Defense In Depth: Komplexe Angriffe im Keim ersticken

In den meisten Organisationen gilt die Annahme eines Sicherheitsperimeters mit vertrauenswürdigen Objekten „innen“ und nicht vertrauenswürdigen Objekten „außen“ nicht mehr. Böswillige Insider, kompromittierte Konten und Zero-Day-Schwachstellen können böswillige Akteure schnell in Ihr Netzwerk und in die Nähe kritischer Infrastrukturen bringen.

Defense in Depth (DiD) ist eine Sicherheitsstrategie, die Unternehmen dabei unterstützt, mit dieser Situation umzugehen. Die Strategie geht davon aus, dass Angreifer verschiedene Ebenen der Unternehmensverteidigung durchdringen werden oder bereits durchdrungen haben. Um Angreifer in jeder Phase ihres Angriffszyklus zu erkennen, sind mehrere Sicherheitsebenen erforderlich.

Empfohlene Lektüre:4 Arten von Cyber-Bedrohungsintelligenz und ihre effektive Nutzung.

Was ist eine tiefgreifende Verteidigung?

Defense in Depth ist ein Cybersicherheitsansatz, der mehrschichtige Verteidigungsmechanismen zum Schutz von Systemen und Daten nutzt. Bei der mehrschichtigen Verteidigung wird ein Angriff durch eine andere blockiert, falls eine Verteidigung versagt. Diese bewusste Redundanz schafft mehr Sicherheit und kann vor einer größeren Vielfalt von Angriffen schützen. DiD wird auch als Burgen-Ansatz bezeichnet, da es an die Mauern einer Burg erinnert.

Warum ist eine tiefgreifende Verteidigung wichtig?

Mit Defense-in-Depth schützen Sie Ihre Systeme optimal. Sie müssen die Sicherheit auch dann gewährleisten, wenn Ihre Tools und Lösungen kompromittiert wurden. Kein Sicherheitstool und keine Sicherheitsmaßnahme ist perfekt, daher müssen Sie potenzielle Fehler berücksichtigen. Durch den Einbau mehrerer Sicherheitsebenen reduzieren Sie das Risiko eines Single Point of Failure in Ihren Systemen.

Defense-in-Depth-Architektur

Defense-in-Depth-Architekturen verwenden Kontrollen, die zum Schutz der administrativen, technischen und physischen Komponenten Ihrer Systeme konzipiert sind.

• Administrative Kontrollen– umfassen Verfahren und Richtlinien, die Berechtigungen einschränken und Benutzern Anleitungen zur Aufrechterhaltung der Sicherheit geben.
• Technische Kontrollen– umfassen spezielle Software und Hardware zum Schutz der Systemressourcen. Beispielsweise Antiviren- oder Firewall-Lösungen.
• Physische Kontrollen– umfassen die physische Infrastruktur zum Schutz von Systemen, wie verschlossene Türen und Überwachungskameras.

Sie können auch zusätzliche Sicherheitsebenen verwenden, um einzelne Komponenten Ihrer Systeme zu schützen:

• Zugriffsmaßnahmen– umfassen Biometrie, virtuelle private Netzwerke (VPNs), Authentifizierungskontrollen und zeitgesteuerten Zugriff.
• Schutzmaßnahmen für Arbeitsstationen– einschließlich Anti-Spam-Software oder Antiviren-Agenten.
• Datenschutz– umfasst Passwort-Hashing, Verschlüsselung und sichere Übertragungsprotokolle.
• Perimeterschutz– umfasst Systeme zur Erkennung und Verhinderung von Eindringlingen sowie Firewalls.
• Überwachung und Prävention– einschließlich Protokollierung, Schwachstellenscans und Sicherheitsschulungen für Mitarbeiter.
• Bedrohungsinformationen– Datenfeeds, die aktuelle Informationen zu Indikatoren für eine Gefährdung (IoC), bekannten Bedrohungsakteuren und ihren Taktiken, Techniken und Verfahren (TTP) liefern.

Beispiele für eine tiefgreifende Verteidigung

Es gibt viele Möglichkeiten, eine tiefgreifende Verteidigung anzuwenden. Nachfolgend finden Sie zwei Beispiele.

Website-Schutz– DiD für Websites umfasst eine Kombination aus Anti-Spam- und Antivirensoftware, Web Application Firewalls (WAFs), Datenschutzkontrollen und Benutzerschulungen. Oft sind diese Lösungen in einem einzigen Produkt gebündelt. Diese Tools dienen dann zum Schutz vor Bedrohungen wie Cross-Site-Scripting (XSS) oder Cross-Site-Request-Forgery (CSRF). Bei beiden Angriffen wird die Sitzung eines Benutzers missbraucht, um schädliche Aktionen auszuführen.

