Cyber Resilience
Alles, was Sie (wirklich) wissen müssen
2 März, 2020 durch
Cyber Resilience
AMONTEC GmbH, MARINOKO.ORG

Was ist Cyber-Resilienz? Wenn Sie nach der Definition im Oxford Dictionary suchen, ist Belastbarkeit allein definiert als die Fähigkeit, sich schnell von Schwierigkeiten zu erholen; Zähigkeit. Wenn Sie die Definition auf Ausfallsicherheit im Internet einschränken, verlagert sich diese auf Beibehaltung und Wiederherstellung. Wie auf Wikipedia vermerkt, wird es "die Fähigkeit, ein akzeptables Serviceniveau angesichts von Fehlern und Herausforderungen für den normalen Betrieb bereitzustellen und aufrechtzuerhalten."

Definition der Belastbarkeit: Ein Ansatz der Ausfallsicherheit im Internet kombiniert Schutz, Erkennung, Reaktion und Wiederherstellung zu einer unternehmensweiten Strategie für die Zusammenarbeit. Als Teil dieser Definition werden alle drei Elemente der Cybersicherheits-Triade - Vertraulichkeit, Integrität - zusammengefasst und Verfügbarkeit - sind für die Ausfallsicherheit eines Unternehmens von entscheidender Bedeutung. Belastbarkeit ist im Wesentlichen ein ganzheitlicher Ansatz zur Vorbereitung, Reaktion auf und Wiederherstellung nach einem Vorfall.

Odoo • Image and Text

Kombination Bedrohung & Schwachstelle

Um Unternehmen vor Cyber-Bedrohungen zu schützen, müssen wir zunächst in der Lage sein, Risiken zu erkennen (Bedrohungen und Schwachstellen zu kombinieren) und anschliessend Lösungen für das Management dieser Risiken zu definieren. Reaktions- und Wiederherstellungspläne können dann viele verschiedene Formen annehmen, sollten jedoch immer das Ziel haben, der Organisation zu ermöglichen, mit minimalem finanziellen oder Reputationsschaden aufzusteigen. Wenn es um Cybersicherheit geht, legen Unternehmen in allen Sektoren nach wie vor grossen Wert auf Schutz vor Reaktion und Wiederherstellung. Während Cyber-Versicherungen in den letzten Jahren allgemeiner geworden sind, haben sich viele Unternehmen noch nicht überlegt, wie sie überhaupt auf grössere Angriffe reagieren würden.

 

Nach meiner Erfahrung sind Cyber Resilient-Organisationen diejenigen, die den Gedanken in die Planung einfliessen lassen, Entscheidungen und Anpassungen explizit in ihrem Risikoregister aufzeichnen und konsequent Tests durchführen, um die Richtigkeit dieser Entscheidungen zu überprüfen. Cyber-Resilienz erfordert kontinuierliches Engagement für den Fall, dass eine Katastrophe eintritt, sei es ein böswilliger Akteur, ein menschliches Versagen oder sogar eine Naturkatastrophe, die verantwortlich ist. Die Organisation ist in der Lage, mindestens minimale Services aufrechtzuerhalten und den vollen Betrieb wiederherzustellen, ohne ihre Ressourcen vollständig zu verringern.

Unternehmen, die ihre Widerstandsfähigkeit gegenüber Cyberangriffen verbessern möchten, können zunächst in drei Bereichen arbeiten:
Vorbereiten auf Vorfälle, Reagieren auf Vorfälle und Beheben von Vorfällen.

1. Vorfälle vorbereiten
Prinzip des Least Privilege (PoLP): Einfach ausgedrückt besteht dieser Schritt darin, den erforderlichen Zugriff bereitzustellen und alle anderen einzuschränken. Fühlen Sie sich, als hätten Sie das immer und immer wieder gehört? Obwohl PoLP für die Ausfallsicherheit von entscheidender Bedeutung ist, wird es leider häufig gänzlich übersehen. Es mag logisch und einfach klingen, aber die Herausforderung besteht darin, dass eine Organisation die Rollen und Verantwortlichkeiten ihrer Mitarbeiter genau verstehen muss, zusammen mit den Anforderungen, die jede Transaktion an Systeme, Dienste und Personen stellt.

