CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FأœR ... DIE IT IST NICHT GENUG. 5 2.1.2 So...

download CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FأœR ... DIE IT IST NICHT GENUG. 5 2.1.2 So gehen

of 10

  • date post

    07-Aug-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of CIOS PLAYBOOK DIE IT IST NICHT GENUG CIOS PLAYBOOK FأœR ... DIE IT IST NICHT GENUG. 5 2.1.2 So...

  • CIOS PLAYBOOK – DIE IT IST NICHT GENUG

    CIOS PLAYBOOK FÜR 2020 DIE IT IST NICHT GENUG

    2020

  • 2

    CIOS PLAYBOOK – DIE IT IST NICHT GENUG

    1. Vorwort

    2. Leitfaden zur Erkennung und Reaktion

    2.1. Gefahren erkennen

    2.1.1. Die Anatomie eines Angriffs

    2.1.2. So gehen die Eindringlinge vor

    2.2. Auf Gefahren reagieren

    2.2.1. Welche Strategie ist für Sie die richtige?

    2.2.2. Von DIY zu ROI

    3. Zusammenfassung & Entscheidungshilfen

    3

    4

    5

    6

    8

    10

    INHALTSVERZEICHNIS

  • Sehr geehrte Leserinnen und Leser,

    über die letzten Jahre betrachten immer mehr Unternehmen IT-Sicherheit als einen erweiterten Bereich des Risikomanagements. Sie

    wägen die Bedrohungen und Risiken ab und klassifizieren Sie nach Wahrscheinlichkeit, Schadenshöhe und anfallenden Kosten.

    Der Fehler: Der Unterschied zwischen den Schätzungen der Unternehmen und den Schäden der Realität sind enorm.

    Was aber dagegen tun? Und welche Strategie ist die richtige für Ihr Unternehmen?

    In diesem Playbook erläutern wir wie Sie Cyber-Gefahren erkennen können, wie Sie im Falle eines Angriffs reagieren müssen und

    welche Lösungen Ihnen im Kampf gegen die Eindringlinge zur Verfügung stehen.

    Wir wünschen Ihnen viel Vergnügen beim Lesen und Erfolg in Ihrer Verteidigung,

    Ihr F-Secure Team

    1. VORWORT

    ÜBER F-SECURE

    Niemand kennt Cybersicherheit so gut wie F-Secure. Seit drei Jahrzehnten treibt F-Secure Innovationen im Bereich

    Cybersicherheit voran und verteidigt Zehntausende von Unternehmen und Millionen von Menschen. Mit unübertroffener

    Erfahrung im Bereich des Endgeräteschutzes sowie der Erkennung und Reaktion schützt F-Secure Unternehmen und

    Verbraucher vor allem, von fortgeschrittenen Cyberangriffen und Datenverletzungen bis hin zu weit verbreiteten

    Ransomware-Infektionen. Die fortschrittliche Technologie von F-Secure kombiniert die Leistungsfähigkeit des

    maschinellen Lernens mit der menschlichen Expertise seiner weltbekannten Security Labs für einen einzigartigen Ansatz

    namens Live Security.

    Die Sicherheitsexperten von F-Secure haben an mehr europäischen Cyberkriminalitätsuntersuchungen teilgenommen

    als jedes andere Unternehmen auf dem Markt, und ihre Produkte werden weltweit von über 200 Breitband- und

    Mobilfunkbetreibern sowie Tausenden von Wiederverkäufern verkauft.

    F-Secure wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd. Notiert.

    CIOS PLAYBOOK – DIE IT IST NICHT GENUG

    3

  • CIOS PLAYBOOK – DIE IT IST NICHT GENUG

    2.1 GEFAHREN ERKENNEN

    2.1.1 Die Anatomie des Angriffs

    Ausgeklügelte Cyber-Angriffe beginnen meist an der Spitze und

    arbeiten sich nach unten durch. Wenn neue Arten von Angrif-

    fen entdeckt werden, sind sie in der Regel auf ressourcenreiche

    Akteure (z.B. Nationalstaaten) zurückzuführen. Diese Gegner

    verfolgen standardmäßig zuerst die Ziele mit dem höchs-

    ten Wert. Da die bei solchen Angriffen verwendeten Tactics,

    Techniques and Procedures (kurz TTPs) in vielen Fällen öffent-

    lich bekannt werden, gelangen sie in die Hände von weniger

    organisierten Cyberkriminellen. Neue TTPs werden dann meist

    gegen Regierungen, militärische Ziele und Verteidigungsunter-

    nehmen eingesetzt. Auf der Leiter folgen in der Regel Banken

    und Anbieter kritischer Infrastruktur (z.B. Energieunternehmen).

    Die gleichen TTPs werden dann gegen die Schwerindustrie und

    schließlich gegen alle anderen (Fertigung, Einzelhandel, KMU

    usw.) eingesetzt.

    Bedrohungen für ein Unternehmen sind nicht auf Angriffe

    von außen beschränkt. Versehentliche und absichtliche Lecks

    können und werden von Insidern im Unternehmen verursacht,

    die über einen ausreichenden Zugang zu kritischen oder ver-

    traulichen Vermögenswerten verfügen. Vorgelagerte Angriffe,

    bei denen ein Partner, Lieferant oder Auftragnehmer von einem

    Angreifer kompromittiert wird, der einen Brückenkopf in einer

    benachbarten Organisation errichten möchte, sind ebenfalls

    sehr häufig. In mehreren Fällen, an denen wir beteiligt waren,

    wurde sogar der physische Einbruch in das Firmengelände als

    Teil des Angriffsvektors genutzt.

