Befolgen Sie diesen Rat, um Benutzern und Netzwerk-administratoren dabei zu helfen, die Anmeldeinformationen für Unternehmenssysteme besser zu schützen. [...]
Wie viele Passwörter hat ein durchschnittlicher Netzwerkadministrator? Wie viele Passwörter hat der durchschnittliche Endbenutzer? Sehr viele. Was können Sie tun, um diese Kennwörter zu schützen? Wie schulen Sie Ihre Benutzer über den Schutz ihrer Anmeldedaten?
Ein kürzlich auf Mashable erschienener Artikel enthüllte, dass ein Angreifer die Anmeldedaten für mehrere interne Twitter-Systeme auf einem Slack-Konto des Unternehmens gefunden hat. Wenn das stimmt (es gibt widersprüchliche Berichte über die Quelle des Hacks), weist es darauf hin, dass Netzwerkadministratoren die Zugangsdaten nicht gut genug schützen – und wenn Netzwerkadministratoren es nicht tun, kann man wahrscheinlich davon ausgehen, dass ihre Benutzer es auch nicht tun.
Was können Sie also tun, um Ihren Netzwerkadministratoren und Benutzern zu helfen, ihre Berechtigungsnachweise besser zu schützen? Es geht um Aufklärung und Bewusstseinsbildung.
Widerstand gegen Social Engineering aufbauen
Informieren Sie sowohl Netzwerkadministratoren als auch Endbenutzer über die Auswirkungen von Phishing und darüber, wie Hacker ihre Angriffe so konzipieren, dass sie unsere Schwächen ausnutzen. Sie werden soziale Medien nutzen, um zu erfahren, wer welche Rollen in der Organisation innehat und hinter wem sie her sind. Der berühmte Hacker Kevin Mitnick verwendete einmal ein Washington-State-Book, das börsennotierten Firmenchefs und ihren Assistenten der Geschäftsführung den Zugang zu den Unternehmen ermöglichte. Warnen Sie die Benutzer davor, ihre sozialen Postings im öffentlichen Raum einzuschränken, um zu vermeiden, dass sie Informationen an Angreifer weitergeben.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Schützen Sie Informationen, die bei der Überprüfung von Berechtigungsnachweisen verwendet werden
Warnen Sie Ihre Benutzer davor, Umfragen zu Social Media-Standorten zu beantworten. Häufig werden diese „Zufallsfragen“ aus typischen Fragen zum Zurücksetzen von Passwörtern oder Passwortverifizierungsprozessen aufgebaut. Wenn Sie jemals einen Facebook-Post über Ihren ersten Job oder Ihr Lieblingsauto geantwortet haben, können Angreifer eine Datenbank mit Antworten zum Zurücksetzen des Passworts anlegen.
Trainieren Sie Ihre Benutzer, eine gebrandete Landing Page zu erkennen
Wenn Sie Office 365 oder Microsoft 365 verwenden, empfehle ich die Verwendung von Branding, um die Benutzer über die richtige Passwort-Landingpage zu informieren. Angreifer sammeln Geschäftsfotos und verwenden sie, um Benutzer so zu täuschen, dass sie glauben, sie würden ihre Anmeldedaten an der richtigen Stelle angeben. Für eine bessere Landing Page benötigen Sie hierzu eine Azure P1- oder eine Microsoft 365 Business Plus-Lizenz (die P1 enthält). Um ein Firmen-Branding einzurichten, wählen Sie „Azure Active Directory“, dann „Firmen-Branding“ und dann „Konfigurieren“. Sie können nun Einstellungen für Symbole (einschließlich Bannerlogos), Hintergrundbilder und Hinweise zum Benutzernamen auswählen.
Fördern Sie die Verwendung von Passphrasen
Klären Sie über die Wahl von Passphrasen anstelle von Passwörtern auf. Wir sind schrecklich in der Wahl von Passwörtern. Selbst im Jahr 2019 war das meistbenutzte Passwort 12345. Lassen Sie, wenn möglich, Anwendungen starke Passwörter generieren. Ermutigen Sie die Benutzer dazu, Passwortmanager-Programme für den persönlichen Gebrauch zu haben, und schulen Sie sie über ihre Verwendung. Im geschäftlichen Bereich müssen Sie unter Umständen Programme evaluieren, um festzustellen, welches Programm den Sicherheitsanforderungen Ihrer Firma entspricht. In der Vergangenheit gab es Probleme mit webbasierten Passwortverwaltungsprogrammen, die Risiken mit sich brachten. Bewerten Sie die empfohlenen Passwortverwaltungsprogramme sorgfältig und überprüfen Sie sie jährlich.
