SEC Regulation S-P Anforderungen und AD Security

James Doggett | Semperis CISO

CISOs im Finanzsektor haben eine weitere neue regulatorische Herausforderung zu bewältigen. Anfang dieses Jahres hat die US-Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) neue Vorschriften für die Reaktion auf Cybersecurity-Vorfälle und die Offenlegung von Informationen erlassen, die neue Ansätze für die Notfallplanung erfordern. Für die betroffenen Unternehmen erfordern die neuen Anforderungen der SEC Regulation S-P einen neuen Blick auf die Sicherheit Ihrer Identitätsinfrastruktur.

Active Directory (AD) als kritisches System zur Steuerung des Netzwerkzugriffs erfordert bei dieser Verbesserung besondere Aufmerksamkeit. Eine AD-Kompromittierung könnte leicht einen meldepflichtigen Vorfall darstellen, so dass robuste AD-Wiederherstellungsfähigkeiten von entscheidender Bedeutung sind, um die engen Zeitvorgaben der SEC für die Offenlegung einzuhalten. Um sich vorzubereiten, sollten CISOs damit beginnen, ihre aktuellen AD-Wiederherstellungspläne zu bewerten (und tatsächlich zu testen), Lücken bei der Erfüllung der neuen Anforderungen zu identifizieren und automatisierte Wiederherstellungslösungen zu implementieren, um die Reaktionsfähigkeit zu verbessern.

Was die neuen Anforderungen der SEC Regulation S-P für CISOs bedeuten

Die SEC verlangt von Unternehmen, dass sie die betroffenen Kunden innerhalb von 30 Tagen nach einem Cyberverstoß benachrichtigen. Das Unternehmen muss eine forensische Analyse des Verstoßes durchführen:

Was geschah
Wie es geschah
Was wurde übertreten

Um auch nur diese grundlegenden Berichtsanforderungen zu erfüllen, müssen Unternehmen bei 90 % der Angriffe zunächst das Active Directory wiederherstellen. Ohne ein funktionierendes AD sind das gesamte Netzwerk und die operativen Systeme möglicherweise nicht verfügbar.

Um die Folgen eines unzureichenden AD-Schutzes zu verdeutlichen, sollten Sie Folgendes bedenken:

74% der Datenschutzverletzungen beginnen mit dem Missbrauch privilegierter Zugangsdaten
Die durchschnittliche Zeit, die ein böser Akteur benötigt, um Zugang zu AD zu erhalten, beträgt 16 Stunden
Die durchschnittliche Zeit, die ein Angreifer benötigt, um sich nach der Kompromittierung eines Geräts seitlich zu bewegen, beträgt 1 Stunde, 42 Minuten
Die durchschnittliche Zeit zur Wiederherstellung von Active Directory nach einem Angriff beträgt 21 Tage

Nach den Anforderungen der SEC-Verordnung S-P müssen Unternehmen nun auch in der Lage sein, "sowohl den unbefugten Zugang zu als auch die unbefugte Nutzung von Kundendatenzu verhindern". Die SEC erkennt an, dass Unternehmen "die Möglichkeit vorhersehen und sich darauf vorbereiten müssen, dass ihnen der Zugang zu einem bestimmten System verweigert werden könnte, und dass sie über Verfahren verfügen müssen, um die Benachrichtigungsanforderungen zu erfüllen."

Ein detaillierter, dokumentierter Plan zur Wiederherstellung von AD ist der Schlüssel zur Erfüllung dieser Anforderungen.

Active Directory: das Hauptziel

In den letzten drei Jahren waren viele groß angelegte Angriffe auf Active Directory, das Rückgrat der meisten Unternehmensnetzwerke, gerichtet. Wenn AD ausgefallen ist, sind in der Regel alle Systeme ausgefallen.

