Begrenzung des Explosionsradius einer Datenpanne
Veraltete Sicherheitspraktiken lassen Unternehmensdaten ungeschützt, insbesondere in der Cloud. Bessere Cloud-Sicherheit verringert den Aktionsradius einer Datenverletzung und erleichtert die Reaktion auf einen Vorfall.
Wichtige Punkte
- Das Ausmaß des Schadens, den eine Datenschutzverletzung verursachen kann - der Explosionsradius - ist wahrscheinlich viel größer als Sie denken.
- Herkömmliche Sicherheitsansätze, die sich auf eine starke Firewall konzentrieren, können die Zugriffsbeschränkungen für sensible Informationen innerhalb des Unternehmens vernachlässigen.
- Die Verknüpfung von Richtlinien wie Zero Trust mit der Überwachung von Aktivitäten in Echtzeit kann die Cloud-Sicherheit verbessern und den Radius einer Datenverletzung begrenzen.
Viele Unternehmen haben Geschäftsdaten und -anwendungen in die Cloud verlagert, um die Infrastrukturkosten zu senken und den Mitarbeitern den Zugriff auf wichtige Ressourcen zu erleichtern.
Ein solcher Schritt erleichtert den Unternehmen zwar die Unterstützung von Außendienstmitarbeitern, er kann aber auch unbeabsichtigte Folgen haben. Der so genannte "Explosionsradius" einer Datenverletzung oder eines anderen Sicherheitsvorfalls kann in der Cloud viel größer sein, da die Anlagen und Arbeitslasten weiter verstreut und miteinander verbunden sind. Gleichzeitig haben die bewährten Sicherheitsverfahren nicht immer mit dieser neuen Arbeitsweise Schritt gehalten.
Der jüngste Cost of a Data Breach Report von IBM und dem Ponemon Institute hat ergeben, dass 83 % der Unternehmen mindestens eine Datenschutzverletzung pro Jahr erleben. Hinzu kommt, dass 45 % aller Sicherheitsverletzungen in der Cloud stattfinden. Trotz dieser eindeutigen Bedrohung wendet weniger als ein Viertel der Unternehmen bewährte Cloud-Sicherheitspraktiken konsequent an und setzt sich damit dem Risiko einer Cloud-Sicherheitsverletzung mit weitem Aktionsradius aus.[1]
Unternehmen können die Gesamtauswirkungen eines erfolgreichen Einbruchs begrenzen, indem sie eine Reihe von Sicherheitstechniken und -tools einsetzen, darunter auf künstlicher Intelligenz basierende Lösungen wie CyberGraph von Mimecast, die darauf ausgelegt sind, die am meisten ausweichenden E-Mail-Bedrohungen zu erkennen.
Ihr Explosionsradius ist größer als Sie denken
Der Explosionsradius eines Sicherheitsvorfalls ist definiert als die Höhe des Schadens, den der Vorfall potenziell verursachen könnte. Jedes Konto, jede Datei, jede Anwendung, jeder Server und jede andere Unternehmensressource kann kompromittiert werden, sobald ein Angreifer in das System eingedrungen ist.
Die Wahrscheinlichkeit, dass der Radius, in dem Ihr Unternehmen von einer Datenverletzung betroffen ist, größer ist als Sie denken. Das liegt an der Vielzahl der Abhängigkeiten zwischen den Workloads, d. h. den Anwendungen oder Prozessen, die Rechenleistung oder Speicher zur Erfüllung einer Aufgabe nutzen.
In Unternehmen werden Zehntausende von Datenverarbeitungsaufgaben gleichzeitig ausgeführt, und jede Aufgabe hängt von anderen ab, um ausgeführt werden zu können. Ein einfaches Beispiel: Um eine E-Mail erfolgreich zu versenden, braucht man einen Server, eine Anwendung, ein Netzwerk und etwas Rechenleistung, sowohl im Browser als auch auf dem Client-Gerät.
Der typische Workload hat jedoch Dutzende von Abhängigkeiten. Das bedeutet, dass die Zahl der Abhängigkeiten in Ihrem Unternehmen weit in die Millionen gehen kann. Wenn Sie sich nicht die Zeit und die Ressourcen nehmen, um diese Abhängigkeiten abzubilden, werden viele unbekannt bleiben. Eine Datenpanne in einem Teil des Unternehmens wirkt sich daher auf unzählige andere Bereiche des Unternehmens aus, wenn Sie nicht die erforderlichen Maßnahmen zur Verbesserung der Sicherheit ergreifen.
Herkömmliche Sicherheitsmodelle minimieren den Explosionsradius nicht
Das traditionelle Modell der Cybersicherheitsverteidigung bestand in der Sicherung des Perimeters. Die Prämisse ist einfach, wenn nicht sogar ein wenig mittelalterlich: Bauen Sie eine Firewall, die so dick ist, dass kein Angreifer sie durchdringen kann. Aber kein Sicherheitssystem hält 100% der Angriffe ab.
