Den Grundstein legen

Es ist nicht nötig, das Rad neu zu erfinden, wenn die ersten Schritte für ein Informationssicherheitsprogramm unternimmt. Es gibt einige Standards, die von großem Nutzen sein können und die wir in Kapitel 8 behandeln werden. Das National Institute of Standards and Technology (NIST) hat ein risikobasiertes Cybersecurity Framework entwickelt, das viele Aspekte eines solchen Programms abdeckt. Das NIST Cybersecurity Framework (CSF) 2.0 besteht aus sechs gleichzeitigen und kontinuierlichen Funktionen: identifizieren, schützen, erkennen, reagieren, wiederherstellen und steuern. Zusammengenommen bieten diese Funktionen eine übergeordnete, strategische Sicht auf den Lebenszyklus des Managements von Cybersicherheitsrisiken in einer Organisation.

Nicht nur ein Rahmenwerk ist ein möglicher Vorteil, sondern auch Einhaltungsstandards. Obwohl schlecht umgesetzte Compliance-Standards die Sicherheit einer Organisation insgesamt beeinträchtigen können, können sie auch ein guter Ausgangspunkt für ein neues Programm sein. Wir werden uns in Kapitel 8 eingehender mit den Compliance-Standards befassen. Auch wenn Ressourcen wie diese einen phänomenalen Mehrwert darstellen, musst du natürlich immer bedenken, dass jede Organisation anders ist und einige Aspekte, die wir behandeln, für deinen Fall vielleicht nicht relevant sind - daran wird im gesamten Buch immer wieder erinnert.

Teams gründen

Wie in vielen anderen Abteilungen auch, gibt es Vorteile, wenn die richtigen Mitarbeiter in den richtigen Teams für die Sicherheit zuständig sind. Eine offene, teamübergreifende Kommunikation sollte ein vorrangiges Ziel sein, denn ohne sie wird die Sicherheitslage stark geschwächt. Auch wenn kleinere Organisationen mehrere der folgenden Teams kombinieren (oder einige von ihnen gar nicht haben), ist dies ein gutes Ziel für die Besetzung einer Sicherheitsabteilung:

Exekutivteam

Ein Chief Information Officer (CIO) oder Chief Information Security Officer (CISO) bietet die Hebelwirkung und Autorität, die für unternehmensweite Entscheidungen und Veränderungen benötigt werden. Ein Führungsteam ist auch in der Lage, eine langfristige Vision zu entwickeln, Unternehmensrisiken zu kommunizieren, Ziele festzulegen, Finanzmittel bereitzustellen und Meilensteine vorzuschlagen .

Risiko-Team

Viele Organisationen verfügen bereits über ein Team zur Risikobewertung und dieses kann eine Untergruppe dieses Teams sein. In den meisten Unternehmen hat die Sicherheit nicht die höchste Priorität. Dieses Team kalkuliert die Risiken in vielen anderen Bereichen des Unternehmens, vom Vertrieb über das Marketing bis hin zu den Finanzen. Mit dem Thema Sicherheit sind sie vielleicht nicht besonders vertraut. In diesem Fall können sie entweder von Fall zu Fall in den Grundlagen der Sicherheit unterrichtet werden, oder das Team kann um einen Risikoanalysten erweitert werden. Ein Risiko Rahmenwerk wie das Risk Management Framework (RMF) von NIST, das Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Framework oder das Committee of Sponsoring Organizations of the Treadway Commission (COSO) kann dabei helfen.

Sicherheitsteam

Das Sicherheitsteam übernimmt Aufgaben zur Bewertung und Stärkung der Umgebung. Der größte Teil dieses Buches befasst sich mit diesem Team und dem Führungsteam. Sie sind für die täglichen Sicherheitsabläufe verantwortlich, einschließlich der Verwaltung von Vermögenswerten, der Bewertung von Bedrohungen und Schwachstellen, der Überwachung der Umgebung auf Angriffe und Bedrohungen, dem Risikomanagement und der Durchführung von Schulungen. In einer ausreichend großen Umgebung kann dieses Team in verschiedene Unterteams aufgeteilt werden, z. B. Netzwerksicherheit, Sicherheitsbetrieb, Sicherheitstechnik, Anwendungssicherheit und offensive Sicherheit.