Priorisierung von Assets: Um die Rollen und Verantwortlichkeiten der Mitarbeiter zu verstehen, muss eine Organisation jedem Teil eine Priorität geben. Zu den Assets gehören Daten, aber auch Abteilungen und Personen. Überlegen Sie, ob das Büro verlegt werden muss. Welche Abteilung wird zuerst umgezogen? Welches Team muss zuerst ein- und wieder online sein, um den Betrieb aufrechtzuerhalten, und welche Teams sind in diesem reduzierten Umfang nicht geschäftskritisch? Wenn Sie in das Büro zurückkehren können, welche Abteilung bewegen Sie zuerst, um dies zu bestätigen? Dies ist die niedrigste Priorität, nicht die höchste, da Sie die Auswirkungen auf den Betrieb verringern möchten.

Tiefe der Kontrollen und Tests: Sicherheit und Datenschutz sind keine Schalter, die Sie einschalten und von denen Sie dann weggehen. Dies sind langfristige Ziele, die konsequentes Testen, ein ganzheitliches Engagement und Training erfordern. Durch Implementierung von Kontrollen basierend auf den erkannten Risiken der Bedrohungskarte des Unternehmens und anschliessende Validierung durch eine Vielzahl von Tests kann ein Unternehmen seine Reaktionen verbessern und Lücken anhand von Red-Team-Übungen, Simulationen, Table-Top-Übungen und Notfallwiederherstellungsszenarien identifizieren.

2. Reagieren auf Vorfälle (Incident Handling)
Wenn Incidents auftreten, reagiert eine belastbare Organisation mit einem starken Team und einem eingespielten Ansatz. Dies ermöglicht eine schnellere Reaktion, Kostensenkung und eine mögliche Minderung weiterer Schäden. Unternehmen müssen wissen, was zu tun ist, über die erforderlichen Steuerungsfunktionen verfügen, um die erforderlichen Informationen bereitzustellen, und sich darüber im Klaren sein, mit welchen weiteren Funktionen sie effektiv auf einen Vorfall reagieren können. Es ist unmöglich, diese Art von Reaktion durch die einfache Implementierung von Richtlinien und Verfahren zu erreichen. Das Reaktionsteam muss mögliche Vorfälle üben und simulieren und daher wissen, was zu tun ist, und die Tools teilweise identifizieren

Antwort von Drittanbietern: Manchmal kann eine Organisation nicht nur mit ihrem internen Team antworten. Aufgrund eines Vorfalls eines Drittanbieters müssen diese beispielsweise teamübergreifend arbeiten. Im Rahmen der Vorbereitungsphase haben die Teams wahrscheinlich diese Art der Reaktion geübt. Bei der Reaktion auf einen Vorfall muss die Organisation jedoch über vorhandene Verträge und Unterlagen verfügen, um diese an diese Teams weitergeben zu können. Grundsätzlich kann die bestehende Beziehung einen enormen Nutzen bringen. In Situationen, in denen dies nicht der Fall ist, kann es ebenfalls hilfreich sein, über die richtigen Unterlagen und Kontrollen zur Untersuchung zu verfügen.

Benachrichtigungen: Während eines Vorfalls muss die Organisation entscheiden, wann und wie sie intern und extern benachrichtigt werden soll. In einigen Situationen gibt es gesetzliche Anforderungen, z. B. die Benachrichtigung des ICO innerhalb von 72 Stunden innerhalb der DSGVO, was eine zusätzliche Komplexitätsebene darstellt. Viele Organisationen, mit denen ich zusammengearbeitet habe, sind häufig hin- und hergerissen, wenn sie die Öffentlichkeit benachrichtigen und die negative Antwort erhalten, während die Transparenz erhalten bleibt, die die Verbraucher schätzen. Darüber hinaus gibt es einige Organisationen, die entweder nicht in der Lage waren, das Datum auszuwählen, oder die extern über einen Verstoss informiert wurden. Für mich ist eine frühzeitige Benachrichtigung in angemessener und transparenter Form ein enormer Vorteil, wenn ich versuche, nach einem Sicherheitsvorfall den Ruf einer Person zu retten.