Dies ist ein krasser Unterschied zu vorhersehbaren Angriffszielen wie Patientendaten und Buchhaltungsdateien Ihres Unternehmens. Um diese kritischen Werte vor Angriffen zu schützen, müssen Sie zunächst feststellen, welche Systeme den Zugriff auf sie kontrollieren.

Active Directory, das die Benutzerauthentifizierung und Zugriffsrechte im gesamten Netzwerk verwaltet, hat sich zu einem lukrativen Angriffsvektor entwickelt. Böswillige Akteure versuchen, sich Zugang zu Active Directory zu verschaffen, weil es den einfachsten Weg zu Ihrem gesamten Netzwerk bietet, indem es Benutzern und sogar Administratoren Zugriff auf alles innerhalb seiner Grenzen gewährt. Und es ist ein leichtes Ziel: Viele ältere AD-Umgebungen weisen Sicherheitsschwachstellen auf, die sich im Laufe der Zeit angesammelt haben und Angreifern unzählige Einfallstore bieten.

Leider ist die Wiederherstellung nach einem Angriff auf Active Directory oft schwieriger als die Wiederherstellung nach einem Angriff auf andere kritische Anwendungen oder sogar Ihre Server. Obwohl der Prozess derselbe ist - Stillen der Blutung, Beginn der Wiederherstellung und Kommunikation mit den Beteiligten gemäß den SEC-Richtlinien - kann es schwierig sein, das Ausmaß des Angriffs zu bestimmen, wie lange das System bereits kompromittiert ist und sogar wie es kompromittiert wurde. Server können mit einer Wiederherstellungsdatei neu gebootet werden, aber oft muss AD im gesamten Forest überprüft, wiederhergestellt und neu installiert werden, was die Wiederherstellungszeit von einigen Tagen auf Wochen verlängert. Erst nach der Wiederherstellung können Sie mit einer forensischen Analyse beginnen, um das Ausmaß und den Umfang des Angriffs zu bestimmen.

Schutz und Planung für die Erholung

Wie können Sie sich angesichts der Schwere eines Active Directory-Angriffs schützen und eine schnelle Wiederherstellung planen? Ihr Disaster Recovery-Plan muss die wahre Natur einer AD-Kompromittierung berücksichtigen.

Erkennen Sie die potenzielle Reichweite. Sie müssen zunächst die potenzielle Reichweite eines Angriffs erkennen. Sie haben es nicht nur mit einem Systemangriff zu tun, sondern wahrscheinlich sind auch die Benutzernamen und Kennwörter Ihrer Mitarbeiter gefährdet. Wenn sich ein Angreifer Zugang zu Active Directory verschafft, verfügt er in der Regel auch über die erforderlichen Anmeldeinformationen für den Zugriff auf andere Systeme. Alle wichtigen Werte, einschließlich Ihrer Kunden- und Patientendaten, sind gefährdet. Sobald ein Angreifer in den Besitz von AD gelangt, verfügt er über erhebliche Macht, die sich auf das gesamte Netzwerk Ihres Unternehmens und die mit dem Netzwerk verbundenen Anlagen auswirkt.
Bewerten Sie die Kapazität Ihrer Organisation. Sie müssen auch die Fähigkeit Ihres Unternehmens beurteilen, einen Angriff zu erkennen und sich davon zu erholen. Oftmals sind die Angriffsvektoren von AD verschleiert. Es kann sich um einen einzigen Zugangspunkt handeln, wie den Benutzernamen und das Kennwort eines Mitarbeiters. In anderen Fällen könnten Angreifer Hintertüren geschaffen haben, die einen kontinuierlichen, schutzlosen Zugriff ermöglichen. Eine forensische Analyse kann Aufschluss darüber geben, wie und wo die Kompromittierung stattgefunden hat. Daher ist es wichtig, dass Ihr Unternehmen über die Ressourcen und das Fachwissen verfügt, um die forensische Analyse durchzuführen. In diesem Fall ist eine Partnerschaft mit einem Drittanbieter sinnvoll. Wenn Ihr Unternehmen nur über wenige qualifizierte forensische Analysten verfügt, können Unternehmen, die sich auf die Wiederherstellung von ADs spezialisiert haben - einschließlich der Analyse nach einem Einbruch -, Ihnen die Tools und den On-Demand-Support zur Verfügung stellen, die Sie für eine schnelle und vollständige Wiederherstellung benötigen.
Berücksichtigen Sie eine längere Erholungszeit. Ihr Notfallplan muss auch die tatsächliche Zeit berücksichtigen, die es braucht, um sich von einem AD-Angriff zu erholen. Dies beinhaltet oft:
- Isolierung der gefährdeten Umgebung
- Wiederaufbau der Active Directory-Infrastruktur
- Überprüfen und Reinigen aller angeschlossenen Systeme
- Implementierung neuer Sicherheitsmaßnahmen
- Schulung der Mitarbeiter zu neuen Sicherheitsprotokollen

