Aufrufe
vor 3 Jahren

Netzwoche 02/2017

  • Text
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Webcode
  • Schweiz
  • Gesellschaft
  • Digitalisierung
  • Microsoft
  • Digital
  • Mitarbeiter

28 Focus Security Die

28 Focus Security Die Top 5 der Cybersicherheitstrends Ransomware hat bewiesen, dass Cyberangriffe jedes Unternehmen treffen können. Aber man ist Cyberkriminellen nicht schutzlos ausgeliefert. Wenn Unternehmen die folgenden aktuellen Angriffstrends ernst nehmen und entsprechende Massnahmen in ihre Sicherheitsplanung einbeziehen, können sie das Risiko erheblich reduzieren. DIE AUTORIN Sonja Meindl Country Manager, Check Point Alps (Schweiz und Österreich) Die folgenden Techniken unterstützen vorhandene, signaturbasierte Schutzmassnamen und rüsten Organisationen für die Abwehr von Angriffen. 1. Evasive Malware Basis jeder signaturbasierten Antivirus-Lösung ist das Abgleichen des ins Netzwerk eingehenden Datenverkehrs mit einer regelmässig aktualisierten Datenbank bekannter Malware. Lange war diese Methode sehr erfolgreich, und noch immer ist sie ein wesentlicher Bestandteil des Cybersicherheitsansatzes – doch nun muss sie verstärkt werden. Cyberkriminelle «optimieren» bestehende Malware so, dass sie Signaturbanken umgehen kann. Ausserdem wird gewisse Malware, insbesondere Ransomware, über in Dokumente eingebettete Makros eingeschleust. Diese sind klein und harmlos genug, um der Erkennung zu entgehen. Besonders heimtückisch: Einmal im Netzwerk aktiviert, laden sie die echte Ransomware-Payload herunter. Unternehmen müssen herkömmliche Antivirus-Produkte durch ausgefeiltere Techniken verstärken, die verdächtigen Datenverkehr auf Basis seines Verhaltens und Ursprungs blockiert. 2. Konsolidierte IT-Sicherheit Die immer komplexere Bedrohungslandschaft erfordert immer mehr Schutzmassnahmen. Doch nur Einzelkomponenten hinzuzufügen, ist keine Lösung: Es macht die Verwaltung schwieriger, kostspieliger und kann zu Schwachstellen im Netzwerk führen, die ausgenutzt werden können. Mehrere Sicherheitsmanagement-Konsolen für unterschiedliche Lösungen erhöhen die Wahrscheinlichkeit für Fehlkonfigurationen – ein gefundenes Fressen für die Angreifer. Sicherheit muss ein Topthema auf Führungsebene im Unternehmen sein. 3. Sicherheit für die Cloud Die Muster des Datenverkehrs verändern sich drastisch, wenn Unternehmen Anwendungen und Daten in Cloud- Umgebungen migrieren. In hochvirtualisierten oder softwaredefinierten Umgebungen bewegen sich bis zu 80 Prozent des Netzwerkverkehrs intern zwischen Anwendungen und verschiedenen Netzwerksektoren und kommen eigentlich nie am Perimeterschutz vorbei. Netzwerke extern durch Perimeter-Firewalls zu sichern, reicht nicht mehr. Mikrosegmentierung, bei der verschiedene Bereiche des virtuellen Netzwerks, der Workloads und Anwendungen logisch zusammengefasst und durch interne Sicherheitskontrollen voneinander isoliert sind, ist zentral für den Schutz geschäftskritischer Anwendungen und Daten. 4. Mobilgeräte: MDM reicht nicht aus Der einfachste Weg, um in Unternehmensnetzwerke zu gelangen, ist, Mobilfunkgeräte zu kapern. Umfassende mobile Sicherheit muss sich gegen Systemprobleme, Root- Zugriffe, Konfigurationsänderungen, gefälschte oder bösartige Apps und Trojaner sowie Malware und Netzwerkangriffe wappnen. Ein Mobile-Device-Management-System (MDM) reicht nicht aus. Ein umfassendes Sicherheitsmanagement erfordert eine modulare Bauweise. Insbesondere sichere Container zur Verhinderung von Datenverlust zwischen beruflich und privat genutzten Anwendungen auf dem gleichen Gerät sowie Mobile-Threat-Prevention-Lösungen zum Schutz vor bösartigem App-Verhalten sind unverzichtbar. Denn Zero-Day-Bedrohungen nehmen jetzt Mobilgeräte ins Visier. Bild: iStock 5. Gefahrenabwehr statt Gefahrenerkennung Infektionen müssen gestoppt werden, bevor sie ins Netzwerk eindringen. Threat-Prevention-Lösungen der nächsten Generation können mit Advanced Sandboxing neue, unbekannte Malware stoppen. Ein Endpunktgerät wird imitiert und der Datenverkehr geprüft, sodass Dateien, die Malware enthalten, blockiert werden, bevor sie ins Netzwerk gelangen. Lösungen zur Dokumentbereinigung entfernen jegliche Schadcodes aus allen eingehenden Dateien und Dokumenten und verbessern somit erheblich den Schutz. 02 / 2017 www.netzwoche.ch © netzmedien ag

