Umgang mit der Bedrohung
Sicherheit muss als kontinuierlicher Lebenszyklus gehandhabt werden, um nicht nur einmalig wirksam zu sein, sondern durchgehend wirksam zu bleiben. Täglich werden neue Arten von Angriffen entwickelt, Viren und Würmer geschrieben, Naturkatastrophen können eintreten, Veränderungen am Arbeitsplatz der Organisation können stattfinden und neue Technologien können eingeführt werden. All dies wirkt sich auf die Sicherheitslage im Unternehmen aus. Der Lebenszyklus Sicherheit besteht aus fünf Abschnitten. Jeder einzelne Abschnitt des Lebenszyklus kann ohne den andere nicht wirksam sein. Risiken zu identifizieren und festlegen, wie man mit ihnen umgeht, ist unerlässlich. Vielleicht gibt es eine Sicherheitsrichtlinie für Informationssysteme in der Organisation, aber reicht das? Kannst Du sicher sein, dass Du und Deine Organisation sicher sind? Mache eine Momentaufnahme deiner Organisation als Ausgangspunkt und definiere Maßnahmen. Dies ist ein guter Anfang, sollte aber nicht auch gleich damit wieder enden. Der Lebenszyklus muss ein kontinuierliches Bemühen und Streben für jedes Unternehmen sein. Vor allem um mit technologischen Veränderungen und neuen Sicherheitsschwächen auf dem Laufenden zu bleiben und mit diesen auch umgehen zu können. Die laufenden Änderungen unserer Umwelt erfordern auch eine laufende Anpassung an diese.
Willst Du mehr darüber erfahren und kann ich Dich dabei unterstützen? Das ist genau mein Thema!
In diesem Artikel werden die Sicherheitselemente diskutiert, aus denen der IT Sicherheit Lebenszyklus besteht; vor allem welche Teile benötigt werden, um alle Aspekte der Sicherheit anzugehen und wie oft sie angegangen werden sollten.
Die Sicherheitselemente sind in drei Handlungsbereiche unterteilt – Prävention, Erkennung und Reaktion. Jeder Bereich wird im Folgenden dargestellt, einschließlich der Elemente, die in diese Bereiche passen und wie Du mit der allgemeinen Sicherheitslage des Unternehmens umgehen kannst.
Prävention
Wie kann ein Unternehmen anfangen, über den Schutz seines Unternehmensvermögens nachzudenken, ohne eine Art Präventionsmechanismus aufzubauen? Firewalls wurden entwickelt, um das eigene Netzwerks zu schützen und abzuschotten. Aber nur weil eine Firewall eingerichtet ist, bedeutet das nicht, dass das Netzwerk nicht kompromittiert werden kann. Firewalls gibt es in verschiedenen Geschmacksrichtungen. Eine Firewall kann ein reiner Paketfilter, ein Anwendungsgateway, oder auch ein vermittlungsschicht- oder verbindungsorientiertes Inspektion Gerät sein. Alle unterschiedlichen Arten sind darauf ausgelegt auf verschiedene Arten möglichen schadhaften, verbotenen, Datenverkehr zu blockieren. Es ist wichtig, ein Firewall-Regelwerk zu erstellen, das angibt, was in das oder aus dem Netzwerk gelangen darf und was nicht. Selbst mit diesen Regeln besteht immer die Möglichkeit eines Angriffsvektors, der die Firewall umgehen kann. Beispielsweise kann ein fragmentiertes Paket eine Firewall passieren, da diese keine vollständige Inspektion durchführt. Denke daran, dass eine Firewall die Möglichkeit einer Kompromittierung zwar „verhindern“ kann, aber das geht nur, wenn sie vollumfängliche alle aufgeteilten (vgl.: fragmentierte) Pakete zusammen betrachten und filtern kann. Das passiert aber aus verschiedenen Gründen nicht immer. Vor allem steht hier die Bewahrung der Benutzerakzeptanz und -toleranz im Vordergrund. Damit die Verzögerung, mit der gefilterte Pakete ausgeliefert werden, nicht zu groß ist muss ein Kompromiss bezüglich Vollständigkeit der zusammengehörigen Pakete eingegangen werden.
Eine weitere Ergänzung der Prävention ist die Bewertung. Sowohl die Schwachstellenbewertung, als auch der Penetrationstest befassen sich mit Risikostufen und „Löchern“, die korrigiert werden müssen. Ohne eine Bewertung findest Du möglicherweise nie die Schwächen in der Sicherheit des Unternehmens. Die Schwachstellenbewertung befasst sich nicht nur mit Risiken auf Netzwerk- und Geräteebene, sondern auch allgemeine Sicherheitsrisiken innerhalb des Unternehmens, einschließlich physischer, wie auch logischer Daten. Wie zum Beispiel dem Altpapier neben dem Stockwerksdrucker. Penetrationstests sind eine großartige Möglichkeit, die Sicherheitsstärke zu „testen“, sobald Risiken identifiziert und korrigiert wurden.
Einen Penetrationstest in verschiedenen Stufen kann ich Dir auch anbieten. Vor allem orientiere ich mich hier an OWASP und OSINT.
Erkennung
Intrusion Detection Systems (IDS) und Firewalls sind beide Erkennungsmaßnahmen. Das IDS überwacht den Netzwerkverkehr auf sogenannte Angriffssignaturen oder Verhaltensabweichungen und meldet jedes Auftreten nach definierten Risikostufen. Je nachdem, wo sich der IDS-Sensor befindet, innerhalb der Firewall oder außerhalb der Firewall, kann es sowohl als Erkennungswerkzeug als auch als Präventionswerkzeug dienen. Die Firewall selbst fungiert als Erkennungswerkzeug, da alle Aktivitäten protokolliert werden und überprüft werden sollten. Angenommen, Deine Firewall blockiert auf Grund Ihrer Regeln einen definierten Datenverkehr, dann sollten anfangs zumindest alle fehlgeschlagenen und erfolgreichen Versuche in eine Protokolldatei geschrieben werden. Durch die Überprüfung der Protokolldatei kannst Du anhand der Art der stattfindenden Aktivität feststellen, ob jemand nach Löchern (vgl.: Schwachstellen) in Deiner Firewall sucht.
Reaktion
Wenn eine Kompromittierung erfolgt, wie ist damit umzugehen? Woran soll sich eine Lösung orientieren? Denke daran, dass eine Kompromittierung nicht nur über den regulären Weg, die Firewall, erfolgen kann, sondern auch durch einen unachtsamen Mitarbeiter zum Beispiel. Dieser gewährt unbewusst Zugriff auf das Netzwerk über eine Modemverbindung oder sogar den physischen Zugang zu einem Bereich an jemanden, der vorgibt, eine autorisierte Person zu sein (vgl.: Social Engineering). Die Sicherheitsrichtlinie für Informationssysteme (vgl.: IS) fällt in die Kategorie „Reaktion“. Die IS-Sicherheitsrichtlinie ist in der Regel ein schriftliches Dokument, das die Absichten des Managements zur Behandlung der Sicherheit definiert. Die Reaktion kann auch mit dem Computer Incident Response Team (CIRT) – sollte die Organisation eines haben – und (externen) Experten für Computerforensik durchgeführt werden, falls eine Untersuchung durchgeführt werden muss.
Abschnitte des Lebenszyklus
- Schutz der (Netzwerk-)Umgebung
- Risiko- und Schwachstellenbewertung
- Sicherheitsrichtlinie für Informationssystem
- Penetrationstest
- Einbruchserkennung
1. Schutz der Umgebung (Perimeter)
Es gibt nur eine Möglichkeit, Dein internes Netzwerk vor einer möglichen externen Kompromittierung zu schützen, trenne es! (Zumindest logisch, elektrische Trennung wäre noch besser, aber auch die „Air Gap“ wurde schon überwunden!) Wir alle wissen, dass dies im heutigen täglichen Betrieb keine realistische Wahl ist. Vor Jahren, als das Internet nicht so integraler Bestandteil der heutigen Geschäftswelt war, war die einzige Sorge um Kompromittierung von innen. Jetzt, da fast jeder mit dem Internet verbunden ist, besteht die Notwendigkeit, eine Art vollumfänglichen Schutz an jedem Ort einzurichten. Es gibt viele beliebte Marken von Firewalls, von Freeware-Anwendungen, unter Linux werden gerne welche ausgeführt, bis hin zu kommerziellen Firewall-Lösungen. Auch kann man seine Firewall mit BSD und dem Berkley Paket Filter selber bauen. Alle haben gemein, dass sie eine Möglichkeit von Kontrolle der Firewall bereitstellen müssen. Im Folgenden findest Du die gängigen Arten von Firewalls, die verfügbar sind; andere, die nicht erwähnt werden, beinhalten eine Mischung aus der Kombination einiger dieser Arten. Vor allem kann ich Dich gerne beraten und dir helfen, die für Dich passende Lösung zu finden.
Paketfilter – Arten von Firewalls
Paketfilter sind normalerweise Teil eines Routers. Der Router vergleicht jedes Paket mit einer Reihe von Regeln, und je nach Regel kann die Firewall das Paket verwerfen oder an das Ziel weiterleiten. Die Regeln können Quell- und Ziel-IP-Adressen, Quell- und Zielanschlussnummern und Protokolle umfassen. Der Vorteil eines Paketfilters sind seine niedrigen Kosten und der geringe Leistungsbedarf. Er fällt im Netzwerk kaum auf und verzögert den Verkehr unmerklich. Der Nachteil ist, dass es nur auf der Netzwerkebene funktioniert und keine Network Address Translation (NAT) unterstützt, um IP-Adressen hinter der Firewall wie die Circuit-basierte Firewall zu verbergen.
Application Gateway – Arten von Firewalls
Dies wird auch als Proxy-Server bezeichnet. Dieser Firewall-Typ ist anwendungsspezifisch und funktioniert auf der Anwendungsebene des OSI-Modells. Wenn kein Proxy definiert ist, können Pakete nicht auf diese Dienste zugreifen. Der Vorteil des Gateways auf Anwendungsebene oder Proxy besteht darin, dass es anwendungsspezifische Protokolle wie FTP, Telnet, SMTP und http filtern kann. Filtern heisst in dem Fall, dass in die Pakete hineingeschaut werden kann. Wie zum Beispiel SQL Abfragen, ob diese in zulässigen Parameterintervallgrenzen gestellt werden. Dies kann nicht mit anderen Firewalls erreicht werden – Paketfilterung oder Filterung auf Vermittlungsebene sind hier gemeint – da sie nicht auf Anwendungsebene filtern. Der Nachteil ist der Leistungseinbruch im Netzwerk infolge des stattfindenden Kontextwechsels.
Vermittlungsschicht – Arten von Firewalls
Firewalls auf Vermittlungsschichtebene funktionieren auf der Sitzungsebene des OSI-Modells und konkret der TCP-Schicht des TCP/IP-Modells. Sie überwachen die TCP-Aushandlung zwischen Paketen, um zu überprüfen, ob die angeforderte Sitzung gültig ist. Der Vorteil von Firewalls auf Vermittlungsschichtebene besteht darin, dass Du die Informationen über das interne Netzwerk mithilfe von Network Address Translation (NAT) ausblenden kannst, wodurch das Paket scheinbar aus der Firewall stammt. Der Nachteil ist, dass Du den Inhalt einzelner Pakete nicht filtern kannst.
Verbindungs Inspektion – Arten von Firewalls
Diese Firewall kombiniert die drei oberen Arten von Firewalls in einer gesamten Lösung. Es ermöglicht die Verbindung zwischen dem Client und dem Server über mehrere Schichten. Es filtert Pakete auf der Netzwerkschicht, überprüft, ob Pakete auf der Sitzungsschicht gültig sind und wertet den Inhalt auf der Anwendungsebene aus. Der Vorteil von sogenannten state-full Inspektion Firewalls ist, dass sie für den Benutzer transparent sind. Transparent heisst in diesem Zusammenhang, dass der Benutzer den Eingriff weder aktiv steuern muss/ kann und auch gar nicht bemerkt. Das bietet ein hohes Maß an Sicherheit und guter Leistung. Der Nachteil dieser Firewall ist die Komplexität ihrer Verwaltung.
