Cyber Defence, eine Frage von Sekunden

Das Risiko von Cyberattacken steigt konstant. Dabei haben es Angreifer auch auf Schweizer Unternehmen abgesehen. Nur wer Cyberattacken schnell erkennen, umgehend darauf reagieren und die Cyber Security nachhaltig optimieren kann, wird einen Sicherheitsvorfall ohne grösseren Schaden überstehen.

Täglich gibt es neue Cyberattacken auf Unternehmen und die Qualität, Effizienz und Professionalität der Angriffe nimmt stetig zu. Ausserdem dauert es nicht selten Wochen, Monate oder gar Jahre, bis ein erfolgreicher Angriff entdeckt wird. Vor diesem Hintergrund ist es unerlässlich, mehr in die Erkennung und Reaktion auf Cyberattacken zu investieren.

Risikomanagement als Managementaufgabe
Betriebsausfälle und Cyberangriffe gehören heutzutage zu den grössten Business-Risiken. Deshalb ist ein systematischer Sicherheitsansatz das A und O erfolgreicher Cyber Security und der Schlüssel zur Digitalisierung. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden. Internationale Standards wie ISO 27001 oder das NIST Cyber Security Framework bieten dazu hilfreiche Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience.

Cyber Resilience ist aber weit mehr als eine hohe (IT-)Sicherheitsmauer und so müssen auch Drittparteien in die Cyber-Risikobetrachtung einbezogen werden. Das Drittparteien-Management ist ein wichtiger Schritt und befasst sich mit der Identifizierung sowie der Verwaltung von Cyber Risiken zu externen Drittparteien (d. h. Partnern, Dienstleistern, Lieferanten von Hard- und Software sowie Outsourcing- und Cloud-Service-Anbietern etc.).

CSIRT als Schlüssel zur Cyber Security
Ein CSIRT (Computer Security Incident Response Team) hilft dabei, die Auswirkungen eines Sicherheitsvorfalls zu minimieren. Es ist so etwas wie eine Sondereinsatztruppe, welche die Taktiken und Methoden der Angreifer kennt und aktiv wird, sobald Hacker die Sicherheitsmauern zu überlisten versuchen. Der Fokus liegt auf der Erkennung und Reaktion auf Sicherheitsvorfälle. Es gilt also, mit den Cyberkriminellen Schritt zu halten, deren Methoden zu kennen und rechtzeitig Gegenmassnahmen einzuleiten. Ein CSIRT schafft dafür die operativen Voraussetzungen.

Cyber Defence ist eine 24×7 Aufgabe
Cyberattacken lassen sich leider nicht verhindern. Mit Hilfe eines CSIRT in einem dedizierten Cyber Defence Center lässt sich die Dauer eines Sicherheitsvorfalls und den dadurch verursachten Schaden minimieren sowie den Business Impact drastisch reduzieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern aktiv nach Bedrohungen und Anzeichen eines Angriffs suchen. Deshalb basiert Cyber Defence nicht nur auf einer defensiven, sondern insbesondere auch auf einer offensiven Sicherheits-Strategie.

Da sich die Risikosituation stetig ändert, ist Cyber Security auch keine einmalige Angelegenheit. Dabei gilt es, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. So empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet und nachhaltig zu verbessern.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel +41 41 749 19 00
info@infoguard.ch
www.infoguard.ch

IoT fordert die Cyber Security heraus

IoT ist omnipräsent und bietet immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind allgegenwärtig und die Anzahl der Cyberangriffe steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meist unterschätzten Bedrohungen. Bewährte Ansätze helfen, Cyber Security zu etablieren und so die Risiken zu minimieren.

Smart – aber nicht ohne Risiken
Das Potenzial von IoT ist immens und hält überall Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Die Anzahl der Geräte, die mit Unternehmensnetzwerken verbunden sind, wird weiter ansteigen. IoT birgt aber auch ein (oft vernachlässigtes) Risiko: Cyberkriminalität. Obwohl dies keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in IoT-Projekte ein. Das kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten oder wenn ein Wartungszugang zur Hintertüre eines Angreifers wird. Cyber Security bei IoT-Vorhaben gehört von Beginn an oben auf die Agenda – nicht erst, wenn etwas schiefgegangen ist.

Schlüsselfaktoren bei IoT-Netzwerken
Cyber Security muss bei IoT-Vorhaben ganz oben stehen. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.