Prüfteam

Es ist immer eine gute Idee, unter ein System von Kontrollen und Gegenkontrollen einzurichten. So kannst du nicht nur nach Lücken in deinen Sicherheitsprozessen und -kontrollen suchen, sondern auch sicherstellen, dass die richtigen Aufgaben und Meilensteine abgedeckt werden. Wie das Risikoteam kann auch das Prüfungsteam eine Teilmenge einer größeren Gruppe sein.

Auch hier ist es durchaus möglich, dass ein kleines bis mittleres Unternehmen aufgrund von Faktoren wie Budget- oder Personalknappheit eines oder alle dieser Teams zu einem zusammenfasst. In diesen Fällen können wir dir nur unser Mitgefühl aussprechen. Wenn das Unternehmen wächst und hoffentlich auch das Sicherheitsprogramm wächst, können die einzelnen Aufgaben geplant und angemessen besetzt werden.

Bestimmung deiner grundlegenden Sicherheitslage

Die Unbekannten in jedem Umfeld sind beängstigend, aber das sollte dich nicht davon abhalten, dich darauf einzulassen. Wie willst du wissen, wie erfolgreich das Programm ist, wenn du nicht weißt, wo es angefangen hat? Zu Beginn eines neuen Sicherheitsprogramms oder eines tiefgreifenden Eingriffs in ein bestehendes Programm sollte die Bestandsaufnahme und Erkundung eine der ersten Prioritäten für alle Teams sein. In diesem Buch werden wir die Bestandsaufnahme mehrmals auf unterschiedliche Weise behandeln. Die Festlegung der Basislinie für die Sicherheit der Organisation ist nur ein weiterer Schritt in diesem Managementprozess. Zu diesem Zweck solltest du Informationen über alle folgenden Punkte sammeln:

• Richtlinien, Verfahren und Reaktion auf Vorfälle playbooks

• Endgeräte - Desktops und Server, einschließlich Implementierungsdatum und Softwareversion

• Lizenz- und Softwareerneuerungen sowie Secure Sockets Layer (SSL)-Zertifikate Ablaufdaten

• Internet-Fußabdruck - Domains, Mailserver, DMZ-Geräte (Demilitarized Zone), Cloud Architektur

• Netzwerkgeräte und Informationen - Router, Switches, Access Points, Intrusion Detection/Prevention Systems (IDS/IPS) und Netzwerk Verkehr

• Protokollierung und Überwachung

• Ingress/Egress-Punkte - ISP-Kontakte, Kontonummern und IP-Adressen

• Externe Anbieter, mit oder ohne Fernzugriff , und Hauptansprechpartner

• Anwendungen - alle primären Softwareanwendungen, die entweder von deinem Unternehmen gewartet oder in irgendeiner Form als primäre Geschäftsfunktionen genutzt werden

Bewertung von Bedrohungen und Risiken

Wie bereits erwähnt, ist die Einrichtung eines Risikoteams oder einer Risikofunktion ein wesentlicher Bestandteil der Einrichtung eines Informationssicherheitsteams. Ohne Kenntnis der Bedrohungen und Risiken, mit denen dein Unternehmen konfrontiert ist, ist es schwierig, Technologien anzupassen und Empfehlungen für einen geeigneten Schutz zu geben. Wie Bedrohungen und Risiken bewertet werden, ist für jede Organisation anders. Jeder interne und externe Fußabdruck ist in Kombination mit der jeweiligen Infrastruktur einzigartig. Die Bewertung erfordert daher sowohl einen Überblick auf höchster Ebene als auch eine genaue Kenntnis der Vermögenswerte.

Viel detailliertere Informationen findest du unter , wenn du nach Governance, Risk und Compliance (GRC) suchst. Da wir in diesem Buch nicht alle Aspekte von GRC abdecken können, gehen wir auf einen allgemeinen Risikorahmen ein. Es gibt eine Reihe von Risikomanagement-Rahmenwerken, aber im Allgemeinen lassen sie sich in fünf Schritten zusammenfassen: identifizieren, bewerten, abmildern, überwachen und regeln.

