Sind die Firewall und Antivirus ausreichend?

Vor einigen Jahren war die Sicherheit von IT Systemen auf Antivirus und Firewalls fokussiert. Dennoch ist es wichtig zu verstehen, das Antivirus Programme nur bestimmte Analyse Prozesse entdecken konnten, welche auf spezielle Hosts laufen, und Firewalls waren dafür zuständig spezielle Anschlüsse durchzulassen und andere zu blockieren. Wenn Malware einfach nur auf JavaScript basiert ist, welches in einem Browser ausgeführt wird, ist die Sicherheit ineffektiv. Ein Angreifer wird es herausfordernd finden anzugreifen und eine Firewall zu umgehen, was auch durchaus der Sinn des Ganzen ist und als Ergebnis ist man ganz gut geschützt. Server, auf der anderen Seite, können falsch konfiguriert sein und Sicherheitslücken aufweisen, die nicht gelindert oder abgewehrt werden können von Firewalls oder Antivirus Programmen. 

Schlussendlich sind die größten Schwächen die Benutzer Punkte, bei PCs und Laptops. PCs und Laptops sind wie eine Traumwelt für Angreifer (oder durchbruchs- Tester), indem sie eine unvergleichliche Menge an Möglichkeiten für einen Angriff zur Verfügung stellen. Die größte Schwachstelle in jedem IT System liegt im Bereich des Nutzers. Denn diese werden zum Opfer von Sozialen Ingenieure Attacken und könnten “unschuldiger Weise” etwas anklicken, was sie nicht sollten. Tatsache ist, dass statistisch gesehen zumindest 30% von Emails, die als Soziale Ingenieure Attacken gelten, geöffnet werden. Wie bereits in anderen Artikeln erwähnt, Arbeiter Ausbildung und Vorbereitung ist der Schlüssel, um potentielle Attacken zu vermeiden.

Forscher sind der Ansicht, dass wir täglich mehr als 200,000 neue Arten von Malware sehen, die unsere Antivirus Programme nicht erkennen.

Also, was ist die Antwort? Leider sind wir nicht fähig alle schlechten Viren mit einem Wisch vom Computer zu putzen, wir können sie nicht schnell genug entdecken, oder?

Lass uns überlegen, was wir mit physischer Zugangs Kontrolle machen können- Den Zugang zu verbotenen Abteilen eines Gebäudes ist nur denen erlaubt, die eine Sicherheitsmarke vorweisen können. Zugangskontrolle ist nicht basiert auf den Namen der “schwarzen Liste”- Zugangskontrolle gewährt Zugang für die, die auf der “weißen Liste” stehen. Denselben Prozess für IT Systeme zu übernehmen ist überragend – die weiße Liste für Applikationen. Nur Applikationen und Prozessen mit Bewilligung soll der Zugang erlaubt sein. Das ist möglich durch die Nutzung der Microsoft AppLocker-Funktion, welche eine gratis Lösung ist und auch ganz gut funktioniert – (leider kennen nur sehr wenige System Administratoren diese Funktion). Wir geben die Erlaubnis für bestimmte Applikationen, Systeme, beispielsweise Microsoft, Autodesk, Sage und Adobe Produkte, keine weitere Applikation würde funktionieren. (Ein weiteres Produkt mit derselben Funktionalität ist RES Workspace Manager.

Ist die weiße Liste erlaubt? Naja, es kommt darauf an, was man erreichen möchte. Realistisch gesehen, wenn wir gute und sichere IT Systeme wollen brauchen wir die folgenden zwei Gegenstände:

  • Keine lokalen Admin Rechte für Nutzer
  • Einheitliches Sicherheitsmanagement USM – überwachen und Instandhaltung von allen Aspekten des Systems, beispielsweise Verhaltens Überwachung, Sicherheitslücken Management, Netzwerk Einbruch Erkennung, Host basierte Angriffserkennung und Protokollanalysen.

Keine lokalen Admin Rechte erscheinen offensichtlich. Aber was ist mit dem einheitlichen Sicherheitsmanagement – wir können nicht über ein sicheres Netzwerk reden, ohne alle Aspekte der Operation korrelieren. Kein System Administrator kann auf alle Protokolle ein Auge haben, Spuren, Internetfluss etc.

Trotzdem ist ignorieren auch keine Option. Es gibt Lösungen auf dem Markt, z. B AlienVault, welches eine automatische Analyse inkludiert und Korrelation Protokolle, Verkehr, Sicherheitslücken und Bedrohungs- Intelligenz, härter mit Anlagenmanagement, stellt ein Set von umsetzbaren Warnungen bereit. Es filtert hunderte über tausende von Geschehen, Warnungen kreierend, wenn die Geschehen weiterer Untersuchung bedarf.

Zusammenfassend können wir sagen, dass die folgenden Geräte/ Aktionen, die wir besprochen haben zusammenarbeiten müssen mit Antivirus und Firewall, für ein gutes und sicheres IT System.

  • Applikation – weiße Liste
  • Keine lokalen Admin Rechte
  • Einheitliches Sicherheitsmanagement

Es ist interessant, auch dieses zu den Themen zu zählen, die wir diskutiert haben, es ist unerlässlich, dass alle Organisationen ein umsetzbares Informations- Sicherheitsmanagement in betrieb setzen, das ist ein eigenständiges Thema und sollte nicht mit dem USM Ansatz verwechselt werden.

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.