Nach einer Serie hochkarätiger Angriffe auf seine Mitglieder im Jahr 2016 hat die Society for Worldwide Interbank Financial Telecommunication (SWIFT) ein Customer Security Controls Framework eingerichtet, das 16 obligatorische Kontrollmaßnahmen enthält. Die von den Banken dafür durchgeführten Überprüfungen müssen bis Ende des Jahres abgeschlossen sein. [...]
Palo Alto Networks geht aber davon aus, dass einige SWIFT-Mitglieder bis zu diesem Termin nicht alle vorgeschriebenen Kontrollen einhalten können. Palo Alto Networks gibt Tipps, worauf diese Unternehmen achten sollen.
Die Empfehlung für die Finanzinstitutionen besteht darin, die Best Practices für die Cyberhygiene der SWIFT-Pflichtkontrollen in ihr übergreifendes Sicherheitsprogramm zu integrieren. Die Banken sollten die SWIFT-Kontrollelemente dabei nicht als „Einzelfälle“ betrachten, die getrennt behandelt werden müssen. Durch die Integration in ihr Cybersicherheitsprogramm erreichen sie nach Meinung von Palo Alto Networks einen ganzheitlicheren Ansatz und können eine fortlaufende Compliance sicherstellen.
Die obligatorischen SWIFT-Sicherheitskontrollen können als Maßnahmen für eine gute Cyberhygiene angesehen werden. Palo Alto Networks hebt die wichtigsten der 16 Kontrollmaßnahmen hervor:
- Schutz der SWIFT-Umgebung (1.1): Die Segmentierung der lokalen SWIFT-Infrastruktur vom Rest der IT-Umgebung wäre ein wichtiger erster Schritt. Dies würde den Zugriff auf/von den lokalen SWIFT-Elementen durch Angreifer auf potenziell kompromittierten Endpunkten und sogar durch bösartige Insiderakteure beschränken.
- Betriebssystem-privilegierte Kontenüberwachung (1.2) und Multi-Faktor-Authentifizierung (4.2): Zusätzlich zu der Richtlinie der geringsten Rechte sollten Konten auf Administratorebene mit Multi-Faktor-Authentifizierung (MFA) geschützt werden. Natürlich sollte MFA auch für den Zugang zu kritischen Systemen wie SWIFT eingerichtet sein. Dies begrenzt den Wert der Zugangsdaten, die von einem Angreifer gestohlen wurden.
- Sicherheit des internen Datenflusses (2.1) und logische Zugangskontrolle (5.1): Um die Integrität der Kommunikation zwischen SWIFT-bezogenen Komponenten zu gewährleisten, erhalten Banken Einblick in den Datenverkehr und steuern ihn basierend auf Anwendungen, Benutzern und Inhalten. Sicherheitsrichtlinien können dann mit dem Kontext der tatsächlichen Anwendung und Benutzeridentität definiert werden, um einen autorisierten Zugriff auf die Daten auf sichere Weise zu ermöglichen.
- Sicherheitsupdates (2.2), Malware-Schutz (6.1) und Software-Integrität (6.2): Das rechtzeitige Patchen von Software auf Sicherheitslücken ist eine Notwendigkeit. Es gibt jedoch Fälle, in denen dies aufgrund von Software nach Ablauf des Supports oder aus anderen Gründen nicht möglich ist. Hier ist ein erweiterter Endpunktschutz gegen Malware und Exploits eine sinnvolle Alternative zur Aufrechterhaltung der Integrität der Produktionsumgebung. Generell ist der erweiterte Endpunktschutz herkömmlichen Antiviren- und Anti-Malware-Lösungen ohnehin überlegen.
- Protokollierung und Überwachung (6.4): Wenn die lokale SWIFT-Infrastruktur durch die Netzwerksegmentierung geschützt ist, verfügen diese Firewalls über wichtige Informationen sowohl über normale als auch über unerwartete Datenflüsse in die Umgebung und aus der Umgebung heraus. Diese Firewall-Protokolle sollten auf Anomalien in den Verkehrsmustern überprüft werden, da diese auf unerwünschte Aktivitäten hindeuten können.
Die beiden zuletzt publik gewordenen Angriffe auf SWIFT-Mitglieder erfolgten im Oktober 2017 in Taiwan und Nepal. Davor gab es im Dezember 2016 einen Angriff in der Türkei. Obwohl man sagen könnte, dass sich das Tempo der Angriffe auf SWIFT-Mitglieder seit dem Höhepunkt, der Mitte 2016 zu beobachten war, verlangsamt hat, ist es nach Meinung von Palo Alto Networks nicht ratsam, die empfohlenen Sicherheitskontrollen zu ignorieren. Unabhängig von SWIFT lohnt es sich, dafür zu sorgen, dass die grundlegende Cyberhygiene Teil des eigenen Sicherheitsprogramms ist.
Be the first to comment