<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

Richtig vorbereiten: Mit Plan für mehr Cybersicherheit

› › › Zurück zum Blog

[fa icon="calendar"] 23.03.2017 14:01:00 / by WALLIX

Die Gefahrenlandschaft hat sich deutlich gewandelt und die meisten Unternehmen akzeptieren, dass sie früher oder später Opfer eines Cyberangriffs werden. Daher stellen IT-Verantwortliche sich entsprechend auf. Wichtig Teil dabei ist der richtige Plan zur umgehenden Reaktion während einer Attacke – darum sollte die richtige Aufstellung für den Fall der Fälle höchste Priorität haben.

 

cybersecurity-plan-cybersecurity-planning.jpeg

Privileged Access Management (PAM) spielt hier eine zentrale Rolle, da es einheitliche Richtlinien für Zugriffsrechte und Freigaben erstellen und durchsetzen kann. Die Verwaltung von Administratoren-Zugängen mit erhöhter Nutzerfreigabe ist ein elementarer Teil eines solchen Plans zur Cyberabwehr.

Aufbau eines Cybersicherheitsplan

Ein entsprechendes Sicherheitsprotokoll muss einerseits der Attacke Einhalt gebieten und zeitgleich den Auswirkungen des Angriffs entgegenwirken. Folgende Punkte sind dabei zu beachten

1. Grundlegende Sicherheitsmechanismen etablieren

Der erste Schritt ist immer Vorsorge, daher sollten fundamentale Sicherheitstools implementiert werden. Folgendes Portfolio gehört in heutzutage zum Standard in der IT-Sicherheit:

  • Firewall
  • Intrusion Detection Systems
  • Security Incident and Event Management (SIEM)
  • Spam Filters/Anti-Phishing
  • Access Control – Sowohl Identity and Access Management (IAM) als auch Privileged Access Management (PAM)
  • Zwei-Faktor-Authentifizierung und starke Passwörter
  • Verschlüsselung von Daten – egal, ob „at Rest“ oder „in Motion“
  • Sicherheitssoftware für Mobilgeräte

2. Kooperation mit internen Stakeholdern


Im Falle eines Angriffs müssen alle Akteure sich der Gefahr bewusst sein: Egal, ob IT-Team, Buchhaltung, Geschäftsführung oder eine andere Abteilung – alle sind Teil der Cyberabwehr und sollten entsprechend geschult werden. Anzeichen von Attacken müssen zentral an einem Punkt zusammenlaufen und ohne zeitliche Verzögerung angegangen werden. Dadurch können Angriffe oft schon im Anfangsstadium erkannt werden – ohne das große Datenmengen entwendet werden können.

wallix bastion free demo version pam

3. Nutzung aller vorhanden Informationen

Mit der Bedrohungslage haben sich auch die Threat Intelligence weiterentwickelt: Informationen zu aktuellen Gefahren sind deutlich umfassender und Unternehmen können dieses Wissen gegen die Kriminellen einsetzen. Auch während einer Attacke müssen Organisationen schnell und sicher informierte Entscheidungen treffen: Wer greift an? Welche Anzeichen gibt es? Welche Angriffsmuster und welcher Schadcode wir eingesetzt? Liegt ein Fernzugriff vor oder gibt es einen lokalen Angriff? Gibt es Vorfälle, die mit der potenziellen Attacke in Verbindung stehen könnten?

Durch die gezielte Nachforschung finden Unternehmen vielleicht nicht direkt den Angreifer, sehen aber Schwachstellen in ihren Netzwerken und Systemen. Beispielsweise gilt es betroffene Zugänge, die eventuell kompromittiert wurden, umgehend zu sperren. Falls dies einen zu großen Aufwand darstellt oder den laufenden Betrieb gefährdet, ist dies ein Sicherheitsrisiko und muss beseitigt werden. 

4. Prüfung der Compliance-Vorgaben und der Verantwortung

Eine Reaktion auf einen Hackerangriff ist wichtig, darf aber nicht gegen bestehende Normen verstoßen. Einige Sektoren wie Finance oder Healthcare haben strenge Vorgaben, deren Verstoß mit hohen Bußgeldern belegt wird. Um Gerichtsprozesse und andere Strafen zu vermeiden, macht es Sinn Audit Logs immer im Hintergrund einzuführen: Vor, während und nach einem Angriff – dies liefert Beweise, falls man in der Nachweispflicht für Aktionen steht, und schafft Transparenz durch Fakten.

Die Situation erfordert entsprechende Tools zur Analyse der User-Sessions, denn geht nicht, gibt es nicht. Unternehmen können keine Kompromisse eingehen und müssem sowohl Compliance nachweisen als auch auf Sicherheitseinbrüche reagieren können.

5. Durchführung eines Risk Assessments

Organisationen sind gut beraten, wenn sie sich auf die größten Gefahren konzentrieren. Aus der Vielzahl von Bedrohungen und deren Auswirkungen sollte man die individuellen Risiken bestimmen. Ein Risk Assessment hilft bei der Feinabstimmung der eigenen Schutzmechanismen und verdeutlicht die Situation für alle Beteiligten. Es hilft, die Denkweise der Angreifer zu verstehen und Angriffe schon im Keim zu ersticken.

Zudem können IT-Abteilungen die richtigen Schritte im Voraus planen. Wird zum Beispiel ein Sicherheitsvorfall in einem gewissen Bereich gemeldet, können nur die direkt betroffenen Systeme deaktiviert werden, während der restliche Betriebsablauf nicht gestört wird.

6. Planung der Incident Response

Einem Angriff muss immer man immer aktiv entgegenwirken: Trainings und Vorbereitung dürfen nicht allein auf Awarness setzen, sondern auch auf konkrete Aktionen abzielen. Jede Mitarbeiterin und Mitarbeiter sollte daher in der Lage sein, richtige Maßnahmen im Falle eines Breaches umzusetzen. Neben einer entsprechenden Meldung beim Sicherheitsteam sollten zudem Aktionen im Betrieb abgestimmt werden.

Weiter müssen Angestellte verstehen, was eine Reaktion bewirkt. Eventuelle Schutzmechanismen, wie die Blockierung eines Accounts durch das Sicherheitsteams, sind kein Ärgernis, sondern wichtige Vorbeugung. Gleichzeitig müssen Sicherheitsverantwortliche aber eventuelle Einschränkungen umgehend und granular ruckgängig machen, wenn die Gefahr als gebannt gilt.


 

Get Access to our white paper : 7 Steps to successful privileged access management

 

 


 

Topics: Preventing Insider Threat, Mitigating External Attacks

WALLIX

Geschrieben von WALLIX

Registrieren Sie
zum regelmäßig BLOG Artikel zu erhalten!

New Call-to-action
New Call-to-action
wallix bastion free demo version pam