Defense in Depth

Defense in Depth oder was Zwiebeln mit Security zu tun haben

Defense in Depth oder was Zwiebeln mit Security zu tun haben
Genau wie die Zwiebel mehrere Schichten hat, sollte Ihr Security-Modell mehrere Schutzschichten aufweisen. Das Konzept “Defense in Depth” wurde von der NSA als ganzheitlicher Ansatz zur Informationssicherheit entwickelt.

 

Dieser Ansatz kommt ursprünglich aus dem Militär und hat zum Ziel, das Eindringen eines Angreifers zu verzögern um Zeit zu gewinnen. Defense in Depth minimiert die negativen Auswirkungen eines Angriffs und verschafft Ihrem Cyber Security Team Zeit Gegenmassnahmen zu implementieren sowie Wiederholungen zu verhindern.

Security Layers: Die Schichten einer modernen Defense-in-Depth-Architektur.

SANS definiert fünf Schutzschichten für Defense oder Security in Depth. terreActive geht einen Schritt weiter und nimmt zusätzlich noch den Human Factor als Schicht auf. (https://www.sans.org/about/)

Network & Perimeter

Netzwerkübergänge sind seit der Geburt des Internets erster Aufprallpunkt für Hacker und stellen eine erhebliche Herausforderung an die Informationssicherheit. Der Perimeter ist die erste Verteidigungslinie zum Schutz des eigenen Netzwerks gegen externe Angriffe von DDoS, Malware und Hackern.

Neben den Perimeter-Firewalls gibt es weitere tiefgreifende Level an Schutzmechanismen wie Virenscanner, Web- und Spam-Filter. Eine gut implementierte Perimeter-Schicht kann einen Grossteil der opportunistischen und nicht zielgerichteten Attacken abwehren sowie die Verfügbarkeit des Firmennetzwerks erhöhen.

Security Monitoring

Selbst die besten präventiven Kontrollen am Perimeter können nicht alle Vorfälle verhindern. In der Schicht Security Monitoringgeht es vor allem darum, sicherheitsrelevante Ereignisse aufzuzeichnen, zu korrelieren und auszuwerten. Ziel ist es, bösartige Vorfälle zu erkennen und zielgerichtet darauf reagieren zu können. Hier gibt es diverse Use Cases wie zum Beispiel Credential Theft, Data Extraction oder Phishing um nur einige zu nennen.

Mehr als in allen anderen Schichten benötigt es hier das Zusammenspiel von den 3 P’s - People, Process & Products um Anomalien zu erkennen und bei einem Vorfall korrekt einzugreifen. Einige Produkte setzen erfolgreich auf künstliche Intelligenz (AI) um komplementär Unterstützung zu leisten. Die Cyber Security Budgets bewegen sich weg vom Perimeter dafür hin zu Security Monitoring. Dies, da erkannt wurde, dass es unmöglich ist alle Angriffe abzuwehren und es nur eine Frage der Zeit ist, bis sich ein Eindringling im Firmennetzwerk befindet. Die Bewältigung dieser Sicherheitsvorfälle ist eines unserer Kernthemen.

PC & Server

Das Einnisten auf einem Endpunkt ist das erste Ziel der meisten Angriffe. Von hier aus kann sich der Hacker orientieren, weitere Hintertürchen öffnen, Zugangsdaten stehlen und den richtigen Zeitpunkt abwarten um die Kronjuwelen des Unternehmens zu kompromittieren. Schlecht oder gar nicht installierte Software-Aktualisierungen sind Einfallstore für Angreifer, Malware und APT's.Ein weiteres Sicherheitsrisiko stellen mobile Endgeräte dar, welche das geschützte Firmennetzwerk verlassen und über fremde, ungeschützte Netzwerke  kommunizieren.

Patch- und Vulnerability-Management kann dem wirkungsvoll entgegentreten. Da nicht immer sofort gepatched werden kann und nie alle Sicherheitslücken bekannt sind, bietet Endpoint-Protection einen zusätzlichen Schutz sowie hilfreiche Daten für das Security Monitoring bei einem Angriff. Endpoint-Encryption hilft dabei, dass Daten auf mobilen Geräten und Datenträgern von dritten geschützt bleiben bei einem Verlust oder Diebstahl.

Application

Geschäftsapplikationen sind für die meisten Unternehmen ein zentraler Bestandteil des Kern-Business. Sie müssen stets verfügbar sein, da es sonst zu grossen Einbussen kommen kann. Diese Applikationen haben in den meisten Fällen auch Zugriff auf grosse Datenbestände von Kundeninformationen, die um jeden Preis geschützt werden müssen. Datenklau, Datenveränderung sowie Denial-of-Service-Attacken sind hier die grössten Angriffsvektoren.

Insbesondere dort, wo Applikationen inhouse gemacht werden, gibt es einige Best Practices um das Risiko zu minimieren.  Eine gute Zusammenstellung von Methoden, Richtlinien und Technologie bietet das "Open Web Application Security Project” (OWASP). Auch regelmässige Penetration Testshelfen Sicherheitslücken frühzeitig zu finden und zu beheben. Da aber nie sichergestellt werden kann, dass eine Applikation hundertprozentig sicher ist, kann vorgelagert eine Application Firewall Schutz bieten sowie die Autorisierung kontrollieren.

Data

Wie in der vorherigen Schicht beschrieben, können über Sicherheitslöcher in Applikationen Nicht-Autorisierte Zugriffe auf Datenbestände erlangen. Wenn es der Angreifer soweit geschafft hat und bis jetzt nicht blockiert oder erkannt wurde, ist es meistens schon zu spät. Der Angreifer versucht nun die Daten zu extrahieren und muss über die einzelnen Schichten wieder zurück.

Hier kann eine Security-Monitoring- oder DLP-Lösung (Data Loss Prevention) die Datenextraktion erkennen und den Zugriff im Perimeter blockieren. Zusätzlichen Schutz bietet eine Datenverschlüsselung, welche die Daten für den Angreifer unlesbar macht.

Human Factor

Wie ganz am Anfang beschrieben, definiert terreActive noch eine zusätzliche Schicht. Alle vorherigen Schichten können von einem Angreifer übersprungen werden, in dem er das schwächste Glied, den Mitarbeiter, direkt angreift. Ein unwissender Benutzer kann einem als Helpdesk-Mitarbeiter getarntem Hacker sein Passwort herausgeben oder er fällt auf ein clever gemachtes Phishing E-Mail herein und kompromittiert dadurch seinen Endpoint.

Solche Attacken sind meistens sehr gezielt, starten mit einem normalen Benutzer-Account und nisten sich langfristig an einem unscheinbaren Ort ein, von wo aus sich der Hacker weiter orientiert. Wir können nicht genug darauf hinweisen, dass Schulung zur Awareness der Benutzer sowie simulierte Angriffe wichtige Bestandteile einer erfolgreichen Cyber Security Strategie sind.

Hält Ihre Schutzschicht? Gap-Analyse der Security Layers.

Wie bei einer Zwiebel sollten auch Ihre Schutzschichten dem Angreifer Tränen in die Augen treiben.

terreActive hilft Ihnen mittels Gap-Analyse herauszufinden, wo zusätzlicher Schutz Ihrem Unternehmen einen Mehrwert bietet. Das Angebot umfasst die Beratung sowie die Unterstützung bei der Umsetzung und dem Betrieb einer ganzheitlichen, kosteneffizienten Sicherheitsstrategie in Ihrem Unternehmen.