Gastbeitrag von Joseph Carson, Chief Security Scientist bei Thycotic.
Chief Information Security Officers, CISOs, tragen eine der schwersten Lasten auf ihren Schultern von allen Mitarbeitern eines Unternehmens. Abhängig von ihren Sicherheitsrichtlinien und deren Durchsetzung können sie im Alleingang für den Erfolg oder Untergang eines ganzen Unternehmens verantwortlich sein.
Es ist im wahrsten Sinne des Wortes eine undankbare Position, denn normalerweise sagt niemand ein Wort, bis etwas völlig schief geht. CISOs müssen ein Gleichgewicht zwischen der Aufrechterhaltung ihres internen Teams und dem Schutz der Daten und der Infrastruktur des Unternehmens finden. Ein einziger Verstoß, sei es durch einen Unfall oder mangelnde Aufsicht, kann ein ganzes Unternehmen in die Knie zwingen, ohne dass es eine Chance auf Wiederherstellung gibt. Wir sind der Meinung, dass CISOs auf allen Ebenen sicherstellen müssen, dass 5 wesentliche Sicherheitsrichtlinien implementiert und strikt durchgesetzt werden.
Diese Liste ist nicht erschöpfend, aber sie ist ein guter Anfang - wir erleben immer wieder, dass die Führungskräfte Schwierigkeiten haben, diese Maßnahmen durchgängig umzusetzen.
Bevor wir beginnen, ist es wichtig zu wissen, dass Ihre Richtlinien nur dann erfolgreich sein können, wenn sie von allen Mitgliedern der Geschäftsleitung angenommen, anerkannt und geschätzt werden. In den Unternehmensrichtlinien muss festgehalten werden, dass die Nichteinhaltung der von der Abteilung für Informationssicherheit aufgestellten Sicherheitsrichtlinien durch einzelne Mitarbeiter zur Kündigung des Arbeitsverhältnisses führen kann. Sie muss ernst genommen werden, denn jeder im Unternehmen ist für die Sicherheit des gesamten Unternehmens verantwortlich.
Lassen Sie uns mit den 5 wichtigsten Sicherheitsrichtlinien beginnen, die jeder CISO durchsetzen muss.
Geringstes Privileg
Das ist die Nummer eins. Wenn Sie nicht mit den geringsten Privilegien arbeiten, laufen Sie Gefahr, alle anderen Sicherheitssysteme, Richtlinien und Verfahren zu gefährden. Sie können die besten Sicherheitssysteme haben, aber wenn ein administratives oder privilegiertes Konto kompromittiert wird, sind auch alle anderen Systeme gefährdet. Der beste Weg, um dies zu verhindern, ist ein Verfahren namens Least Privilege. Bei diesem Verfahren geht es im Kern darum, sicherzustellen, dass jede einzelne Person in und mit Ihrem Unternehmen über die geringstmögliche Anzahl von Privilegien verfügt, um ihre tägliche Arbeit zu erledigen.
Die Mitarbeiter Ihrer Marketingabteilung brauchen beispielsweise keine lokalen Verwaltungsrechte auf ihren Arbeitsstationen. Sie möchten sie vielleicht aus vielen Gründen haben, aber sie brauchen sie nicht, um ihre tägliche Arbeit zu erledigen.
Hier sind zwei Aspekte der Privilegien, die Sie untersuchen sollten (Haftungsausschluss: bei beiden kann Thycotic Ihnen tatsächlich helfen). Die Trennung aller Benutzer von ihrem permanenten administrativen oder privilegierten Zugriff (ja, das schließt sogar Ihre IT- und Sicherheitsadministratoren ein) und die Entfernung aller privilegierten Zugriffe auf Endpunkte und Anwendungen.
Die erste erfordert eine Lösung für die Verwaltung privilegierter Konten (Privileged Account Management, PAM) wie unseren Secret Server, die für die Erkennung, Speicherung, Verwaltung und den Schutz privilegierter Konten in Ihrem gesamten Unternehmen zuständig ist. Ihre Administratoren können sich in das System einloggen und privilegierte Konten nur dann auschecken, wenn sie sie unbedingt benötigen. Alle diese Zugriffe sind vollständig überprüfbar.
Der zweite Schritt, die Abschaffung der administrativen Rechte von Endgeräten und Anwendungen, ist für Unternehmen schwieriger zu bewerkstelligen. Wir hören oft, dass leitende Angestellte bereit sind, ein weitaus größeres Cybersicherheitsrisiko für ihr Unternehmen in Kauf zu nehmen, als normale Mitarbeiter mit Standardkonten zu belasten.
Der Grund dafür ist oft die höhere Anzahl von Support-/Helpdesk-Tickets, die erforderlich sind, wenn ein normaler Benutzer Anwendungen installieren oder aktualisieren muss. Auch hier kann Thycotic mit unserer Lösung Privilege Manager für Windows und Mac helfen. Mit Privilege Manager können Sie schnell anwendungsbasierte Richtlinien einrichten, um die Ausführung zugelassener Software zu ermöglichen (Application Whitelisting) und alle unbekannten Anwendungen zu verweigern oder zu blockieren. Und für die Anwendungen, für die es keine Richtlinie gibt, können Sie sie in eine graue Liste aufnehmen und den Benutzern erlauben, eine Zugriffsanfrage zu stellen. Jetzt können Benutzer zugelassene Software installieren und die Benutzerkontensteuerung umgehen, indem sie die Anwendung mit den Rechten ausstatten, die Sie für sie festgelegt haben.
