Die 7 Golden Rules sind die Grundsteine für eine sichere IT. Sie kommen in allen IT-Security Bereichen zur Anwendung und zeigen auf, was beachtet werden soll. Vorab: Nachfolgende Auflistung ist nicht abschliessend, beinhaltet aber die wichtigsten Punkte. Keine dieser Regeln ist wirklich neu, niemandem sind sie unbekannt. Und doch macht es Sinn, mit strukturiertem Vorgehen und klaren Verantwortlichkeiten diese Regeln so umfassend wie möglich zu befolgen. Dies kann einen Cybervorfall zwar nicht zu 100% ausschliessen, aber einen Grossteil der Risiken minimieren.
1.. Starke Authentisierung
Wer eine sichere Authentisierung haben möchte, sollte eine strong Authentication, also Two-Factor-Authentictation (2FA), verwenden. Gewisse Hersteller benutzen das Modewort Multifactor Authentication (MFA). Aber schlussendlich kommen bei den MFA Installationen, wie bei 2FA, auch zwei Authentisierungsmethoden zum Einsatz. Daher sind die Begriffe meiner Meinung nach gleich zu setzen. Bei einer 2FA, oder eben bei MFA Authentisierungsmetoden kommen mindestens zwei von diesen drei Methoden zum Einsatz:
-
- Sein (Bsp.: Fingerabdruck)
- Haben (Bsp.: Schlüssel, One-Time Password (OTP))
- Wissen (Bsp.: Passwort)
Bei MFA wird das gern mit context based rules für die Authentication ergänzt. Man macht die mögliche Authentisierung zusätzlich von Herkunft der source IP address, verwendetem User-agent des browsers und oder anderem anhängig. Das sind dann eher compliance checks.
Hier eine Auflistung von 2FA Methoden der Sicherheit nach:
(oben = sicherste Methode)
-
- Smart Card
- Hardware Token
- Authenticator App
- SMS (diese Methode sollte heute nicht mehr genutzt werden)
Tipp: Damit die Mitarbeiter sich nicht n Mal authentisieren müssen, um beispielsweise Ihre Anwendung nutzen zu können, sollte die gewählte starke Authentisierung mit SSO Technologien wie SAML genutzt werden. Ist 2FA nicht möglich, sollte ein entsprechend langes und komplexes Passwort gesetzt werden.
Interessante Trilogie über Authentication:
www.tec-bite.ch/was-ist-die-beste-authentication-part-1/
www.tec-bite.ch/was-ist-die-beste-authentication-part2/
www.tec-bite.ch/was-ist-die-beste-authentication-part-3-biometrische-verfahren/
2. Patchen
Wir wissen, dass ein Grossteil der erfolgreichen Angriffe stattfinden, indem Löcher in Betriebssystemen, Applikationen und Diensten ausgenutzt werden. Meist sind zwar schon seit langem entsprechende Patches vorhanden, werden aber zu oft zu spät installiert. Software Updates, mit der entsprechenden Vorsicht, Backups, Netz und doppeltem Boden sind wichtig und unerlässlich. Zum schnellen Reagieren kann man die Zeit durch IPS – Intrusion Prevention Systeme – auf der FW oder auch am Client überbrücken.
Stichwort: Vulnerability Management: Management im Sinne von Schwachstellen erkennen, auditieren, priorisieren, schliessen und rapportieren.
3. Minimales System
Beim Fechten spricht man gern von der Blösse, die man dem Gegner offeriert. Wir sollten unserem Gegner keine unnötigen Blössen geben, also alles entfernen, was nicht gebraucht wird: Dienste, Komponenten und Applikationen, die nicht benötigt werden, entfernen oder nicht zulassen. So ist man auch gegen Softwarefehler des Betriebssystems geschützt, wenn die entsprechende Komponente nicht vorhanden ist. Zu einem minimalen System gehört auch Application Whitelisting, sodass nicht gebrauchte Anwendungen nicht ausgeführt werden können.
