2019 schlug die Financial Conduct Authority (FCA) Änderungen vor, wie die Institute des britischen Finanzsektors ihre operative Widerstandsfähigkeit sicherstellen, insbesondere gegen die Bedrohung durch Cyberangriffe. Die FCA wird am 31. März 2022 mit der Durchsetzung der Leitlinien beginnen. Alle Organisationen, die der FCA unterstehen, werden Audits durchführen müssen, um ihre Konformität nachzuweisen, und haben ein enges Zeitfenster für die Behebung von Konformitätsproblemen. Ein wichtiger Schritt zur Einhaltung der neuen FCA-Vorschriften ist die Gewährleistung der Cyber-Resistenz Ihrer Microsoft Active Directory (AD)-Umgebung, da AD eine entscheidende Rolle bei der Authentifizierung von Benutzern und der Bereitstellung des Zugriffs auf geschäftskritische Anwendungen und Dienste spielt.
Die FCA-Leitlinien enthalten detaillierte Anforderungen an die Institute, Auswirkungstoleranzen für wichtige Geschäftsdienstleistungen festzulegen. Sie schreiben vor, dass "Firmen ihre Auswirkungstoleranzen an dem ersten Punkt festlegen sollten, an dem eine Unterbrechung einer wichtigen Geschäftsdienstleistung ein untragbares Maß an Schaden für die Verbraucher oder ein Risiko für die Marktintegrität verursachen würde". Die Vorschriften besagen auch, dass "die Unternehmen ihre Fähigkeit testen sollten, ihre Auswirkungstoleranzen für jede ihrer wichtigen Geschäftsdienstleistungen im Falle einer Reihe von nachteiligen Szenarien einzuhalten, einschließlich einer schweren, aber plausiblen Unterbrechung des Betriebs.
Die Verhinderung von Unterbrechungen der Geschäftsdienste beginnt mit dem Schutz des Identitätssystems des Unternehmens. Die meisten Unternehmen verlassen sich für ihre zentralen Identitätsdienste auf AD, das wiederum den Zugriff auf die meisten anderen Systeme kontrolliert. Daher ist es für die Einhaltung der FCA-Richtlinien entscheidend, dass die Toleranzen für die Auswirkungen von AD definiert und getestet werden.
Die Absicherung von AD gegen Cyberangriffe sollte für jedes Unternehmen ungeachtet der FCA-Vorschriften oberste Priorität haben. AD ist äußerst anfällig und ein Hauptziel für Bedrohungsakteure:
- Die Berater von Mandiant schätzen, dass 90 Prozent der Vorfälle, die sie untersuchen, AD in der einen oder anderen Form beinhalten.
- Enterprise Management Associates (EMA) fand heraus, dass 50 Prozent der Unternehmen in den letzten 1-2 Jahren einen Angriff auf AD erlebt haben, und 40 Prozent dieser Angriffe waren erfolgreich.
- In einer Umfrage unter Unternehmen gaben 97 Prozent an, dass AD geschäftskritisch ist und dass ein AD-Ausfall "schwere" oder "katastrophale" Auswirkungen hätte.
Da AD den Zugriff der Benutzer auf Anwendungen und Dienste kontrolliert, hält es die Schlüssel zum Königreich. Indem sie sich über eine riskante Konfiguration oder eine Sicherheitslücke Zugang verschaffen, können sich Cyberkriminelle seitlich durch die Umgebung bewegen und AD als Schatzkarte nutzen, die sie zu sensiblen Daten führt, die für Lösegeldzahlungen genutzt werden können. Und AD ist ein häufig genutzter Weg zur Verbreitung von Malware.