Und leider bedeutet die Fokussierung auf diesen "Nord-Süd"-Verkehr, wie es der Mimecast-Partner Palo Alto Networks beschreibt, dass Unternehmen dem seitlichen "Ost-West"-Verkehr, der zwischen Menschen, Anwendungen, Servern und Geräten innerhalb der Firewall stattfindet, wenig Aufmerksamkeit schenken.[2]
Eine Sicherheitsstrategie, die auf der Annahme basiert, dass Angreifer die Firewall nicht überwinden können, hat zwei entscheidende Konsequenzen, die durch die zunehmende Nutzung von Cloud-Diensten noch verschärft werden.
Workload-Abhängigkeiten sind ein blinder Fleck. Um zu wissen, wie Workloads voneinander abhängen, ist ein umfassendes Verständnis der Daten (Format, Empfindlichkeit und Speicherort), der Berechtigungen (wer oder was ist berechtigt, auf Daten oder Geschäftsanwendungen zuzugreifen) und des allgemeinen IT-Betriebs erforderlich.
Dies ist ein komplexes technisches Problem an und für sich. In den heutigen Computerumgebungen, in denen Daten sowohl vor Ort als auch extern in verschiedenen öffentlichen und privaten Cloud-Diensten gehostet werden, in denen Tools für die Zusammenarbeit die gemeinsame Nutzung von Informationen einfacher denn je machen (und die Versionskontrolle schwieriger denn je) und in denen Daten zunehmend in einem unstrukturierten Format vorliegen (sei es in Form von Text- und Bilddateien oder in Form von Suchmaschinenabfragen und Daten, die von intelligenten Geräten gestreamt werden), ist dies eine noch größere Herausforderung.
Die Zugangsverwaltung hat eine geringe Priorität. Wenn das oberste Sicherheitsziel darin besteht, Angreifer fernzuhalten, legen Unternehmen ihre stärksten Kontrollen darauf aus, wer die Firewall passieren darf. Dies bedeutet, dass die Bemühungen, den Zugriff auf sensible Daten oder Anwendungen für Benutzer oder Geräte innerhalb des Unternehmens zu beschränken, begrenzt sind.
Hinzu kommt, dass Zugangsbeschränkungen oft durch Unternehmensrichtlinien durchgesetzt werden, die manuell überprüft und erneuert werden müssen. Angesichts des Zeit- und Ressourcenaufwands, der für die Überprüfung der Anmeldeinformationen für jeden Benutzer und jedes Gerät erforderlich ist, ist eine laxe Durchsetzung üblich. So erhalten beispielsweise Mitarbeiter, die in eine neue Rolle wechseln, Zugriffsrechte auf Daten und Systeme für ihre neue Rolle, ohne dass ihnen der Zugang zu den Dingen entzogen wird, die sie für ihre alte Rolle benötigten. Darüber hinaus gewähren Unternehmen den Dienstkonten oft weitreichende Berechtigungen (im Gegensatz zu normalen Benutzerkonten werden diese für den Betrieb bestimmter Systemdienste und Anwendungen verwendet). Die Berechtigungen für Servicekonten sind breit gefächert, um sicherzustellen, dass der Geschäftsbetrieb kaum unterbrochen wird, wenn Systeme repariert werden müssen.[3]
Die Verlagerung dieses Ansatzes auf Cloud-basierte Dienste wirft zusätzliche Sicherheitsbedenken auf und vergrößert den Explosionsradius eines Verstoßes. Bei der Verlagerung von Workloads in die Cloud haben viele Unternehmen die gleichen weitreichenden Berechtigungen beibehalten, mit nur wenigen Einschränkungen, wer auf Daten oder Anwendungen zugreifen darf. Ebenso schenkten viele den Standardeinstellungen für die Cloud-Konfiguration wenig Beachtung, z. B. denjenigen, die allen Benutzern administrativen Zugriff gewähren. Diese Kombination aus weitreichenden Berechtigungen und eingeschränktem Überblick über extern gehostete Ressourcen macht Unternehmen besonders anfällig.
5 Strategien zur Begrenzung des Radius Ihrer Datenexplosion
Einige Unternehmen reagieren auf diese Herausforderungen im Bereich der Cybersicherheit, indem sie ihre lokalen Netzwerke segmentieren. Dieser Ansatz kann Endpunkte isolieren, auf denen sensible Daten gehostet oder verarbeitet werden, seitliche Bewegungen im gesamten Netzwerk einschränken und Datenverletzungen auf ein bestimmtes Netzwerksegment beschränken.
Die Segmentierung erfordert jedoch einen erheblichen Zeit- und Ressourcenaufwand für die Umstrukturierung und Neukonfiguration der Netze. Außerdem wird der "Nord-Süd"-Ansatz beibehalten und die wachsende Zahl der IT-Ressourcen des Unternehmens, die außerhalb der Firewall gehostet werden, nicht berücksichtigt.
