Start Empfohlen Warum Tests wichtig sind, um die Sicherheit von Unternehmen zu gewährleisten

Warum Tests wichtig sind, um die Sicherheit von Unternehmen zu gewährleisten [Q&A]

6
0


Penetrationstests

Jeder weiß, dass die Systeme von Unternehmen ein Ziel für eine Reihe von Angreifern sind. Aber es ist leicht, selbstgefällig in Bezug auf Sicherheit zu werden, und das Auffinden von Schwachstellen kann schwierig sein.

Das Testen Ihrer Sicherheit ist daher von entscheidender Bedeutung und kann Dinge aufdecken, die Sie sonst möglicherweise nicht kennen.

Wir haben mit Richard Hughes gesprochen, dem Leiter der technischen Cybersicherheit bei einem Sicherheits- und Managed-Services-Unternehmen A&O IT-Gruppe um herauszufinden, was Unternehmen tun können, um sich selbst zu schützen, und wie „red team“-Tests einige überraschende Schwachstellen aufdecken können.

BN: Warum können Sicherheitstests, wie zum Beispiel Phishing-Übungen, umstritten sein?

RH: Sie beziehen sich auf die Network Rail-Vorfall, rechts? Das ist interessant, denn was sie taten, ist ein absolut reales Szenario. Diese Einschätzung muss möglichst naturgetreu erfolgen, da es sich um eine realistische Angriffssimulation handeln soll. Das ist also eine Technik, die wir normalerweise anwenden würden. Alles, von dem Sie glauben, dass jemand darauf klickt, werden Sie versuchen, da genau das ein echter Angreifer getan hätte.

BN: Viele Angriffe, wie die aktuelle Welle von Kurierbetrug, sind ein bisschen Scattergun, oder?

RH: Der Kurierdienst ist im Moment ziemlich groß und versucht, Sie dazu zu bringen, Anwendungen auf Ihrem Mobiltelefon zu installieren. Wenn Sie dies tun, sind alle Wetten ausgeschlossen. COVID ist im Moment auch groß, die Angreifer sind intelligent, sie wissen, was sie in diese E-Mails schreiben müssen, um die besten Antworten zu erhalten.

Ständige Schulung und Auffrischung des Wissens der Mitarbeiter sind erforderlich, damit sie darüber nachdenken. Wenn ein Angriff besonders gezielt ist, sind die Chancen, ihn zu vermeiden, viel geringer, aber es gibt eine Reihe von Dingen, die Sie tun können. Wir führen einen Schulungskurs durch, in dem wir die Leute nur durch einige Beispiele von Dingen führen, die wir in echten Beispielen gefunden haben, und wir zeigen auf, warum Sie tatsächlich bemerken sollten, dass es sich um einen Phishing-Betrug handelt, oder wir zeigen auf, welche Art von E-Mail versucht wird ein gewisses Dringlichkeitsgefühl vermitteln, um die Leute zu überraschen, wie zum Beispiel: „Dir werden X Betrag in Rechnung gestellt, es sei denn, du antwortest darauf oder klickst sofort darauf.“

Aber wenn ich Sie gezielt ansprechen möchte, hole ich mir Ihre Informationen über LinkedIn-Profile und Instagram-Fotos und alles andere, was Sie online veröffentlichen. Ich werde versuchen zu verstehen, was Ihre Position bei der Arbeit ist, ich werde verstehen, mit wem Sie es möglicherweise zu tun haben. Es könnte sein, dass dies Wochen oder möglicherweise Monate dauern würde, aber mit ziemlicher Sicherheit werden wir Sie zu etwas bringen.

BN: Im Moment entstehen viele Sicherheitsprobleme durch Fehlkonfigurationen, wie können diese durch Tests gezielt werden?

RH: Sie können einen separaten Bewertungstyp durchführen, bei dem Sie sich die Konfiguration von Diensten oder Cloud-Umgebungen ansehen, um sie als Benchmarks festzulegen. Dies kann auf verschiedenen Ebenen erfolgen, wobei Ebene eins für die meisten Unternehmen normalerweise akzeptabel ist. Wenn Sie eine militärische Einrichtung oder etwas besonders hohes Sicherheitsniveau wären, würden Sie natürlich auf viel höhere Ebenen gehen.

Die Überprüfung der Konfiguration ist in Firewalls sehr wichtig, da diese Regeln ziemlich häufig geändert werden. Es ist wichtig, immer ein Register darüber zu führen, welche Regeln Sie haben und warum Sie sie haben. Wenn Sie der Meinung sind, dass es sich um eine vorübergehende Regel handelt, sollte diese Regel ablaufen und es sollte ein regelmäßiger Prozess zum tatsächlichen Durchlaufen dieser Regel geben. Auch wenn Regeln auslaufen, sollten Sie sie zumindest einmal jährlich neu bewerten.