Diese Schritte können Wochen bis Monate dauern, was sich auf die Fähigkeit Ihres Unternehmens auswirken kann, ohne Unterbrechung zu arbeiten.

Die Einsätze - und die Lösung

Angesichts der immer raffinierteren Cyber-Bedrohungen sehen sich Finanz- und Bankunternehmen mit einer schwierigen Sicherheitsumgebung konfrontiert - der Schutz von Active Directory muss oberste Priorität haben. AD ist ein Hauptziel für Cyberkriminelle, da es das Rückgrat der meisten Unternehmensnetzwerke ist. Der potenzielle Schaden einer AD-Kompromittierung ist beträchtlich, und die Wiederherstellung kann komplex und zeitaufwändig sein.

Der Schutz Ihres AD ist untrennbar mit der Sicherheit Ihres gesamten digitalen Ökosystems verbunden. Indem Sie die Risiken verstehen, robuste Präventivmaßnahmen ergreifen und einen umfassenden Wiederherstellungsplan entwickeln, können Unternehmen die neuen Anforderungen der SEC Regulation S-P besser bewältigen - und sich besser gegen die sich entwickelnden Bedrohungen schützen.

Erfahren Sie mehr über die Rolle der Active Directory Sicherheit in Cyber- und Betriebssicherheit für Finanzdienstleistungen.

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Semperis erweitert ML-basierte Angriffserkennung mit speziellem Fokus auf Identitätsrisiken

Semperis gewinnt CRNs prestigeträchtigen Partnerprogrammführer drei Jahre in Folge

Semperis Ransomware-Studie zeigt, dass 86% der Ransomware-Opfer an einem Wochenende oder Feiertag angegriffen werden

Semperis wird zum dritten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das dritte Jahr in Folge

Was Sie über die Anforderungen der SEC Regulation S-P und Active Directory wissen müssen

Was die neuen Anforderungen der SEC Regulation S-P für CISOs bedeuten

Active Directory: das Hauptziel

Schutz und Planung für die Erholung

Die Einsätze - und die Lösung

Weitere Ressourcen

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Semperis erweitert ML-basierte Angriffserkennung mit speziellem Fokus auf Identitätsrisiken

Semperis gewinnt CRNs prestigeträchtigen Partnerprogrammführer drei Jahre in Folge

Semperis Ransomware-Studie zeigt, dass 86% der Ransomware-Opfer an einem Wochenende oder Feiertag angegriffen werden

Semperis wird zum dritten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das dritte Jahr in Folge

Was Sie über die Anforderungen der SEC Regulation S-P und Active Directory wissen müssen

Was die neuen Anforderungen der SEC Regulation S-P für CISOs bedeuten

Active Directory: das Hauptziel

Schutz und Planung für die Erholung

Die Einsätze - und die Lösung

Weitere Ressourcen

Registrieren Sie sich für die neuesten Semperis Nachrichten