IT-Sicherheit im öffentlichen Sektor

paragraph-736864_1920Das Jahr 2017 startete aus Perspektive der IT-Sicherheit ernüchternd: Angriffe auf Stromnetze, erfolgreiche Ransomware-Angriffe, das erste Botnet im Internet der Dinge. Ausgehend vom Vorjahr stellt sich die Frage, wie die Angreifer überwiegend vorgehen. Alles deutet darauf hin, dass sie in erster Linie auf automatisierte Attacken setzen, gefolgt von besserer Zusammenarbeit untereinander. Zu diesem Schluss kommt Josip Benkovic, Regional Director Enterprise & Public bei Palo Alto Networks. Bei den bösartigen Aktivitäten und Ereignissen von 2016 zieht sich das Thema Automatisierung durch wie ein roter Faden:

  • Ransomware.
  • Verwendung von Makros.
  • Mirai-Botnet und „Botnet of Things“-Angriff.
  • „OilRig“-Kampagne.
  • „Shamoon 2“-Angriffe.
  • Yahoo: größte Verletzung einer Quelle bis heute.

Ebenso wie die Angreifer auf Automatisierung setzen, benötigen öffentliche Einrichtungen und Unternehmen eine automatisierte Sicherheitsplattform, um ihre Daten und ihr Netzwerk zu schützen. Ende 2016 beauftragte Palo Alto Networks eine Studie darüber, wie die US-Bundesregierung Automatisierung einsetzt, um alle Prozesse der Angriffsabwehr zu verbessern. Die Ergebnisse, die in MeriTalks „Pedal to the Metal“-Report veröffentlicht wurden, waren in mancher Hinsicht enttäuschend, aber ebenso informativ, da sie den Optimierungsbedarf veranschaulichten.

Einige Highlights daraus:

  • Weniger als die Hälfte der US-Bundesbehörden schützen sich vor neuen, kritischen Angriffsvektoren, die zunehmend als Angriffspunkte verwendet werden. Der Schwerpunkt liegt nach wie vor auf traditionellen Einstiegspunkten (Mail-Server, Internet-Gateway, Web).
  • 55 Prozent gaben an, dass ihre Behörde derzeit nicht automatisch die Daten zu Bedrohungskampagnen an verschiedenen Standorten korreliert. 30 Prozent führen dies manuell durch und 25 Prozent gar nicht.
  • Bei der Konfrontation mit einer neuen (unbekannten) Bedrohung können nur magere 15 Prozent innerhalb weniger Minuten neue Schutzmaßnahmen erstellen (über ein Drittel benötigt mehrere Tage, um Maßnahmen zu ergreifen). Nur 17 Prozent können innerhalb weniger Minuten neue Schutzmaßnahmen verteilen.
  • Sicherheitsteams nutzen täglich die Daten von durchschnittlich 25 externen Bedrohungs-Feeds. 47 Prozent nutzen Feeds nur per E-Mail. 72 Prozent benötigen wenige Stunden bis ein paar Tage, um die Anwesenheit einer einzigartigen Bedrohung zu beurteilen und zu bestimmen, ob etwas zu tun ist. 81 Prozent benötigen wenige Stunden bis ein paar Tage, um die Sicherheitsaufstellung so verändern, um sich vor einer neuen Bedrohung zu schützen, über die sie durch externe Quellen informiert worden sind.
  • Sicherheitsteams wenden qualifizierte und begrenzte Ressourcen für Aufgaben auf, die eigentlich problemlos automatisiert werden könnten.

 

Die meisten öffentlichen Einrichtungen brauchen nicht mehr Daten (oder Leute, um die Daten auszuwerten), sondern die Fähigkeit, schnellere Entscheidungen anhand der vorhandenen Daten zu treffen.

„Es ist an der Zeit, von den Innovationen in der Automatisierung zu profitieren, so wie Behörden sich langsam, aber sicher an die #Cloud heranwagen. Es gilt jetzt, die Reaktionszeit zu reduzieren, wenn das Netzwerk von einer neuen Bedrohung getroffen wird. Mit der heutigen Technologie, sollte das angestrebte Ziel, um neue Schutzmaßnahmen zu schaffen und einzusetzen, ein Zeitraum von fünf Minuten sein“, erklärt Josip Benkovic. „Dies könnte die Erstellung einer #Malware-Signatur sein, um neue IP-Adressen und Domains, die mit der Befehls- und Steuerungsinfrastruktur verbunden sind, zu erkennen und zu blockieren. #Exploits können auf diese Weise sofort gestoppt werden.“

Für die Behörden können diese Änderungen einen radikalen Einschnitt in die bisherige Vorgehensweise bedeuten. Es gilt aber zu bedenken, das mit einer inkrementellen Änderung der erste Schritt zu einem langfristigen Ziel beginnen kann. Dies kann zunächst auch nur einen Aspekt des Netzwerks betreffen:

  1. Sicherheit auf einen Standort konzentrieren, der anfälliger ist.
  2. Sicherheit auf einen Aspekt der Bedrohung ausrichten.
  3. Sicherheit auf einen Angriffsvektor ausrichten (Internet-Gateway, Nord/Süd-Eingang in das Rechenzentrum, Ost/West-Verkehr im Rechenzentrum, Office 365 und Azure-Umgebungen, SaaS-Anwendungen etc.)
  4. Verhindern von Phishing: Es lässt sich erkennen, ob ein Link in einer E-Mail bösartig ist, um dann Verbindungen zu diesen Websites zu blockieren.
  5. Verhinderung von gestohlenen Anmeldeinformationen: In automatisierten Sicherheitsplattformen wie PAN-OS 8.0 lässt sich eine seitliche Bewegung im Netzwerk mit Hilfe der Multifaktor-Authentifizierung blockieren.
  6. Reduzierung des Arbeits- und Zeitaufwands, um Bedrohungsdaten (aus internen und externen Quellen) zu korrelieren und umzusetzen. Mit dem MineMeld-Tool, das als Freeware angeboten oder als Teil von Palo Alto Networks AutoFocus unterstützt wird, können Korrelationen und De-Duplizierung durchgeführt werden. Zudem lassen sich automatische Blockierungslisten aus den Bedrohungsdaten-Feeds erstellen.
  7. Menschen sind Teil der Gleichung. Es gibt immer wieder Teams, die sich weigern, zusammenzuarbeiten. Die Teamarbeit zwischen allen Beteiligten mit Sicherheitsverantwortung muss verbessert werden. Dazu können zunächst zwei Teams ausgewählt werden, um auf eine verbesserte Kommunikation hinzuarbeiten: Dies kann das Netzwerk- und IT-Sicherheitsteam sein, später kann die Zusammenarbeit auf DevOps und andere Teams erweitert werden. Betreiber kritischer Infrastrukturen dürfen nicht vergessen, die ICS- und SCADA-Teams miteinzubeziehen.

Wenn für OT-Umgebungen keine nationalen regulatorischen Richtlinien vorgegeben sind, bieten sich NERC CIPv5 und das Purdue-Modell als Orientierungshilfe an.

Die Aktualität und Genauigkeit der Informationen sind absolut kritisch, so #Palo Alto Networks. So wie in der physischen Welt zählt auch in der Cyberwelt jede Sekunde. Die Fehler von 2016 sollten sich nicht wiederholen. Es ist möglich, unsere Daten und Netzwerke angemessen zu schützen, auch wenn diese mittels SaaS (Software-as-a-Service) und öffentlicher Cloud auf entfernte Standorte ausgedehnt werden.

„Im Jahr 2017 ist es an der Zeit, die Automatisierung zu unserem Vorteil zu nutzen und das Risiko für Behörden und kritische Infrastrukturen zu reduzieren. Nur so lässt sich das Vertrauen der Bevölkerung in unsere digitale Lebensweise aufrechterhalten“, fasst Josip Benkovic abschließend zusammen.

#Netzpalaver