Während wir uns alle an die Arbeit aus der Ferne gewöhnen, stehen Sicherheitsteams auf der ganzen Welt vor einer sehr ernsten Herausforderung. Fast über Nacht veränderten sich unsere Geschäfte. Bewährte Verfahren werden neu geschrieben, Best Practices werden rasch überdacht und Richtlinien werden getestet. Eine Unternehmenstransformation ist immer ein Sicherheitsrisiko. Neue Technologien und Arbeitspraktiken erfordern neue Sicherheitsmaßnahmen; Aber normalerweise wird dieses Risiko sorgfältig und im Laufe der Zeit gemanagt. Covid-19 hat uns diesen Luxus nicht geboten. Für einige Unternehmen werden Ausmaß und Geschwindigkeit dieses Wandels beispiellos sein. Es ist auch sehr öffentlich; Die Angreifer sind sich der Situation bewusst und nutzen sie bereits aus. Hier sind einige der schwerwiegendsten Bedrohungen, denen Sicherheitsteams in den kommenden Wochen ausgesetzt sein werden.
Lassen Sie in Ihrem Posteingang Vorsicht und gesunden Menschenverstand walten
Veränderungen bringen Neuheiten mit sich, und Neuheiten bieten Chancen für Betrüger. In den letzten 48 Stunden haben interne Sicherheitsteams beeilt, wichtige Tools für die Fernarbeit zu implementieren. Links zum Herunterladen neuer Software, Änderungen an der Art und Weise, wie wir Dienste authentifizieren. Wenn Sie nicht wissen, was Sie erwartet, ist eine Social-Engineering-Schulung zur Mitarbeitererkundung überflüssig. Mitarbeiter und IT-Abteilungen sollten sich vor unerwarteten Anrufen und Anfragen in Acht nehmen: „Hallo, ich rufe aus der IT-Abteilung an. Können Sie mir Ihren 2FA-Code vorlesen, um zu bestätigen, dass Sie auf das neue Duo-System übertragen wurden?“ „Hallo, ich habe mein O365-Passwort vergessen. Können Sie einen Reset-Code an mein persönliches Gmail-Konto senden?“ Solche Anfragen können legitim sein und müssen außerhalb der normalen Kanäle gelöst werden. Es liegt an den Menschen, vorsichtig zu sein, ihren gesunden Menschenverstand zu nutzen und gegebenenfalls zu validieren. Phisher werden auch reichlich Gelegenheit haben, sich als Dritte und Kunden auszugeben: „Hallo John, ich muss unser Treffen nächste Woche verschieben, um abwesend zu sein. Bitte sehen Sie sich den Link unten an, um eine Zoom-Anrufeinladung zu erhalten.“ Diese Risiken werden durch die Gleichzeitigkeit noch verschärft Lockerung der Sicherheitskontrollen, um die Verwendung nicht standardmäßiger Webkonferenzsoftware und den Dateiaustausch per E-Mail zu erleichtern. Die Angreifer werden sowohl die Möglichkeit als auch die Mittel haben.
Erweiterung der Bedrohungslandschaft
Die Schwächung der Sicherheitskontrollen geht weit über die Lockerung der Firewall-Regeln und Messaging-Richtlinien hinaus. Viele bestehende Sicherheitsebenen gelten nicht für Remote-Mitarbeiter. Mitarbeiter, die plötzlich ihren Arbeitscomputer mitnehmen, verlieren den Schutz, wenn sie ihr Büronetzwerk gegen WLAN zu Hause austauschen. Ohne einen Internet-Proxy, NAC, IDS und NGFW sind Client-Geräte nun potenziell unsicheren Netzwerken zwischen potenziell gefährdeten Geräten ausgesetzt. Die Terminalsicherheit muss die volle Schutzlast tragen. Auch die interne Netzwerksicherheit kann gefährdet sein; Mitarbeiter müssen möglicherweise auf Ressourcen zugreifen, die bisher nur über ein kabelgebundenes Netzwerk an einem Standort zugänglich waren. Um den Zugriff über VPN zu ermöglichen, muss die interne Segmentierung möglicherweise abgeflacht werden. Dies öffnet Tür und Tor für die Ausbreitung und laterale Ausbreitung von Malware. Möglicherweise müssen Sie den Client-Zertifikatschutz deaktivieren, der Webdienste schützt, damit BYOD für Mitarbeiter funktioniert, die keinen Firmen-Laptop haben. Diese Änderungen müssen sorgfältig protokolliert und die Abhängigkeiten verstanden werden. Das zusätzliche Gewicht muss an anderer Stelle getragen werden: Vielleicht können die AV-Host-Richtlinien angepasst werden, um den fehlenden Netzwerkschutz auszugleichen, vielleicht können die Geräte der Mitarbeiter neu konfiguriert werden, um einen sicheren externen DNS-Anbieter am Standort des DNS-Servers am Standort zu verwenden.
Eine neue Angriffswelle.
Über die Schwächung bestehender Kontrollen hinaus wird die Überprüfung neuer Infrastruktur neue Risiken mit sich bringen. Im Januar erlebten wir eine Welle von Angriffen auf die Webinfrastruktur von Citrix. Unternehmen werden schnell VPN-Gateways bereitstellen, auf Sharepoint umsteigen und ihren Internet-Perimeter erweitern. Diese schnell vergrößerte Angriffsfläche muss überwacht und geschützt werden. Sicherheitsteams sollten vor Brute-Force- und serverseitigen Angriffen in höchster Alarmbereitschaft sein. Auch der DDoS-Schutz wird wichtiger denn je sein; Für viele Unternehmen ist dies das erste Mal, dass ein DDoS-Angriff ihr Geschäft lahmlegt, indem er entfernte Mitarbeiter daran hindert, auf Dienste im Internet zuzugreifen. Es ist ab sofort mit einem starken Anstieg beider Angriffsformen zu rechnen.
Treffen Sie keine voreiligen Entscheidungen
„Legen Sie es in ein S3-Fach“, „Lassen Sie uns stattdessen join.me verwenden“, „Ich sende es Ihnen über WeTransfer“. IT-Mitarbeiter und Einzelpersonen werden mit Blockaden konfrontiert sein. Es wird keine verbindliche Lösung für Ihre Bedürfnisse geben, und diese Bedürfnisse können äußerst dringend sein. In einer Zeit, in der Unternehmen äußerst besorgt über ihre Finanzlage und ihre Geschäftsfähigkeit sind, wird der Druck groß sein, vorsichtig zu sein und den Status quo zu schützen. Dieser Druck kann sogar von oben kommen. Die Sicherheitsführung muss alles tun, um vorschnelle Entscheidungen abzuwehren und kreative Lösungen anzubieten. Mitarbeiter mit guten Absichten werden kreativ sein und die Verantwortung dafür, „das Richtige zu tun“, wird an die Teamleiter delegiert. Für die Sicherheit ist es möglicherweise unmöglich, dies zentral zu kontrollieren, aber eine sorgfältige Überwachung ist erforderlich, um riskantes Verhalten und Verstöße zu erkennen. Leichter gesagt als getan; SOC wird gebeten, Vorfälle in einem Ozean des Wandels zu überwachen. Bestehende Anwendungsfälle und Regeln gelten nicht mehr und Unternehmen benötigen einen proaktiveren und dynamischeren Ansatz für Erkennung und Reaktion.
Ihr Zuhause ist eine Zero-Trust-Umgebung für Unternehmen
Leider wird es in unseren Unternehmen einige geben, die uns rausschmeißen wollen, während wir am Boden liegen. Plötzliche Remote-Arbeit ist ein Segen für Schurkenexperten. Daten können jetzt ganz einfach über USB von einem Unternehmensgerät in der Privatsphäre Ihres Zuhauses extrahiert werden. Die Sicherheitsüberwachung kann vollständig lahmgelegt oder deaktiviert werden. Dieses Risiko ist schwieriger zu bewältigen. Es kann zwar nicht beseitigt werden, kann aber mit dem Bedarf an Produktivität und Datenzugriff verglichen werden. Wir müssen auch gegenüber unseren Mitmenschen vorsichtig sein. Wir alle hoffen, dass wir den Menschen, mit denen wir leben, vertrauen können. Doch aus geschäftlicher Sicht sind Mitarbeiterwohnungen Zero-Trust-Umgebungen. Vertrauliche Gespräche finden nun in Abhörreichweite statt. Das geistige Eigentum wird auf Bildschirmen und Monitoren in Wohnzimmern im ganzen Land sichtbar sein. Dieses Risiko ist für junge Demographen am größten, die wahrscheinlich Mitbewohner sind, bleibt aber für alle Arbeitnehmer bestehen; Lieferboten, Hausbesucher – jeder könnte potenziell einen Business-Laptop vom Küchentisch stehlen. Die Aufklärung der Mitarbeiter, insbesondere der Risikogruppen, wird von wesentlicher Bedeutung sein.
Anpassung an die neue Normalität
KI-Systeme, die sich ständig weiterentwickeln und an Veränderungen anpassen können, bieten die besten Chancen, Fehlkonfigurationen, Angriffe und riskantes Verhalten zu erkennen – wenn Sie nicht wissen, wonach Sie suchen sollen, benötigen Sie eine Technologie, die Muster erkennen und Risiken für Sie quantifizieren kann. Autonome Reaktionstechnologie kann auch chirurgisch eingesetzt werden, um böswillige Aktivitäten zu stoppen, wenn Computer nicht da sein können, um sie zu stoppen. Dadurch werden Geräte und Systeme geschützt, während wesentliche Vorgänge unbeeinträchtigt bleiben. Alle oben genannten Änderungen und Risiken stellen einen Überwachungsalbtraum für SOCs dar. Wir treten in eine Zeit der digitalen Unbekannten ein, in der Veränderung der neue Standard sein wird. Datenflüsse und Topologie werden sich ändern. Neue Technologien und neue Dienste werden eingesetzt. Die Aufnahmeformate werden unterschiedlich sein. SIEM-Anwendungsfälle, deren Entwicklung 12 Monate gedauert hat, müssen über Nacht auslaufen. In den nächsten Wochen werden sich die Geschäftspraktiken rasant weiterentwickeln. Statische Abwehrmaßnahmen und Regeln können nicht mithalten, egal wie schnell und schnell wir sie umschreiben. Wie können Sie einen böswilligen Verbindungsversuch von O365 in Ihren Prüfprotokollen erkennen, nachdem die Verbindungen von Tausenden verschiedenen Standorten auf der ganzen Welt stammen? Unternehmen müssen die Vorteile einer Technologie nutzen, die ihnen in dieser kritischen Zeit den Betrieb in unsicheren Zeiten aufrechterhält, ohne die Produktivität zu beeinträchtigen. Noch wichtiger ist die Eindämmung dieser Bedrohungen: Es ist nicht möglich, einen infizierten Computer vollständig unter Quarantäne zu stellen, wenn er tagelang nicht wiederhergestellt oder ersetzt werden kann. Andrew Tsonchev ist CTO bei Darktrace