Die Firewall ist der erste Teil der Absicherung Deiner Infrastruktur. Es macht nicht viel Sinn, eine Schwachstellenbewertung ohne irgendeine Art von Umgebungsschutz durchzuführen. Ohne Firewall ist Dein gesamtes Netzwerk offen zugänglich. Die Firewall gilt als Teil des Sicherheits Lebenszyklus und sollte es auch immer sein. Schließlich wirst Du, sobald die Firewall eingerichtet ist, irgendwann eine Richtlinienregel hinzufügen oder ändern. Vielleicht wirst Du auf eine neue Version wechseln, aktualisieren oder Patches installieren. Änderungen an Deiner Firewall werden zweifellos oft passieren! Daher muss die Firewall laufend überprüft und getestet werden, um sicherzustellen, dass sie immer noch das tut, was Du beabsichtigst. Ein Großteil dieser Überprüfung wird während der Schwachstellenbewertung behandelt. Vielleicht entscheidest Du Dich vielleicht, die Schwachstellenbewertung nicht durchzuführen und direkt einen Penetrationstest auszuführen. Auch in diesem Fall ist eine ständige Überprüfung der Firewall erforderlich, um sicherzustellen, dass nichts offen gelassen wurde. Schaue Dir Deine Regelsätze und Protokolldateien an und überprüfe diese regelmäßig. Nur so kannst Du sicher sein, dass Du alles blockierst, was Du auch beabsichtigst zu blockerien.
2. Risiko- und Schwachstellenbewertung
Dies ist meistens eigentlich der erste Schritt in einem Sicherheitslebenszyklus. Eine gründliche Schwachstellenbewertung befasst sich mit Risiken auf allen Ebenen innerhalb eines Unternehmens, um die Integrität, Vertraulichkeit und Verfügbarkeit der Vermögenswerte des Unternehmens zu identifizieren. Wir alle wissen, dass es zu einem Datenverlust kommen kann, wenn unsere Netzwerke von außen gehackt werden. Was ist mit dem Inneren? In Wirklichkeit gibt es einen hohen Prozentsatz an Kompromittierungen, die aus dem Netzwerk eines Unternehmens selber heraus verursacht werden. Zum Beispiel können interne Kompromittierungen von einem Mitarbeiter mit uneingeschränktem Zugriff verursacht werden, der „spielt“ oder, im Falle eines neuen Administrators, in der Anlernphase der Arbeit und die falsche Konfiguration von Software, was zu einem Denial-of-Service (Dos) führen kann.
Aber es gibt viele andere logische und physische Bereiche, die zusätzlich zu den Netzwerken und Geräten auch während einer Bewertung überprüft werden müssen. Im Folgenden sind Schlüsselbereiche aufgeführt, die während einer Bewertung behandelt werden sollten. Die Liste ist nicht vollständig und kann je nach Bedarf ergänzt und geändert werden.
- Außensicherheit – Zäune, Beleuchtung, Gebäudestandort
- Gesicherte Müllcontainer – Haben Sie schon vom Mülltauchern gehört? Ja, es gibt Leute, die den Müll des Unternehmens durchsuchen und nach vertraulichen Informationen dort suchen.
- Gebäudesicherheit – Schlüsselverriegelte Türen, biometrische Authentifizierung, physische Überwachung, Kameras
- Abteilungen – logisch gegliedert um Information in Ihrer Gesamtheit aufzulösen und somit sicher aufzubauenbewahren. (vgl.: Chinese Wall)
- Passwörter – Ein Post-it ist und bleibt ein Hit. Unter der Tastatur oder an der Seite des Monitors, darauf steht dann ID und Kennwort.
- Computer/Rechenzentrum – Umweltkontrollen, Brandbekämpfung, Kabelmanagement, gesicherte Verbindungen, Brandabschnitt
- Datenklassifizierung – Vertraulich, geheim, Wissenswertes, nur für den Dienstgebrauch, …
- Zugriffsgruppen – zugewiesen nach Benutzer und/oder Gruppe und/oder Rolle
- Personalverwaltung und IT-Personal
- Nicht authorisierte Modemverbindungen – realer Test
- Social Engineering – Personen, die vorgeben, Angestellter oder Wartungsarbeiter zu sein, um unbefugten Zugriff zu erhalten – realer Test
Die Bewertung listet alle Risikostufen auf, die mit den oben genannten Bereichen verbunden sind. Sollte einer dieser Bereiche kompromittiert werden, wie wird es sich auf den Betrieb der Organisation auswirken? Wird es Einnahmeverluste, Reputationsverluste, oder mögliche Klagen geben?
Die in diesem Erfassungsprozess generierten Informationen unterstützen die IT-Mitarbeiter und das Management sachlich fundierte Entscheidungen zu treffen, wie die betroffenen Unternehmensressourcen besser geschützt werden können. Diese Daten dienen auch als Verweis auf die Erstellung und/oder Aktualisierung der Sicherheitsrichtlinie für Informationssysteme.
Bewertungen auf Netzwerk- und Geräteebene können mit einer Reihe von kommerziellen und Freeware-Tools durchgeführt werden.
3. Sicherheitsrichtlinie für Informationssysteme
Die Sicherheitsrichtlinie für Informationssysteme (vgl.: ISR) besteht aus einer Sammlung einzelner Dokumente. Diese Dokumente befassen sich mit konkreten Bereichen der ISR und sind erfolgskritische Elemente eines ordnungsgemäßen Sicherheitsplans. Jede Organisation wird je nach den organisatorischen Anforderungen unterschiedliche Richtlinien haben. Aus diesen Anforderungen ist die Richtlinie abzuleiten – orientiert an der Praxis, was akzeptiert ist und was nicht. Im Folgenden findest Du eine Liste von Teilrichtlinien, die in eine ISR aufgenommen werden könnten. Diese Liste lässt sich beliebig ergänzen und verkürzen – je nach Organisation und ihren Eigenheiten.
Kommentar: Hier stand früher der Verweis zu PentaSafe Security Technologies. Diese Firma ist von NetIQ übernommen worden. Den ursprünglichen Inhalt gibt es nicht mehr.
- Firewalls
- Elektronischer Handel
- Digitale Signaturen
- Computerviren
- Verschlüsselung
- Dauerhafter Betrieb
- Protokollierung
- Internet
- Intranet
- Datenschutz
- Auslagerung von Sicherheitsfunktionen
- Computer-Notfallteam
- Mikrocomputer
- Lokale Netzwerke
- Passwortauswahl
- Datenklassifizierung
- Telearbeit
- Telefonanlagen
- Tragbare Computer
- Benutzerschulung
Sobald die gesamte Richtlinie entwickelt ist, muss jeder innerhalb der Organisation überprüfen und bestätigen, dass die Vorgaben der Richtlinie eingehalten werden. Eine „schriftliche“ ISR ist das Dokument, das die Absichten des Managements aus Sicht der Informationssicherheit beschreibt. Sollte es zu einer Kompromittierung, Missbrauch oder anderer Verletzung kommen, dann ist dieses Dokument sehr wahrscheinlich haftungsrelevant für das Management. Die Leitung haftet prinzipiell für den Verlust von Unternehmensvermögen. Wegen des sich ständig verändernden Umfeld der meisten Organisationen ist die Sicherheitsrichtlinie für Informationssysteme ein Dokument, das zumindest jährlich überprüft und bei Bedarf geändert werden muss.
Wo fängst Du also bei der Entwicklung der Sicherheitsrichtlinie für Informationssysteme an? Du könntest einen Sicherheitsberater beauftragen, diese Richtlinien für Dich zu erstellen. Oder wenn Du über die Ressourcen verfügst, kannst du dieses auch mit intern Ressourcen durchführen. Es gibt viele Websites im Internet, die Beispielrichtlinien haben, die heruntergeladen werden können, aber sei vorsichtig, wie Du diese auf Deine Organisation anwendest.
4. Penetrationstest
Ist das wirklich notwendig? Vorweg ein paar Fragen, die Du Dir selber stellen kannst. Ein Penetrationstest sollte Dir die Antworten auf diese Fragen liefern.
- Wie anfällig ist meine Technologie und Infrastruktur für (Netzwerk-)Angriffe von außerhalb der Organisation?
- Mit welchen Mitteln können Hacker / Cracker unbefugten Zugriff auf meine Technologie und Informationsressourcen erhalten?
- Sind Firewalls, Router, Modems und andere Netzwerkgeräte korrekt konfiguriert, mit aktueller Software versorgt und richtig verwaltet?
- Wie gut unterstützt meine Sicherheitsrichtlinie für Informationssysteme Zugangsbarrieren? Rechte und Privilegien an meiner Technologieinfrastruktur?
- Wie viele meiner IP-Adressen (Internet Protocol) sind für die Außenwelt und welche Dienste sind an diesen Adressen verfügbar und erreichbar?
- Wie viele „Anschlüsse“ präsentiert meine Organisation der Außenwelt und wie anfällig sind diese (meist Modems, oder Einwahlpunkte) für Hacker?