Focus Security 29 Schutzwälle reichen nicht aus Unternehmen müssen heute davon ausgehen, dass ihre Systeme bereits infiltriert sind oder sie Opfer einer Attacke werden. Es ist deshalb entscheidend, Infiltrationen zu erkennen, schnell darauf zu reagieren und das Sicherheitsdispositiv entsprechend zu optimieren. Und genau dazu braucht es ein Security Operation Center. DER AUTOR Ernesto Hartmann Chief Security Operations Officer, Infoguard Hackerangriffe und andere IT-Sicherheitsvorfälle sind nicht nur ärgerlich, sie können auch enorme Kosten und einen Imageschaden nach sich ziehen – und die Bedrohung durch Cyberangriffe nimmt stetig zu. Deshalb haben sich viele Unternehmen darauf fokussiert, Cyber-Risiken zu identifizieren und entsprechende (ICT-)Sicherheitsmassnahmen zu integrieren. Aber dies reicht heutzutage nicht mehr aus. Es braucht neue Ansätze bei denen die Detektion im Vordergrund steht und die Reaktion auf Angriffe ein wesentlicher Bestandteil der IT-Prozesse ist. Geschickt umgesetzt, kann so die Prävention zielgerichtet und kontinuierlich verbessert werden. Cyber Security besteht nicht nur aus (ICT-)Sicherheitsmauern Ein Unternehmen kann nur angemessen reagieren, wenn die administrativen Abläufe der ICT-Infrastruktur klar geregelt sind. Denn die Frage, ob der Angreifer oder Administrator den Alarm ausgelöst hat, muss schnell beantwortet werden. Deshalb braucht es zur Verteidigung technische Unterstützung in Form einer zentralen Big-Data- Plattform. Diese sammelt und verwertet Informationen über Assets und Schwachstellen sowie externe Threat- Feeds und vereint diese zu einer umfassenden Security- Intelligence-Plattform. Eine gute Möglichkeit Angreifer nach einem erfolgreichen Angriff aufzuspüren, bieten Breach-Detection-Lösungen bei denen der Netzwerkverkehr mittels Data Science, maschinellem Lernen und Verhaltensanalysen durchsucht und ausgewertet wird. Durch diese Kombination profitieren IT-Verantwortliche nach einer Abstimmungsphase von einer sehr geringen False-Positive-Rate der Breach-Detection-Lösung. Dadurch können bei echten Alarmierungen klar definierte SLAs umgesetzt werden. Denn wenn ein Angreifer erkannt wird, muss ein Unternehmen jederzeit (auch nachts) in der Lage sein schnell zu reagieren. Um einen Alarm effizient zu validieren und von der Netzwerkkommunikation auf den involvierten Prozess schliessen zu können, braucht es retrospektive Informationen. Mit Hilfe dieser Informationen kann sich ein Analyst schnell ein Bild von den am Angriff involvierten Prozessen machen. Nur so lässt sich die gesamte Infrastruktur im Bedarfsfall flächendeckend nach sogenannten «Indicators of Compromise» durchsuchen. Um all diese Aufgaben erfolgreich zu meistern, empfiehlt es sich mehrere Funktionen in einem dedizierten Security Operation Center (SOC) zusammenfassen. Hierzu zählt ein Team von Experten und entsprechende Tools zur Breach Detection, für das Security Information & Event Management (SIEM), aber auch für die Incident Response. Security Operation ist nicht IT Operation Dabei darf es nicht sein, dass sich die Mitarbeiter des SOC zusätzlich um den operativen Betrieb der IT kümmern müssen. Das SOC sollte ausschliesslich auf Sicherheitsvorfälle reagieren. Natürlich braucht es neben entsprechenden Werkzeugen zur Erkennung von Attacken oder Infiltrationen auch IT-Spezialisten. Aber noch viel wichtiger sind Cyber-Threat-Analysten und Security-Experten. Security Operation ist eine anspruchsvolle Arbeit – und bleibt leider bei vielen Unternehmen durch den Businessalltag auf der Strecke. Abhilfe schaffen da professionelle Services von spezialisierten Anbietern. Denn dort setzen sich Analysten täglich mit der aktuellen Bedrohungslage auseinander. So können Unternehmen von der grossen Erfahrung von Experten profitieren, ohne ein eigenes SOC aufbauen zu müssen. Bild: iStock www.netzwoche.ch © netzmedien ag 02 / 2017

Archiv