CIS Control 13: Netzwerküberwachung und Verteidigung

Cybersicherheit erscheint heute wie ein Wettrüsten: Unternehmen implementieren immer mehr Sicherheitstools, um ihre Netzwerke gegen zunehmend häufige und ausgeklügelte Angriffe zu verteidigen. Aber einfach die Anzahl der Tools in Ihrem Arsenal zu erhöhen, ist keine effektive Cybersicherheitsstrategie. Vielmehr benötigen Organisationen einen Rahmen, der bewährte Richtlinien für das sichere Management ihrer digitalen Ressourcen bietet, damit sie Tools und Prozesse implementieren können, die ihr Geschäft, ihre Kunden und Partner tatsächlich schützen.

Das Center for Internet Security (CIS) bietet genau einen solchen Rahmen — die CIS Critical Security Controls. Die Implementierung dieser Kontrollen kann Ihnen helfen, Ihre Infrastruktur, Softwareanwendungen, Dienste und Daten effektiv und effizient zu schützen.

Das Framework der CIS Controls wird regelmäßig aktualisiert, um sich den sich entwickelnden Bedrohungen anzupassen. Insbesondere hat sich die Welt seit der Veröffentlichung der Version 7 im Jahr 2019 dramatisch verändert, dank der weit verbreiteten Einführung von Fern- und Hybridarbeit während der Pandemie. Dementsprechend veröffentlichte CIS die Version 8 im Jahr 2021. Sie beinhaltet eine wichtige neue Kontrolle, Network Monitoring and Defense, und entfernt drei andere, einschließlich Boundary Defense. Lassen Sie uns diesen Wandel betrachten und was er für Ihre Cybersecurity-Strategie bedeutet.

CIS Control 13: Netzwerküberwachung und Verteidigung

Es gab eine Zeit, in der eine starke Grenzverteidigung die Hauptpriorität in einer Cybersicherheitsstrategie war. Heute jedoch fließen Datenströme zu und von einer Vielzahl von Standorten außerhalb des traditionellen Netzwerkperimeters. Daher ist es unerlässlich zu wissen, welche Geräte zu jedem Zeitpunkt mit Ihrem Netzwerk verbunden sind und ständig Versuche zu überwachen, auf sensible Daten und andere hochwertige Ressourcen zuzugreifen. Das Ziel ist es, verdächtige Verkehrsmuster oder Ereignisse schnell zu identifizieren, damit Sie Bedrohungen erkennen können, bevor sie zu einem data breach oder Betriebsstörungen führen.

Kontrolle 13 in Version 8 der CIS Control verlagert den strategischen Ansatz weg von der 'Einzäunung' der Organisation hin zu einem 'vernetzten' Ansatz für Überwachung und Verteidigung, der sich an moderne Prozesse anpasst, die bei Lieferkettenverbindungen verwendet werden, zum Beispiel dem mit ihnen etablierten Datenaustausch.

Um Organisationen bei der Erreichung dieses Ziels zu unterstützen, empfiehlt CIS Control 13 die folgenden 11 Sicherheitsmaßnahmen:

1. Zentralisieren Sie das Alerting von Sicherheitsereignissen

Manuelle Bedrohungsüberwachung ist angesichts moderner Angriffsmethoden unzureichend. Zum Beispiel kann Ransomware Daten mit Maschinengeschwindigkeit verschlüsseln, und das Erkennen ausgeklügelter Cyberangriffe erfordert die Korrelation von Daten über mehrere Systeme hinweg. Glücklicherweise gibt es fortschrittliche Werkzeuge, die Automatisierung und künstliche Intelligenz nutzen, um Daten in komplexen hybriden Netzwerken schnell zu analysieren. CIS Control 13 empfiehlt die Verwendung einer SIEM-Lösung, um Ereignisprotokolldaten von mehreren Systemen zu aggregieren, zu korrelieren und zu analysieren und das richtige Personal in Echtzeit über Bedrohungen zu informieren.

2. Implementieren Sie eine hostbasierte Intrusion-Detection-Lösung

Softwareanwendung, die lokal auf der Computerinfrastruktur installiert wird, die sie analysieren soll. Ihre Aufgabe ist es, verdächtiges Verhalten, bösartigen Datenverkehr und Verstöße gegen Richtlinien zu erkennen, zu protokollieren und zu melden.

3. Implementieren Sie eine Lösung zur Erkennung von Netzwerkeindringlingen.

Eine Lösung für die Erkennung von Netzwerkeindringlingen (NID) ist ein Sicherheitsgerät, das eingehenden und ausgehenden Netzwerkverkehr analysiert, um Anomalien, verdächtige Verkehrsmuster und potenzielle Paketbedrohungen zu identifizieren. Ein NID kann eine lizenzierte Komponente innerhalb eines Next-Generation-Firewall (NGFW)-Geräts sein oder es kann Sensoren oder Anwendungsagenten nutzen, die strategisch im Netzwerk platziert sind.