Schulungen zur Multi-Faktor-Authentifizierung
Informieren Sie sich über die Verwendung der Multi-Factor-Authentifizierung (MFA) für Anwendungen, Fernzugriff, E-Mail oder andere Anmeldeinformationen. Mit Microsoft 365 mit einer Azure P1-Lizenz können Sie Whitelisting hinzufügen, um Standorte von der Zwei-Faktor-Authentifizierung auszunehmen. Sie können MFA auf Benutzer mit riskanterem Fernzugriff beschränken. Diese Funktion wird als „Named locations“ bezeichnet. Wählen Sie im Azure-Portal „Azure Active Directory“ und dann „Conditional Access“ aus dem Abschnitt „Security“. Klicken Sie auf der Seite „Conditional Access “ auf „Named locations“ und dann auf „New location“. Geben Sie dann in das Feld „Name“ einen Namen für Ihren benannten Standort ein. Geben Sie in das Feld „IP-Bereiche“ den IP-Bereich im CIDR-Format ein und wählen Sie „Create“.
Bringen Sie den Mitarbeitern bei, sichere Websites zu erkennen
Informieren Sie sich darüber, wie sichere Websites funktionieren und aussehen. Wenn Benutzer eine Website besuchen und ihre Anmeldedaten eingeben, stehen sie vor einem gewaltigen Entscheidungsprozess. Ist diese Website sicher? Geben sie ihre Anmeldedaten an einem geeigneten Ort ein? Informieren Sie die Benutzer darüber, wie die normalen Abläufe und Eingabeaufforderungen aussehen sollten.
Wenn Sie über einen Proxy-Filter oder Cloud-Service verfügen, der Ihren Browserverkehr abfangen und Blockierungsprozesse bereitstellen kann, richten Sie den Cloud-Service so ein, dass er den Endbenutzern verwertbare Informationen liefert, damit sie wissen, ob die von ihnen gewünschte Website-Maßnahme angemessen ist. Wenn Ihre Webfiltersoftware beispielsweise bestimmte sensible Websites blockiert, stellen Sie sicher, dass aus der Blockierungsmitteilung klar hervorgeht, dass die Aktionen Ihrer Firma hinter dem Blockierungsprozess stehen.
Klären Sie die Benutzer darüber auf, auf welche Prozesse sie bei der Eingabe sensibler Informationen achten müssen. Früher war dies einfacher, aber mit dem Aufkommen von Suchmaschinen, die SSL als Mittel zum privaten Surfen vorschreiben, ist es schwieriger zu bestimmen, welche Sites sicher sind. Führen Sie einen Überprüfungsprozess durch, der das Senden der URL durch einen Genehmigungsprozess beinhalten kann. Möglicherweise möchten Sie das Browsen auf genehmigte Websites beschränken.
Schulung über den richtigen Gebrauch von EDV-Geräten
Benutzer und Netzwerkadministratoren sollten niemals EDV-Geräte von unbekannten Standorten für den Zugriff auf den Firmenzugang verwenden. Der Kiosk-Computer im Business Center des Hotels, an dem Sie gerade Ihre Bordkarte ausgedruckt haben, sollte niemals für den Zugriff auf Unternehmensressourcen verwendet werden. Ich erinnere mich noch an eine weit verbreitete Sicherheitsmeldung, in der jemand Keylogger-Token auf die Computer in Kinkos in New York legte und als Ergebnis dieses Sniffing-Angriffs 450 Bank-Zugangsdaten sammelte.
Administratoren und Benutzer sollten sich bei der Eingabe von Passwörtern ihrer Umgebung bewusst sein. Jemand könnte zum Beispiel im Flugzeug einem Benutzer vor Ihnen über die Schulter schauen und sehen, woran er gerade arbeitet, und vielleicht sogar sein Passwort abfangen.
Setzen Sie bei Bedarf zusätzliche Anmeldeverfahren ein
Windows Hello for Business basiert auf einer neuen Art von Benutzeranmeldung, die an ein Gerät gebunden ist und biometrische Authentifizierung oder eine PIN verwendet. Windows Hello ermöglicht Benutzern die Authentifizierung bei Microsoft, Active Directory, Microsoft Azure Active Directory (Azure AD) oder Identitätsproviderdiensten oder Konten von Relying Party Services, die Fast ID Online (FIDO) v2.0-Authentifizierung unterstützen (in Arbeit).
Windows Hello for Business ist sicherer als Windows Hello Convenience PIN, denn es kann durch eine Gruppenrichtlinie oder eine Richtlinie zur Verwaltung mobiler Geräte (MDM) konfiguriert werden. Es verwendet immer schlüssel- oder zertifikatsbasierte Authentifizierung. Um Windows Hello for Business einzurichten, überprüfen Sie vor der Implementierung Ihre Hardware, um sicherzustellen, dass sie über die erforderlichen TPM-Chips und andere Anforderungen verfügt. Sie können diese Lösungen mit einer reinen Software-Implementierung bereitstellen, aber der Prozess ist bei Laptops und Desktops, die für die Implementierung vorgesehen sind, in der Regel unkomplizierter.
*Susan Bradley schreibt unter anderem für CSOonline.com.
Be the first to comment