Prioritäten setzen

Sobald die Bedrohungen und Risiken identifiziert und bewertet wurden, müssen sie in der Reihenfolge vom höchsten zum niedrigsten Risikoprozentsatz priorisiert werden, um Abhilfemaßnahmen zu planen (mit dem Schwerpunkt auf dem laufenden Schutz). Das muss jedoch nicht immer ein teures Unterfangen sein. Viele defensive Maßnahmen können mit geringen oder gar keinen Kosten für ein Unternehmen durchgeführt werden. So gibt es viele Möglichkeiten, ein Sicherheitsprogramm zu starten, ohne über ein entsprechendes Budget zu verfügen. Die Durchführung der Due Diligence, die erforderlich ist, um das Programm kostenlos auf den Weg zu bringen, sollte für ein Führungsteam Bände sprechen.

Dieses Buch ist nicht als sequentielle Liste der zu erledigenden Sicherheitsaufgaben zu verstehen. Die Prioritätensetzung kann von Umgebung zu Umgebung sehr unterschiedlich sein. Erinnere dich daran: Wenn die Umgebung bereits brennt und angegriffen wird, solltest du nicht mit der Erstellung von Richtlinien oder dem Reverse-Engineering von Malware beginnen. Als Feuerwehrmann solltest du dich nicht mit der Suche nach dem Brandstifter und dem Brandherd befassen, wenn du das Feuer noch nicht gelöscht hast.

Um die Priorität einiger Risiken zu bestimmen, kannst du eine Risikomatrix verwenden, bei der die Gesamtrisikostufe durch "Wahrscheinlichkeit × Auswirkung" berechnet wird, wie in Abbildung 1-1 dargestellt.

Abbildung 1-1. Eine Risikomatrix

Meilensteine schaffen

Meilensteine bringen dich von dort, wo du bist, dorthin, wo du hinwillst. Sie stellen eine allgemeine Progression auf dem Weg zu einer sicheren Umgebung dar. Das geht ein bisschen in Richtung der Aufgaben eines Projektmanagers (PM), aber in vielen Unternehmen gibt es keine speziellen PMs. Die Meilensteine lassen sich grob in vier Längen oder Stufen unterteilen:

Ebene 1: Schnelle Erfolge

Die ersten Meilensteine, die es zu erreichen gilt, sollten Quick Wins sein, die innerhalb von Stunden oder Tagen durchgeführt werden können und hohe Schwachstellen beseitigen - ungenutzte Endgeräte, die eliminiert werden können, Altgeräte, die in ein sichereres Netzwerk verschoben werden können, und Patches von Drittanbietern könnten alle unter diese Kategorie fallen. Wir werden in diesem Buch viele kostenlose Lösungen erwähnen, da der Beschaffungsprozess in manchen Unternehmen sehr viel Zeit in Anspruch nehmen kann.

Stufe 2: Dieses Jahr

Größere Schwachstellen, deren Behebung einen Change-Management-Prozess erfordert, eine Prozessänderung nach sich zieht oder einer großen Anzahl von Personen mitgeteilt werden muss, fallen möglicherweise nicht in Stufe 1. Größere Änderungen am Netzwerk-Routing, die Implementierung von Benutzerschulungen und die Stilllegung von gemeinsam genutzten Konten, Diensten und Geräten sind allesamt Verbesserungen, deren Umsetzung wenig bis gar kein Budget erfordert, die aber aufgrund der notwendigen Planung und Kommunikation etwas mehr Zeit in Anspruch nehmen können.

Stufe 3: Nächstes Jahr

Schwachstellen und Änderungen, die einen hohen Planungsaufwand erfordern oder von anderen Korrekturen abhängen, die zuerst durchgeführt werden müssen, fallen in diese Kategorie. Die Umstellung ganzer Geschäftsfunktionen auf einen Cloud-Service, Domain-Upgrades, der Austausch von Servern und größeren Infrastrukturgeräten, die Implementierung von Überwachungsmaßnahmen und Änderungen der Authentifizierung sind gute Beispiele dafür.

Stufe 4: Langfristig

Es kann mehrere Jahre dauern, bis einige Meilensteine erreicht sind. Das liegt an der Länge eines Projekts, am fehlenden Budget, an Vertragsverlängerungen oder an der Schwierigkeit der Veränderung. Dazu gehören z. B. die Umstrukturierung eines Netzwerks, die Erneuerung der Hauptsoftware oder der Bau eines neuen Rechenzentrums.