Sobald eine Schwachstellenbewertung durchgeführt und Korrekturen angewendet wurden, ist der Penetrationstest eine gute Gelegenheit, um zu testen, wie widerstandsfähig die Sicherheit von außerhalb des Netzwerks ist. Dies wird in der Regel als Zero-Knowledge kombiniert mit der Brute-Force Methode, als Versuch durchgeführt, um Zugang zum Netzwerk zu erhalten. In der Regel sammelt ein Hacker/Cracker im ersten Schritt frei zugängliche Informationen, die als Profiling bezeichnet werden, über Deine Organisation, bevor er versucht, einen Angriff auf Dein Netzwerk zu starten. Wenn Du das gleiche Team für den Penetrationstest einsetzt, das auch die Schwachstellenbewertung durchführt, wirst Du nicht die gleichen Ergebnisse wie die eines Hackers/Cracker bekommen. Eine Sicherheitsperson ohne Wissen über Dein Unternehmen kann am besten nachahmen, was ein Hacker/Cracker während der Profiling-Phase tut. Die Idee ist, eine Person zu verwenden, die keine Kenntnis von und über die Organisation hat. Vor allem nicht die Informationen, die während der Schwachstellenbewertung über die Organisation gesammelt wurden. Dies führt zu einem realitätsnahmen Ergebnis – als ob jemand Dein Netzwerk tatsächlich kompromittiert hätte, und gibt Dir die Informationen, die Du benötigst, um die Sicherheitsschwachstellen zu erkennen und Maßnahmen zu treffen, bevor ein tatsächlicher Versuch unternommen wird.
5. Einbruchserkennung (Intrusion Detection/ Intrusion Prevention)
Jetzt hast Du also eine Firewall mit rigiden Regeln, Deine Risikobewertung sieht gut aus, eine schriftliche Sicherheitsrichtlinie für Informationssysteme ist vorhanden und jeder Mitarbeiter hat ein Sicherheitsbewusstseinstraining durchlaufen. Wie überwachst Du all diese potenziellen Gefahrenquellen einer möglichen Kompromittierung? Sowohl innerhalb als auch außerhalb Deines Netzwerks musst Du kontrollieren. Du kannst Deine Firewall-Protokolle überprüfen. Vor allem sollte auch die Änderung von Protokolleigenschaften, wie Umfang, Art und ähnliches entweder deaktiviert sein, oder zumindest protokolliert werden, wer, was, wie an der Art der Protokollierung ändert. Aber was ist mit den Angriffssignaturen und -vektoren, die nicht in einer Regel definiert sind? Intrusion Detection Systeme (vgl.: IDS) wurden entwickelt, um den gesamten Datenverkehr zu überwachen, der für Dein Netzwerk, oder auch außerhalb Deines Netzwerks, bestimmt ist. Das IDS zeigt, wenn es richtig konfiguriert ist, alle potenziellen Angriffssignaturen mit verschiedenen Risikostufen an. Wenn ein möglicher Angriff bemerkt und protokolliert wird, dann kannst Du mit diesen Informationen überprüfen, ob es bereits eine bestehende Firewallregel gibt. Gibt es keine Regel, dann ist spätestens jetzt ein guter Zeitpunkt, eine entsprechende Regel hinzuzufügen. Aus welchen Elementen, Objekten besteht jetzt ein IDS zumindest und was macht es?
- Überwacht System-, Ereignis- und Sicherheitsprotokolle auf Änderung und vergleicht den neuen Protokolleintrag mit Angriffssignaturen
- Überprüft wichtige Systemdateien und ausführbare Dateien über Prüfsummen in regelmäßigen Abständen auf unerwartete Änderungen
- Überwacht Netzwerkanschlüsse (vgl.: Ports) und benachrichtigt Administratoren, wenn bestimmte Anschlüsse abgerufen werden
- Kategorisierung des Angrifftyps
- Erfassen alle übertragenen Daten bei einem Einbruchversuchs
- Identifikation der Quelle der Kommunikation
- Benachrichtigung aller involvierten Parteien
- Überprüfung/Reparatur von Systemen (zB.: Auslösen von Roll Back)
- Detailliertes Post-Mortem (Speicher-)Abbild nach dem Eindringen
Es gibt viele Möglichkeiten für Intrusion Detection Systems, die meisten fallen in zwei Kategorien, hostbasiert und netzwerkbasiert.
- Host-basierte IDS werden verwendet, um das System selbst auf Missbrauch und interne (System-)Angriffe zu überwachen.
- Netzwerkbasierte IDS werden verwendet, um das Netzwerk auf TCP/IP-artige externe Angriffe zu überwachen.
