16.02.2007 | Autor / Redakteur: Gideon T. Rasmussen / Achim Karpf
Es ist kein Geheimnis, dass große US-Gesellschaften im Fadenkreuz von ausländischen Regierungsabteilungen und Terroristen sind. Gemäß den Angaben von Major General William Lord, hat China 10 bis 20 Terabytes Daten vom NIPRNet heruntergeladen, den Netzwerk des Verteidigungsministeriums, das zur Übertragung von sensiblen Daten verwendet wird. Es ist nur eine Frage der Zeit, bis sich militärische und terroristische Organisationen kommerzielle Netzwerke und Unternehmen vornehmen.
In der Tat warnte das Department of Homeland Security vor kurzem vor potentiellen Internet-Angriffen auf die Webseiten von US-Börsen und Banken. Große Unternehmen stellen ein attraktives Ziel dar und die potentiellen Auswirkungen sind sehr hoch. Diese Gefahren beziehen sich jedoch nicht nur auf die amerikanischen Unternehmen und Organisationen, so sind laut einer Studie der Bundesregierung deutsche Konzerne und Firmen gefährdet.
Das Verteidigungsministerium der Vereinigten Staaten von Amerika sichert ihre Systeme dank enormen finanziellen Mitteln mit umfassenden und teuren Sicherheitslösungen und Layered Controls. Dagegen haben Unternehmen in der Regel nur begrenzte Sicherheitsbudgets und können durch Fusions- und Akquisitionsaktivitäten geschwächt werden. Dieselben Hacker, die für die Angriffe auf das Verteidigungsministerium verantwortlichen waren, werden keine Probleme mit den kommerziellen Systemen haben - und sie wissen das auch. Jedes Unternehmen, das sensible Dienste für US- und internationale Kunden erbringt, ist ein potentielles Ziel. Beispielsweise sind das Telekommunikationsgesellschaften, Finanzdienstleister und Fortune 50 Gesellschaften.
Die Bedrohung durch Cyberwar (Krieg im Netz) unterscheidet sich von den allgemeinen Internet-Bedrohungen und die meisten Unternehmen sind nicht entsprechend darauf vorbereitet. Unternehmensweite Verteidigungsmaßnahmen konzentrieren sich normalerweise darauf, Daten vor Diebstahl oder Veränderung zu schützen. Cyberwar versucht auch, kritische Infrastrukturen und Anwendungen zu unterbrechen. Das vermischt Themen wie Verfügbarkeit, Elastizität und Incident Response. Erwarten Sie bösartige Angriffe durch entschlossene Hacker. Sie werden gut trainiert sein und verfügen über umfangreiche Ressourcen und Tools.
Das Risiko/Erfolgs-Verhältnis für Cyber-Krieger ist auch anders. Viele werden nicht von finanziellem Gewinn motiviert und investieren eine Menge Zeit und Ressourcen auf nur ein Ziel - die Beeinträchtigung von Anwendungen und das Hinterlassen von Chaos. Ökonomischer Schaden ist sehr mächtig und kann Auswirkungen auf ein ganzes Land haben.
Bedenkt man die Stärke und die Macht des US-Militärs, bietet Cyberwar eine attraktive Alternative. Cyber-Angriffe können weltweit geführt werden mit kleiner Gefahr auf Vergeltungsmaßnahmen. Unternehmen müssen diese Bedrohung sehr ernst nehmen. Erfahren Sie mehr über die aktuellen Cyberwar-Bedrohungen und verfolgen Sie die Entwicklungen im Markt.
Internet basierte Angriffe werden immer professioneller. Cyberwar-Bedrohungen erfordern kombinierte Verteidigungsmaßnahmen aus präventiven, erkennenden und fehlerbehebenden Strategien. Eine erfolgreiche Verteidigungsstrategie konzentriert sich darauf, kritische Informationen und Anwendungen zu identifizieren und mehrstufige Mechanismen zum Schutz zu implementieren.
Zuverlässige Geschäftspraktiken basieren auf dem Prinzip der Aktion und nicht der Reaktion. Das bedeutet, dass Sicherheitsprogramme extrem proaktiv zum Schutz von sensiblen Daten und kritischen Anwendungen sein müssen. Das heißt: Behebung von Schwachstellen, die sich vor Prüfern verstecken; Sensibilisierung für Sicherheitsrisiken, die durch fehlende Policies oder organisatorischen Lücken entstehen und die übergreifende Bearbeitung dieser Bereiche; Verhindern von kompensierenden Eingriffen, um Falschmeldungen zu verhindern.
Die mehrstufigen Kontrollen sollten sich an „best-practice“ Praktiken halten und anwendbare Bestimmungen sind notwendig, um eine starke Sicherheitseinstellung zu erhalten. Stellen Sie sicher, dass kritische Lieferanten Ihren Standards entsprechen.
Das Top-Management muss diesen Ansatz aktiv durch die Finanzierung der Sicherheitsmaßnahmen fördern und Sicherheit als ein Geschäftserfordernis unterstützen. Sicherheitsexperten können ihre Situation verbessern, in dem sie mit dem Top-Management intensiv kommunizieren, um ein Sensibilisierungsprogramm zu starten, das Präsentationen, Metriken und Reportings einschließt. Fordern Sie die Unterstützung des Managements während des gesamten Jahres ein.
Einen Netzwerk-Perimeter-Schutz zu definieren kann in einem großen Unternehmen recht schwierig sein, aber es gibt eine Anzahl von „best practice“ Taktiken, die helfen können. Beginnen Sie durch Dokumentieren von Netzwerken und Systemen an jedem Standort. Anschließend wenden Sie sich an Ihren Internet Service Provider (ISP) und bestimmen Sie verfügbare IP-Adressbereiche. Nachdem Sie die entsprechenden Berechtigungen erhalten haben, scannen Sie jeden IP Bereich während eines bestimmten Wartungsfensters. Prüfen Sie die Suchergebnisse sorgfältig auf Schwachstellen und Angriffssysteme. Anschließend sollten Sie jeden IP-Bereich überwachen und einen Alarm konfigurieren, wenn eine unbenutzte IP-Adresse plötzlich aktiviert wird.
Stellen Sie sicher, dass alle externen Netzwerkzugriffspunkte durch Firewalls und verschlüsselte Virtual Private Networks (VPNs) kontrolliert werden. Verwenden Sie eine zweistufige Authentifizierung, um den Zugriff ins Netzwerk penibel über ein Anmeldekonto, Kennwort und Authentifizierung zu überwachen.
Verwenden Sie Netzwerksegmentierung, um das Unternehmen vor weiteren Gefahren zu schützen. Beginnen Sie mit Standard dreischichtiger Architektur (Web-, Anwendungs- und Datenbankebenen). Verwenden Sie granulare Firewall-Regeln, um eingehenden und ausgehenden Verkehr zu kontrollieren. Stellen Sie sicher, dass sich jedes System in einem entsprechenden Netz befindet, (zum Beispiel demilitarisierte Zonen [DMZs], Extranets und Intranets). Segmentieren Sie die Netzwerkstruktur auch innerhalb des Netzwerkes und zwischen Büros (zum Beispiel Hub-and-spoke VPN).
Trennen Sie Mobilfunknetzwerke von sensiblen Systemen mit Hilfe von Firewalls. Wählen Sie eine drahtlose Architektur, die Schlüssel rotiert und starke Verschlüsselung (zum Beispiel WPA2 AES CCMP) verwendet, um Angriffe zu verhindern. Führen Sie „wardriving“ Übungen (systematisches Suchen nach Wireless LANs) durch, um bösartige drahtlose Access Points zu identifizieren.
Schützen Sie das Netz vor Betriebssystem- und Firewall-Software-Schwachstellen durch Einbindung von DMZs zwischen zwei Firewalls von verschiedenen Herstellern, die auf verschiedenen Betriebssystemen laufen. Verwenden Sie Anwendungs-Proxies, um gegen Zero-Day-Angriffe und Anwendungsangriffe zu schützen.
Cyberkrieger können sehr verstohlen sein und über Wochen oder Monate angepasste Angriffe führen. Passen Sie Intrusion Detection Systeme (IDS) Software vorsichtig ein. Implementieren Sie ein Content Filtering Produkt, um unbefugte Verwendung sensibler Informationen zu erkennen und diese daran zu hindern, das Netzwerk zu verlassen. Überwachen Sie die Netzwerkleistung, um Denial of Service (DoS) Angriffe zuerkennen.
Unabhängig davon können sich Hacker mit Anwendungs-Schwachstellen durch alle Ebenen von Infrastrukturverteidigungsmaßnahmen wie Firewalls schleichen. Werden Sie mit allen Merkmalen Ihrer kommerziellen Anwendungen vertraut. Hacker werden durch trickreiche Analysetechniken schnell entdecken, welche Software Sie einsetzen. Anschließend werden sie die entsprechenden Handbücher für Administratoren herunterladen, um Methoden herauszufinden, um Zugriff (z.B. Fernzugriff auf die Verwaltungskonsole) zu erlangen. Hacker suchen auch nach bekannten Schwachstellen, daher müssen Anwendungen routinemäßig gepacht werden. Abschließend sollten Sie eine Internet-Suche nach Leitfäden zur Härtung von kommerziellen Anwendungen durchführen und Ihre Applikationen entsprechend konfigurieren.
