Fachleute für Cybersicherheit machen in der Regel den Endbenutzer für das größte Risiko bei der Sicherung des Unternehmens verantwortlich. In vielerlei Hinsicht ist dies verständlich. Systeme und Software sind unter unserer Kontrolle, aber Endbenutzer sind unberechenbar. Sie erweitern unsere Bedrohungsfläche um jeden geografisch verstreuten Benutzer, jedes persönliche Gerät und ihr Fehlerpotenzial, das sich auf unsere Sicherheit auswirkt.
Es liegt auf der Hand, dass Bedrohungsakteure unsere Nutzer mit realen schlechten Ergebnissen ins Visier nehmen. Klar ist aber auch, dass wir dieses Problem nicht wegtrainieren können. Fortune-100-Unternehmen investieren jedes Jahr beträchtliche Summen in die Schulung des Sicherheitsbewusstseins ihrer Benutzer, und dennoch kommt es immer wieder zu Sicherheitsverletzungen. Es ist also keine effektive Strategie, sich in erster Linie auf die Sicherheit der Endbenutzer zu konzentrieren.
Tatsache: Ihre Nutzer sind ein großer Risikofaktor: Laut dem Verizon's 2022 Data Breach and Investigations Reportbegannen 35 % der Ransomware-Infektionen mit einer Phishing-E-Mail. Tatsache: Dies ist trotz der seit Jahren aggressiv steigenden Investitionen in Sicherheitsschulungen der Fall, was sich voraussichtlich fortsetzen wird. wird voraussichtlich wachsen von 1.854,9 Mio. USD im Jahr 2022 auf 12.140,0 Mio. USD im Jahr 2027 wachsen, mit einer CAGR von 45,6 % von 2022 bis 2027. Tatsache: Trotz all dieser Investitionen wird erwartet, dass Ransomware (nur als Beispiel für einen Angriffstyp) wird auch ein aggressives Wachstum erwartettrotz vieler organisatorischer Bemühungen, einschließlich der Schulung von Endbenutzern. Traurige, unvermeidliche Tatsache: Unsere Benutzer werden immer noch Fehler machen - schließlich sind wir alle Menschen. Eine durchgeführte Umfrage um die Notwendigkeit von mehr Sicherheitstrainings zu belegen, hat meiner Meinung nach bewiesen, dass die Cyber-Krise dadurch nicht gestoppt werden kann: Vier von fünf Befragten hatten ein Sicherheitstraining erhalten; zwischen 26 und 44 % (je nach Altersgruppe) klickten trotzdem weiter auf Links und Anhänge von unbekannten Absendern. Daraus sollten wir schließen, dass sich die Sicherheit von Unternehmen nicht zu sehr auf die Sicherheit der Endbenutzer stützen darf, sondern dass sie davon ausgehen sollten, dass in ihre Systeme eingedrungen wird, und mit dieser Annahme beginnen sollten, ihre Systeme zu sichern. "Trainieren und beten" funktioniert einfach nicht. Und selbst wenn ein Endbenutzer angegriffen wird, sollte der systemische Schaden, der durch die Kompromittierung entsteht, nicht möglich sein, wenn die richtigen Sicherheitsmaßnahmen eingesetzt und richtig koordiniert werden.
Sollten wir unsere Endnutzer schulen? Auf jeden Fall und mit Nachdruck, ja. Starke Sicherheit erfordert einen mehrschichtigen Ansatz, und das bedeutet, dass Sie Ihre Sicherheit verstärken müssen, indem Sie alle Zugänge zu Ihren Unternehmenssystemen sichern. Ohne diese Schulung würden wir wahrscheinlich noch mehr große Sicherheitsverletzungen erleben. Wir müssen jedoch damit beginnen, unsere Sicherheit so zu betrachten, dass das Risiko für die Endbenutzer reduziert wird, ohne dass sie die schwere Arbeit übernehmen müssen. Für viele Unternehmen erfordert dies einige schwierige Entscheidungen und eine deutliche Unterstützung dieser Entscheidungen durch die Führung.
Wie können wir das Benutzerrisiko verringern?
