IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Pishing ScamPhishing ist keine besonders neue Taktik, um an fremde Daten zu gelangen – und dennoch werden regelmäßig erfolgreiche Kampagnen bekannt. Unternehmen versuchen deshalb, den Erfolg von Phishing-Angriffen zu verhindern, indem sie das Sicherheitsbewusstsein der Mitarbeiter fördern. Dies sollte auch ein zentraler Bestandteil der Sicherheitsstrategie sein.

Doch trotz aller Anstrengungen fallen einzelne Benutzer weiterhin auf die Masche der Angreifer herein. Die IT-Sicherheitsexperten von Palo Alto Networks haben fünf Maßnahmen formuliert, wie man sich effektiv vor Phishing schützen kann.

„Zunächst gilt es jedoch zu klären, was Unternehmen und Institutionen schützen wollen, bevor es darum geht, wie dies geschehen soll. Welche geschäftskritischen oder vertraulichen persönlichen Daten sind gefährdet? Ist es der Software-Quellcode der Entwicklungsabteilung, sind es die Daten der Schüler in den Lehrerzimmer-PCs, Patientenakten im Krankenhaus oder wichtige Unterlagen zur bevorstehenden Fusion zweier Unternehmen?“, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Je nachdem, wie kritisch die Daten sind, sollte auch der Schutzbedarf eingestuft werden.“

Die nächste Frage wäre, wie die Daten geschützt werden können, auch wenn ein Phishing-Versuch erfolgreich war, d.h. der Angreifer bereits den Fuß in die Tür gesetzt hat.

Um ein hohes Niveau an Sicherheit zu erzielen, empfiehlt Palo Alto Networks die folgenden fünf Maßnahmen:

1. Umsetzung des Prinzips der geringsten Rechte

Bestimmte Daten, die es zu schützen gilt, müssen nicht für alle Mitarbeiter zugänglich sein. Dieses Prinzip scheint einfach, wird aber nicht immer befolgt. Bei einer hochkarätigen Datenschutzverletzung bei einem großen US-Einzelhändler stahlen die Angreifer die Anmeldedaten eines Drittanbieters und installierten dann Memory-Scraping-Malware auf über 7.500 SB-Kassenterminals. Dieser Drittanbieter hätte nicht Zugang zu Tausenden von POS-Terminals haben sollen. Um das Prinzip der geringsten Rechte zu verfolgen, gilt es zu identifizieren, wer Zugriff auf sensible Daten haben muss. Rollenbasierte Zugriffsverwaltung stellt sicher, dass der Zugriff überwacht wird. Darüber hinaus können Zugangskontrollen für jede Anwendung eingerichtet werden – durch Benutzerkontrolle mittels einer Next-Generation-Firewall, die den gesamten Netzwerkverkehr überwacht. Die Implementierung benutzerbasierter Zugriffsrichtlinien in der Firewall schützt sensible Daten, egal ob diese im Rechenzentrum, in einer privaten oder öffentlichen Cloud vorgehalten werden.

2. Hohe Integrität der Benutzeridentifizierung

Die Zugriffskontrolle wird an mehreren Stellen implementiert. Beispielsweise identifizieren sich Benutzer zuerst am Endpunkt und dann werden Authentifizierungs- und Autorisierungs-Checks am VPN-Gateway, WLAN-Controller, an der Firewall und schließlich an der Anwendung ausgeführt. Die Benutzerkennung auf jeder Ebene muss hochgradig zuverlässig sein. Dies bedeutet erstens, dass Benutzer, die sich mit dem Netzwerk verbinden, innerhalb kürzester Zeit identifiziert werden müssen. Zweitens, ist bei dynamischen Umgebungen eine schnelle Aktualisierung entscheidend, da Anwender von einer IP-Adresse zu einer anderen wechseln. Eine Möglichkeit ist hier der Einsatz von Zertifikaten auf Benutzerendpunkten. Es gilt dann sicherzustellen, dass die Firewall diese Benutzeridentität mit geringer Latenz erfasst, um unmittelbar die benutzerbasierte Zugriffskontrolle zu erzwingen.

3. Den Zugriff auf Anwendungen festlegen, nicht auf Server IP-Adressen

Bislang wurde der Zugriff auf Anwendungen unter Verwendung von IP-Adressen definiert. Im heutigen Umfeld, in dem sich Anwendungen bewegen, sogar von der privaten in die öffentliche Cloud, ist es notwendig, den Zugriff auf Anwendungen zu definieren, nicht auf IP-Adressen. Die Sicherheitslösung, wie etwa eine Firewall, sollte in der Lage sein, bekannte Anwendungen zu identifizieren und die Möglichkeit bieten, kundenspezifische Anwendungen zu definieren.

4. Nutzung von Benutzergruppen

Definieren Sie den Zugriff auf Anwendungen mittels Benutzergruppen anstelle von bestimmten, jeweils benannten Benutzern. Warum? Diese Methode ist skalierbar und sicher. Wird eine Gruppe definiert, die Zugriff auf die Daten haben muss, können Benutzer ganz einfach hinzugefügt oder entfernt werden, ohne die Zugriffsrichtlinie auf der Sicherheitshardware verändern zu müssen. Die Gruppen können dabei in den Verzeichnisservern angelegt sein oder nicht. Wenn nicht, gilt es mit den Administratoren der Verzeichnisdienste hierfür eine Vorgehensweise zu definieren. Zum Beispiel kann eine Untergruppe von einer kleinen Anzahl Personen auf der Grundlage spezifischer Attribute angelegt werden. Sobald jemand das Unternehmen verlässt, wird der Benutzer aus der Gruppe im Verzeichnisserver entfernt und verliert automatisch Zugriff auf die sensiblen Daten.

5. Regelmäßige Audits und Überprüfung der Zugriffsregeln

Richtlinien verändern sich. Alte Anwendungen werden stillgelegt und neue eingeführt. Unternehmen können akquiriert werden, was Anpassungsbedarf nach sich zieht. Wie lässt sich nun sicherstellen, dass die Zugriffsrichtlinien, die vor Monaten definiert wurden, noch relevant und aktuell sind? Hierzu müssen regelmäßige Überprüfungsprozesse eingerichtet werden, in die auch die Unternehmensführung mit einbezogen werden muss. Interne Audits oder die Sicherheitsprüfung für bestimmte Datenbestände gewährleisten, dass das nötige Sicherheitsniveau stets in adäquatem Maße aufrechterhalten bleibt.

www.paloaltonetworks.com

 

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet