Strategien im Umgang mit Bedrohungen aus dem Bereich Advanced Persistent Threat (vgl.: APT). Das Ziel ist es als bedrohte Organisation die eigenen Ressourcen und Handlungsfelder möglichst effektiv zu setzen und einzusetzen, um das Risiko im Vorfeld zumindest zu verringern, wenn nicht sogar vollends auszuschliessen. Die Strategien sind gereiht nach ihrer Effektivität in Bezug auf bekannte APT Taktiken. Ein Auftreten neuer Taktiken durch den Angreifer verlangt natürlich nach einer entsprechenden Evaluierung der eigenen Ausrichtung, um das Risiko zu beurteilen und entsprechend darauf zu reagieren.
Für Risiken, die nicht ausgeschlossen werden können, die nicht anderen übertragen werden können, muss sich die Organisation explizit auseinandersetzen und nach Maßgabe – wirtschaftlich und technisch – Maßnahmen setzen. Wird das Risiko ignoriert, oder gar nicht erkannt, dann kann das zu erheblichen Folgen führen. Folgen, wie das Nicht Erfüllen von Gesetzen, Vorgaben, Richtlinien und Standards sind besonders schwerwiegend. Das hat in der Regel auch Auswirkungen auf die Organisation und im speziellen für den Verantwortlichen.
Der Umgang mit möglichen Restrisiken und vor allem auch deren Aufdeckung kann in fünf Kategorien eingeteilt werden.
1. Update und Upgrade
Möglichst zeitnahes Einspielen aller verfügbaren Software Updates. Wenn möglich im Rahmen eines automatisierten Verfahrens, dass auch eine Qualitätssicherung für einen ordnungsgemäßen Betrieb gewährleisten kann. Updates dürfen ausschliesslich aus vertrauenswürdigen Quellen – zB.: Hersteller – bezogen und auch auf Integrität und Authentizität geprüft werden.
Automatisierung ist notwendig, da mit der Veröffentlichung von Patches, Updates, auch die Fehlerquelle beschrieben wird. Mit dieser Information und dem veröffentlichen Patch, Update, als Gegenstück können und werden Exploits entwickelt. Das Schadenspotential einer nicht behobenen Schwachstelle ist genauso groß, wie das Schadenspotential einer bis dahin unbekannten Schwachstelle. Die Wahrscheinlichkeit, dass eine bekannte Schwachstelle ausgenutzt wird ist aber um ein Vielfaches höher, da vor allem Wirk- und Arbeitsweise beschrieben ist und der Aufwand für den Angreifer massiv geringer ist. Das Einspielen von Patches, Updates, setzt voraus, dass im Vorfeld auch überprüft worden ist, dass ein störungsfreier Betrieb gewährleistet werden kann. Nicht zu vergessen, dass auch die Übertragung vom Hersteller zur Organisation auf einem gesicherten Kanal erfolgt, der gewährleistet, dass die Inhalte unverfälscht ankommen.
2. Absichern von Berechtigungen und Konten
Weisen sie Zugriffsberechtigungen auf der Grundlage von Notwendigkeit – Minimumprinzip – für einen ordnungsgemäßen Betrieb zu. Ziehen sie danach auch noch in Betracht wie weit diese Funktionalität einer (Risiko-)bedrohung ausgesetzt ist. Überlegen sie, ob eine Trennung in mehrere generische Konten sinnvoll ist, wenn ein Konto mehreren Bedrohungen ausgesetzt ist. Die Verwendung einer Privileged Access Management (vgl.: PAM) Lösungen, um automatisiert Berechtigungen anlassbezogen zu verwalten und zu erteilen kann von großem Vorteil sein und bietet im Gegensatz zu anderen Vorgehensweisen auch eine Übersichtlichkeit, Stringenz und Nachvollziehbarkeit. Eine hierarchische Abbildung der Ablauforganisation in Bezug auf Entscheidungsbefugnisse kann zumindest in weniger komplexen Organisationen von Vorteil sein. Je höher die Zugriffsstufe, desto höher in der Hierarchie und desto weniger Benutzer mit diesem Umfang an Rechten. Alle Vorgänge im Zusammenhang mit der Verwaltung von Konten und Zugriffsberechtigungen sollten protokollierbar sein und auch Bestätigungs- und Freigabezyklen enthalten können. (vgl.: Vier Augenprinzip et al.)
