CIS Control 9: Schutz für E-Mail und Webbrowser

Das Center for Internet Security (CIS) veröffentlicht Critical Security Controls, die Organisationen dabei helfen, die Cybersicherheit zu verbessern. CIS-Kontrolle 9 behandelt Schutzmaßnahmen für E-Mails und Webbrowser.

Angreifer zielen mit verschiedenen Angriffsarten auf E-Mails und Webbrowser ab. Einige der beliebtesten sind Social Engineering-Angriffe, wie Phishing. Social Engineering versucht, Menschen dazu zu manipulieren, sensible Daten preiszugeben, Zugang zu eingeschränkten Systemen zu gewähren oder Malware zu verbreiten. Techniken beinhalten das Anhängen einer Datei, die Ransomware enthält, an eine E-Mail, die vorgibt, von einer seriösen Quelle zu stammen, oder das Einbinden eines Links, der wie für eine legitime Website erscheint, aber tatsächlich auf eine bösartige Seite verweist, die es dem Hacker ermöglicht, wertvolle Informationen zu sammeln, wie die Kontozugangsdaten des Benutzers. Bestimmte Funktionen von E-Mail-Clients können sie besonders anfällig machen, und erfolgreiche Angriffe können Hackern ermöglichen, Ihr Netzwerk zu durchbrechen und Ihre Systeme, Anwendungen und Daten zu kompromittieren.

Beachten Sie, dass CIS seine Kontrollen in Version 8 neu nummeriert hat. In früheren Versionen waren E-Mail- und Webbrowser-Schutzmaßnahmen in Control 7 abgedeckt; sie befinden sich jetzt in Control 9.

Dieser Artikel erklärt die sieben Sicherheitsmaßnahmen in CIS Control 9.

9.1 Stellen Sie sicher, dass nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden

Um das Risiko von Sicherheitsvorfällen zu verringern, stellen Sie sicher, dass in der gesamten Organisation nur vollständig unterstützte Browser und E-Mail-Clients verwendet werden. Zusätzlich sollten sowohl Browser als auch E-Mail-Client-Software umgehend auf die neueste Version aktualisiert werden, da ältere Versionen Sicherheitslücken aufweisen können, die das Risiko von Verstößen erhöhen. Achten Sie außerdem darauf, dass Browser und E-Mail-Clients eine sichere Konfiguration aufweisen, die für maximalen Schutz ausgelegt ist.

Diese Praktiken sollten in Ihre Sicherheits- und Technologiepolitik aufgenommen werden.

9.2 Verwenden Sie DNS-Filterdienste

Das Domain Name System (DNS) ermöglicht es Webnutzern, einen benutzerfreundlichen Domainnamen (www.name.com) anstelle einer komplexen numerischen IP-Adresse anzugeben. DNS-Filterdienste helfen dabei, zu verhindern, dass Ihre Nutzer auf bösartige Domains oder Websites zugreifen, die Ihr Netzwerk mit Viren und Malware infizieren könnten. Ein Beispiel für den Schutz, den es bietet, bezieht sich auf bösartige Links in Phishing-E-Mails oder in Blogbeiträgen, die Menschen in ihren Browsern lesen — der Filterdienst wird automatisch jede Website auf der Filterliste blockieren, um Ihr Unternehmen zu schützen.

DNS-Filterung kann auch Websites blockieren, die für die Arbeit unangemessen sind, was Ihnen hilft, die Produktivität zu steigern, das Speichern von nutzlosen oder gefährlichen Dateien zu vermeiden, die Benutzer herunterladen könnten, und die rechtliche Haftung zu verringern.

DNS-Filterung kann auf Routerebene, durch einen Internetdienstanbieter oder über einen Drittanbieter für Webfilterung wie einen Cloud-Service-Provider erfolgen. DNS-Filterung kann auf einzelne IP-Adressen oder ganze IP-Adressblöcke angewendet werden.

9.3 Pflegen und Durchsetzen von netzwerkbasierten URL-Filtern

Ergänzen Sie das DNS-Filtering durch netzwerkbasierte URL-Filter, um zu verhindern, dass Unternehmensressourcen mit bösartigen oder anderweitig unerwünschten Websites in Verbindung treten. Stellen Sie sicher, dass Filter auf allen Unternehmensressourcen implementiert werden, um maximalen Schutz zu gewährleisten.

Die netzwerkbasierte URL-Filterung findet zwischen dem Server und dem Gerät statt. Organisationen können diese Kontrolle implementieren, indem sie URL-Profile oder -Kategorien erstellen, nach denen der Verkehr zugelassen oder blockiert wird. Am häufigsten verwendete Filter basieren auf Website-Kategorien, Reputation oder Blocklisten.

