punkte sollte auf der Grundlage Ihres spezifischen Cyber-Bedrohungsprofils festgelegt und aktiviert werden.

Überlegungen:

  • Optimieren Sie die Sicherheitskontrollen und stellen Sie sicher, dass sie an den richtigen Stellen konfiguriert sind, damit sie sichtbar sind und greifen. Das Cyber-Bedrohungsprofil (die Informationen) bestimmt die Kronjuwelen Ihres Unternehmens. Die Sicherheitsarchitektur sollte dann so konzipiert sein, dass alle Interaktionen mit diesen Kronjuwelen sichtbar sind und die Sicherheitsorganisation auf Bedrohungen reagieren kann.
  • Suche nach aktiven oder früheren Kompromittierungen auf der Grundlage aktueller Informationen und Kenntnisse über die Umgebung. Dies erfordert eine enge Kommunikation zwischen den Nachrichtendienst- und Jagdfunktionen innerhalb einer Cyber-Abwehrorganisation. Wenn eine Kompromittierung festgestellt wird, beschleunigt eine vorher festgelegte Übergabe an die Reaktionsfunktion die Untersuchungen und ermöglicht eine schnellere Behebung.
  • Effiziente Kommunikation vor, während und nach einer Sicherheitsverletzung durch eine Kommando- und Kontrollfunktion, die Cyber-Abwehrmaßnahmen und die Kommunikation sowohl innerhalb als auch außerhalb der Sicherheitsorganisation koordiniert.
  • Stellen Sie sicher, dass Sie Ihre Fähigkeiten validieren (siehe unten).

Bohren, bohren, bohren, um Fähigkeiten zu validieren

„Wenn Ihre Kontrollen und Prozesse nicht funktionieren, wollen Sie das wissen, bevor es der Gegner tut.“

-Lynn Harrington, Mandiant

Eine wichtige Komponente bei der Aktivierung Ihrer Cyber-Abwehr ist die Bestätigung, dass sich die Arbeit (und die Investitionen), die Sie in Technologien, Prozesse und Mitarbeiter gesteckt haben, auszahlen. Zu diesem Zweck müssen Sie die Wirksamkeit der Kontrollen und Abläufe kontinuierlich überprüfen.

Anhand Ihres Cyber-Bedrohungsprofils können Sie Ihre Fähigkeiten im Hinblick auf aktive Bedrohungen für Ihr Unternehmen testen. Dies schließt sowohl externe als auch interne Bedrohungen ein und kann durch automatisierte Tools, Penetrationstests oder Übungen mit simulierten Cyberangriffen validiert werden.

Infosec Insiders Rundbrief

Eine weitere unschätzbare Aktivität, die regelmäßig durchgeführt werden sollte, ist eine Tabletop-Übung. Diese Übungen sollten verschiedene Angriffsszenarien abdecken, einschließlich, aber nicht beschränkt auf Ransomware, Datenexfiltration und Insider-Bedrohungen.

Tabletop-Übungen sollten regelmäßig im Laufe des Jahres sowohl mit Führungskräften als auch mit technischen Gruppen durchgeführt werden. Der Wert dieser Übungen besteht darin, Verfahren für die Reaktion auf einen Vorfall zu üben, damit Ihr Unternehmen, falls (oder besser gesagt, wenn) der „schlimmste Tag“ eintritt, schnell und angemessen reagieren kann. Ein wichtiger Aspekt dieser Übungen ist die Ermittlung und Übung der Kommunikation mit Gruppen außerhalb der IT-Sicherheitsfunktion. Dazu können Rechtsberater, Versicherungsanbieter, IT-Funktionen und die Kommunikation mit dem Vorstand gehören.

Ein gutes Beispiel für die Notwendigkeit, mit Gruppen außerhalb der IT-Sicherheitsfunktion zusammenzuarbeiten, ist die Planung einer Massenrücksetzung von Passwörtern. Dies ist häufig nach einer Sicherheitsverletzung erforderlich und muss eng mit der IT-Organisation koordiniert werden. Einige Fragen, die es zu klären gilt: Ist eine Massenrücksetzung von Passwörtern durchführbar? Was ist bei der Planung zu beachten und wie lange würde die Durchführung dauern? Welche Maßnahmen müssen auf der IT- und der Sicherheitsseite ergriffen werden, um sicherzustellen, dass die Maßnahme erfolgreich ist und nur einmal durchgeführt werden muss, um die Bedrohung vollständig zu beseitigen?

Tabletop-Übungen in Verbindung mit der Validierung von Kontrollen ermöglichen es Ihnen, Schwachstellen in Ihren Systemen und Abläufen zu schließen, um die Auswirkungen einer Sicherheitsverletzung zu verhindern oder zu minimieren.

Kennen Sie Ihre Fähigkeiten

Die gute Nachricht ist, dass die Einrichtung und Aktivierung Ihrer Cyber-Abwehrmaßnahmen nicht über Nacht erfolgen muss (je früher, desto besser). Beginnen Sie mit der Erstellung eines Cyber-Bedrohungsprofils, das zusammen mit der Validierung bestehender Kontrollen und Abläufe sowie den Unternehmenszielen die Grundlage für den weiteren Ausbau Ihrer Fähigkeiten bildet.

Es kann kostspielig sein, sich das nötige Fachwissen anzueignen, um jede Funktion abzusichern. Daher kann die Aktivierung Ihrer Cyber-Abwehr auch die Ermittlung von Möglichkeiten beinhalten, das Fachwissen in Ihrer Cyber-Abwehr-Organisation durch Partnerschaften, Outsourcing und verwaltete Dienste zu erweitern, wo dies erforderlich ist.

Denken Sie daran, dass es vielleicht nicht von heute auf morgen geht, aber der Vorteil des Verteidigers ist erreichbar – mit einem erkenntnisgestützten Ansatz, dem Verständnis der kritischen Funktionen der Cyberabwehr und dem Engagement für kontinuierliche Verbesserungen.

Kerry Matre ist ein Senior Director bei Mandiant.

Weitere Einblicke der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.