Tiefenverteidigung (Defense-in-Depth, DiD): Wirksame, mehrschichtige Sicherheit

Moderne Bedrohungen sind komplex. Wenn Komplexität der Feind der Sicherheit ist, dann ist Defense-in-Depth die Antwort, um Ihre Infrastruktur zu schützen, indem Sicherheitslücken geschlossen und anspruchsvolle Bedrohungen abgewehrt werden.

June 7 2024 Von

Jesus Vigo

Closeup of the layers of several cakes.

Haben Sie unseren letzten Blog aus der Reihe Defense-in-Depth verpasst? In der vorherigen Folge haben wir darüber gesprochen, dass eine Einheitslösung oft zu ungleichen Schutzniveaus für verschiedene Gerätetypen mit unterschiedlichen Betriebssystemen führt. Das Endergebnis? Der fehlende Basisschutz in Ihrer Geräteflotte führt zu Sicherheitslücken, wodurch Geräte, Benutzer*innen und Unternehmensdaten anfällig für Datenschutzverletzungen werden.

Süße Sicherheit

Stellen Sie sich einmal vor, Sie hätten Lust auf etwas Süßes. Aber Sie können sich einfach nicht entscheiden. In der einen Sekunde denken Sie an einen saftigen Schokoladenkuchen, in der nächsten an einen Cookie, der außen fest, aber in der Mitte warm und weich ist. Oder wie wäre es mit einem leckeren Brownie, der mit salzigem Karamell durchzogen ist? Und zum Schluss noch eine Riesenportion Eis. Streichen Sie das, machen Sie daraus einen cremigen Käsekuchen, der mit einer Butterkruste perfekt gebacken und mit einem Klecks frischer Schlagsahne und einer Handvoll süßer Beeren verziert wird.

Entschuldigen Sie, dass ich Sie jetzt hungrig gemacht habe, aber jedes dieser Desserts hat für sich genommen einen eigenen Geschmack und eine individuelle Textur. Doch wenn man sich nur für eins entscheidet, ist man auf ein einziges Geschmacksprofil beschränkt und verpasst alle anderen.

Es sei denn, man kombiniert sie. Ein Käsekuchenboden, darauf ein Brownie, dann Cookies und eine Schicht Kuchen, und zur Krönung eine Kugel Eis. Schlagsahne, Schokoladen- und Karamellstreusel, Schokosplitter, Beeren und eine Kirsche on Top.

Was hat diese zuckersüße Exlosion für die Sinne mit Sicherheit zu tun?

Das mehrschichtige Dessert spiegelt im Wesentlichen wider, wie Administrator*innen einen modernen Endpoint-Schutz aufbauen sollten. Genauer gesagt sollten verschiedene Dinge implementiert werden:

  • Sicherheitskontrollen
  • Prozesse
  • Richtlinien
  • Standards
  • Workflows

Administrator*innen entwickeln nicht nur umfassende Sicherheitspläne, sondern kombinieren diese durch Integration, als Teil einer übergreifenden Defense-in-Depth-Strategie. Kurz gesagt: Wenn man Kontrollen integriert, erhöht man den Schutz und schafft ein Sicherheitsnetz. Einige von ihnen bieten den Organisationen sogar mehrere Ebenen, um die Risikien zu minimieren. Sollte eine Bedrohung es schaffen, an einer Kontrolle vorbeizukommen, wird sie von der nächsten Kontrolle darüber und/oder darunter im Stapel effektiv gestoppt.

Bauen Sie ein starkes Fundament

Bei der Zubereitung von Nudelgerichten sind Wasser und Salz die beiden wichtigsten Zutaten. Chefkoch Emeril Lagasse erklärt scherzhaft, dass man immer zuerst Salz hinzufügen muss, es sei denn, Ihr Wasser kommt bereits gesalzen aus der Leitung.

Vor diesem Hintergrund ist eine solide Grundlage entscheidend für den Erfolg eines jeden Sicherheitsplans. Wenn Sie Ihre Geräte schützen wollen und diese nicht automatisch von Apple für Ihre speziellen Sicherheitsanforderungen vorkonfiguriert werden (Warnmeldung: werden sie nicht!), dann sollten Sie die Möglichkeit in Betracht ziehen, eine Bereitstellungsstrategie auf der Grundlage von Zero-Touch-Bereitstellungzu entwickeln.

Im Vergleich zu traditionellen Bereitstellungen, bei denen die IT jedes neue Gerät mühsam „anfassen“ muss, bevor sie den Benutzer*innenn zur Verfügung gestellt werden, sorgen Zero-Touch-Bereitstellungen dafür, dass die Workflows automatisch implementiert werden. Dadurch können die Geräte direkt an die Endbenutzer*innen versandt werden, die sie selbst auspacken und das Verfahren einleiten können, sobald sie das Gerät zum ersten Mal einschalten. Dann führen die Benutzer*innen die obligatorische Registrierung im MDM des Unternehmens durch, wobei die Integration zwischen den Lösungen Identitäts- und Zugangsverwaltungund Geräteverwaltung alles automatisiert, einschließlich:

  • Anwendung von Konfigurationen
  • Einstellungen für die Härtung
  • Bereitstellung von Apps
  • Installation von Updates
  • Optimierung der Sicherheit

All dies geschieht jedes Mal auf die gleiche Weise, sodass menschliche Fehler ausgeschlossen sind. Und dank des modularen Aufbaus müssen Workflows bei einem Ausfall einer Komponente nur von diesem Punkt aus neu gestartet werden, um weiterzukommen. Die Benutzer*innen können ihre eigene Technik einrichten und die IT kann sich stattdessen auf die Entwicklung besserer Lösungen für alle Stakeholder konzentrieren und gleichzeitig die organisatorischen Anforderungen erfüllen.

Wie erstellen Sie einen Sicherheitsplan, der auf einer umfassende Verteidigung aufbaut?

Offensive + Defensive

„Angriff ist die beste Verteidigung.“ - George Washington

Eine proaktive Bedrohungssuche ist am ehesten mit einem dreizackigen Speer zu vergleichen. Dadurch kombinieren die Sicherheitsteams drei entscheidende Sicherheitselemente in einer Funktion:

  • Erkennung von Bedrohungen
  • Prävention
  • Wiederherstellung

Es sollte nicht überraschen, dass die Angriffe in den letzten Jahren immer anspruchsvoller geworden sind. Durch Konvergenz oder die Kombination mehrerer Bedrohungen und deren Einsatz über alternative Wege verfügen Angriffe bösartiger Akteure über mehrere Vektoren, mit denen sie ungeschützte Endpoints kompromittieren und ausnutzen können. Hinzu kommt, dass diese konvergenten Bedrohungen immer komplexer werden, was bedeutet, dass sie schwerer zu bekämpfen sind.

Glücklicherweise haben sich „Defense-in-Depth“-Strategien als äußerst effektiv erwiesen, wenn es darum geht, mehrgleisige Bedrohungen zu neutralisieren, indem die Risiken durch mehrschichtige Kontrollen minimiert werden.

Doch das reicht nicht aus, denn die Bedrohungen können sich auch unentdeckt auf Geräten befinden, Informationen sammeln und/oder einfach auf den richtigen Zeitpunkt warten, um zuzuschlagen. Die Einrichtung eines Teams zur Bedrohungssuche innerhalb Ihrer Organisation, das unbekannte Bedrohungen nicht nur erkennt, sondern auch abwehrt, ist für Ihren Sicherheitsstatus von entscheidender Bedeutung.

Die Verteidigung ist von Natur aus stärker als der Angriff“ - Carl von Clausewitz

Die Abwehr von Angriffen bietet Organisationen, ihrer Geräteflotte, ihren Benutzer*innen und sensiblen Daten Schutz vor Risiken, die ansonsten einer kostspieligen Datenverletzung Tür und Tor öffnen könnten. Früher reichten Sicherheitsmaßnahmen aus der Ferne, wie z. B. VPN in Kombination mit Zugriffsberechtigungen, aus, um verteilten Arbeitskräften über einen verschlüsselten Tunnel Zugang zum Netzwerk des Unternehmens zu gewähren. Aber was passiert, wenn sich ein Cyberkrimineller Zugang zu den Anmeldeinformationen eines Benutzers verschafft oder wenn ein autorisierter Benutzer lieber sein persönliches Gerät anstelle des vom Unternehmen ausgegebenen Geräts verwendet, um unterwegs etwas zu erledigen?

In beiden Fällen wird durch die veralteten Sicherheitstechnologien und -strategien das Risiko nicht minimiert, sodass sowohl das Gerät als auch das Netzwerk des Unternehmens für Angreifer*innen anfällig sind. Die moderne Bedrohungslandschaft hat sich weiterentwickelt und damit auch die Tools und Strategien für den Endpoint-Schutz. Zero-Trust-Netzwerkzugriff (ZTNA)

Aufbauend auf den grundlegenden Elementen in den vorherigen Abschnitten ist eine Defense-in-Depth-Verteidigungsstrategie erst vollständig, wenn sie auch Bedrohungen auf dem Gerät und im Netzwerk verhindert. Bei ZTNA werden sowohl die Anmeldeinformationen als auch der Gerätezustand explizit überprüft, bevor der Zugang zu geschützten Ressourcen gewährt wird. Standardmäßig wird jeglicher Zugang verweigert (kein Vertrauen). Alle Authentifizierungsanfragen werden überprüft. Wenn sie nicht kompromittiert sind, wird der Zugang ausschließlich zu der angeforderten Ressource gewährt – sonst nichts. Darüber hinaus wird jeder Zugang durch einen Microtunnel geleitet, der ihn von anderen genehmigten Verbindungen trennt, um MitM- und andere Angriffe dieser Art zu verhindern.