Netzwerksicherheit– DiD für die Netzwerksicherheit umfasst typischerweise eine Kombination aus Firewalls, Verschlüsselung und Intrusion-Prevention-Systemen. Diese Schichtung beschränkt zunächst den Datenverkehr und erkennt dann, wenn ein Angriff erfolgt. Selbst wenn ein Angriff übersehen wird, kann Verschlüsselung verhindern, dass Angreifer auf Daten zugreifen können.

Wichtige Elemente eines umfassenden Cybersicherheitsplans

Die Entwicklung einer effektiven Defense-in-Depth-Strategie erfordert viel Zeit und Ressourcen. Um den größtmöglichen Nutzen aus Ihren Bemühungen zu ziehen, sollten Sie Folgendes berücksichtigen:

Überprüfen Sie Ihr System– Um Ihre Systeme effektiv zu schützen, müssen Sie den Standort Ihrer Assets und deren Priorität kennen. Dazu gehören Dateien, Anwendungen und Benutzer. Sie müssen außerdem wissen, wo Ihre Schwachstellen liegen und wie Angreifer diese ausnutzen können.

Implementieren Sie Verhaltensanalysen– Mithilfe von Benutzer- und Entitätsverhaltensanalysen (UEBA) können Sie Ihr System und Ihre Benutzer überwachen und Vorfälle erkennen, die von herkömmlichen Tools übersehen werden. UEBA nutzt Verhaltens-Baselines, um anomales Verhalten zu identifizieren. So können Sie Angreifer mit kompromittierten Anmeldeinformationen und böswillige Insider identifizieren.

Priorisieren und isolieren Sie Ihre Daten– Versuchen Sie, den Speicherort wichtiger Informationen und den Zugriff darauf einzuschränken. Beispielsweise müssen personenbezogene Daten strenger geschützt werden als altes Marketingmaterial. Indem Sie den Speicherort und den Zugriff einschränken, reduzieren Sie die Zugriffspunkte auf die Daten und können Ihre Sicherheitsmaßnahmen gezielter einsetzen.

Verwenden Sie mehrere Firewalls– Es gibt verschiedene Firewall-Typen, die Sie nutzen können. Setzen Sie diese Tools gegebenenfalls ein. Beispielsweise können Sie Firewalls auf Endpunkt- und Anwendungsebene verwenden, um den Datenverkehr zwischen Ihren Geräten zu überprüfen. Der Einsatz von Firewalls innerhalb und außerhalb Ihres Netzwerks verhindert laterale Angriffe und ermöglicht die Systemisolierung.

Implementieren Sie Endpunktschutz– Sie sollten Endpunktschutzplattformen (EPPs) implementieren, um Ihre Endpunkte zu sichern und den Zugriff auf Ihre Systeme einzuschränken. Diese Plattformen enthalten häufig EDR-Technologie (Endpoint Detection and Response), die Ihre Reaktionszeiten verkürzt und Ihnen die Erkennung von Vorfällen in Echtzeit ermöglicht.

Implementieren Sie einen Incident-Response-Plan– Ein Incident-Response-Plan (IRP) kann Ihnen helfen, Schwachstellen in Ihren Systemen zu identifizieren, Schutzmaßnahmen zu planen und die Reaktionszeiten bei Vorfällen zu verkürzen. IRPs legen detailliert fest, wer für die Bewältigung von Vorfällen verantwortlich ist und wie reagiert werden soll.

Diese Pläne gewährleisten standardisierte Reaktionsabläufe und die angemessene Behandlung jedes Vorfalls. Häufig beinhalten sie SOAR-Technologien (Security Orchestration, Automation and Response) mit automatisierten Playbooks, um eine schnelle Reaktion zu garantieren.

Mehrschichtige Sicherheit mit Exabeam Security Management Platform

Die Exabeam Security Management Platform ist ein Sicherheitsinformations- und Ereignismanagement (SIEM) der nächsten Generation, das die Erkennung und Reaktion auf Cyberangriffe übernimmt und zudem als Untersuchungsebene fungiert, um mithilfe fortschrittlicher Analysen vor oder während eines Angriffs bösartiges Verhalten im System zu erkennen. Im Falle eines erfolgreichen Angriffs bietet Exabeam auch Funktionen zur Reaktion auf Vorfälle, die es dem Sicherheitsteam ermöglichen, den Angriff zu bekämpfen und den verursachten Schaden zu minimieren.

Durch die Verwendung Exabeam und anderen Verteidigungsebenen können Sie die Sicherheit Ihres Unternehmens stärken und Ihre Fähigkeit verbessern, fortgeschrittene Cyberangriffe zu verhindern und abzuschwächen.