BN: Wie sieht es mit Software aus? Ihr Betriebssystem wird möglicherweise regelmäßig aktualisiert, Ihr Kontosystem jedoch möglicherweise nicht.

RH: Eine Sache, die Sie tun können, ist Cyber ​​Essentials-Zertifizierung, dies wird vom britischen National Cyber ​​Security Centre unterstützt und wird von vielen Unternehmen verlangt, wenn sie mit Ihnen Geschäfte machen möchten.

Sie müssen auch darauf vorbereitet sein, mit Zero-Day-Bedrohungen umzugehen und schnell darauf zu reagieren. Es ist also nicht wirklich gut, einen monatlichen oder noch selteneren Zeitplan für das Patchen zu haben. Jemand muss Verantwortung übernehmen und verstehen, welche Patches er sich ansehen sollte. Aber Sie werden feststellen, dass viele kleinere Unternehmen kein Sicherheitsteam oder irgendjemanden in der IT haben. Sie wissen also nicht, wann Microsoft etwas für Exchange tut, wo die Desktops vielleicht etwas offensichtlicher sind. Sie bleiben also auf der Strecke und ich denke, wir können nicht genug sagen, wie wichtig es ist, so eng wie möglich zu patchen.

Es gibt andere Komplikationen bei Software-as-a-Service, bei denen Sie nicht die Möglichkeit haben, zu überprüfen, ob etwas für Sie richtig ist, weil Sie nicht erwartet haben, dass sich das ändert. Allerdings ist Software-as-a-Service für die meisten kleineren Unternehmen wahrscheinlich der bessere Weg, vorausgesetzt, Sie sind damit zufrieden, dass der Lieferant das Geschehen abwickelt. Wenn wir Assessments durchführen, sehen wir dort weniger Probleme, denn wenn dieser Service neun von zehn Mal bereitgestellt wird, sind sie am Ball, um die Software zu aktualisieren.

BN: Wie sieht es mit dem Schutz vor Insider-Bedrohungen aus?

RH: Das ist zweierlei, denn es gibt bösartige Insider, aber auch die unbeabsichtigte Bedrohung durch Insider, wenn Ihr Mitarbeiter beispielsweise auf eine Phishing-E-Mail geklickt hat, obwohl dies nicht der Fall sein sollte. Die größte Bedrohung ist absichtlich bösartige Software, die versucht, Daten zu exfiltrieren. Desktop-Computer sollten durch Richtlinien gesperrt werden, damit Sie wissen, dass nur vertrauenswürdige Mitarbeiter Software installieren können.

Es ist wichtig, dass auch alte Konten geschlossen wurden, daher benötigen Sie einen anständigen Ein- und Ausstiegsprozess, und dazu gehört auch der Rollenwechsel innerhalb des Unternehmens. Viel komplizierter wird es natürlich im Umgang mit Heimarbeitern, wo gerade die Angriffsfläche exponentiell wächst, und in der Cloud, wo auf Systeme von überall zugegriffen werden kann und man Geräte, denen Zugriff gewährt wurde, nicht wirklich kontrollieren kann .

BN: Wie sieht es mit physischen Risiken aus, werden diese oft übersehen?

RH: Es ist schon erstaunlich, wie viele Menschen in nicht sehr gut gesicherten Bürogebäuden sitzen. Unternehmen denken über ihre Firewalls und Intrusion Prevention-Systeme im Netzwerk nach, wissen aber nicht, dass jemand einfach das Gebäude betreten und eine Box an diesen Schutz anschließen könnte. Wenn ich ein Gebäude betreten kann und eine Dropbox habe – das ist ein kleiner Computer –, die ich in das Netzwerk einführen kann, funktioniert der Perimeterschutz nicht, weil ich bereits drin bin.

Ich glaube nicht, dass wir tatsächlich ein „Red Team“-Event hatten, bei dem wir nicht in ein Unternehmen eindringen konnten, ohne entdeckt zu werden. Wir hatten große Banken, bei denen wir einfach in ihren Büros auf die Straße gegangen sind, und wir sind lange geblieben, nachdem alle nach Hause gegangen sind. Wir haben dann buchstäblich nach Personen gesucht, die Passwörter aufgeschrieben haben. Und denken Sie daran, wie ich bereits sagte, Angreifer sind clever. Wenn sie gegen eine Mauer oder eine Hürde stoßen, werden sie an diesem Punkt innehalten und sich Zeit nehmen, um darüber nachzudenken, wie sie sie überwinden können.

Bildnachweis: Höhlenaufgang/ Shutterstock



Vorheriger ArtikelSo zeigen Sie Wi-Fi-Passwörter in Windows 10 an
Nächster ArtikelSo sehen Sie sich den Made By Google-Stream und den Start von Pixel 4 an

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein