Die Liste der CIS Critical Security Controls (ehemals SANS Top 20 Controls) ist der Goldstandard für die Beratung von Sicherheitsbeauftragten. Hier sind die Aufgaben, die Sie zuerst erledigen sollten. [...]
Die meisten Unternehmen bewerten das IT-Sicherheitsrisiko nicht richtig und haben am Ende Kontrollen, die nicht auf ihre größten Risiken abgestimmt sind. Es ist das Thema meines Buches zum Thema Data-Driven Computer Security Defense. Viele Sicherheitsprofis wissen das, weshalb ich oft nach meinen Vorträge zum Risikomanagement gefragt werde, welche Kontrollen aus der SANS Top 20 Critical Controls Liste zu implementieren sind.
Die ernsthaftesten IT-Sicherheitsexperten, die ich kenne, freuen sich auf jedes SANS Top 20 Update und das dazugehörige Poster. Es enthält sehr gute Ratschläge zur Verteidigung der IT-Sicherheit, aber wie bei jeder Aktionsliste ist es unmöglich, mehr als ein paar Dinge auf einmal perfekt auszuführen. Nachfolgend finden Sie Ratschläge, welche Kontrollen zuerst durchgeführt werden sollten, aber lassen Sie mich zuerst eine kleine Geschichte über die SANS-Liste erzählen.
Jetzt sind es die CIS-Controls
SANS übergab die Top 20 Liste vor Jahren an das Center for Internet Security (CIS), und so wird es heute als CIS Critical Security Controls bezeichnet. Das CIS ist eine weitere hoch angesehene, gemeinnützige Computersicherheitsorganisation, die seit mehreren Jahrzehnten existiert. Sie sind wahrscheinlich am bekanntesten für die Veröffentlichung von Sicherheitsempfehlungen und Benchmarks für ihr Betriebssystem. Wenn Sie die Empfehlungen einer unabhängigen, nichtstaatlichen Organisation zur Sicherung von Microsoft Windows wünschen, ist CIS genau das Richtige für Sie.
Die SANS-Liste beginnt mit Tony Sager
Dass das CIS die SANS Top 20 Liste übernommen hat, ist keine große Überraschung, wenn man seine Geschichte kennt. Die Liste begann mit Tony Sager, dem Senior Vice President und Chief Evangelist des CIS. Tony ist wahrscheinlich am bekanntesten für seine Fog of More Vortragsreihe, in der er argumentiert, dass die Informationsüberflutung eines der Hauptprobleme bei der Verbesserung der Computersicherheit ist.
Tony ist ein kluger, nachdenklicher Mann, der 34 Jahre lang an der Verbesserung der Computersicherheit bei der National Security Agency (NSA) der USA gearbeitet hat. Die meisten Menschen betrachten die NSA nur als Spione und Spitzel, aber sie haben auch die Aufgabe, die Nation zu schützen, indem sie mithelfen, eine bessere Verteidigung aufzubauen und umzusetzen. Um dieses letzte Ziel zu erreichen, war Tony einer der wichtigsten Akteure. Er leitete eines der ersten „blauen Teams“ innerhalb der NSA und wurde schließlich Chefleiter der Programme zur Schwachstellenanalyse und zum Betrieb der NSA.
„Ich bin wahrscheinlich einer der wenigen NSA-Mitarbeiter, die sagen können, dass er seine gesamte Karriere auf der Verteidigungsseite der Agentur verbracht hat“, erzählt Tony mir. „Ich habe gesehen, wie Systeme mehr als jeder Andere versagten. Ich konnte sehen, was beim Schutz von Computern funktionierte und was nicht, sowohl von der Seite dessen, was ein Land tat, um in ein anderes Land einzudringen, als auch von der Seite, wie es das getan hat und was es nicht getan hat.“
Tony erklärt, dass die ursprüngliche Liste von ihm und ein paar anderen Leuten stammt, die eines Tages in einem Raum festsaßen und versuchten, eine kleine Liste aufzustellen. „Wir wollten keine Liste, die jedes Problem der Welt lösen kann.“ Sie wollten eine Handvoll Dinge aufzählen, denen sie alle zustimmen konnten, dass sie die besten Empfehlungen für jeden sein würden, der seine Computer und Netzwerke verteidigen wollte. Am Ende des Tages kamen sie mit einer kurzen Liste heraus, die schließlich zu den 10 Controls wurde. Sie ließen es peer-reviewen und Tony schickte seine Liste schließlich an das Pentagon – „als freundliche Geste“, wie er es ausdrückte.
Er war überrascht, als er sah, wie seine Liste abhob und an Glaubwürdigkeit gewann. Allen Paller von SANS, den Tony wegen der engen Zusammenarbeit von SANS mit der Regierung kannte, rief an und fragte, ob SANS die Liste nehmen, sie unterrichten und bewerben könne. Tony war begeistert. Im Laufe der Jahre entwickelte sich die Top 10 Liste zu den Top 20. Es wurde DIE Liste, die ernsthafte Computersicherheitsexperten verwenden würden, um zum Schutz ihrer Umgebung beizutragen.
Schließlich dachten SANS und Tony, dass es das Richtige für die Beratung, die zu einer globalen De-facto-Sicherheitsberatung geworden war, sei, sie an eine gemeinnützige Organisation zu übergeben. So ging es von der NSA zum Pentagon zu SANS zu CIS. Und so ist Tonys Liste nach Jahrzehnten bei einer Organisation angelangt, bei der Tony an der Sicherheit beteiligt ist.
Das war die kurze Geschichte der Top 20 Control; jetzt zurück zu den Controls, die Sie zuerst implementieren sollten.
Die fünf besten CIS Top 20 Controls
Die CIS Top 20 Controls sollten grundsätzlich alle implementiert werden. Es gibt keine, die nicht so schnell wie möglich berücksichtigt und umgesetzt werden sollte. Sie sind wirklich das absolute Minimum dessen, was jedes Computer-Sicherheitsprogramm ausmachen sollte. Damit ist klar, dass man irgendwo anfangen muss.
Hier ist meine Top-5-Liste:
- Implementierung eines Sensibilisierungs- und Trainingsprogramms für die Sicherheit
- Kontinuierliches Schwachstellenmanagement
- Kontrollierte Nutzung von Administratorrechten
- Pflege, Überwachung und Analyse von Auditprotokollen
- Vorfallsreaktion und -management
Implementierung eines Sensibilisierungs- und Trainingsprogramms für die Sicherheit
Laut dem Data Breach Investigations Report von Verizon 2019 treten bis zu 90% aller bösartigen Datenschutzverletzungen aufgrund von Phishing und Social Engineering auf. Das allein macht dieses erste Control zu einem Kinderspiel. Wie bei vielen Angriffstypen können Sie das Problem mit einer Kombination aus technischen Kontrollen (z.B. Firewalls, Anti-Malware, Anti-Spam, Anti-Phishing, Content Filtering) und Training bekämpfen.
Unabhängig davon, welche technischen Kontrollen Sie verwenden, einige Phishing-Maßnahmen gelangen immer bis zum Endbenutzer. Deshalb ist es wichtig, dass Sie allen Benutzern beibringen, wie man Malware erkennt und was man tun muss, wenn man sie sieht. Wie Sie Ihr Sicherheitsbewusstseinstraining durchführen, hängt von Ihnen ab, aber die Schulung sollte mehrmals im Jahr durchgeführt werden, wahrscheinlich mehr als einmal im Quartal. Schulungen mit geringerer Häufigkeit tragen nicht viel dazu bei, das Risiko zu reduzieren.
Kontinuierliches Schwachstellenmanagement
Nicht gepatchte Software ist an 20% bis 40% aller erfolgreichen Datenschutzverletzungen beteiligt und damit der zweithäufigste Grund, warum Unternehmen erfolgreich angegriffen werden. Das Schwachstellenmanagement sollte auf jeden Fall Ihre Priorität Nummer zwei sein. Es bedeutet nicht nur, Ihre Umgebung auf Schwachstellen und fehlende Patches zu scannen, sondern auch, so viel wie möglich von diesen Patches zu automatisieren.
Was muss gepatcht werden? Nun, von den 16.555 separaten Schwachstellen, die im letzten Jahr bekannt gegeben wurden, wurden weniger als 2% verwendet, um ein Unternehmen zu gefährden. Fast alle von ihnen hatten Exploit-Code, der in der freien Wildbahn vorlag, der beste Indikator dafür, ob eine Software-Schwachstelle zum Angriff auf ein Unternehmen genutzt wird. Wenn kein Exploit im öffentlichen Bereich aufgeführt ist, geben Sie ihm eine geringere Kritikalitätsstufe.
Zweitens wissen wir alle, dass die am häufigsten angegriffenen clientseitigen Schwachstellen bei Browsern und Browser-Add-Ins liegen, gefolgt von Betriebssystemlücken. Auf der Serverseite beziehen sich die Schwachstellen hauptsächlich auf Webserver-Software, Datenbanken und Servermanagement. Ja, andere Arten von Software können angegriffen werden, aber diese Kategorien sind bei weitem die am häufigsten betroffenen Arten. Beginnen Sie mit dem aggressiven Patchen dieser Art von Softwareprogrammen, und Ihr Computersicherheitsrisiko sinkt drastisch.
Kontrollierte Nutzung von Administratorrechten
Die Anzahl der Admin-Konten zu minimieren und eine hohe Sicherheit zum Schutz der Admin-Konten zu verwenden, ist eine sinnvolle Maßnahme. Die meisten der schlechten Versuche, in Ihre Umgebung einzudringen, werden nach erhöhten Konten als erstem Geschäftszweig nach der ersten Nutzung suchen, damit sie maximalen Schaden anrichten können. Jedes Admin-Konto, das Sie nicht haben und nicht regelmäßig verwenden, ist eine Straßensperre für einen Angreifer.
- Minimieren Sie die Anzahl der Mitglieder einer hochrangigen Gruppe.
- Anforderung, dass alle höherwertigen Konten die Multi-Faktor-Authentifizierung verwenden, um sich anzumelden.
- Auschecken von erhöhten Anmeldeinformationen erforderlich
- Zeitbegrenzung der Checkout-Phase
- Protokollierung einer solchen Nutzung und des Checkouts
Möchten Sie den schlimmsten böswilligen Missbrauch Ihrer Computer und Ihres Netzwerks verhindern? Verhindern Sie, dass der Bösewicht Administrator und Root wird.
Pflege, Überwachung und Analyse von Auditprotokollen
Der Verizon Data Breach Investigations Report kommt zu dem Schluss, dass Beweise für böswillige Einbrüche in den meisten Sicherheitsprotokollen enthalten sind und dass der daraus resultierende Schaden hätte minimiert werden können, wenn die Unternehmen ihre Protokolle analysiert hätten. Ich verstehe schon. Das Sammeln und Analysieren von Protokollen ist nicht einfach. Es erfordert das Sammeln von Hunderten von Millionen von Ereignissen, von denen die meisten nicht auf Bösartigkeit hinweisen, und ist damit das berühmte Finden der kritischen Nadeln im Heuhaufen.
Deshalb benötigen Sie ein erstklassiges Ereignisprotokollierungssystem, das Ihre Protokolle für Sie aggregiert und analysiert. Ein gutes SIEM-System (Security Information Event Management) sollte die ganze harte Arbeit für Sie leisten. Alles, was Sie tun müssen, ist, auf angezeigte verdächtige Ereignisse zu reagieren und das System zu modifizieren und zu trainieren, um Fehlalarme und -negative zu minimieren.
Vorfallsreaktion und -management
Egal, was Sie tun, das Übel wird durch Ihre Verteidigung kommen. Es gibt keine perfekte Verteidigung, also planen Sie, zu scheitern so gut Sie können. Dies bedeutet, dass effektive Mitarbeiter, Tools und Prozesse für die Reaktion auf Vorfälle entwickelt werden müssen. Je besser und schneller die Untersuchung und Behebung von Vorfällen erfolgt, desto weniger Schaden kann das Ausmaß der Schäden an Ihrer Umgebung verursachen.
Es gibt viele andere starke Konkurrenten für die fünf besten Controls, die Sie implementieren sollten (wie E-Mail- und Browserkontrollen), aber das sind diejenigen, die ich an die Spitze der Liste setzen würde. Ein paar Kontrollen helfen nicht wirklich so viel, wie viele Leute denken, wie z.B. Netzwerkzugriffskontrolle und Passwortrichtlinien. Jede Minute, die Menschen für diese beiden Kontrollen verwenden, ist Zeit, die nicht für die größeren Themen aufgewendet wird.
Eine letzte Bemerkung: Die häufigsten Ursachen für Root Exploits (Social Engineering und nicht gepatchte Software) sind die häufigsten Arten von Angriffen seit der Erfindung von Computern. Die Dinge, die wir tun müssen, um sie zu bekämpfen, haben sich seitdem auch nicht viel verändert. Wir müssen uns nur auf sie konzentrieren und sie für unsere Gegenspieler abschwächen.
*Roger Grimes, der seit 2005 Kolumnist im Bereich Sicherheit ist, verfügt über mehr als 40 Computerzertifizierungen und hat zehn Bücher über Computersicherheit verfasst.
Be the first to comment