Der Schutz von AD hilft, die FCA-Anforderungen zu erfüllen
Der Schutz von AD vor Bedrohungen und die Erstellung eines getesteten, cyber-first AD-Wiederherstellungsplans ist das grundlegende Element einer Sicherheitsstrategie, die die Anforderungen der FCA-Verordnung erfüllt. Die wichtigsten Maßnahmen umfassen:
- Verbesserung der betrieblichen Ausfallsicherheit, indem sichergestellt wird, dass AD schnell auf einen bekannt sicheren Zustand zurückgesetzt werden kann
- Überwindung der Konfigurationsabweichung durch Erkennung und automatische Beseitigung gefährlicher und bösartiger Änderungen an AD
- Füllen von Lücken bei den Fachkenntnissen durch die Einstellung von Mitarbeitern und die Implementierung von Technologien, die auf AD spezialisiert sind
- Festlegung einer "Risikobereitschaft"-Benchmark zur Messung des akzeptablen Risikos in Bezug auf das Patchen von Schwachstellen, Identifizierung und Behandlung von Indikatoren für die Gefährdung und Kompromittierung von AD sowie Festlegung von Zeitplänen und Prozessen für die Wiederherstellung
- Nutzen Sie zeitnahe und umsetzbare Bedrohungsdaten, um sich vor neuen Bedrohungen zu schützen, die auf AD abzielen.
Leider sind einige Sicherheitstechnologien (z.B. SIEMs) blind für viele der Schwachstellen von AD, und die meisten herkömmlichen Backup-Lösungen erfüllen nicht die Auswirkungstoleranzen für AD. Nik Simpson, Analyst bei Gartner, wies vor kurzem darauf hin, dass Unternehmen AD-spezifische Wiederherstellungslösungen implementieren müssen, um den jüngsten Anstieg der auf AD abzielenden Cyberangriffe zu bekämpfen. Er sagte, dass Führungskräfte, die sich auf die Sicherung der Rechenzentrumsinfrastruktur konzentrieren, "die Wiederherstellung nach Angriffen beschleunigen sollten, indem sie ein spezielles Tool für die Sicherung und Wiederherstellung von Microsoft Active Directory hinzufügen".
Da ein erfolgreicher Angriff auf AD den Geschäftsbetrieb lahmlegen kann, benötigen Unternehmen Lösungen, die AD vor, während und nach einem Angriff schützen. Unternehmen können die FCA-Anforderungen an die operative Widerstandsfähigkeit erfüllen, indem sie eine mehrschichtige Sicherheitsstrategie implementieren, die Folgendes umfasst:
- Maßnahmen im Vorfeld eines Angriffs zur Erkennung von Risiken und zum Schutz des Dienstes durch Überwachung von AD auf Indicators of Exposure (IOEs) und Indicators of Compromise (IOCs)
- Fähigkeiten zum Aufspüren und Reagieren auf laufende Angriffe, darunter:
- Erkennung von Bedrohungen und Einblick in die Aktionen der Angreifer
- Automatische Bereinigung von unerwünschten oder bösartigen Änderungen
- AD-spezifische Reaktion auf Vorfälle
- Nach der Attacke Funktionen zur Wiederherstellung des gesamten AD-Forests in einen Malware-freien Zustand, einschließlich:
- Ein Cyber-First-Ansatz für die Notfallwiederherstellung, der sicherstellt, dass Malware nicht wieder eingeschleppt wird
- Automatisierte, schnelle und testbare AD-Sicherung und -Wiederherstellung
- Forensische Untersuchungen nach einem Angriff, um wiederholte Kompromittierungen zu verhindern
Die Einhaltung der FCA-Vorschriften ist eine Frage der AD-Sicherheitshygiene
Das FCA-Mandat verlangt eigentlich nicht mehr als eine angemessene Sicherheit der geschäftskritischen Systeme, die für jedes Unternehmen bereits höchste Priorität hat. Wenn Sie jedoch - wie viele Unternehmen - Lücken in Ihrer AD-Sicherheitsstruktur haben, ist die Entwicklung eines dokumentierten Plans zur Behebung dieser Schwachstellen ein wichtiger erster Schritt, um die Anforderungen der FCA an die operative Widerstandsfähigkeit zu erfüllen.