Um die Sicherheit zu optimieren, erweitert ZTNA den Schutz auf alle unterstützten Geräte und Betriebssysteme – unabhängig vom Besitzmodell. Persönliche Geräte erhalten das gleiche Sicherheitsniveau wie vom Unternehmen ausgegebene Geräte. Jedes Mal, wenn ein Gerät eine Anfrage stellt, überprüft ZTNA den Gerätezustand, um sicherzustellen, dass es die grundlegenden Anforderungen für den Zugang erfüllt (immer überprüfen). Wenn dies nicht der Fall ist, bleibt der Zugang verwehrt und es werden automatisch Abhilfemaßnahmen eingeleitet, damit das Gerät wieder konform wird. Erst wenn der Zustand und die Anmeldeinformationen sicher sind, wird der Zugang zur angeforderten Ressource gewährt.

Wenn man ein guter Angreifer ist, weiß der Gegner nicht, wie er sich verteidigen soll. Wenn man sich gut verteidigt, weiß der Gegner nicht, wo er angreifen soll.“ - Sun Tzu

Die magische Zahl (Drei)

  • Konvergierte Bedrohungen
  • Social Engineering
  • Fortgeschrittene anhaltende Bedrohungen (APTs)

Im vorigen Abschnitt haben wir uns mit der Weiterentwicklung anspruchsvoller Angriffe durch Bedrohungsakteure befasst. Konvergente Bedrohungen sind nur eine der komplexen Arten von Bedrohungen, um ihre Opfer in der modernen Bedrohungslandschaft anzugreifen.

Social Engineering stellt die größte Bedrohung für die Sicherheit von Endpoints und Unternehmen dar und ist aufgrund des asymmetrischen Verhältnisses zwischen minimalem Aufwand und maximaler Wirkung nach wie vor die größte Gefahr. Zusätzliche Sorgen bereiten Phishing-Angriffe, die nicht abnehmen, sondern zunehmen, wobei ständig neue Angriffe entwickelt werden, die auf neue Technologien abzielen, wie z. B. Angler-Phishing und „Quishing“, die auf die für die Arbeit genutzten Services abzielen. In diesem Fall handelt es sich um die sozialen Medien bzw. QR-Codes.

Bedrohungen durch nationalstaatliche Akteure, die auch als APTs bezeichnet werden, „ erweitern ihren Angriffsbereich über kritische Infrastrukturen hinaus und greifen alle Personen, Organisationen und/oder Regionen an, die den Interessen des Nationalstaates dienen.“ Die Allgegenwärtigkeit mobiler Geräte hat Unternehmen dazu veranlasst, ihre Geschäftsmodelle zu erweitern, um die Kontinuität der Betriebsabläufe zu fördern und Mitarbeiter*innen die Möglichkeit zu geben, jederzeit von jedem Ort aus, mit jedem Gerät und über jede Netzwerkverbindung zu arbeiten. In ähnlicher Weise nutzen Bedrohungsakteure ihre Tools, um ihre Opfer zu überwachen, gezielt anzugreifen und zu tyrannisieren, sobald sie deren Mobilgeräte ohne deren Zustimmung oder Wissen kompromittiert haben.

Die 3 Sektoren, die weltweit am häufigsten angegriffen werden, sind:

  1. Bildungswesen
  2. Behörde
  3. Think Tanks/NGOs und IT (gleichauf auf Platz 3)

Verwaltung + Identität + Sicherheit = Beste Sicherheit.

Die Integration dieser drei grundlegenden Elemente dient als Fundament bei der Entwicklung eines umfassenden, tiefgreifenden Plans zur Cybersicherheit. Dadurch werden Ressourcen im Unternehmen vor Unbefugten geschützt, die Endpoint-Risikovektoren werden minimiert und die Sicherheit und Produktivität der Benutzer*innen wird aufrechterhalten.

Möchten Sie mehr darüber erfahren, wie Sie Sicherheitslücken schließen können?

Hier finden Sie alles, was Sie brauchen, um Ihr bestehendes Sicherheitskonzept noch heute zu verbessern.