Während Unternehmen ihre Migration zur Cloud fortsetzen, werden die folgenden fünf Richtlinien und Strategien dazu beitragen, ihre Cloud-Sicherheitsposition zu verbessern, den Radius eines Datenverstoßes zu begrenzen und eine schnellere Rückkehr zum normalen Geschäftsbetrieb zu ermöglichen:
- Null Vertrauen: Ein Zero-Trust-Sicherheitsrahmen geht davon aus, dass Vermögenswerten oder Benutzerkonten nicht implizit Vertrauen gewährt werden sollte, nur weil sie sich an einem bestimmten Ort befinden oder wem sie gehören. Sie basiert auf zwei Grundprinzipien: Remote-Benutzer und Cloud-basierte Dienste befinden sich außerhalb des traditionellen Perimeters, und Geräte innerhalb des Perimeters können und werden kompromittiert.[4] Zero Trust erfordert die Authentifizierung und Autorisierung eines Benutzers oder Assets, bevor eine Verbindung zu einer Unternehmensressource hergestellt wird. Laut dem Cost of a Data Breach Report haben etwa 40 % der Unternehmen eine Zero-Trust-Sicherheitsarchitektur implementiert. Diejenigen, die dies getan haben, geben im Durchschnitt 20 % weniger aus, um eine Datenpanne abzumildern.
- Identitätsbasierte Segmentierung: Dieser Ansatz wendet die Prinzipien der Netzwerksegmentierung an und ermöglicht es, einzelne Workloads unabhängig von ihrem Standort zu isolieren. Die auch als Mikrosegmentierung bezeichnete identitätsbasierte Segmentierung bietet einen besseren Einblick in den gesamten Netzwerkverkehr und ermöglicht die Erstellung von Richtlinien für bestimmte Anwendungen. Dies reduziert die Angriffsfläche eines Unternehmens und stärkt die Eindämmung von Datenverletzungen, was beides den Explosionsradius verringert.
- Asset Management: Unternehmen verbessern die Sicherheit in der Cloud erheblich, wenn sie Einblick in die Daten, Hardware und Software erhalten, die ihnen gehören. Die Bestandsverwaltung umfasst die Pflege eines Inventars von IT-Ressourcen, das Scannen von Anwendungen und Diensten auf das Vorhandensein sensibler Daten, die Bewertung und Behebung von Sicherheitslücken sowie die Aktualisierung von Richtlinien und Anforderungen, um zukünftige Lücken zu minimieren. Das National Institute of Standards and Technology (NIST) listet das Asset Management als Kernstück seines Cybersecurity Framework auf, so dass dieses Thema für Unternehmen ganz oben auf der Agenda stehen sollte, wenn es das nicht bereits tut.[5]
- Aktivitätsüberwachung: Ebenso kann ein Einblick in die Vorgänge im Netzwerk eines Unternehmens dazu beitragen, unberechtigte Zugriffsversuche zu erkennen und sie zu isolieren, wenn sie stattfinden, um den Radius eines Angriffs zu begrenzen. DNS-Sicherheitslösungen können dabei helfen, den E-Mail- und Webverkehr zu überwachen - die Quelle fast aller Datenschutzverletzungen -, während E-Mail-Überwachung ungewöhnliche Aktivitäten von kompromittierten Benutzerkonten oder Malware für den Fernzugriff erkennen, sensible Daten am Verlassen des Unternehmens hindern und Querbewegungen von E-Mails auf andere Unternehmenssysteme verhindern kann.
- Reaktion auf Vorfälle: Durch die Bildung eines Teams für die Reaktion auf Vorfälle und die Erstellung eines Cybersecurity-Playbooks können Unternehmen lernen, schnell zu reagieren, einen Sicherheitsvorfall einzudämmen und den Radius der Datenverletzung zu verringern. Die Integration von Sicherheitstools in Systeme, die auf extended detection and response (XDR) basieren, kann den Lebenszyklus von Sicherheitsverletzungen um fast einen Monat verkürzen, so der Cost of a Data Breach Report, während Unternehmen, die ihre Reaktionspläne auf Sicherheitsverletzungen regelmäßig testen, 58 % weniger ausgeben, um eine Sicherheitsverletzung einzudämmen.
Die Quintessenz
Angesichts der Tatsache, dass Datenschutzverletzungen für die heutigen Unternehmen fast unvermeidlich sind, können die richtigen Schritte zur Verbesserung der Cloud-Sicherheit den Radius eines Verstoßes minimieren. Ein Ansatz, der eine Reihe von Best-of-Breed-Sicherheitslösungen integriert, kann Unternehmen dabei helfen, die neuesten Bedrohungsdaten zu nutzen, sich wiederholende, aber wichtige Sicherheitsaufgaben zu automatisieren, Einblick in IT-Ressourcen zu erhalten und die Erkennung von und Reaktion auf Vorfälle zu beschleunigen. Die erfolgreiche Umsetzung dieses Ansatzes reduziert die Reaktionszeit und die Kosten und hilft den Unternehmen, schneller wieder zur Tagesordnung überzugehen. Lesen Sie weiter, um zu erfahren, wie Mimecasts Extensible Security Hooks (MESH) in diese Strategie passt.
[1] "Cost of a Data Breach Report 2022," IBM
[2] "Was ist Mikrosegmentierung?"Palo Alto Networks
[3] "Was ist der Grundsatz der geringsten Privilegierung (POLP)?" CrowdStrike
[4] "Zero Trust Architecture," NIST Computer Security Resource Center
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!