    4

    Abbildung 1: F-Secure

    99,9% 0,1%

    VO N

    M EN

    SC H

    EN V

    ER Ü

    B T

    E A N

    G RIFFE

    Vo n

    M a

    sc h

    in en

    v er

    ü bt

    e A

    n g

    ri ff

    eSpyware Ransomware

    Banking-Trojaner Selbstreplizierende Botnetze

    Endpoint Security E-Mail-Sicherheit

    Firewall

    Speer-Phishing Seitliche Bewegung Berechtigungserhöhung Datenexfiltration

    Verwaltete Erkennung und Reaktion Endpunkterkennung und -reaktion Vorfallsreaktionsdienste

    Häufig geschütztI In der Regel kein Schutz

  • CIOS PLAYBOOK – DIE IT IST NICHT GENUG

    5

    2.1.2 So gehen Eindringlinge vor

    Cyber-Bedrohungen sind asymmetrischer Natur. Ein

    Angreifer muss nur einmal erfolgreich sein, um Zugang zu

    einem Netzwerk zu erhalten. Verteidiger müssen allerdings

    hundertprozentig erfolgreich sein, wenn sie die Angreifer

    fernhalten wollen. Man kann sich nicht darauf verlassen, dass

    man die ganze Zeit erfolgreich ist.

    Traditionelle Lösungen, wie Firewalls und Endpoint-Security-

    Software leisten gute Arbeit bei dem was sie leisten sollen

    - nämlich Bedrohungen zu erkennen und zu blockieren.

    Aber man kann nicht erwarten, dass diese Lösungen

    fortgeschrittene Angreifer aufhalten. Jeder Gegner, der die

    nötigen Skills hat, wird einen Angriff ausführen, der darauf

    abzielt, diese Verteidigung zu umgehen. Und sie müssen

    nicht einmal Malware verwenden, um in der Organisation

    Fuß zu fassen. Im Gegensatz zu dem, was Ihnen vielleicht

    gesagt wurde, verwenden erfahrene Angreifer selten, wenn

    überhaupt, Malware.

    Cyber-Angriffe folgen in der Regel dem gleichen Muster:

    Angreifer beginnen damit, den Umkreis einer Organisation

    mit Speer-Phishing, Watering Hole oder Man-in-the-Middle-

    Angriffen zu durchbrechen. Manchmal können Angreifer

    Zugang erhalten, indem sie eine Schwachstelle in einem

    öffentlich zugänglichen System ausnutzen oder sogar Zugang

    zu einem bereits gefährdeten System erwerben. Sobald sie

    sich innerhalb des Systems befinden, führen sie Erkundungen

    durch, erhöhen Privilegien (durch Ausnutzung falsch

    konfigurierter oder anfälliger Systeme), suchen nach Domain-

    Admin-Passwörtern (unter Verwendung von Tools wie

    Mimikatz) und bewegen sich lateral auf interessante Systeme.

    Sie stellen oft eine Beharrlichkeit mit handelsüblichen RATs wie

    Orcus, Litemanager oder luminocityLink her.

    Anschließend werden sie die Daten mit subtilen Methoden

    ausfiltern, die beispielsweise ein normales Benutzerverhalten

    nachahmen. Die meisten der Tools, die ein Angreifer benötigt,

    sind im Betriebssystem selbst integriert. Und Angreifer sind

    geschickt darin, sich vor netzwerkbasierten IDS-Systemen

    (Intrusion Detection System) zu verstecken, indem sie sich

    im Befehls- und Kontrollverkehr verstecken. Es ist fast

    unmöglich, moderne Angriffstechniken allein durch die

    Analyse des Netzwerkverkehrs zu erkennen. Tatsächlich

    gibt es zu viele Möglichkeiten für einen Angreifer, sich zu

    verstecken. Alle diese Techniken liegen unter dem Radar

    herkömmlicher Perimeter-Abwehrsysteme wie Firewalls,

    Endpoint-Schutz und Spam-Filterung.

    In den meisten Fällen können Gegner, sobald ein

    Unternehmen einmal verletzt wurde, ungestraft handeln,

    solange sie wollen. Es ist nicht ungewöhnlich, dass ein

    Unternehmen herausfindet, dass es von einem Dritten

    (z.B. einer Zertifizierungsstelle) bedroht ist. Nach unserer

    Erfahrung beträgt die Zeit zwischen dem Auftreten einer

    Störung und der Entdeckung durchschnittlich 200 Tage.

    Denken Sie darüber nach: Die meisten Unternehmen

    benötigen Monate oder sogar Jahre, bis sie herausfinden, dass

    sie gehackt wurden.

    Gartner prognostiziert, dass „bis 2020 60 Prozent

    der Budgets für die Informationssicherheit in Unter-

    nehmen für Ansätze zur schnellen Erkennung und

    Reaktion bereitgestellt werden, was einem Anstieg

    von weniger als 30 Prozent im Jahr 2016 entspricht“.

    Also, fragen Sie sich selbst: Wie viel von Ihrem Budget

    haben Sie gerade für die Erkennung und Behebung

    von Sicherheitsbrüchen bereitgestellt? Wir schät-

    zen, dass es nicht annähernd 60 Prozent sind. Nach

    unserer Erfahrung haben nur 10% der Unternehmen,

    mit denen wir gesprochen haben, überhaupt darüber

    nachgedacht.

    Bis 2020 werden 60 Prozent der Budgets für die

    Informationssicherheit in Unternehmen für Ansätze

    zur schnellen Erkennung und Reaktion bereitgestellt

    werden, was einem Anstieg von weniger als 30 Pro-

    zent im Jahr 2016 entspricht.

    Abbildung 2: F-Secure

  • CIOS PLAYBOOK – DIE IT IST NIC