Technologisch liegt der Schlüssel zur Sicherheit u. a. in einer geeigneten Architektur und der entsprechenden Zonierung von IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten, ebenso wie die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien aufzubauen und diese mit angemessenen Sicherheitsmassnahmen zu versehen. Best-Practice-Ansätze und bewährte Frameworks, wie beispielsweise die ISO 270xx-Familie oder das NIST Cyber Security Framework, dienen hier zur Orientierung.

Unternehmen sind gegenüber globalen Risiken im Zusammenhang mit bekannten und neuen «Zero-Day» Bedrohungen und anderen Schwachstellen exponiert. Diese werden aktiv und systematisch ausgenutzt. Unabhängig ob IoT oder klassische IT-Komponenten, jedes Gerät kann Schwachstellen enthalten und so zum Angriffsvektor werden. Daher sollten Geräte im Design-, Entwicklungs- und Betriebsprozess (DevOps) regelmässig auf Schwachstellen geprüft werden. Wichtig ist dabei natürlich, dass sie Updates unterstützen – was leider sehr oft nicht der Fall ist. Unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen sind nicht nur ein Problem von IoT. So bleiben immer wieder bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar wären. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden und auszunutzen. Deshalb darf das regelmässige Update- und Patch-Management nicht vergessen werden – natürlich auch bei IoT-Geräten. Falls sich exponierte Geräte mit bekannten Schwachstellen in der Infrastruktur befinden, die nicht aktualisiert oder gepatcht werden können, sollten diese segmentiert und von der Produktionsumgebung abgetrennt werden.

Risiken erkennen, bevor das Licht ausgeht
Da sich die Risikosituation stetig ändert, muss die aktuelle Bedrohungslage immer beobachtet und das Sicherheitsdispositiv entsprechend angepasst werden. Risk Assessments, organisatorische Audits und Penetration Tests sind wichtige Elemente in der Cyber Security. Unternehmen sollten gleichzeitig in der Lage sein, Sicherheitsvorfälle zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Somit gilt: Wer sich mit IoT beschäftigt, muss sich auch intensiv mit Cyber Security auseinandersetzen.

Über InfoGuard
Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre über 150 Sicherheitsexperten sorgen tagtäglich für die Cyber Security bei über 300 Kunden in der Schweiz, Deutschland und Österreich.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel +41 41 749 19 00
info@infoguard.ch
www.infoguard.ch

Dem Hacker auf der Spur

Bei Cyber Defense reden alle von Incident Detection und Response. Doch was beinhaltet dies und welche Schritte führen dorthin? Unser Hackerszenario zeigt, was es braucht, um einen Angriff zu erkennen.

In den letzten Jahren haben Cyberkriminelle ihre Geschäftsfelder ausgebaut. Ihre Angriffe sind häufiger erfolgreich und verursachen grössere Schäden. Gleichzeitig nimmt die Komplexität der IT zu, auch weil immer mehr Partner involviert sind und Zugriff auf Unternehmens-Netzwerke erhalten. Da Angriffe immer wahrscheinlicher werden, reichen präventive Massnahmen allein in der Cyber Security nicht mehr aus. Angriffe müssen detektiert werden und Reaktionen möglich sein, um kostspielige Schäden zu minimieren.

Ein realistisches Angriffsszenario
Wie wird dies schrittweise umgesetzt und was sind dabei die Herausforderungen? Stellen Sie sich folgendes Angriffsszenario vor: Der Mitarbeiter Pirmin erhält ein E-Mail und klickt unbedacht auf die Word-Datei im Anhang. Der Absender ist schliesslich bekannt, von daher wird keine Gefahr erkannt. Unbemerkt startet im Hintergrund ein bösartiges Makro, das mit noch unbekannter Signatur durch alle Schleusen kam, und infiziert zuerst seinen PC, dann weitere Systeme der Infrastruktur. Infolge dessen stürzen zwei Server der Firma ab.

