Einführung in die Sicherheitsrisikoanalyse
Die Analyse des Cybersicherheitsrisikos wird auch als Bewertung des Sicherheitsrisikos oder als Rahmen für das Cybersicherheitsrisiko bezeichnet. Eine Sicherheitsrisikobewertung identifiziert, bewertet und implementiert wichtige Sicherheitskontrollen in Anwendungen. Es wird auch verwendet, um zu verhindern, dass Systeme, Software und Anwendungen Sicherheitsmängel und Sicherheitslücken aufweisen. Die Festlegung der Sicherheitskontrollen ist häufig komplex, da die Kontrollen angemessen und kostengünstig sind. In unserem Artikel werden wir den Richtlinien des Nationalen Instituts für Standards und Technologie (NIST) folgen. NIST ist eine US-amerikanische Agentur, die unter dem Handelsministerium zusammengefasst ist.
Warum brauchen wir eine Bewertung des Cybersicherheitsrisikos?
Der Hauptzweck der Cyber-Risikobewertung oder Sicherheitsrisikoanalyse besteht darin, Entscheidungsträger zu informieren und angemessene Risikoreaktionen zu unterstützen. Es gibt viele Gründe, warum eine Risikobewertung erforderlich ist:
- Bei der quantitativen Risikobewertung können Sie Kosten sparen, die aus einer Sicherheitsverletzung resultieren können, und so einen Sicherheitsvorfall verursachen. Sie können auch die qualitativen Kosten wie Reputationsschäden für die Organisation minimieren.
- Ein Unternehmen wird sich des Risikos und der Bedrohungen bewusst und weiß, wie es wiederholt vorgeht und wie die Risikobewertung durchgeführt wird, um Bedrohungen und Schwachstellen aufzudecken.
- Dies kann einer Organisation dabei helfen, Kompromisse bei Vermögenswerten und Sicherheitsverletzungen zu vermeiden.
Durchführen einer Bewertung des Cybersicherheitsrisikos
Es gibt bestimmte Richtlinien von NIST, die befolgt werden können:
1. Aktualisieren und aktualisieren Sie die Software, sobald der Patch verfügbar ist
Die Organisation sollte die Systeme und die Software aktualisieren und patchen, sobald sie auf dem Markt verfügbar oder freigegeben sind. Es wird empfohlen, den Aktualisierungsprozess zu automatisieren, da die manuelle Prozedur manchmal übersprungen wird. Bei der Automatisierung ist jedoch die Ausführung als Teil des Bereichs geplant. Die Bösen suchen nach Patches und möglichen Exploits, die später zu N-Day-Angriffen werden können. Die Updates werden immer signiert und bestätigen ihre Integrität, indem sie sicher über die geschützten Links geteilt werden.
2. Zugriffskontrollen und Berechtigungen
Jede Organisation muss die richtigen Zugriffskontrollen und die privilegierte Zugriffsverwaltung verwenden, um die Benutzerkonten und deren Kontrollen zu verwalten. Die Benutzer sollten genau die Steuerelemente erhalten, die sie benötigen, nicht weniger und nicht mehr. Bei einer geringeren Anzahl wirkt sich dies auf die Produktivität aus, während bei einer höheren Anzahl möglicherweise ein Exploit-Pfad eröffnet wird, der katastrophal sein kann. Das gehobene Konto muss kontrolliert und überwacht werden, da es über hohe Berechtigungen verfügt. Wenn es in schlechte Hände gerät, ist dies die Folge eines Kompromisses. Das gesamte Benutzerkonto sollte ebenfalls geschützt und überwacht werden.
3. Erzwingen Sie signierte Software-Ausführungsrichtlinien
Die verwendete Software sollte mit der Integrität einverstanden sein, dh sie darf nicht verändert oder modifiziert werden, sie sollte ordnungsgemäß signiert sein. Dies kann leicht überprüft werden, indem Hash-Funktionen wie SHA256- oder SHA 512-Werte zugeordnet werden. Eine Liste zuverlässiger Zertifikate sollte geführt werden. Wenn zufällig veränderte oder nicht signierte Software verwendet wird, wurde sie möglicherweise entwickelt, um Sicherheitslücken zu schaffen, und sie sollte eine Tür öffnen, durch die Ihre Systeme Hackern ausgesetzt werden.
4. Implementierung des Systemwiederherstellungsplans
In Zeiten widriger Umstände wie Überschwemmungen oder Erdbeben sollte ein Wiederherstellungsplan erstellt werden, um Mitarbeiter, Vermögenswerte und Schadensbegrenzung zu schützen und die Organisationsfunktion weiterhin von einem anderen Ort aus zu unterstützen, der nicht von der Katastrophe betroffen ist. Daher muss in regelmäßigen Abständen ein Wiederherstellungsplan erstellt, überprüft und getestet werden.