9.4 Beschränken Sie unnötige oder unbefugte Browser- und E-Mail-Client-Erweiterungen

Verhindern Sie, dass Benutzer unnötige oder nicht autorisierte Erweiterungen, Plugins oder Add-ons für ihre Browser oder E-Mail-Clients installieren, da diese oft von Cyberkriminellen genutzt werden, um Zugang zu Unternehmenssystemen zu erhalten. Überprüfen Sie außerdem regelmäßig Ihr Netzwerk auf solche Elemente und deinstallieren oder deaktivieren Sie sie umgehend.

9.5 DMARC implementieren

Domain-based Message Authentication Reporting and Conformance (DMARC) hilft E-Mail-Absendern und -Empfängern zu bestimmen, ob eine E-Mail-Nachricht tatsächlich vom angegebenen Absender stammt und kann Anweisungen zum Umgang mit betrügerischen E-Mails geben.

DMARC schützt Ihre Organisation, indem sichergestellt wird, dass E-Mails ordnungsgemäß über die Standards DomainKeys Identified Mail (DKIM) und Sender Policy Framework (SPF) authentifiziert werden. Insbesondere hilft es dabei, das Spoofing der Absenderadresse im E-Mail-Header zu verhindern, um Nutzer vor dem Empfang bösartiger E-Mails zu schützen.

DMARC ist besonders wertvoll in Sektoren die stark von Phishing-Angriffen betroffen sind, wie Finanzinstitutionen. Es kann dabei helfen, das Vertrauen der Verbraucher zu steigern, da E-Mail-Empfänger dem Absender besser vertrauen können. Und Organisationen, die auf E-Mail für Marketing und Kommunikation angewiesen sind, können bessere Zustellraten sehen.

9.6 Blockieren Sie unnötige Dateitypen

Das Blockieren von Dateitypen, die Ihre Organisation nicht verwendet, kann Ihr Unternehmen zusätzlich schützen. Die Dateitypen, die Sie blockieren sollten, hängen davon ab, welche Arten von Dateien Ihre Teams normalerweise verwenden. Ausführbare Dateien sind am riskantesten, da sie schädlichen Code enthalten können; zu den Dateitypen gehören exe, xml, js, docm und xps.

Die Verwendung einer Zulassungsliste, die genehmigte Dateitypen auflistet, wird jeden Dateityp blockieren, der nicht auf der Liste steht. Für den besten Schutz verwenden Sie Blockierungstechniken, die verhindern, dass E-Mails mit Anhängen unerwünschter Dateitypen überhaupt den Posteingang erreichen, sodass Benutzer nicht einmal die Chance haben, die Datei zu öffnen und die Ausführung von bösartigem Code zu erlauben.

9.7 Implementieren und Warten von Anti-Malware-Schutz für E-Mail-Server

Setzen Sie Anti-Malware-Schutz für E-Mail-Server ein, um eine Sicherheitsebene auf der Serverseite für E-Mails hinzuzufügen — falls bösartige Anhänge es irgendwie durch Ihre Dateityp-Blockierung und Domain-Filterung schaffen, können sie auf dem Server gestoppt werden.

Es gibt mehrere Anti-Malware-Schutzmaßnahmen für E-Mail-Server, die Unternehmen einsetzen können. Zum Beispiel das Scannen von Anhängen, das oft von Anti-Virus- und Anti-Malware-Software bereitgestellt wird, überprüft jeden E-Mail-Anhang und benachrichtigt den Benutzer, wenn die Datei schädlichen Inhalt hat. Sandboxing erstellt eine Testumgebung, um zu sehen, ob eine URL oder Datei sicher ist; diese Strategie ist besonders wertvoll zum Schutz vor neuen Bedrohungen. Weitere Schutzmaßnahmen umfassen Lösungen, die von Webhosts und Internetdienstanbietern (ISP) bereitgestellt werden.

Natürlich sollten Organisationen ihre E-Mail-Server-Schutzlösungen gepatcht und aktualisiert halten.

Zusammenfassung

E-Mail-Clients und Webbrowser sind für viele Geschäftsprozesse unerlässlich, aber sie sind sehr anfällig für Cyber-Bedrohungen. CIS Control 9 beschreibt Schutzmaßnahmen, die jede Organisation umsetzen kann, um sich gegen die zunehmende Flut von bösartigen Angriffen, die auf Websites und E-Mails abzielen. Die wichtigsten Schritte beinhalten die Sicherung von E-Mail-Servern und Webbrowsern mit Filtern, die bösartige URLs, Dateitypen usw. blockieren, und das effektive Verwalten dieser Kontrollen. Die Implementierung dieser Maßnahmen kann dazu beitragen, eine bessere Cybersicherheit zu gewährleisten.

Darüber hinaus sollten Benutzer in den besten Sicherheitspraktiken geschult werden. Da Phishing-Angriffe immer häufiger und ausgeklügelter werden, kann eine organisationsweite Bildung den Schutz erheblich verbessern.