Logs: Transparenz schaffen und Spuren aufzeichnen
Zentrales Log Management ist ein wichtiger Bestandteil in der Cyber Security. Es ermöglicht, effizient nach Informationen zu suchen und Vorgänge in der IT-Infrastruktur nachzuvollziehen. Wie hilft ein Log Management konkret? In den Logs finden sich Spuren, die ein Angriff hinterlässt: Die E-Mail-Logs offenbaren das bösartige E-Mail mit Attachment, Prozess-Logs der Workstation zeigen die Ausführung eines Makros und Firewall-Logs zeigen eine Verbindung zwischen Pirmins Workstation und den abgestürzten Servern. Das Log Management muss eine gewisse Maturität aufweisen und folgende Herausforderungen meistern:

  • Integration vieler Logquellen
  • Erkennung von versiegten Logquellen
  • Normalisierung von Logs
  • Verwendung Suchanfragen
  • Entwicklung von kundenspezifischen Berichten und Alarmen

SOC: Systeme überwachen und Analyse durchführen
Logs sammeln alleine hilft nicht, um Angriffe analysieren zu können. Idealerweise versetzt man sich in die Lage des Angreifers, um zu verstehen, welche Eintrittstüren er benutzt, welche Schwachstellen er ausnutzt und welche Ziele er nach seinem erfolgreichen Zugriff verfolgt. Diese Spurensuche, sowie die permanente Überwachung der IT-Systeme sollte von einem Security Operations Center durchgeführt werden. Durch die Aufzeichnung der Logs können alle Verbindungen zu den Servern auch rückwirkend vom SOC untersucht und zur Erfüllung der Compliance Richtlinien gespeichert werden. Bei unserem geschilderten Angriffsszenario bemerkt das SOC die abgestürzten Server und leitet eine Untersuchung ein. Diese führt dazu, dass die Workstation von Pirmin als interner Ursprung einer Attacke identifiziert wird. Man hat den Hackerangriff erkannt.

Wie können aber Angriffe identifiziert werden, die keine so offensichtlichen Spuren hinterlassen?

SIEM: Angriff detektieren und Analyse beschleunigen
Verfügt ein Unternehmen neben Log Management und SOC auch noch über ein SIEM (Security Information and Event Management), so bietet dies einen wertvollen Mehrwert. Use Cases (Definition eines Angriffs) sorgen dann dafür, dass verschiedene Logeinträge korrelieren, um Angriffsszenarien automatisch zu detektieren. Hätte die Firma ein SIEM, so würde die Konstellation, dass ein Powershell-Prozess durch ein Makro aufgerufen wird, eine Detektion und damit einen Alarm auslösen. Dadurch würde das SOC automatisch bereits beim Beginn des Angriffs informiert und hätte Kenntnis vom Vorfall, noch bevor die zwei Server abstürzen. Man hätte wertvolle Zeit gewonnen, um den Schaden zu minimieren.

Incident Response: Prozesse für das Handling
Achtung, die (Security-)Reise ist hier noch nicht zu Ende, nur weil man ein Log Management, ein SOC und ein SIEM im Einsatz hat. Diese Mittel helfen, Angriffe zu erkennen und eine erste Triage vorzunehmen. Handelt es sich um einen kritischen Vorfall, sollte ein Incident ausgelöst werden, der einem klar definierten Prozess mit den Phasen Bestätigung, Analyse, Eindämmung, Wiederherstellung und Post-Incident-Analyse folgt. In unserem Beispiel hat eine Analyse ergeben, dass von Pirmins Workstation aus bösartige Software heruntergeladen wurde. Dadurch wird der Incident bestätigt und als Malware-Angriff klassiert. Dies führt dazu, dass eine entsprechende Handlungsroutine gemäss vordefiniertem Playbook ausgelöst wird. Im Playbook vom SOC ist genau beschrieben, welche Aufgaben in welcher Reihenfolge durchgeführt werden müssen.

Cyber Security umfasst mehrere Bestandteile
Um der Bedrohungslage gerecht zu werden, muss Cyber Security mit Incident Detection und Response ergänzt werden, damit Angriffe erkannt und proaktiv Massnahmen ergriffen werden können. Zentrales Log Management, ein SOC, ein SIEM sowie ein klar definierter Incident-Prozess sind die wesentlichen Bestandteile. Der Aufbau und der Betrieb sollten langfristig und etappenweise geplant werden. Ein SOC- oder SIEM-Workshop hilft Unternehmen, die richtige Lösung zu designen und die Umsetzung zu planen und durchzuführen. Je nach Unternehmensgrösse ist es sinnvoll über einen externen Bezug des Security-Fachwissens oder einzelner Dienstleistungen nachzudenken.


terreActive AG
Kasinostrasse 30
5001 Aarau
Tel 062 834 00 55
info@terreActive.ch
www.security.ch