3. Beheben von Vorfällen (Wiederherstellung nach Vorfällen)
Rückkehr zur normalen Geschäftstätigkeit (BAU): Einige Vorfälle erfordern einen Standortwechsel, während andere erfordern, dass eine Organisation neue Hardware- und Softwarelizenzen erwirbt oder sogar Vollzeitbeschäftigte in einer langfristigen oder sogar dauerhaften Position anstellt. Was auch immer die Anforderungen sein mögen, eine wichtige Voraussetzung für die Rückkehr zur BAU ist, dass die Organisation zunächst weiss, wie das übliche Geschäft für den jeweiligen Fall aussieht. Es muss auch feststellen, ob es über die finanziellen Mittel verfügt, die für die Wiederherstellung erforderlich sind. Alle Ressourcen haben einen endlichen Wert, aber ein Budget läuft aus und der Arbeitstag hat nur so viele Stunden. Hat die Organisation bei der Validierung der Geschäftsfähigkeit für die Reaktion auf einen Vorfall ihre Rückkehr zur BAU tatsächlich als effektiv angesehen?

Lektionen gelernt: Zwischenfälle passieren, und selbst geübte Teams machen Fehler und finden Fehler oder Lücken in ihren Prozessen. Eine belastbare Organisation behebt diese Mängel durch formale Analyse. Die Teammitglieder müssen sich sicher fühlen, Fehler bei sich selbst, anderen und Prozessen zu erkennen, um die Ausfallsicherheit insgesamt zu verbessern. Zu diesem Zweck ist es wichtig, dass die Führungskräfte die ergriffenen Massnahmen dokumentieren und anschliessend weiterverfolgen. Sie sollten auch die jüngsten Ereignisse und Kenntnisse nutzen, um die Belegschaft zu befähigen und eine effektivere Lösung für das vorliegende Problem zu finden. Sie müssen den Ton angeben.

Abhilfe: Dies ist mein Lieblingsstück in meiner Branche, besonders wenn es um Vorfälle aus der Praxis geht, denn die Qualität der Anforderungen ist vorhanden und wird hoffentlich dokumentiert. Bei der Sanierung geht es nicht um das Nötigste, und es geht nicht darum, ein Problem mit Geld zu bewerfen, in der Hoffnung, dass es verschwinden wird. Bei der Behebung geht es darum, Lücken in der Organisation zu identifizieren und zu beseitigen. Fehlt es an einer ganzheitlichen Sichtweise der Sicherheit? Wird nie eine ordnungsgemässe Risikobewertung durchgeführt? Ist es eine Kompetenzlücke in Ihren bestehenden Teams? Ist es kein SIEM oder ein Mangel an effektiven Protokollen usw.? Die Abhilfemassnahmen umfassen eine Vielzahl von Aufgaben, von Verbesserungen durch die Defensive über Validierungen durch das Offensive Team bis hin zu Führungskräften, die die Geschäftsprozesse auffrischen und nicht-technischen Teams beibringen, sich selbst zu schützen.

Wenn Ausfallsicherheit die Fähigkeit ist, sich schnell zu erholen, und Cyber-Ausfallsicherheit die Aufrechterhaltung eines akzeptablen Betriebsniveaus innerhalb einer Herausforderung bedeutet, müssen ausfallsichere Organisationen ein ganzheitliches Verständnis ihrer Mitarbeiter, Prozesse und Technologien priorisieren. Sie müssen dann ihre Prozesse während des gesamten Lebenszyklus effektiv dokumentieren und kontinuierlich validieren. Ausfallsichere Organisationen tun dies, um Sicherheitsvorfällen zu gegebener Zeit standzuhalten, auf sie zu reagieren und sie zu beheben.

Cyber Resilience
AMONTEC GmbH, MARINOKO.ORG 2 März, 2020
Diesen Beitrag teilen
Stichwörter
Archiv