Es ist Haifischwoche, was bedeutet, dass der inoffizielle Höhepunkt des Sommers vor der Tür steht. Hier auf Censys erinnert die Haiwoche auch an das größte Raubtier in unseren eigenen sprichwörtlichen Gewässern: Hacker. Wie Haie sind auch Hacker kühn, schnell und gerissen. Und wenn sie zuschlagen, können sie großen Schaden anrichten. Wie die Haie vor der Atlantikküste haben auch die Hacker in diesem Sommer für Schlagzeilen gesorgt und uns daran erinnert, dass wir wachsam sein müssen, wenn es um Raubtiere geht, sowohl im Meer als auch im Internet.
Manchmal konzentrieren sich Unternehmen jedoch mehr darauf, ausgeklügelte, aber weniger wahrscheinliche Angriffe von Prominenten zu verhindern, und übersehen dabei die grundlegenden Sicherheitslücken, die Hacker mit größerer Wahrscheinlichkeit ausnutzen. Die Untersuchung vonCensys bringt Licht in diese Angelegenheit und zeigt, dass CVEs und fortgeschrittene Angriffe, die oft die meiste Aufmerksamkeit auf sich ziehen, nur 12 % der beobachteten Schwachstellen ausmachen. Fehlkonfigurationen und Schwachstellen machen dagegen 88 % der beobachteten Schwachstellen aus.
Der Vorteil ist, dass Fehlkonfigurationen und Schwachstellen weitgehend unter der Kontrolle eines Sicherheitsteams liegen und teilweise durch routinemäßige Cyber-Sicherheitshygiene behoben werden können. Um einen "Angriff" in dieser Shark Week und darüber hinaus zu verhindern, sollten wir uns drei bewährte Verfahren der Cyberhygiene ansehen.
1. Shadow IT an die Oberfläche bringen
Die Verwendung privater Geräte für die Arbeit, das Vergessen, die Sandboxen von Entwicklern außer Betrieb zu nehmen, das eigenständige Hochfahren von Produktivitätsanwendungen von Drittanbietern ... das sind die Arten von Shadow IT Aktivitäten, die Hacker erfreuen und Sicherheitsteams belasten. Und sie sind an den heutigen Arbeitsplätzen äußerst üblich. Mehr als 80 % der befragten Arbeitnehmer haben zugegeben, SaaS-Anwendungen zu verwenden, die nicht von der IT-Abteilung genehmigt wurden. Da Shadow IT nicht genehmigt ist und nicht überwacht wird, kann es zu Fehlkonfigurationen und Gefährdungen kommen. Dies stellt natürlich eine Herausforderung für die Sicherheitsteams dar, die nichts reparieren können, wovon sie nichts wissen. Aus diesem Grund ist es für eine grundlegende Sicherheitshygiene erforderlich, sich einen vollständigen Überblick über alle Ressourcen zu verschaffen, in die ein Angreifer eindringen könnte, einschließlich derjenigen, die im Verborgenen lauern und der IT-Abteilung unbekannt sind. Um diesen notwendigen Einblick zu erhalten, nutzen moderne Sicherheitsorganisationen das Exposure Management. Exposure Management-Lösungen bieten eine automatisierte, kontinuierliche Erkennung und Überwachung von Assets über die gesamte Angriffsfläche hinweg, wodurch Shadow IT ans Tageslicht kommt und Sicherheitsteams in die Lage versetzt werden, Fehlkonfigurationen und Expositionen, die diese Assets möglicherweise bergen, sofort zu erkennen.
2. Seien Sie ein Zero Trust "Chomp"-ianer
Zero Trust ist ein Sicherheitsrahmen, der die implizite Autorisierung für ein Netzwerk eliminiert. Stattdessen ist bei jeder Zugriffsanfrage eine Validierung erforderlich. Dies gilt auch für Personen innerhalb des Unternehmens, die täglich Zugang zu bestimmten Systemen benötigen, um ihre Aufgaben zu erfüllen. Ein Beispiel wäre, dass Ihr Vertriebsteam eine Zwei-Faktor-Authentifizierung durchführen muss, wenn es sich bei der Salesforce-Instanz Ihres Unternehmens anmelden möchte. Indem sie diese Art der Validierung verlangen, können Unternehmen ihr Risiko besser kontrollieren. Und wenn ein bösartiger Akteur doch einmal in einen Teil Ihres Netzwerks eindringt, macht es ihm ein Zero-Trust-Rahmen schwer, weiter vorzudringen. Das Engagement für Zero Trust trägt auch dazu bei, dass andere Best Practices wie die Beseitigung von Standardpasswörtern für Sicherheitsteams und Mitarbeiter in den Vordergrund rücken. Obwohl sich viele Unternehmen bereits an ein Zero-Trust-Framework halten, lohnt es sich, regelmäßig zu überprüfen, ob neu eingeführte Lösungen außerhalb des Frameworks arbeiten. Mehr über die Ursprünge des Zero-Trust-Frameworks können Sie hier nachlesen.
3. Alle Mitarbeiter mit ins Boot holen
Die Fehlkonfigurationen und Schwachstellen, die Unternehmen verwundbar machen, sind oft das Ergebnis menschlichen Versagens (siehe Shadow IT ). Die Sicherheitsteams sind zwar für die Verhinderung von Sicherheitsverletzungen zuständig, aber um die Wahrscheinlichkeit von Sicherheitsverletzungen zu minimieren, sind sie darauf angewiesen, dass das gesamte Unternehmen bewährte Verfahren für die Cybersicherheit anwendet. Sinnvolle Mitarbeiterschulungen sollten daher ein Grundpfeiler jeder Cybersicherheitsstrategie sein. Wenn es eine Minute her ist, dass Ihr Team seinen Ansatz für die Mitarbeiterschulung aktualisiert hat, ist jetzt ein guter Zeitpunkt, dies zu tun. Überlegen Sie, wie Sie die Schulung und Sensibilisierung zu einer kontinuierlichen Aufgabe machen können (d. h. mehr als eine kurze Präsentation bei der Einarbeitung der Mitarbeiter). Vielleicht hat Ihre Version der kontinuierlichen Schulung die Form eines speziellen Cybersicherheits-Slack-Kanals oder eines monatlichen IT-Newsletters, in dem Tipps und Erinnerungen geteilt werden, zusätzlich zu einer jährlichen Schulungssitzung, an der alle Mitarbeiter teilnehmen, unabhängig davon, wie lange sie schon im Unternehmen sind. Vielleicht führen Sie auch Ihre eigene Form von Penetrationstests durch, um festzustellen, wie viele Mitarbeiter das Gelernte tatsächlich behalten. Wie auch immer Sie vorgehen, die Mitarbeiterschulung sollte als wichtiger Bestandteil einer guten Sicherheitshygiene priorisiert werden.
Unsere neuesten Untersuchungen zu Fehlkonfigurationen und anderen Schwachstellen finden Sie in unserem Bericht zum Zustand des Internets 2023.