Die wichtigsten Fakten zur "Shields Up"-Empfehlung der CISA für die Cybersicherheit in den USA

Vor dem Einmarsch Russlands in die Ukraine hatte die US-Sicherheitsbehörde CISA Empfehlungen für alle Unternehmen herausgegeben, da sie als Reaktion auf die Sanktionen westlicher Regierungen eine Zunahme der Cyberangriffe aus Russland erwartete.

Die Chief Information Security Officers (CISOs) und ihre Teams bilden die vorderste und letzte Verteidigungslinie beim Schutz ihrer Unternehmen und Benutzer vor diesen Gefahren. Alle Einzelheiten dazu finden Sie in der vollständigen „Shields Up“-Empfehlung mit den zugehörigen Links der CISA. Die CISA empfiehlt Ihnen die Validierung Ihrer Sicherheitslage und die Vorbereitung in drei Kernbereichen:

Die CISA rät den Unternehmen zur Durchführung der in den CISA-Richtlinien beschriebenen strengen Kontrollen. Diese Sicherheitskontrollen betreffen zwar nicht nur die Identität, das Identitäts- und Access-Management (IAM) spielt aber mit Empfehlungen wie diesen eine Schlüsselrolle:

• MFA: Achten Sie darauf, dass bei jedem Fernzugriff auf Ihr Netzwerk eine mehrstufige Authentifizierung angefordert wird, insbesondere für den Administratorzugriff. Dies gilt auch für alles, was in der Cloud gehostet wird (mehr dazu weiter unten).

• Zugriffsrichtlinien: Binden Sie zusätzliche Zugriffsrichtlinien ein, ausgehend von Zero Trust-Prinzipien.

• Blockieren älterer AuthN-Protokolle: Der bedingte Zugang sollte ältere Authentifizierungsprotokolle blockieren, da sie anfälliger für Angriffe sind.

• Plan zur Risikominderung bei Identitätsverletzungen: Legen Sie sich einen Plan oder eine Vorgehensweise zur Schadensbegrenzung zurecht und machen Sie sich klar, wann, wie und warum Sie Passwörter zurücksetzen und Sitzungs-Tokens widerrufen müssen.

Weitere empfohlene bewährte Sicherheitsverfahren für CISOs und Sicherheitsteams:

• Deaktivieren von Ports: Deaktivieren Sie Ports und Protokolle, die Sie nicht verwenden.

• Aktualisieren von Software: Halten Sie Ihr Software-Inventar auf dem neuesten Stand, nicht zuletzt durch Patching und Härten.

• Plan für Incident Response: Erstellen Sie einen Plan für die schnellere Reaktion bei Vorfällen (IR, Incident Response).

• Testen: Testen Sie Ihre Sicherungssoftware.

• Schulungen: Sorgen Sie für Schulungen, damit die Mitarbeiter Bedrohungen, wie beispielsweise Phishing-Attacken, erkennen. Dazu gehört auch die Einführung einer sanktionsfreien Berichterstattung über Opfer. Auf diese Weise übernehmen auch die Nutzer einen Teil der Lösung.

• Privilegierte Zugriffssteuerung: Befolgen Sie die empfohlenen Hinweise zur Sicherung des privilegierten Zugriffs.

• Verwaltung von Mobilgeräten und Einheitliches Endpoint-Management (MDM, UEM): Verwenden Sie zumindest eine vertrauenswürdige Lösung für die Verwaltung von Mobil- und Endgeräten, unabhängig davon, ob es sich um unternehmenseigene Geräte oder um BYOD-Geräte (Bring Your Own Device) der Mitarbeiter handelt.

• Zusätzliche Vorsichtsmaßnahmen für Microsoft 365: In der CISA-Übersicht für eine starke Kontrolle werden einige zusätzliche Vorsichtsmaßnahmen empfohlen, wenn Sie Microsoft 365 verwenden.

Achten mit Monitoring auf ungewöhnliche Aktivitäten, und aktivieren Sie die Protokollierung in Ihrer gesamten Umgebung. Die Aktionen erfahrener Angreifer fallen selten als Unregelmäßigkeit auf, daher es ist von entscheidender Bedeutung, mehrere Signale zu kombinieren. Es gibt mehrere Arten von Signalen, die Sie in Betracht ziehen könnten, darunter:

• API-Verkehr: Die modernen Architekturen basieren auf APIs. Es ist wichtig, dass Sie Ihre APIs verstehen und erkennen, wann eine Aktivität von der Norm abweicht. Mit API-Intelligence-Lösungen kann Ihr Unternehmen dies erreichen.

• Risikosignale während der Authentifizierung: Die Auswertung von Risikosignalen durch eine Benutzer- und Entitätsverhaltensanalyse (UEBA) und weitere Signale, die das Erscheinungsbild normaler Aktivitäten bei der Authentifizierung festlegen, können Cyberkriminelle davon abhalten, sich als Mitarbeiter auszugeben.

• Zusammenstellen verschiedener Signale: Es gibt viele verschiedene Arten von Bedrohungssignalen (von Anbietern oder auch benutzerspezifisch entwickelt), die Unternehmen einsetzen können. Tools für die Orchestrierung und die dynamische Autorisierung (auch als attributbasierte Zugriffskontrollen (ABAC) oder externalisiertes Autorisierungsmanagement (EAM) bezeichnet) können die gemeinsame Auswertung aller dieser Signale unterstützen und letztlich abnormale Aktivitäten einschränken.

• Umsetzung von Richtlinien und die Erkennung mit KI und maschinellem Lernen Viele der oben genannten Signale können auf KI oder auf Richtlinien basieren. Während richtlinienbasierte Signale die Abwehr bereits bekannter Bedrohungen unterstützen, können KI-basierte Signale Ihnen helfen, Bedrohungen zu erkennen und abzuschwächen, die Sie nicht kommen sehen. Eine Abdeckung beider Fronten ist eine ideale Lösung zur Eindämmung des Risikos.

Führen Sie zunächst die oben aufgeführten grundlegenden Maßnahmen zur Datenhygiene durch, und probieren Sie aus, ob Ihre Kontrollen (einschließlich eines Reaktionsplans) in einem Worst-Case-Szenario bestehen können. Wo würden Sie mit einer internen Übung beginnen, die eine Kompromittierung fingiert? Haben Sie die geeigneten Tools eingerichtet? Falls Ihnen dabei Lücken auffallen: Die CISA hat eine Liste mit kostenfreien Tools, Dienstleistungen von regierungsnahen Einrichtungen, privaten Organisationen und der Open-Source-Community veröffentlicht. Wenn Sie noch keine MFA eingeführt haben, können Sie hier sofort damit beginnen.

Im Laufe der vergangenen beiden Jahre haben Unternehmen als Reaktion auf die derzeitige globale Pandemie ihre Ressourcen von den Netzwerken an ihren Standorten in Cloud-Umgebungen verlagert. Die Angreifer nahmen daraufhin die Cloud-Ressourcen der Unternehmen ins Visier, um mit Phishing, Brute-Force-Login-Versuchen und „Pass-the-Cookie“-Angriffen die Schwachstellen in den Cloud-Sicherheitsverfahren und -konfigurationen der Unternehmen auszunutzen.

Die CISA legt großes Gewicht auf die Absicherung des Zugriffs von Benutzern auf die Ressourcen eines Unternehmens. Sei es nun in der Cloud oder lokal: Kompromittierte Anmeldedaten sind mittlerweile der am häufigsten betroffene Angriffsvektor. Ping Identity bietet Sicherheit für Benutzer und Unternehmen vor und nachdem der Zugriff für Mitarbeiter und Kunden gewährt wurde. Sie können es selbst probieren.