5. Verwalten Sie aktiv Systeme und Konfigurationen
Die Organisation sollte eine Überprüfung der im System des Benutzers vorhandenen Software und der für Benutzer aktivierten Zugriffssteuerungen durchführen. Die Benutzer sollten auch angewiesen werden, Anfragen zu stellen, um unnötige Software oder Berechtigungen zu entfernen, die nicht länger als Teil ihrer Rolle benötigt werden. Auf diese Weise wird die Angriffsfläche stärker reduziert.
6. Threat Hunting und Threat Intelligence für Netzwerk- und Host-Intrusion
Häufig sind die Endpoint Protection-Lösungen nicht in der Lage, die Bedrohung vollständig zu blockieren, zu erkennen und von den Systemen zu entfernen, insbesondere wenn der Angriff zielgerichtet und komplex ist. Um solche Bedrohungen zu erkennen, sollten wir Lösungen für Bedrohungssuche und Bedrohungsdaten einsetzen, die die Umgebung des Unternehmens mit den Bedrohungsindikatoren auf der ganzen Welt in Beziehung setzen. Wenn Übereinstimmungen vorliegen, wird eine Warnung ausgelöst. Eine ähnliche Vorgehensweise sollte auch für das Netzwerk angewendet werden, wo wir IPS / IDS zum Filtern durch Netzwerkpakete einsetzen können, um nach verdächtigen Aktivitäten zu suchen.
7. Implementierung moderner Hardware-Sicherheitsfunktionen
Die heutige Hardware verfügt über großartige Sicherheitsfunktionen wie UEFI (Unified Extensible Firmware Interface), TPM (Trusted Platform Modules), Virtualisierung der Hardware, Festplattenverschlüsselung und Port-Sicherheit, die aktiviert werden sollten, um eventuelle Sicherheitsverletzungen der Hardware zu verhindern, die letztendlich vertrauliche Daten übernehmen könnten Verletzung der Sicherheit.
8. Trennen Sie das Netzwerk mit Application-Aware Defense
Separate kritische Netzwerke und Dienste. Stellen Sie anwendungsbezogene Netzwerksicherheit bereit, um entsprechend dem Datenverkehr und den eingeschränkten Inhalten, Richtlinien und gesetzlichen Bestimmungen nicht ordnungsgemäß geformte Netzwerke zu blockieren. Die herkömmliche Erkennung von Eindringlingen basierend auf bekannten Signaturen wird durch Verschlüsselungs- und Offset-Techniken effektiv reduziert.
9. Integrieren Sie Threat Reputation Services
Wie bereits erwähnt, können die Endpoint-Lösungen die Bedrohung nicht vollständig blockieren, erkennen und von den Systemen entfernen, insbesondere wenn der Angriff gezielt und raffiniert ist. In solchen Fällen können wir GTRS (Global Threat Reputation Services) in unsere Umgebung integrieren, um unsere Dateien auf die große Anzahl von Reputationsdiensten zu überprüfen.
10. Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung wirkt wie eine Verteidigung in einem Tiefenansatz, in dem wir eine zweite Sicherheitsebene erhalten. Der Hacker wird feststellen, dass es die größte Schwierigkeit seines Lebens ist, ein Gerät zu knacken, bei dem die Multi-Faktor-Authentifizierung aktiviert ist. Es kann nur entsperrt werden, wenn physisch darauf zugegriffen wird oder wenn es angegriffen wird. Unternehmen sollten daher immer eine Multi-Faktor-Authentifizierung an allen Stellen bereitstellen, an denen sie angewendet werden kann.
Fazit
In diesem Artikel haben wir gelernt, wie man Cybersicherheits-Risikoanalysen definiert und warum sie benötigt werden. Wir haben verschiedene Wege und Richtlinien untersucht, die uns bei der Durchführung der Risikobewertung helfen können.
Empfohlene Artikel
Dies ist ein Leitfaden zur Sicherheitsrisikoanalyse. Hier besprechen wir, warum und wie die Bewertung des Cybersicherheitsrisikos durchgeführt werden muss. Sie können auch unsere anderen verwandten Artikel durchgehen, um mehr zu erfahren.
- Fragen im Vorstellungsgespräch für Cyber Security
- Definition des Sicherheitsberaters
- Was ist Netzwerksicherheit?
- Arten der Cybersicherheit