Stellen Sie sicher, dass kundenspezifischer Code entsprechend Industrie „best practice“ Standard entwickelt und Code-Reviews routinemäßig durchgeführt werden. HINWEIS: Es gibt einen wachsenden Fokus auf Anwendungssicherheit durch Compliance; das Payment Card Industry Council fügte vor kurzem verbindliche Codeinspektionen oder den Einsatz einer Web-Application-Firewall in ihrem PCI-Data Security Standard hinzu.
Verfügbarkeit ist nicht nur eine Angelegenheit von Business Continuity oder Disaster Recovery. Systeme müssen auch verfügbar sein, wenn sie angegriffen werden. Treffen Sie Vorbereitungen gegen Netzwerk DoS Angriffe durch die Implementierung von Intrusion Prevention Systeme (IPS), um auf Angriffe in Echtzeit zu reagieren. Konfigurieren Sie Betriebssysteme so, dass sie DoS-Verkehr löschen. Prüfen Sie kundenspezifische Anwendungen auf DoS Schwachstellen und integrieren Sie IDS/IPS-Funktionalitäten. Verpflichten Sie ISP vertraglich dazu, während eines DoS Angriffs mit Ihnen zusammen zu arbeiten, um ungewollten Verkehr zu blockieren.
Cyberwar-Bedrohungen erfordern Schutzmaßnahmen, die auf staatlichen geforderten Richtlinien basieren, um vertrauliche Informationen wie Betriebsgeheimnisse zu schützen. Denken Sie daran, einen Lücke oder eine physikalische Trennung zu implementieren, um empfindliche Netze zu schützen. Dies ist eine bedingungslose Methode, um Datenlecks in Netzwerken zu verhindern. Die meisten Sicherheitsexperten sind sich darin einig, dass ein entschlossener Angreifer Perimeter-Schutzmaßnahmen überwinden kann. Das Prinzip der Defense-in-depth basiert auf dieser Annahme. Werfen Sie einen intensiven Blick auf interne Kontrollen und auf das Insider Risk Management Guide.
Wenn Sie interne Sicherheitsstandards einführen, beachten Sie die US-CCU Cyber-Security Check List und die PCI Security Audit Procedures. Sie sind präskriptiv und nehmen einen konservativeren Ansatz als generische Sicherheitsstandards wie ISO 17799 und COBIT.
Um Web-Infrastrukturen zu schützen, berücksichtigen Sie die Empfehlungen des SANS Internet Storm Center. Verwenden Sie gehärtete Betriebssysteme, wie Red Hats SELinux (vom NSA) oder Solaris 10 (das Sicherheitsmerkmale von Trusted Solaris enthält). Wenn Sie ein Standard Betriebssystem verwenden, härten Sie es entsprechend Industrie „best practices“.
Und vergessen Sie nicht, erweiterte Incident Responde Prozeduren in Ihre Cyberkriegsführung einzubinden. Bringen Sie Sicherheits- und IT-Teams zusammen und erörtern Sie gemeinsam, wie Angreifer Ihr Unternehmen angreifen könnte und Methoden, um dies zu verhindern, zu erkennen und zu reagieren. Übungen sollten alle Arten von Cyberwar-Prozesse einbinden, einschließlich der Zusammenarbeit mit ISP- und Regierungsvertretern.
Um bei der Abwehr von Cyberangriffen erfolgreich zu sein, ist es wichtig zu verstehen, wie die Opposition denkt um die nächsten Schritte zu erahnen. Cyberkrieger sind Profis und setzen traditionelle Kriegsstrategien und Taktiken ein.
In ihrem Buch „Unrestricted Warfare“ (unbeschränkte Kriegsführung) erörtern zwei chinesische Generäle die moderne Kriegführung (post Dessert Storm). Sie erwähnen die Abhängigkeit der Vereinigten Staaten von Systemen und beschreiben acht Kriegsprinzipien „jenseits der Grenzen“, die für Cyberkriegsführung gelten:
Die Worte der Generäle sind ernüchternd. Da ausländische Angreifer den Cyberspace als einfaches Ziel bewerten und kommerzielle Industrien als faire Gegner ansehen, ist es durchaus sinnvoll, sich diese Prinzipien anzusehen und in die Verteidigungsstrategien einzubinden.
Erlauben Sie nicht, dass Compliance-Lasten die Sicherheitsstrategie Ihrer Organisation schwächen. Die Bedrohung von Cyberwar ist nur einer von vielen Gründen, den Perimeter zu härten und interne Verteidigungsmaßnahmen einzuführen. Der elementare Unterschied hierbei ist ein entschlossener Angreifer ohne Furcht vor Verfolgung oder Vergeltungsmaßnahmen, deren Belohnung Schaden und Chaos ist. Das Potential für ein Cyber Pearl Harbor existiert. Sicherheitsexperten und die US-Regierung haben es vorhergesagt. Die Frage ist, werden Unternehmen die Bedrohungen der Cyberwarkriegsführung Ernst nehmen und sie zu einer Priorität in ihren Budgets machen? Faire Warnung ...
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002514)
