Sicherung australischer Regierungsvermögen im Jahr 2020: Teil 1

Verständnis der Cybersicherheitslage im gesamten Commonwealth 

Das Australian Signals Directorate (ASD) hat kürzlich den Bericht "The Commonwealth Cyber Security Posture in 2019 " veröffentlicht, in dem die Anzahl und Art der Vorfälle, auf die reagiert wurde, sowie einige der Programme hervorgehoben werden, die zur Verbesserung der Sicherheit von Commonwealth-Einrichtungen eingeführt wurden. Ungeachtet des umstrittenen erhöhten politischen Drucks für mehr Transparenz in den einzelnen Ressorts verdeutlichen die aggregierten und anonymisierten Daten des Berichts die Notwendigkeit eines besseren Schutzes der Bürgerdaten. Angesichts der jüngsten Ankündigung des Premierministers und des Verteidigungsministers, dass Organisationen des öffentlichen und privaten Sektors von einem ausgeklügelten Cyber-Akteur ins Visier genommen werden, und mit nur geringen evolutionären Gewinnen, die im Vergleich zu den derzeit gemessenen Kriterien erzielt wurden, könnte die Anhebung der Messlatte revolutionäre Veränderungen erfordern.

Hier bei Illumio sind wir stolz darauf, Teil strategischer Diskussionen und Sicherheitsprogramme zu sein, die in ganz Australien und Neuseeland direkt mit Behörden und Abteilungen sowie mit den Sicherheitssystemintegratoren und Managed Service Providern wie Cirrus Networks zusammenarbeiten, die oft der Maschinenraum dieser IT-Teams sind.

Obwohl die meisten Unternehmen inzwischen angeben, dass sie in der Lage sind, die Anzahl der "Cybersicherheitsereignisse und -vorfälle", die sie pro Tag oder Woche erlitten haben (oft Hunderte pro Tag), genau zu identifizieren (oft Hunderte pro Tag), berichten 73 Prozent der nicht-korporativen Commonwealth-Unternehmen nur über Ad-hoc-Veröffentlichungen oder die Entwicklung eines Reifegrads für grundlegende Sicherheitsdisziplinen als Reaktion auf solche Bedrohungen.

Die Berichterstattung der letzten sieben Jahre macht deutlich, dass unsere Systeme der Bundesregierung trotz Verbesserungen anfällig für Cyberbedrohungen sind – und dass zusätzliche Anstrengungen erforderlich sind, damit die Commonwealth-Einrichtungen eine ausgereifte und widerstandsfähige Cybersicherheitslageerreichen , die der sich entwickelnden Bedrohungslage gerecht wird.

Wie aus diesen Ergebnissen hervorgeht, erfordern eine Vielzahl von Vorfällen und sich entwickelnde IT-Landschaften eine ständige Bewertung und Anpassung der Sicherheit. Die Fortsetzung eines Punktlösungsansatzes zum Schutz einer Behörde vor Angriffen erfordert eine Fülle von Tools, Fähigkeiten und Personal. In vielen Fällen würden Unternehmen von einem ganzheitlicheren Architekturansatz für Cyber Resilience profitieren, wie z. B. Zero Trust. Die zunehmende Dynamik in den US-Bundesbehörden konzentriert sich nicht nur auf das Nachdenken und die Planung über Sicherheitsverletzungen hinaus, sondern trägt auch dazu bei, durch eine übergreifende Strategie den "Aufwand in der Tiefe" von isolierten Tools und Teams zu reduzieren. Dieser Ansatz, der in den US-Bundesbehörden erheblich an Dynamik gewinnt, konzentriert sich nicht nur auf die Annahme und Planung über eine Sicherheitsverletzung hinaus, sondern führt auch die Prinzipien der geringsten Privilegien in den breiteren Sicherheitsdisziplinen ein, um die "Kosten in der Tiefe" von isolierten Tools und Teams zu reduzieren.

