Corona

Corona und der Cyber-Security-Betrieb

Corona und der Cyber-Security-Betrieb

Die aktuellen Zeiten verlangen uns allen viel ab. Es besteht die Gefahr, schwer zu erkranken oder liebe Angehörige zu verlieren. Nicht nur als Arbeitnehmer oder Vorgesetzte haben wir mit Herausforderungen zu kämpfen. Auch Unternehmen stehen vor neuen Herausforderungen. Von diesen, aber auch von Chancen aus Sicht der Cyber-Security und des IT-Betriebs, erzählt dieser Blog.

Viele arbeiten gegenwärtig in der heimischen Wohnung und nutzen Remote-Zugriffe ins Firmennetz. Für uns Mitarbeitende, aber auch für die Firmen-IT stellt die grosse Menge dieser Zugriffe eine ungewöhnliche Situation dar. terreActive hat festgestellt, dass Kunden Mitarbeitenden im Homeoffice Zugriffe teilweise kurzfristig gewähren mussten. Manchmal bedeutete dies, dass sie die üblichen Prozeduren nicht mehr einhalten konnten. In normalen Zeiten flächendeckend geforderte Policy-Schulung fielen teils dem Zeitdruck zum Opfer; technische Sicherheitsmassnahmen konnten nicht überall eingehalten werden. Für viele Unternehmen stellt die neue Situation zumindest in Teilbereichen Neuland dar.

Der Hacker im Homeoffice

Diese Situation ist aber nicht für alle neu: Hacker weltweit arbeiteten schon immer aus dem Homeoffice. Sie müssen sich auf die aktuelle Lage nicht neu einstellen. Die Hacker oder Black Hats haben also einen strategischen Vorteil. Für die Cyber-Sicherheit ist es darum umso wichtiger, die Massnahmen zum Schutz der Infrastruktur trotz der teilweise etwas unorthodoxen Vorgehensweisen auf hohem Niveau zu halten.

Etablierter Remote-Prozess als Erfolgsfaktor

terreActive ist Dienstleister für Cyber-Sicherheit, speziell für die Überwachung der IT-Sicherheitsinfrastruktur. Glücklicherweise ist für uns der Remote-Zugriff Alltag. Als Anbieter von Security as a Service (SaaS) arbeiten wir mit vielen Kunden über Remote-Zugriffe zusammen. Auch unsere eigene Organisation ist seit jeher in der Lage, mit stark geschützten Zugängen remote zu arbeiten. Da die Prozesse zur Zusammenarbeit etabliert sind, ändert sich für uns — trotz der speziellen Situation — nichts.

Achtung: Neue Gefahren fordern gute Überwachung

Die IT-Sicherheitsüberwachung wird durch die neue Situation auf vielfältige Weise auf die Probe gestellt. Beispielsweise wächst das Logvolumen auf den Gateways stark an. Das kann Probleme bei den zur Verfügung stehenden Lizenzen bereiten, aber auch zusätzliche Anforderungen an den Speicherplatz stellen. Zudem besteht die Gefahr, dass Hackerangriffe im gestiegenen Logvolumen untergehen.

Andererseits sind Fehlalarme zu erwarten, da die geänderten Arbeitsweisen zu neuen Normalitäten führen, die von bestehenden Anomalie-Detection-Systemen noch nicht verstanden werden. Gegenwärtig fallen viele Login-Fehler auf, die ein starker Indikator für Brute-Force-Angriffe seien könnten. Analysen haben allerdings ergeben, dass Verbindungsunterbrüche für die nicht erfolgreichen Anmeldeversuche verantwortlich waren. In der aktuellen Situation ist es umso wichtiger, diese Alarme weiterhin ernst zu nehmen, um allfällige Trittbrettfahrer zu entdecken, die versuchen im Windschatten dieser Fehlalarme einzubrechen.

Überwachung = Security Monitoring

Nicht nur in Corona-Zeiten empfehlen wir die Überwachung, also das Security Monitoring,regelmässig zu tunen und den neuen Gegebenheiten anzupassen. terreActive versteht den Prozess des Überwachens als Kreislauf,der — gespiesen vom Input z. B. von Penetrationstestern, Threat Huntern oder Incident Managern — fortlaufend angepasst werden muss. Genauso, wie ein Virus mutiert, passt ein Hacker sich ständig an. Wenn Ihr Überwachungssystem dann nicht mithalten kann, sind Sie der nächsten (Angriffs-) Welle schutzlos ausgeliefert. Das muss nicht sein. Nutzen Sie die Chance und überprüfen Sie Ihre Abwehr und Schutzmechanismen.