Unternehmen müssen den Zugang blockieren und Sicherheitskontrollen einrichten. Die Systeme sind standardmäßig zu offen. Wir müssen sie standardmäßig schließen, jedes einzelne auf sein Risiko hin bewerten und es dann mit voller Absicht zulassen. Benutzer können nicht auf etwas klicken oder etwas öffnen, auf das sie keinen Zugriff haben, und in den Organisationen, die wir nach einem Sicherheitsverstoß bewerten oder sanieren, sehen wir, dass Mitarbeiter und Systeme weitaus mehr Zugriff haben und Risiken ausgesetzt sind, als im Rahmen der Arbeit notwendig ist. Unternehmen sollten die Sicherheit ihrer Mitarbeiter, Prozesse und Technologien stärker orchestrieren, so dass für den Fall, dass sich ein Bedrohungsakteur durch einen unzulässigen Klick (oder über einen anderen Vektor) Zugang verschafft, Kontrollen vorhanden sind, die eine seitliche Bewegung des Bedrohungsakteurs und das Sammeln/Eskalieren von Anmeldeinformationen verhindern. Hier sind einige konkrete Maßnahmen, die Unternehmen ergreifen können, um das Risiko für Endbenutzer zu beseitigen:
Sperren Sie den Zugang zu persönlichen E-Mail-Konten: Den Benutzern sollte es nicht gestattet sein, von ihren Arbeitsgeräten aus auf ihre persönlichen E-Mails oder Social-Media-Seiten zuzugreifen. Persönliche E-Mails sind nicht durch die E-Mail-Filter des Unternehmens geschützt, werden aber von Bedrohungsakteuren stark beansprucht; soziale Medien sind ein weiterer unnötiger Risikofaktor, der standardmäßig gesperrt werden sollte.
Filtern Sie HTTPS-Datenverkehr mit Deep Packet Inspection: Mehr als 80 % des Internets und 90 % der Befehls- und Kontrollfunktionen sind verschlüsselt. Wenn ein Unternehmen den ausgehenden HTTPS-Verkehr nicht mit Deep Packet Inspection prüft (und das tun die meisten nicht), entgeht ihm der größte Teil des Internets und die meisten Aktivitäten der Bedrohungsakteure - die Firewalls und Webfilter bringen also im Grunde nichts!
Blockieren Sie standardmäßig alle ausgehenden Ports außer HTTP (80) und HTTPS (443) in Benutzersubnetzen/VLANs: Die Benutzer sollten nicht in der Lage sein, über andere Ports als die für das Surfen erforderlichen ins Internet zu gelangen. Natürlich gibt es einige organisatorische Anwendungen, die neben den Ports 80 und 443 noch andere Ports zum Internet benötigen; diese Ports sollten jedoch nur in Ausnahmefällen mit Quell-, Port- und Zielbereich geöffnet werden - und wenn möglich, intensiv von der Perimeterkontrolle überprüft werden.
Sperren Sie den Internetzugang für Nicht-Benutzer-Subnetze/VLANs standardmäßig: Server, Verwaltungs- und Druckernetze sollten beispielsweise keinen Zugang zum Internet über irgendwelche Ports oder Protokolle haben. Diese Netze sollten nur über die spezifischen Ports, die für die auf ihnen laufenden Anwendungen erforderlich sind, ausgehend auf das Internet zugreifen können. Alle Ports und Protokolle sollten standardmäßig blockiert und nur bei Bedarf für Anwendungsfunktionen selektiv zugelassen werden.
Verlangen Sie, dass der gesamte Benutzerverkehr jederzeit überprüft und gefiltert wird - unabhängig vom Standort des Endpunkts: Oft wird der Datenverkehr der Benutzer nicht mit derselben Intensität geprüft, wenn der Benutzer von zu Hause (oder einem Café) aus arbeitet. Daher muss das Unternehmen Kontrollen implementieren, um den gesamten Benutzerverkehr durch dieselben Filter und Prüfungen zu zwingen - unabhängig davon, wo er sich bewegt.
Der Zugriff auf Anwendungen von nicht zugelassenen Geräten mit bekannten guten Anmeldeinformationen und ohne MFA sollte nicht möglich sein - unabhängig vom Netzwerk: Benutzer sollten nicht in der Lage sein, auf vom Unternehmen bereitgestellte Anwendungen zuzugreifen, wenn sie sich nicht auf vom Unternehmen zugelassenen Geräten mit korrekten Anmeldeinformationen und MFA befinden. Benutzer sollten verpflichtet sein, ihre Anmeldeinformationen und MFA intern und extern mindestens einmal täglich vorzulegen, d. h. Sitzungs-Tokens sollten mindestens einmal täglich (vorzugsweise täglich) ablaufen.
Verbieten Sie nur von der IT-Abteilung zugelassene Filesharing-Systeme und Passwort-Tresore: Bedrohungsakteure nutzen häufig gängige Dateifreigabesysteme, um Daten zu exfiltrieren, und Cloud-basierte Kennworttresore sind eine Fundgrube für Hacker. Die IT-Abteilung sollte sicherheitsgeprüfte, zugelassene Systeme auswählen und alle anderen ausschließen. Dies sollte zu einem Arbeitsparadigma des Unternehmens werden: "Wähle ein Tool und sperre alle anderen".
Aktivieren Sie die Sicherheitsfunktionen (gehen Sie nicht davon aus, dass Sie mit den Standardeinstellungen sicher sind): Sicherheitstools und -plattformen wie Firewalls und Endpoint Detection and Response (EDR) verfügen über viele Sicherheitsfunktionen, die in den Standardeinstellungen nicht aktiviert sind (oder zu offen sind). So können beispielsweise viele moderne Firewalls viele der von Bedrohungsakteuren verwendeten Methoden verhindern; die Funktionen der Firewall sind jedoch selten alle aktiviert. Oft lassen sie standardmäßig ALLE TCP/UDP-Ports nach außen zu; die meisten Benutzer benötigen jedoch nur die Ports TCP 80 (HTTP) und TCP 443 (HTTPS). Bedrohungsakteure nutzen dies zu ihrem Vorteil - dies ist ein weiteres Beispiel dafür, dass jedes System bewertet und je nach Bedarf selektiv und absichtlich blockiert oder zugelassen werden muss.
EDR-Tools bieten ebenfalls leistungsstarke Schutzfunktionen. Allerdings schalten Unternehmen oft nicht alle Funktionen dieser Anwendungen ein, um den größtmöglichen Nutzen aus ihrer Investition zu ziehen. Darüber hinaus ergänzen sie diese Lösungen oft nicht mit anderen gestapelten Kontrollen, obwohl dies in der Dokumentation dieser Unternehmen empfohlen wird.
Die Hindernisse für diesen Ansatz
Es gibt mehrere Gründe, warum die Sperrung und Überwachung nicht auf dem heute erforderlichen Niveau erfolgt und stattdessen die Benutzer die Hauptlast der Verantwortung für Verstöße tragen. Erstens kann es bei den Benutzern (und der Unternehmensleitung) unpopulär sein - die Sperrung des Zugriffs auf persönliche Websites, die Einschränkung des Zugriffs auf bevorzugte Plattformen und die Verlangsamung des Zugriffs auf Systeme durch Filterung/Inspektion können zu Unzufriedenheit bei den Benutzern führen. Außerdem erwartet und befürchtet die Leitung diese Unzufriedenheit der Benutzer. Einige der benötigten Tools sind auch kostspielig. Es handelt sich jedoch um eine erzieherische Maßnahme, die die Zustimmung der Führungsebene des Unternehmens erfordert.
Die IT-Abteilung muss sowohl die Probleme als auch die Lösungen so formulieren, dass die Führungskräfte sie verstehen und nachvollziehen können. Sie müssen in der Lage sein, ihren Vorständen und Aufsichtsräten die sehr realen Risiken und die Folgen eines Versagens darzulegen, damit angemessene Kontrollen und die damit verbundenen Kosten zugewiesen werden können. Die Benutzer können dann von oben nach unten darüber aufgeklärt werden, warum diese Kontrollen notwendig sind. Auf diese Weise kann die Aufklärung über die Sicherheit die nächste Evolutionsstufe erreichen, von "Nicht klicken und hier ist der Grund" zu "Wir blockieren die meisten Dinge standardmäßig und hier ist der Grund". Wenn sich die Führungskräfte nach der Schulung immer noch dagegen entscheiden, aggressivere Investitionen in Tools und Prozesse zu tätigen, sind sie nun selbst am Zug, indem sie das Risiko, das sie für das Unternehmen eingehen wollen, persönlich übernehmen.
Oft sind die IT-Teams auch personell unterbesetzt, überlastet und auf den täglichen Geschäftsbetrieb konzentriert. Sie können keine Risiken eindämmen, die sie nicht sehen, sie können nicht über Bedrohungen aufklären, die sie nicht kennen, und sie können keine Tools aktivieren, für die sie nicht ausgebildet sind. Sie verfügen nicht immer über die Daten, die cyberspezifischen Fähigkeiten oder den Einfluss, um Angriffe zu blockieren, zu koordinieren oder die nötige Zustimmung zu erhalten, um das Unternehmen vollständig zu schützen. Außerdem befinden sie sich nicht täglich inmitten von Sicherheitsverstößen, wie wir als Incident Responder - und sehen das Blutbad. Teams, die diesen Einblick nicht haben, sollten eine gründliche Bewertung ihrer Kontrollen, Konfigurationen und Orchestrierung durch qualifizierte Expertenunternehmen (wie Athena7). In einigen Fällen sollten Unternehmen externe, qualifizierte Managed-Security-Firmen in Anspruch nehmen, wie z. B. Grypho5mit der Implementierung, Orchestrierung, Verwaltung, Überwachung und Berichterstattung über bestimmte Kontrollen wie Backups, Firewalls und Endpunkte zu beauftragen.
Eines ist sicher: Egal, wie viel Schulung wir anbieten, die Benutzer werden immer Fehler machen. Wir können und dürfen nicht zulassen, dass ein einziger Klick Organisationen weiterhin so stark gefährdet. Es ist von entscheidender Bedeutung, die Möglichkeiten der Benutzer, überhaupt zu klicken, zu minimieren und dann sicherzustellen, dass, wenn sie es tun, viele mehrschichtige Kontrollen vorhanden sind, um das Fortschreiten der Angriffskette zu unterbrechen.