Wie die Unternehmenswelt entdeckt hat, sollten sich Kommunen auf präventive Eindämmungsstrategien konzentrieren, die die Auswirkungen oder den Explosionsradius reduzieren, wenn es zu Verstößen kommt. Dies ist besonders wichtig, da die Ministerien ihre erwarteten Grundsicherheitsniveaus weiter anheben und wenn es Beweise dafür gibt, dass motivierte und raffinierte Gegner Australien gezielt ins Visier nehmen, um Informationen über folgende Themen zu erhalten: Verteidigungsfähigkeiten, australische Spitzenforschung, wertvolles geistiges Eigentum sowie persönliche und finanzielle Informationen von australischen Einwohnern und Regierungsmitarbeitern.

Ein Punkt, der auffiel und eine konsistente Feststellung in den meisten Unternehmen, Bundesstaaten und Bundesbehörden darstellt, ist, dass die Commonwealth-Einrichtungen eine unzureichende Sichtbarkeit ihrer Informationssysteme und Daten haben. Angesichts der Tatsache, dass die meisten IT-Teams von Behörden ihre Rechenzentrumstechnologien durch Ansätze wie Software-Defined Networking (SDN), Virtualisierung und Containerisierung in Verbindung mit Automatisierungs- und Orchestrierungsplattformen modernisieren müssen und vorantreiben, um eine agilere Anwendungsentwicklung zu erreichen, ist es kein Wunder, dass es für Betriebs- und Sicherheitsteams weiterhin exponentiell schwieriger wird, den Überblick über die dynamische Anwendungsumgebung und die bestehenden Sicherheitslücken zu behalten.

Das Verhindern der Ausführung von nicht überprüften und nicht vertrauenswürdigen Microsoft Office-Makros, die Härtung von Anwendungen auf Benutzerarbeitsstationen, die Multi-Faktor-Authentifizierung bei RDS-Sitzungen und das Patchen von Servern mit Webzugriff sind wichtige Hygienetaktiken, und es ist gut, in diesen Bereichen deutliche Verbesserungen zu sehen. Dies sind jedoch nur einige der vielen Bedrohungsvektoren, die Angreifer verwenden, darunter andere Copy-Paste-Angriffe auf bekannte Schwachstellen sowie andere Zero-Day-Bedrohungen , die weiterhin gefunden und ausgenutzt werden. Um den Schaden von Sicherheitsverletzungen zu verhindern, wenn sie auftreten (und das werden sie unweigerlich), muss man verstehen, wie dieser Angreifer dann von der etablierten Basis, unabhängig davon, wie er sie eingerichtet hat, zu den Systemen gelangen kann, die sensible Daten auf den Hunderten und Tausenden von Servern verwalten, die jede Abteilung betreibt.

Erst wenn Sie verstehen, was Ihre Anwendungen sind, wo sie gehostet werden und wie sie miteinander interagieren, können Sie damit beginnen, die Kontrolle über diese Ressourcen zu übernehmen und die effektivste Sicherheitslage zu definieren und bereitzustellen.

Andrew Weir, CTO von Cirrus Networks, stimmt zu, dass er "regelmäßig von Kunden gefragt wird, wie sie mehr Einblick in die Vorgänge innerhalb von Anwendungen in ihren Systemen und Netzwerken erhalten können. Oft wurden diese Anwendungen auf Altsystemen entwickelt und zu einem späteren Zeitpunkt in eine neue Infrastruktur integriert. Für größere IT-Abteilungen kann es schwierig sein, die Effizienz und Sicherheit von Anwendungen zu validieren und zu verwalten. Zu verstehen, was Ihre Anwendungen und Benutzer in Ihrer Umgebung tun, ist entscheidend für eine gute Entscheidungsfindung. Ohne diese Transparenz ist es schwer zu bestimmen, wo die begrenzten Ressourcen ausgegeben werden sollten."