3. Ausführungsrichtlinie – nur signierte Anwendungen
Aktuelle Betriebssysteme bieten die Möglichkeit, dass die Verwendung – Ausführung, Öffnen, etc… – von Dateien (vgl.: Software) exklusiv eingeschränkt werden kann. Exklusiv heisst in dem Fall, dass nur vertrauenswürdige Dateien geöffnet und ausgeführt werden. Die Vertrauensstellung kann über ein hierarchisches, öffentliches, Zertifikats- und Schlüsselmanagement abgebildet werden. (zB.: PKI – public key infrastructure). Über diesen Steuerungs- und Sicherheitsmechanismus können Richtlinien umgesetzt werden, die das Ausführen von Scripts, ausführbaren Dateien, Gerätetreibern und Systemsoftware (vgl.: Firmware) auf Inhaber einer zulässigen, vertrauenswürdigen Signatur einschränkt. Eine Umsetzung und Verwaltung einer entsprechenden Richtlinie im Betrieb gewährleistet die Integrität der betroffenen Systeme. Es lässt sich damit eine Exklusiv-, Positivliste, von Anwendungen definieren, die ausgeführt werden dürfen. Alle anderen Dateien können sich zumindest nicht dauerhaft einnisten, geschweige denn ausgeführt werden. Dateilose Angriffe können so nicht verhindert werden.
4. Übung der Wiederherstellung, -anlauf
Als Teil eines organisationsweiten Katastrophenplans sollte auch die Wiederherstellung des ordnungsgemäßen Betriebs und seiner Daten beschrieben, geplant, geprüft und auch geübt werden. Vor allem sollte das Augenmerk auf dem Schutz von kritischen, besonders schutzwürdigen, Daten, Konfigurationseinstellungen und Protokollen liegen, um einen dauerhaften und störungsfreien Betrieb zu gewährleisten. Vor allem wird hier auf das Gewährleistungs- und Sicherheitsziel Verfügbarkeit abgestellt. Das beinhaltet somit Maßnahmen, wie Verschlüsselung und dislozierte Sicherung, Möglichkeit einer hardwareunabhängigen Wiederherstellung, auch bekannt auch als Bare Metal Restore. Laufende Überprüfung und gegebenenfalls Anpassung des Sicherungsplans, um die Verfügbarkeit zu gewährleisten. Das beinhaltet auch, dass Sicherungen zurückgespielt und auf deren Integrität getestet werden sollten. Sicherungen können neben der Wiederherstellung nach einem Elementarereignis auch bei der Begegnung von Bedrohungen helfen, wenn der Zustand vor der Bedrohung wiederhergestellt werden kann. Vor allem bei sogenannter Ransomeware, bei der Inhalte verschlüsselt werden und für den eigentlichen Benutzer unlesbar werden.
5. Verwaltung von Systemen und Konfigurationen
Die Verwaltung von Systemen sollte auch eine aktive Komponente beinhalten. Die aktive Komponente dient zur Gewährleistung des Schutz- und Sicherheitsziels Integriät. Auf Basis einer Inventarisierung aller Systeme und installierter Software sollten alle nicht benötigten Elemente entfernt werden – sowohl Hardware, wie auch Software. Das ist die Grundlage, um einen Mindeststandard bezüglich Sicherheit zu schaffen. Die mögliche Angriffsfläche wird damit in der Regel auch reduziert und der Aufwand für den Betrieb sehr wahrscheinlich verringert. Das hilft den Ressourceneinsatz in der Organisation im Rahmen zu halten und möglichst noch auf flexibel auf neuartige Bedrohungen reagieren zu können.