Patch-Systeme
Dies ist eine der einfachsten und seltsamerweise auch eine der am meisten vergessenen Richtlinien in einem Unternehmen. Wenn Sie nach dem Prinzip der geringsten Privilegien arbeiten und Ihre Systeme mit den neuesten Sicherheits- und Bug-Patches auf dem neuesten Stand halten, entschärfen Sie 99% aller potenziellen Bedrohungen in Ihrem Unternehmen. Vielleicht sollte ich nicht "vergessene Richtlinien" sagen, denn wir hören tatsächlich viel von Unternehmen, die sich aus verschiedenen Gründen dafür entscheiden, ihre Systeme nicht zu aktualisieren/zu patchen. Der Hauptgrund dafür ist, dass bestehende Anwendungen, die intern entwickelt wurden, dadurch beschädigt werden könnten. Wir alle haben das schon einmal gehört: Unternehmen, die immer noch mit nicht unterstützten Versionen von Windows arbeiten.
Wieder einmal steht die Unternehmensleitung vor dem Dilemma "Risiko gegen Nutzen". Wenn sie ihre Systeme patchen, könnte das Stunden an Ausfallzeit, Ressourcen, Zeit und Geld kosten. Wenn sie die Systeme jedoch nicht patchen, läuft alles wie gewohnt weiter und sie hoffen einfach, dass sie nicht das nächste Ziel eines Cyberangriffs sind.
Apropos Cyberangriffe: Die Ransomware WannaCry ist ein gutes Beispiel dafür, warum es so wichtig ist, die Systeme gepatcht und auf dem neuesten Stand zu halten. Wenn Schwachstellen entdeckt werden, versuchen Hacker schnell, Tools zu entwickeln, die diese Schwachstellen ausnutzen, um Unternehmen auszunutzen, die ihre Systeme nicht gepatcht haben, um diese Schwachstelle auszunutzen. Microsoft hat seine Systeme bereits Monate vor der Veröffentlichung der WannaCry-Ransomware gepatcht. Die Angreifer haben WannaCry entwickelt, um die Unternehmen auszunutzen, die ihre Systeme nicht auf dem neuesten Stand gehalten haben - und das waren Tausende von ihnen.
Sicherheitstraining
Das schwächste Glied in jeder Sicherheitsstruktur ist immer der Mensch. Deshalb empfehle ich, den Menschen aus der Gleichung herauszunehmen, wann immer dies möglich ist (z.B. durch die Verwendung eines zentralen Passwortmanagers wie Secret Server, anstatt von ihm zu verlangen, sich Passwörter zu merken). Trotzdem ist es wichtig, dass jeder Mitarbeiter vierteljährlich an einem Sicherheitstraining teilnimmt. Interaktives Training ist ebenfalls hilfreich, z. B. wenn Sie Ihre Mitarbeiter einen simulierten Phishing-Angriff durchführen lassen, um zu sehen, wie sie reagieren, und um in der Lage zu sein, die Mitarbeiter, die den Test nicht bestehen, zu korrigieren.
Mitarbeiter, die bei Sicherheitstests immer wieder versagen, sollten mit einer Kündigung rechnen. Angreifer versuchen immer, die schwächsten Stellen in einem Netzwerk zu finden, und es gibt nichts Besseres als einen normalen Mitarbeiter, der einem Phishing-Angriff oder Social Engineering zum Opfer fällt, um sich Zugang zu Ihrem Netzwerk zu verschaffen.
Sicherheit Notfallübungen
Dies wird in vielen Unternehmen häufig übersehen. Viele IT- und Sicherheitsteams verfügen über Back-up-Systeme, Verfahren zur Wiederherstellung im Katastrophenfall, Notfallrichtlinien usw., versäumen es aber dennoch, diese Systeme in einer echten Übung zu testen.
Mindestens einmal im Quartal sollte Ihr Team Übungen durchführen, die einen Angriff oder ein katastrophales Ereignis in Ihrem Unternehmen simulieren. Lassen Sie sie Backups wiederherstellen und sicherstellen, dass sie funktionieren, oder schalten Sie alles auf die Failover-Systeme in einem Disaster Recovery-Szenario um. All Ihre Vorbereitungen und Planungen für Ereignisse sind nutzlos, wenn sie nicht tatsächlich funktionieren und wenn das Team nicht ausreichend vorbereitet und erfahren ist, wie man alles sofort wieder zum Laufen bringt.
Wie lange würde es dauern, bis Ihr Unternehmen aufgrund einer Naturkatastrophe oder eines Cyberangriffs ausfällt? Wenn Sie die Antwort auf diese Frage nicht wissen, ist es vielleicht an der Zeit, einige Sicherheitsnotfallübungen durchzuführen.
Dokumentieren, berichten und prüfen
Dokumentieren Sie alles, was Sie tun, berichten Sie über den Erfolg Ihrer Richtlinien und führen Sie interne Audits für alle Ihre Systeme durch. Auch wenn Sie kein Unternehmen sind, das gesetzlichen Bestimmungen wie PCI oder HIPAA unterliegt, ist es dennoch äußerst positiv, wenn Sie sich jedes Quartal internen Audits stellen. Und schließlich sollten Sie diese Audits auch nicht planen, sondern unangekündigt durchführen. Mit unangekündigten Audits Ihrer Systeme stellen Sie sicher, dass Ihre IT- und Sicherheitsteams stets ihr Bestes tun, um sicherzustellen, dass sie die von Ihnen festgelegten Richtlinien einhalten.
Wir hoffen, dass diese Informationen hilfreich waren, nicht nur für Sie als CISO, sondern für jeden, der für die Leitung der Sicherheits- und Schutzprogramme seines gesamten Unternehmens verantwortlich ist.