Da sich die Netzwerksicherheit traditionell auf den Nord-Süd-Verkehr durch den Perimeter konzentriert, werden die Behörden daran gemessen, die Einrichtung von Command & Control zu verhindern, betten aber die acht wesentlichen Sicherheitsdisziplinen noch nicht ein. Angreifer, die erfolgreich die externe Firewall durchbrechen, haben oft keine weiteren Einschränkungen, sobald sie sich im Netzwerk befinden. Mit anderen Worten, Hacker können sich den Weg in das Netzwerk herauspicken und sich dann seitlich durch das Netzwerk bewegen, bis sie ihre Ziele erreichen.

Obwohl es nicht zu den wesentlichen Acht gehört, ist es eine "ausgezeichnete" Empfehlung in der breiteren Palette der Begrenzung des Ausmaßes von Cyber-Vorfällen. Eine effektive Netzwerksegmentierung für das moderne Rechenzentrum und Eindämmungsstrategien, die das Herzstück von Zero Trust bilden, werden (und müssen auch weiterhin als wichtiger und grundlegender Bestandteil der laufenden Sicherheitsstrategie jeder Abteilung priorisiert werden). Dies wird dazu beitragen, die Widerstandsfähigkeit zu stärken, wenn die niedrigen Ausgangswerte der Wassermarke erreicht werden.

Die Art und Weise, wie Behörden derzeit aufgefordert werden, ihre Sicherheitslage zu bewerten und darüber zu berichten, treibt qualitative Maßnahmen und letztendlich Ansätze oder Produkte voran, die sie "konformer machen, ihre Sicherheit verbessern oder eine bessere Möglichkeit bieten, Bedrohungen zu erkennen". Vor diesem Hintergrund sind "mehr", "besser" und "besser" qualitative Messgrößen und werden überwiegend selbst bewertet. Bieten diese Initiativen eine quantitative Verbesserung der Widerstandsfähigkeit von IT-Systemen gegen böswillige Angriffe, sei es durch Nationalstaaten oder die allseits beliebte Ransomware von Cyberkriminellen, und können sie damit verknüpft werden?

Richtig gewählt, stellt die Mikrosegmentierung nicht nur sicher, dass Sie die Schwierigkeit für Angreifer, an wertvolle Daten zu gelangen und diese zu exfiltrieren, drastisch erhöhen – mit nachgewiesenen quantitativen Vorteilen –, sondern dies auch ohne zusätzlichen Personalaufwand oder den Aufwand und die finanzielle Belastung herkömmlicher groß angelegter Sicherheitsinitiativen, die in diesem Bericht als die am häufigsten genannten Hindernisse hervorgehoben werden.

Aber dazu mehr in Teil 2 dieser Serie.

Obwohl spezifische Details zu bestimmten Angriffen nicht genannt wurden und die Ursache für den jüngsten Anstieg der Angriffe nicht öffentlich irgendjemandem zugeschrieben wird, sollte die jüngste Pressemitteilung von Premierminister Morrison von australischen Regierungsabteilungen und Unternehmen sicherlich als Weckruf verstanden werden, ebenso wie sie vielleicht eine Warnung an die Verantwortlichen ist, um zu sagen: "Wir wissen, was du vorhast."

Wenn Sie noch nicht engagiert sind, wenden Sie sich an Illumio und Cirrus und sehen Sie sich die nächste Folge an, um zu erfahren, wie Sie den Rat des Verteidigungsministers befolgen können: "Ergreifen Sie Maßnahmen, um Ihr eigenes Netzwerk zu schützen" und planen Sie über die taktischen Empfehlungen für die jüngsten Angriffsvektoren hinaus, um die Möglichkeiten und Auswirkungen künftiger Sicherheitsverletzungen zu begrenzen.

Und für weitere Informationen darüber, wie die Mikrosegmentierung mit Illumio funktioniert, besuchen Sie https://www.illumio.com/products/illumio-core