Stichwort: Application Whitelisting (www.tec-bite.ch/application-whitelisting-vs-21-jahrhundert-was-sie-wissen-muessen/)
4. Geringste Rechte
Die Umsetzung, dass die Benutzer und Administratoren nur die notwendigen Rechte bekommen, ist in der Praxis auch heute noch eine Herausforderung. Wenn der Benutzer keine Einschränkungen der Berechtigungen hat, hat die Malware auch freies Spiel. Snowden ist in Bezug zu geringste Rechte ein ganz schlechtes Beispiel. Er hatte viel zu viele Rechte und hätte, wenn er gewollt hätte, seinem Arbeitgeber extrem grossen Schaden anrichten können. In dieser goldenen Rule liegt ein enormes Potenzial. Braucht der Helpdesk lokale Admin Rechte um auf einem Client Support zu leisten? Nein.
Stichwort: Privilige Management Lösung (www.tec-bite.ch/least-privileges-ein-traum-nicht-nur-fuer-traeumer/)
5. Verteilen der Zuständigkeiten
Das Verteilen der Zuständigkeiten ist auch eher eine allgemeine Strategie, die im Projektmanagement, in der Finanzwelt und gerade bei Netzwerkern bekannt ist. So sollten auch personelle Verantwortlichkeiten definiert und sinnvoll verteilt werden. Aber auch gehören z.B. Rechner mit unterschiedlichen Sicherheitsbedürfnissen in verschiedene Netze, sodass der Zugriff geregelt ist. Viele Angriffe sind erst durch die Kombination verschiedener Lücken möglich. Daher die Segmentierung.
6. Verteidigung in der Tiefe
Mehrstufiger Schutz ist heute state of the art. Dabei gilt grundsätzlich, je höher das Sicherheitsbedürfnis, desto mehr unterschiedliche Sicherheitsmechanismen sollten implementiert werden. Da sollte die Client AV Lösung nicht die erste, sondern die letzte Line of Defense sein. Im Unternehmen können schon unterschiedliche AV Hersteller eingesetzt werden, aber darauf allein sollte man sich nicht verlassen. Denn es ist längst bekannt, dass die grossen AV Hersteller die Patterns untereinander teilen. Daher ist es meist wirkungsvoller, wenn unterschiedliche Arten von Schutzmechanismen eingesetzt werden.
Tipp: Hardware Isolation auf dem Endpoint (www.tec-bite.ch/die-maer-von-der-sandbox/)
7. Das schwächste Glied schützen
Das schwächste Glied in der Security-Kette ist oft nicht WLAN, sind nicht Smartphones und nicht die fehlende starke Authentisierung, sondern es ist oft der Mensch. Der Angreifer macht sich das Leben auch möglichst leicht und gerade in den letzten Jahren steht nicht der besonders schöne Angriff sondern Aufwand und Nutzen im Fokus. Vergessen Sie nicht die regelmässige Schulung von Usern wie auch der Administratoren: Nicht nur die korrekte Anwendung der Applikationen soll geschult werden, sondern auch das Thema IT-Sicherheit im Allgemeinen, der Umgang mit Passwörtern etc. Und ganz speziell sollte regelmässig Awareness geschaffen werden gegenüber der gesamten Problematik von Social Engineering.
Stichwort: Layer 8 (www.tec-bite.ch/der-layer-8-als-schluessel-element-der-it-security/)
Autoren
Point & mephisto
mephisto
mephisto ist Security-Spezialist und langjähriger Mitarbeiter bei AVANTEC. Am liebsten beschäftigt er sich mit Authentication, Encryption und echtem Schutz gegen Malware. mephisto streitet sich gern, um die Lösungen richtig zu verstehen, denn: „Ich bin ein Teil von jener Kraft, die stets das Böse will und stets das Gute schafft.“
Point
Point ist Security Engineer bei AVANTEC und hat sich spezialisiert im Access-, Identitäts- und im Clientbereich. Die MS-Welt ist ihm auch nicht fremd. Er setzt sich für das Gute ein, weil die gute Seite am Schluss immer gewinnt :-)