Es ist wichtig, die verschiedenen Arten von Angriffssignaturen und -vektoren zu verstehen. Auch wie sie verwendet werden, um einen Angriff zu starten. Du kannst leicht feststellen, wann jemand Dich anpingt oder nach offenen Anschlüssen sucht – aka port scanning. Ein möglicher Hacker/Cracker wird in der Regel erst eine Reihe von Ping-, Abfrage-, DNS-Erfassungs- und sonstigen Datenerfassungstechniken durchführen, bevor er einen tatsächlicher Angriff startet. Eine erfahrene Sicherheitsfachkraft in der Organisation sollte in der Lage sein, ein Intrusion Detection System zu überwachen und die Ereignisse in Bezug zueinander setzen, die stattfinden, wenn jemand ein handelsübliches Port-Scan-Dienstprogramm verwendet oder ob tatsächlich Informationen vor dem Angriff gesammelt werden. Eine zu berücksichtigende Option ist die Auslagerung der IDS-Überwachung an ein Sicherheitsunternehmen. Diese Unternehmen haben in der Regel eine Anzahl sehr sachkundiger Sicherheitsmitarbeiter, die (Kunden-)Netzwerke in einem Network Operation Center (NOC) 24 Stunden am Tag, 7 Tage die Woche überwachen.
Reaktion
Ein Teil des Lebenszyklus, oder eigentlich nicht wirklich ein eigenständiger Punkt, ist die Reaktion auf Vorfälle. Jedoch der Vollständigkeit halber wird sie aufgeführt. Wenn eine mögliche Kompromittierung festgestellt wurde, müssen angemessene Schritte unternommen werden, um eine Untersuchung einzuleiten. Mindestinhalt sollte zumindest sein,
- Verwertbare kompromittierte Daten inkl. Metadaten in der Form von Speicherabbildern
- Beschreibung der Art des Angriffs
- Hinweise auf die Quelle/ Auslöser
- Benachrichtigung alle betroffener und involvierten Parteien
- Abstellen ein eigenen (externes) Teams zur Reaktion auf Computervorfälle
- Engagiere bei Bedarf einen Experten für Computerforensik
Auf alle Fälle, du bist nicht alleine, Vorfälle passieren ständig. Incident Response Teams und forensische Experten stehen zur Verfügung, um in diesen Notfällen zu helfen. Es gibt eine Reihe von Computern Incident Response Teams, die an die Arbeit gehen, um eine Lösung zu finden, sobald ein Vorfall erkannt wurde. Die Leistungserbringung ist zeitkritisch und sollte im Vorfeld zumindest mit potentiellen externen Dienstleistern vereinbart werden.
Conclusio
Denke bitte daran, dass Sicherheit ein Lebenszyklus ist. Diese Elemente sollten planmäßig, mindestens einmal jährlich, durchgeführt werden. Im Folgenden findest Du eine Zusammenfassung des Zyklus in Schritten.
- Implementiere einen Perimeterschutz mit einer Firewall, überprüfe die Regelsätze und Protokolldateien laufend
- Führe mindestens einmal im Jahr eine Schwachstellenbewertung durch
- Verfasse eine schriftliche Sicherheitsrichtlinie für Informationssysteme (vgl.: IRS). Überprüfe und aktualisiere diese Richtlinie mindestens einmal im Jahr
- Teste die Wirksamkeit deiner Sicherheitsmaßnahmen, indem Du mindestens einmal im Jahr einen Penetrationstest durchführst.
- Überwache den gesamten Netzwerkverkehr mit einem Intrusion Detection System.
- Kommt es zu einer Kompromittierung, dann reagiere sofort. (Ein Krisenreaktionsplan hilft …)
Es gibt keine Garantie, dass Deine Organisation jemals zu 100 % sicher sein wird. Vergleiche es mit einer Bank, wie diese ihr Vermögen sichern würde; kann eine Bank zu 100 % vor jeglicher Art von möglichen Verlust sicher sein? Eine Bank kann hochmoderne Alarmsysteme installieren, Überwachungskameras im gesamten Gebäude haben, sichere Safes einbetonieren, Wachleute auf dem Gelände platzieren, aber sollte eine Person wirklich entschlossen sein, diese Bank auszurauben, wird sie es wahrscheinlich tun. Dies gilt auch für die Informationssicherheit. Das Beste, was jede Organisation tun kann, ist, den möglichen Hacker abzuschrecken, indem sie den Zugang offensichtlich erschwert.