Es ist hilfreich, Meilensteine an kritische Kontrollen und Risiken zu knüpfen, die bereits identifiziert wurden. Auch wenn es eine gute Idee ist, mit den höheren Risiken und Schwachstellen zu beginnen, sind diese möglicherweise nicht einfach zu beheben. In vielen Fällen wird die Behebung dieser Probleme nicht nur viel Zeit und Planung in Anspruch nehmen, sondern auch ein Budget erfordern, das nicht zur Verfügung steht. All diese Aspekte müssen bei der Planung jeder Stufe berücksichtigt werden.

Anwendungsfälle, Tabletops und Übungen

Anwendungsfälle sind wichtig, um Situationen darzustellen, die kritische Infrastrukturen, sensible Daten oder andere Werte gefährden können. Mach ein Brainstorming mit Dateneigentümern und Führungskräften, um vorauszuplanen, wie mit bösartigen Angriffen umgegangen werden soll. Es ist am besten, wenn du dich zu Beginn auf etwa drei verschiedene Anwendungsfälle konzentrierst und Sicherheitsmaßnahmen und -überwachung für diese Fälle planst. Mögliche Anwendungsfälle sind Ransomware, DDoS-Angriffe (Distributed Denial of Service), unzufriedene Mitarbeiter, Insider-Bedrohungen und Datenexfiltration. Nachdem mehrere Anwendungsfälle ausgewählt wurden, können sie aufgeschlüsselt, analysiert und mit jedem Schritt eines der Sicherheits-Frameworks, die in diesem Buch behandelt werden, in Beziehung gesetzt werden, oder zusätzlich mit anderen, die nach dem Schreiben dieses Buches erstellt werden können. Ein Beispiel für ein gängiges Framework, das für die Zuordnung von Anwendungsfällen verwendet wird, ist die Intrusion Kill Chain (auch Cyber Kill Chain genannt) von Lockheed Martin.

Wie im Whitepaper von Lockheed Martin beschrieben, ist die Intrusion Kill Chain "ein Modell für verwertbare Erkenntnisse, wenn Verteidiger die Verteidigungsfähigkeiten eines Unternehmens auf die spezifischen Prozesse abstimmen, die ein Angreifer unternimmt, um das Unternehmen anzugreifen", und sie besteht aus sieben Schritten:

1. Erkundung

Recherche, Identifizierung und Auswahl von Zielpersonen, oft in Form des Durchsuchens von Internetseiten wie Konferenzberichten und Mailinglisten nach E-Mail-Adressen, sozialen Beziehungen oder Informationen über bestimmte Technologien.

2. Bewaffnung

Kopplung eines Remote-Access-Trojaners mit einem Exploit zu einer übertragbaren Nutzlast, in der Regel mit Hilfe eines automatisierten Tools (Waffenzieher). In zunehmendem Maße dienen Client-Anwendungsdateien wie Adobe Portable Document Format (PDF) oder Microsoft Office-Dokumente als waffenfähige Nutzdaten.

3. Lieferung

Übertragung der Waffe in die Zielumgebung. Die drei häufigsten Übertragungswege für waffenfähige Nutzlasten ... sind E-Mail-Anhänge, Websites und USB-Wechselmedien.

4. Ausbeutung

Nachdem die Waffe auf den Host des Opfers gelangt ist, wird der Code des Eindringlings ausgelöst. Meistens wird eine Schwachstelle in der Anwendung oder im Betriebssystem ausgenutzt, aber auch die Benutzer selbst oder eine Funktion des Betriebssystems, die automatisch Code ausführt, können ausgenutzt werden.

5. Installation

Die Installation eines Fernzugriffstrojaners oder einer Backdoor auf dem Opfersystem ermöglicht es dem Angreifer, sich in der Umgebung zu halten.

6. Kommando und Kontrolle (C&C)

In der Regel müssen kompromittierte Hosts ein Signal an einen Internet-Controller-Server senden, um einen C&C-Kanal einzurichten. APT-Malware erfordert vor allem manuelle Interaktion, statt automatisch zu agieren. Sobald der C&C-Kanal aufgebaut ist, haben Eindringlinge Zugriff auf die Zielumgebung, indem sie die Tastatur bedienen .

