Start Empfohlen Die schlechten Sicherheitsgewohnheiten, die die Unternehmens-IT im Jahr 2016 hinter sich lassen...

Die schlechten Sicherheitsgewohnheiten, die die Unternehmens-IT im Jahr 2016 hinter sich lassen muss

56
0


winkender Hund zum Abschied2015 war Gastgeber für einige bedeutende Cyber-Verletzungen. Experian, TalkTalk und Ashley Madison wurden alle von böswilligen Angriffen heimgesucht, und sie waren nicht die einzigen. Im Jahr 2016 müssen sich Unternehmen entscheiden, es besser zu machen – aber die Frage ist, wie?

Welche schlechten Sicherheitsgewohnheiten müssen aufgegeben werden, um im nächsten Jahr ein sichereres Erlebnis zu gewährleisten? Welche Anstrengungen hätten und sollten Unternehmen in diesem Jahr unternehmen, um einige der aufgetretenen Datenschutzverletzungen zu verhindern?

Branchenexperten erläutern, was ihrer Meinung nach 2016 besser gemacht werden muss und wie man diese schlechten Gewohnheiten hinter sich lässt.

Jeremiah Grossman, Gründer von WhiteHat Security:

2016 ist das Jahr, in dem Unternehmen beschließen müssen, ihre Web-Sicherheit zu verbessern. Viel besser. Schauen wir uns nur eine der größten Sicherheitsverletzungen des letzten Jahres an – TalkTalk. TalkTalk, ein großes britisches Telekommunikationsunternehmen, war wohl eine der am häufigsten gemeldeten Sicherheitsverletzungen des Jahres. SQLi gibt einem Remote-Angreifer die Möglichkeit, Befehle gegen die Backend-Datenbank auszuführen, einschließlich des potentiellen Diebstahls aller darin enthaltenen Daten. Das hört sich schlecht an, weil es so ist.

Je mehr wir über Vorfälle wie TalkTalk erfahren, desto mehr sehen wir, dass diese Verstöße vermeidbar sind. Wir wissen, wie man angriffsresistenten Code schreibt, und wir kennen mehrere Methoden zur Behebung von Schwachstellen und zur Abwehr eingehender Angriffe. Um diese Verstöße zu verhindern, müssen Sie nur die Dinge tun, die wir bereits kennen. Die Dinge zu tun, von denen wir bereits wissen, dass sie funktionieren. Machen wir 2016 zu dem Jahr, in dem wir Websicherheit ernst nehmen.

Perry Correll, leitender Technologe, Xirrus Networks:

Xirrus hat kürzlich WLAN-Benutzer befragt und festgestellt, dass 76 Prozent sich außerhalb ihres Hauses mit WLAN verbinden. Öffentliches Wi-Fi bietet den Komfort der Zugänglichkeit, verschlüsselt jedoch normalerweise keine Daten, wodurch Passwörter offengelegt und sensible Daten anfällig für die Möglichkeit der Erfassung durch Personen mit böswilligen Absichten werden.

Es ist schon schlimm genug, sich Sorgen zu machen, dass Cyberkriminelle versuchen könnten, Ihre Kreditkartendaten und Bankkontonummern zu stehlen, während sie einen Latte schlürfen, aber noch beängstigender ist es zu wissen, dass die Unternehmensspionage auf dem Vormarsch ist. Hotel-WLAN-Netzwerke, die bekanntermaßen leicht zu knacken sind, bieten Hackern keine Herausforderung, wenn es darum geht, private oder geheime Informationen abzufangen, auf die Führungskräfte zugreifen, die geschäftlich in Hotels übernachten. Mehr denn je müssen große und kleine Unternehmen – von Kaffeehäusern bis hin zu Flughäfen und Hotels – ihre Netzwerke aufrüsten, um ihren Kunden mehr Sicherheit zu bieten.

David Juitt, Chief Security Architect, Ipswitch:

Angesichts der Tatsache, dass wir pro Jahr satte 70 Milliarden US-Dollar für Sicherheit ausgeben, ist es nicht verwunderlich, dass es bei den IT-Bedenken einen hohen Stellenwert einnimmt. Die harte Realität ist, dass wir nicht gut genug arbeiten, um mit den Gegnern Schritt zu halten. Trotz der hohen Sicherheitsinvestitionen können wir nicht mit Sicherheit sagen, ob wir sicherer sind als vor einem Jahr oder vor fünf Jahren.

Das Akzeptieren eines gewissen Risikos gehört zur Geschäftstätigkeit. Dieses Risiko im Jahr 2016 zu managen, indem Schwachstellen erkannt und ausgeglichen werden, ist der Unterschied zwischen der Nutzung von Daten als Wettbewerbsvorteil und dem Opfer eines katastrophalen Datenverlusts.

Wieland Alge, VP & GM EMEA, Barracuda:

Alle IT-Sicherheitsexperten sollten versuchen, SEP aufzugeben – das Konzept von Somebody Else’s Problem. Wie der Ford Prefect der Galaxis in The Hitchhiker’s Guide to the Galaxy beschrieb: „Eine SEP ist etwas, das wir nicht sehen oder nicht sehen können, oder unser Gehirn lässt uns nicht sehen, weil wir denken, dass es das Problem von jemand anderem ist“.