4. Führen Sie die Verkehrsfilterung zwischen Netzwerksegmenten durch

Die Filterung des Datenverkehrs beschränkt den Fluss des Datenverkehrs zwischen Netzwerksegmenten nach Quelle, Ziel oder Verkehrstyp. Beispielsweise können alle HR-Maschinen vom Rest der Organisation segmentiert werden, um sicherzustellen, dass nur von autorisierten Benutzern stammender Verkehr zu den HR-Maschinen gelangen kann. Sie können Router oder Firewalls verwenden, um Bereiche zu segmentieren; ein Router wird den Zugriff mit Zugriffskontrolllisten (ACLs) filtern, während eine Firewall Richtlinien verwenden wird, um zu filtern.

5. Verwalten Sie die Zugriffskontrolle für entfernte Vermögenswerte

Der Fernzugriff sollte nur Benutzerkonten gewährt werden, die ihn unbedingt benötigen, gemäß dem Prinzip der geringsten Berechtigung. Fernzugriffsrichtlinien sollten auch mit allen erforderlichen Branchen- oder Regierungsregulierungen übereinstimmen.

6. Sammeln Sie Netzwerkverkehrsflussprotokolle

Protokolle des Netzwerkverkehrsflusses können verwendet werden, um Verbindungsprobleme zu beheben und zu bestimmen, ob der Verkehrsfluss wie erwartet funktioniert. Sie werden auch genutzt, um verdächtigen Verkehr und Ressourcenzugriff im Falle eines Cybersicherheitsvorfalls zu untersuchen.

7. Implementieren Sie eine hostbasierte Intrusion-Prevention-Lösung

Eine Intrusion Prevention Lösung (IPS) ähnelt einem Intrusion Detection System (IDS) darin, dass beide nach verdächtigem Datenverkehr und bösartigem Code suchen. Während jedoch ein IDS den Datenverkehr lediglich analysiert und eine Warnung ausgibt, kann ein lokales IPS proaktiv verhindern, dass die identifizierten Pakete auf das lokale Gerät zugreifen, indem es sie verwirft.

8. Implementieren Sie eine Lösung zur Verhinderung von Netzwerkeindringlingen

Ein Netzwerk-IPS befindet sich auf einem Netzwerkgerät und wird den Datenverkehr, den es als Bedrohung ansieht, blockieren, bevor er ein bestimmtes Netzwerksegment betreten oder verlassen kann.

9. Implementieren Sie portebenen Zugriffskontrolle

Die Zugangskontrolle auf Port-Ebene verwendet 802.1x oder ähnliche Protokolle, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung zum Netzwerk herstellen können. Beispielsweise kann dadurch verhindert werden, dass ein Besucher einen tragbaren Computer über ein Ethernet-Kabel mit einem Netzwerk verbindet und somit gezwungen wird, das bereitgestellte drahtlose Netzwerk zu nutzen. Der Zugang kann durch die Verwendung von Zertifikaten, MAC-Adressen oder Benutzerauthentifizierung gewährt werden.

10. Führen Sie eine Filterung auf Anwendungsebene durch

Die Filterung auf Anwendungsebene stellt sicher, dass Benutzer nicht mit Anwendungen kommunizieren können, die nicht den Unternehmensrichtlinien entsprechen. Zum Beispiel können einige Organisationen die Nutzung bestimmter sozialer Medien, Streaming-Dienste oder Proxy-Anwendungen verhindern.

11. Passen Sie die Schwellenwerte für Sicherheitsereigniswarnungen an

Wenn IT- oder Sicherheitspersonal mit Alarmen überflutet wird, beginnen sie, diese zu ignorieren. Eine Möglichkeit, dies zu verhindern, ist die Festlegung von Schwellenwerten für verschiedene Ereignistypen, sodass ein Alarm nur ausgelöst wird, wenn ein Schwellenwert überschritten wurde. Ereignisse können automatisch durch Schwellenwerte gelöscht werden.

Wie Netwrix helfen kann

Netwrix bietet Lösungen, die Ihnen helfen können, viele der Sicherheitsmaßnahmen in CIS Control 13 schnell und effektiv umzusetzen. Netwrix Sicherheitslösungen ermächtigen Sie dazu, Lücken in Ihrer Sicherheitslage zu identifizieren und zu beheben, sowie Bedrohungen in ihren frühen Stadien zu erkennen und umgehend zu reagieren. Insbesondere unsere Insider Threat Detection Capabilities alarmieren Sie über ungewöhnliches Verhalten in Ihrer Umgebung, sodass Sie Ihr Netzwerk sowohl gegen bösartige Insider als auch gegen Angreifer, die ihre Konten übernehmen, verteidigen können.