Michele Crockett

Das NIST empfiehlt ergänzende Lösungen, ähnlich wie ein Team von Sicherheits-Superhelden

Wenn Sie die Daten Ihres Unternehmens erfolgreich vor Ransomware zu schützen, müssen Sie so vorgehen, als ob Sie ein Team von Superhelden zusammenstellen. Jedes Teammitglied hat eine einzigartige Kraft, die individuell begrenzt erscheint. Aber gemeinsam können sie das Böse besiegen.

Die Zahl der Cyberangriffe nimmt weiter zu, aund Angreifer Taktiken werden immer raffinierter und innovativer, fühlen sich die Unternehmen in diesem Kampf verständlicherweise unterlegen. Jede Woche machen mehr Beispiele für Sicherheitsverletzungen weltweit Schlagzeilen., und machen Marken wie SolarWinds zu zu bekannten Namen - aus den falschen Gründen.

Die finanziellen Folgen dieser Verstöße sind erschütternd. Das Ponemon Institut berichtet, dass jedes vierte Unternehmen im nächsten Jahr von einem Datenschutzverstoß betroffen sein wird und dass die durchschnittlichen Kosten für diese Verstöße bei 3,92 Millionen Dollar pro Fall liegen. Darüber hinaus dauert es im Durchschnitt 206 Tage, um eine Sicherheitsverletzung zu erkennen und 73 Tage, um sie einzudämmen.

Der Ansturm von Berichten über Cyberangriffe ist entmutigend, aber aber es gibt Ressourcen, die Unternehmen helfen, systematisch gegen Bedrohungen vorzugehen.

Über die NIST-Leitfäden zur Datenintegrität SP 1800-25 und SP 1800-26

A Reihe von Praxisleitfäden, die vom National Institute of Standards and Technology (NIST) veröffentlicht wurden unterstreicht die Wirksamkeit von die Verwendung komplementärer Technologien zur Abwehr von Bedrohungen-mit anderen Worten, der Einsatz eines Teams von Superheldens für die Ihnen helfen, den Feind zu bekämpfen. Diese Leitfäden befassen sich mit der Identifizierung und dem Schutz von Assets vor Ransomware sowie mit der Erkennung von und der Reaktion auf Cyberangriffe:

Unter zu demonstrieren. eine Beispiellösung, die Unternehmen dabei helfen würde, ihre geschäftskritischen Daten vor Ransomware zu schützen - nur eine Form von potenziellen Angriffen auf die Datenintegrität -NIST die Fähigkeiten einer Handvoll von Sicherheitsanbietern zusammen, darunter Cisco, Symantec und Semperis.

Hier sind einige Beispiele dafür, wie das NIST-Projekt bringt verschiedene Aspekte der Erkennung von und Reaktion auf Ransomware-Bedrohungen (einer der beiden Schwerpunktbereiche des Praxisleitfadens) zusammen. Tripwire und Semperis bieten Integritätsüberwachung. Cisco, Glasswallund Semperis tragen zur Ereigniserkennung bei, einschließlich der Möglichkeit, auf Benutzeranomalien zu achten, E-Mail-Anhänge auf Dateiabweichungen zu scannen und bösartige Software entweder statisch oder dynamisch zu erkennen. Micro Focus und Tripwire steuern Protokollierungsfunktionen bei. Cisco, Symantec und Micro Focus bieten Forensik- und Analysefunktionen, z.B. für die Auswirkungen von Malware, Netzwerkverkehr und Anomalien in der Unternehmensaktivität.

Mit anderen Worten: Die Zusammenführung dieser Anbieter ist wie wie die Zusammenstellung von die Avengers.

Mit Superkräften in der Hand hat das NIST eine ehrgeizige Mission in Angriff genommen, um Unternehmen praktische Methoden zum Schutz der Datenintegrität vor Ransomware zu vermitteln.

NIST Beispiel Anwendungsfall: Bösartige E-Mail-Anhänge

Um zu veranschaulichen, wie NIST relevante Lösungen zusammengebracht hat, um Ransomware zu bekämpfen, lassen Sie uns ein Beispiel aus einem der Praxisleitfäden: Erkennen von und Reagieren auf Ransomware. Ein Szenario NIST identifizierts iist die "Erstellung einer Hintertür über einen E-Mail-Vektor." In diesem Szenario öffnet ein Benutzer einen bösartigen Anhang einer E-Mail (nicht ungewöhnlich), und tDer Anhang holt sich dann Dateien von einem externen Webserver. Diese Dateien erstellen dann Konten auf dem Authentifizierungsserver. Die Lösung für dieses Problem, wie sie in der NIST Praxisleitfaden beschriebens eine Kombination von Aktivitäten:

  • Protokollierung und Berichterstattung (damit das Sicherheitsteam Maßnahmen ergreifen auf Warnungen)
  • Ereigniserkennung zu zwei Zeitpunkten - bevor der Anhang den Posteingang des Benutzers erreicht und nachdem er auf das System heruntergeladen wurde System
  • Schadensbegrenzung und Eindämmung
  • Forensik und Analyse, in diesem Anwendungsfall definiert als die Möglichkeit, den Netzwerkverkehr zu sehen, während der Anhang bösartige Dateien vom Webserver abruft Server

Für diesen Anwendungsfall, mehrere Anbieter (darunter Semperis) hatten Rollen bei der Integritätsüberwachung, einschließlich der Bereitstellung von Datei-Hashes und Integritätsprüfungen für Dateien und Software, Integritätsüberwachung für Daten und Integritätsüberwachung für Active Directory.

NIST warnt: Hüten Sie sich vor der "sensiblen Natur von AD"

Bei der Beschreibung der Lösung für diesen Anwendungsfall zeigt der Leitfadens darauf hin, wie wichtig es ist, Active Directory-Änderungen im Rahmen der Integritätsüberwachung zu verfolgen - und zwar nicht auf eine einzige Informationsquelle, sondern auf mehrere Aspekte von AD.

Unter Hinweis auf die "sensible Natur von AD" empfiehlt der NIST-Leitfadens sowohl den bösartigen Download als auch die Änderungen an der Kontostruktur zu verfolgen. Dieser vielschichtige Ansatz erfasst alle Änderungen an Berechtigungen oder privilegierten Zugangsdaten sowie alle Änderungen, die Hacker durch Umgehung der Sicherheitsüberprüfung zu verbergen versuchen.

Die NIST-Beispiellösung bietetsdem Bericht zufolge "mehrere Verteidigungsebenen" gegen verschiedene Anwendungsfälle von Ransomware.

Die wichtigste Erkenntnis aus dem NIST-Projekt: Sie brauchen eine Sammlung von Ansätzen und Lösungen, die jeweils einen anderen Aspekt des Sicherheitsschildes abdecken. Kein einzelnes Produkt ist in der Lage, alle Teile des Sicherheitspuzzles zu liefern. Aber wenn Sie verstehen, wie diese Teile zusammenpassen, können Sie die Daten Ihres Unternehmens vor bösartigen Angriffen schützen.

Testen Sie Ihr Sicherheitsschild

Genauso wie Loki die kollektiven Avengers ständig testettesten, müssen Sie auch Ihre Verteidigung gegen Ransomware-Angriffe auf die Datenintegrität Ihres Unternehmens testen.

Aber viele Unternehmen versäumen es, ihre Testpläne umzusetzen. In einer Semperis-Umfrage unter IT-Sicherheitsexperten, IAM-Führungskräften und C-Level-Führungskräften gaben viele der Befragten an, dass "sie einen AD-Cyber-Disaster-Recovery-Plan haben, ihn aber nie getestet haben". 

Lassen Sie lassen Sie das nicht zu. Die NIST-Beispiellösung bietet praktische Anleitungen für gängige Szenarien und die Fähigkeiten, die Sie zur Abwehr von Ransomware-Bedrohungen benötigen. Sie können die Anleitungen des NIST-Leitfadens nutzen, um die Praxislösung zu replizieren und in Ihrer eigenen Umgebung zu testen.

Und während NIST nicht die in dem Build verwendeten Produkte ausdrücklich befürwortet, zeigt der Leitfaden, wie die Forscher die Lösungen zu einer zusammenhängenden Verteidigung gegen die Ransomware-Beispielfälle zusammengefügt haben. Die NIST Forscher empfehlen den Leitfaden als Ausgangspunkt für die Formulierung eines Plans zu verwenden, der für Ihre Umgebung geeignet ist und aus einer Reihe von Produkten zusammengestellt wird, die den Anforderungen Ihres Unternehmens entsprechen.

Haben Sie die Durchführung eines gründlichen Tests Ihrer Ransomware-Abwehr aufgeschoben? Diese mangelnde Vorbereitung wird Sie nicht durch die Art von epischem Kampf bringen, den die Unternehmen, die Opfer von Ransomware geworden sind, zu bestehen haben.

Wie Thor müssen Sie ein Team von Superhelden zusammenstellen, um Ihr Unternehmen vor dem Ansturm der von Cyberkriminellen.