«Keep the target small» – Schaden durch Cyber-Attacken minimieren

Was können Unternehmen tun, um Hackern das Leben so schwer wie möglich zu machen? Wie können die Security-Ressourcen effizient und effektiv eingesetzt werden?

Autor: Christian Zeiler

Im Zeitalter der Digitalisierung ist eine Öffnung der Systeme eines Unternehmens gegen aussen unabwendbar. Diese Öffnung verspricht mehr Business-Value. Sie erhöht aber auch das Risiko Ziel einer Cyber-Attacke zu werden! Was können Unternehmen tun, um den Hackern das Leben so schwer wie möglich zu machen? Wie können die Security-Ressourcen eines Unternehmens effizient und effektiv eingesetzt werden?

Viele Vorträge und Workshops auf der European Identity & Cloud Conference 2016 haben gezeigt, dass die Etablierung eines Privileged Management Systems ein wichtiger Schritt zur Absicherung der Systeme eines Unternehmens ist.

Missbrauch von Privilegien als häufigste Ursache

Die Firma Verizon gibt jedes Jahr einen Data Breach Investigation Report (DBIR) heraus, an dem sich ca. 70 international tätige Firmen beteiligen. Dieser Report gibt eine Übersicht zu den grössten Bedrohungen mit denen sich Unternehmen in der heutigen Zeit auseinandersetzen müssen. Der DBIR 2016 dokumentiert, dass über 80% der Vorfälle von gerade mal neun verschiedenen Bedrohungsszenarien abgedeckt werden. An zweiter Stelle in dieser Bedrohungsszenarien-Liste befindet sich das Szenario «Insider and privilege misuse» mit 16.3% der Vorfälle. Dieses Szenario wird in weitere Kategorien unterteilt, wobei die Kategorie «Privilege abuse» (Missbrauch von Privilegien) mit Abstand am häufigsten vorkommt. 70% dieser Angriffe werden frühestens nach Monaten und im schlimmsten Fall erst nach Jahren entdeckt.

Bild_1.png
Bild 1: Zahlen zu «Insider and privilege misuse». Quelle: Data Breach Investigation Report 2016

Hacker gehen systematisch vor

Ein aktuelles Beispiel für so eine Cyber-Attacke ist diejenige auf den schweizerischen Rüstungskonzern Ruag. Bei diesem Angriff wurden laut aktuellen Pressemitteilungen (Tagesanzeiger: Ruag-Hacker haben 20 Gigabyte Daten entwendet) ca. 20 Gigabyte an Daten entwendet. Die Melde- und Analysestelle Informationssicherung Melani hat einen Report zu dieser Cyber-Attacke veröffentlicht. Darin wird festgehalten, dass diese Cyber-Attacke bereits im September 2014 begonnen hat. Die Hacker sind dabei systematisch vorgegangen. Sie haben Schritt für Schritt die Kontrolle über die Systeme übernommen und haben damit immer mehr Berechtigungen für die Fortsetzung ihres Angriffs erhalten.

pxm2-Kopie.png
Bild 2: Zeitlicher Verlauf Cyber-Attacke Ruag. Quelle: Melani – Technical Report about the Espionage Case at RUAG

Keep the target small

Der Melani-Bericht zeigt klar auf, dass ein 100%iger Schutz der Systeme eines Unternehmens vor solchen Angriffen nur mit einem enormen Aufwand realisierbar ist. Ziel eines guten Security-Konzepts muss es also sein, die verfügbaren Ressourcen so effizient wie möglich einzusetzen damit die Spielwiese für potentielle Angreifer kontrollierbar und überschaubar bleibt – Keep the target small!

Sicherheitsprinzipien etablieren

Ein wichtiger Schritt bei der Absicherung der Systeme eines Unternehmens ist sicher die Etablierung eines effektiven und effizienten Privileged Management Systems (PxM-System). Bei der Umsetzung eines PxM-Systems sollten von einem Unternehmen als erster Schritt die folgenden grundlegenden Prinzipien durchgesetzt werden.

Inventar der Accounts mit Privileged Access

Accounts, die mehr Rechte besitzen als ein Standard-Benutzer-Account müssen dokumentiert und verwaltet werden. Das Unternehmen muss Prozesse definieren, die diese Dokumentation fortlaufend aktualisiert.

Kontrolle von «Shared Accounts»

Shared Accounts werden für die Administration oder Installation von Software-Produkten eingesetzt und von mehreren Personen verwendet. Es müssen müssen Prozesse und Kontrollen etabliert werden die verhindern, dass die Credentials mehreren Personen zum gleichen Zeitpunkt bekannt sind.

Umsetzung «Least-Privilege»-Prinzip

Accounts, egal ob von Personen oder Maschinen verwendet, sollten nur so viele Privilegien besitzen wie sie für die Erledigung der aktuellen Aufgabe benötigen.

Realisierung «Seperation of Duties» (SoD)

Es muss eine klare Trennung zwischen der Erstellung, der Bestätigung und der Umsetzung eines Change-Request herrschen. Es darf nicht möglich sein, dass all diese Aufgaben mit Hilfe desselben Accounts durchgeführt werden.

Einsatz von «Two-Factor Authentication»

Bei Accounts mit höheren Privilegien sollte das System eine starke Authentisierung verlangen. Dadurch wird die Verwendung dieser Accounts für Hacker erschwert und es wird eine höhere Zusicherung der Identität der Person gewährleistet.

Logging & Monitoring

Die Aktionen, die unter Verwendung von privilegierten Accounts durchgeführt werden, müssen aufgezeichnet und überwacht werden.

Durchsetzung der Prinzipien automatisieren

Eine Umsetzung dieser Prinzipien durch ein Unternehmen ist ein erster wichtiger Schritt, um die Angriffsfläche für Cyber-Attacken zu minimieren und den Hackern das Leben so schwer wie nur irgendwie möglich zu machen.

Als zweiten Schritt sollte ein Unternehmen vorsehen, die Durchsetzung dieser Prinzipien wo sinnvoll zu automatisieren und die Liste der Prinzipien bzw. der Massnahmen erweitern. Für die Automatisierung stehen auf dem Markt Produkte von verschiedenen Anbietern zur Verfügung. Dies wird Thema eines zukünftigen Blocks sein.