7. Maßnahmen zur Erreichung der Ziele

Erst jetzt, nachdem sie die ersten sechs Phasen durchlaufen haben, können Eindringlinge Maßnahmen ergreifen, um ihre ursprünglichen Ziele zu erreichen. In der Regel ist dieses Ziel die Datenexfiltration, d.h. das Sammeln, Verschlüsseln und Extrahieren von Informationen aus der Opferumgebung; auch Verletzungen der Datenintegrität oder -verfügbarkeit sind mögliche Ziele. Es kann aber auch sein, dass die Eindringlinge nur Zugang zum ersten Opfer haben wollen, um von dort aus weitere Systeme zu kompromittieren und innerhalb des Netzwerks weiterzuverfolgen.

Dieses Whitepaper enthält eine große Menge an Informationen, die auch für die Erstellung von Anwendungsfällen genutzt werden können.

Tabelle 1-1 ist ein Beispiel für einen schrittweisen Kill-Chain-Anwendungsfall, den wir für einen Ransomware-Angriff erstellt haben, ohne teure Software oder Hardware für ein Unternehmen einzusetzen, das Zeit für die Implementierung von Open-Source-Projekten hat.

Viele verschiedene Abwehrmaßnahmen und spezifische Erkennungen können auf jeder Stufe der Kill Chain hinzugefügt werden, um das Risiko auf jeder Ebene insgesamt zu verringern.

Nach der Erstellung und Implementierung von Sicherheitskontrollen für Anwendungsfälle können Tabletop-Übungen und Drills als Proof of Concept dienen und dir dabei helfen, eine Sammlung von Playbooks zu erstellen. Eine Tabletop-Übung ist ein Treffen der wichtigsten Interessengruppen und Mitarbeiter/innen, die Schritt für Schritt die Abschwächung einer Katastrophe, einer Störung, eines Angriffs oder eines anderen Notfalls in einem stressarmen Szenario durchspielen. Bei einer Übung führen die Mitarbeiter/innen so viele Prozesse, Verfahren und Abhilfemaßnahmen wie möglich durch, die während eines Notfalls durchgeführt werden würden.

Auch wenn der Umfang von Übungen begrenzt ist, können sie sehr nützlich sein, um bestimmte Kontrollen auf Lücken und mögliche Verbesserungen zu testen. Ein Disaster Recovery (DR)-Plan kann bis zu einem gewissen Grad durchgeführt werden, Backups können mit der Wiederherstellung von Dateien getestet werden und Dienste können auf sekundäre Clustermitglieder fehlgeschlagen sein.

An Tabletop-Übungen sind mehrere wichtige Gruppen oder Mitglieder beteiligt:

• Bei einer Tabletop-Übung sollte es einen Moderator oder Vermittler geben, der das zu spielende Szenario vorgibt. Dieser Moderator kann "Was-wäre-wenn"-Fragen zu dem imaginären Notfall beantworten, die Diskussion leiten, bei Bedarf zusätzliche Ressourcen hinzuziehen und das Tempo der Übung kontrollieren. Er sollte die Teilnehmer/innen darüber informieren, dass es völlig in Ordnung ist, während der Übung nicht auf alle Fragen Antworten zu haben. Der Zweck von Tabletops ist es, Schwachstellen in den aktuellen Abläufen zu finden, damit sie vor einem tatsächlichen Vorfall beseitigt werden können .

• Die Teilnehmer/innen sollten aus verschiedenen Bereichen kommen, darunter Vertreter/innen der Finanz-, Personal-, Rechts-, Sicherheits- (sowohl physisch als auch informationstechnisch), Management-, Marketing- und anderer wichtiger Abteilungen, die eventuell benötigt werden. Die Teilnehmer/innen sollten bereit sein, sich auf das Gespräch einzulassen, sich selbst und andere höflich herauszufordern und innerhalb der Parameter der Übung zu arbeiten.

• Ein Mitglied der Gruppe sollte die Gesamtleistung der Übung bewerten und einen Nachbericht erstellen. Dieser Bewerter sollte sich akribische Notizen machen und sich an das entsprechende Runbook oder Playbook halten, um die Genauigkeit zu gewährleisten. Auch wenn der Auswerter der Hauptnotizgeber ist, können andere Gruppen und Einzelpersonen über besondere Kenntnisse und Verständnis der Situation verfügen. In diesem Fall ist es sinnvoll, wenn jedes Mitglied dem Auswerter am Ende des Tabletop seine eigenen Notizen zur Verfügung stellt.

Mögliche Materialien für die Tischplatte sind:

• Ein Handout für die Teilnehmer mit einer Beschreibung des Szenarios und Platz für Notizen

• Ein aktuelles Runbook, wie mit Sicherheitssituationen umgegangen wird

• Richtlinien und Verfahrenshandbücher

• Eine Liste von Tools und externen Diensten

Zu den Fragen und Aktionen nach der Übung gehören:

• Was ist gut gelaufen?

• Was hätte besser laufen können?

• Fehlen Dienste oder Prozesse, die die Lösungszeit oder Genauigkeit verbessert hätten?

• Sind irgendwelche Schritte überflüssig oder irrelevant?

• Identifiziere und dokumentiere Probleme für Korrekturmaßnahmen.

• Ändere den Plan für beim nächsten Mal entsprechend.

Erweiterung deines Teams und deiner Qualifikationen

Ein engagiertes, leidenschaftliches und intelligentes Team zu finden kann einer der schwierigsten Aspekte im Leben eines jeden Berufstätigen sein.

Was können du und dein Team tun, um euer Wissen und eure Fähigkeiten zu erweitern? Hier sind ein paar Ideen:

• Ermutige deine Mitarbeiter/innen, ein Heimlabor einzurichten, oder stelle ihnen ein Labor zur Verfügung. In Laboren können reale Szenarien getestet, Fähigkeiten geübt und neue erlernt werden. Du kannst es relativ kostengünstig einrichten, indem du gebrauchte Geräte kaufst oder verschiedene Cloud-Angebote nutzt. Die meisten Menschen lernen am besten in der Praxis, und mit einem Labor besteht kein Risiko in einer Produktionsumgebung.

• Nimm an Capture-the-Flag-Wettbewerben (CTFs) teil oder erstelle sie. CTFs sind herausfordernd und können zum Training und zur Teambildung sowie zur Verbesserung der Kommunikationsfähigkeiten beitragen. Die meisten Informationssicherheitskonferenzen bieten CTFs an. Wenn du dein Team erweitern willst, sind CTFs auch ein wunderbarer Ort, um neue Talente zu finden. Die Teilnehmer/innen stellen nicht nur ihren Wissensstand unter Beweis, sondern du kannst dir auch ein Bild von ihren Kommunikationsfähigkeiten, ihrer Teamfähigkeit und ihrer Bereitschaft, anderen zu helfen und sie zu unterrichten, machen.

• Finde oder erstelle ein Projekt. Finde einen Bedarf und fülle ihn. Welche Fähigkeiten du auch immer ausüben willst, es wird ein Projekt geben, das Hilfe braucht. Bei fast allen Open-Source-Projekten wird Dokumentation benötigt, oder du kannst etwas im Unternehmen automatisieren.

• Nimm an einer Branchenkonferenz oder einem lokalen Treffen teil, organisiere es, melde dich freiwillig, spreche, sponsere oder trainiere. Es gibt Hunderte von ihnen in den USA, und sie brauchen fast immer Freiwillige. Schon die Teilnahme an einer Konferenz hat ihre Vorteile, aber wenn du wirklich eintauchst, wirst du noch mehr lernen und erfahren. Viele Karrieren wurden durch ein einfaches Gespräch über eine Leidenschaft beim Mittagessen oder bei einem Bier begonnen. Vergiss aber nicht, dass Networking in unserer Branche zwar ein entscheidender Faktor ist, aber kein Allheilmittel für alle. Du kannst netzwerken, so viel du willst, aber wenn du kein begehrter Kandidat bist, wird es nichts bringen. Die Bereitschaft und der Wunsch zu lernen, zuzuhören und zusammenzuarbeiten sowie die Fähigkeit, selbstständig zu denken, sind ideale Eigenschaften in einer so schnelllebigen Branche.

• Nimm an einem Mentoring teil. Ob als Mentor/in oder Mentee, strukturiert oder unstrukturiert, Mentoring kann ein wertvoller Lernprozess sein, sowohl im Job als auch außerhalb.