SEP-Verhalten existiert in der gesamten IT-Sicherheitsgemeinschaft, weil wir oft als Nerds, Technikfreaks und Geschäftshindernisse behandelt wurden.

Wenn das Business-IT-Team einige Webanwendungen in die Cloud verschiebt, ohne das IT-Sicherheitsteam zu informieren, dann wissen wir – obwohl es das Problem der Business-IT ist -, dass die Apps nicht mehr den Schutz einer richtigen Firewall/WAF haben und wir sollten es wirklich helfen, es zu lösen. Ebenso können wir nicht weiter sagen ‚Cool, es kommen keine Angriffe!‘ immer wenn das Internet ausfällt.

Ein guter Neujahrsvorsatz wäre, aktiv nach SEPs zu suchen und sie zu beheben.

Mark Edge, UK Country Manager, Brainloop:

Die Datenschutz-Grundverordnung (DSGVO) kommt 2017, daher sollten CISOs dieses Jahr damit verbringen, schlechte Datenschutzpraktiken zu beheben.

Die Verordnung wird die sich ändernde Art und Weise der Geschäftstätigkeit von Unternehmen in der modernen Welt berücksichtigen, wobei der Schwerpunkt auf dem Schutz von Daten liegt, die in und aus Europa gespeichert und übertragen werden. Es mag überraschend sein zu hören, dass böswilliges oder wahrscheinlicher unvorsichtiges Verhalten der Mitarbeiter die größte Bedrohung für die Datensicherheit darstellt. E-Mails, insbesondere private E-Mails, sind einfach nicht sicher genug, um hochsensible Informationen zu übermitteln, während Filesharing-Lösungen für Verbraucher nur wenig integrierte Sicherheit und keinen Audit-Trail aufweisen. Auch USB-Laufwerke, Instant Messaging und Ausdrucke vertraulicher Dokumente stellen ein klares Datenschutzproblem dar.

CISOs müssen schlechte Gewohnheiten durch eine positive Veränderung brechen. Anstatt den Mitarbeitern umständliche Einschränkungen aufzuerlegen, sollten sie intuitive und hochsichere Tools für die Zusammenarbeit implementieren, die positive Gewohnheiten und einen einfachen Übergang vor der DSGVO bilden.

Thomas Fischer, Principal Threat Researcher, Digital Guardian:

Hunderttausende von Kundendaten wurden 2015 als Folge von Datenschutzverletzungen in Unternehmen durchgesickert. Diese Daten sind für Hacker am wertvollsten, bevor das Leck entdeckt und veröffentlicht wird, da es dann viel schwieriger wird, unauffällig zu verkaufen oder zu handeln. Aber selbst nach der Entdeckung der Sicherheitsverletzung sind diese Informationen immer noch verfügbar, zugänglich und werden oft in einer zweiten Angriffswelle verwendet, die viele Monate später auf die Opfer selbst abzielt.

Hacker bombardieren häufig gehackte E-Mail-Adressen mit Phishing-Angriffen, um Zugang zu mehr Details ihrer Opfer zu erhalten. Indem er sich als Banken, Handelsunternehmen und Regierungsbehörden ausgibt, versucht der Angreifer, Benutzer dazu zu bringen, ihnen Geld oder persönliche Daten zu senden. Diese Nachahmungen werden immer überzeugender, indem Hacker den Benutzern erklären, dass sie anfällig für einen Angriff sind und ihre Daten sofort ändern müssen, indem sie sie in irgendeiner Weise aushändigen.

Unternehmen sollten sich nicht zweimal täuschen lassen, 2016 muss das Jahr sein, in dem Unternehmen Phishing-Angriffe bekämpfen. Informieren Sie Ihre Mitarbeiter über Social Engineering, einschließlich der Identifizierung verdächtiger Nachrichten und Phishing-Sites, skizzieren Sie eine klare Richtlinie zu E-Mails, die fehl am Platz erscheinen, und stellen Sie durch regelmäßige Schulungen zum Sicherheitsbewusstsein sicher, dass alle wachsam bleiben.

Chris Hurst, Director UK Sales, RedSocks:

Es besteht kein Zweifel, dass Cyber-Sicherheitsangriffe in Bezug auf Häufigkeit und Schwere weitergehen werden. Zu viele Unternehmen verlassen sich auf herkömmlichen Sicherheitsschutz wie Virenschutz, Endpunktschutz und Firewalls, was eindeutig nicht ausreicht.

Da Cyber-Sicherheitsbedrohungen immer ausgeklügelter werden, sind Maßnahmen zur Erkennung von Eindringlingen, von denen wir wissen, dass sie unweigerlich in das Netzwerk eines Unternehmens eindringen werden, genauso wichtig wie Maßnahmen, die sie verhindern sollen. 2016 sollte das Jahr sein, in dem Unternehmen beschließen, den Datenverkehr beim Verlassen des Netzwerks zu überwachen.

Auf diese Weise können verdächtiges Verhalten und verdächtige Ziele identifiziert und Vorfälle so zeitnah wie möglich bewertet und behoben werden.

Veröffentlicht unter Lizenz von ITProPortal.com, einer Veröffentlichung von Net Communities Ltd. Alle Rechte vorbehalten.

Bildnachweis: Javier Brosch/Shutterstock



Vorheriger ArtikelAdobe Flash erhält den letzten Sicherheitspatch von 2015
Nächster ArtikelWindows 8 wird das neue Vista sein?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein