Learning from Attack

Die „Lieferketten-Angriffe“, die zum Jahresanfang die IT Welt aufgerüttelt haben, werden immer weiter aufgearbeitet.

In diesem Blog finden Sie Hintergrundinformationen unter den Stichworten „Sunburst“ und „Supernova“.

Da ich mich sehr viel mit Informationssicherheit beschäftige, stellt sich mir die Frage – was lernen wir daraus?

Deshalb habe ich einige Aspekte betrachtet, die ich nun vorstellen möchte:

  • Lieferketten sind ein wesentlicher Teil des Angriffes.
    Bei allen (Informations-)Sicherheitsbetrachtungen sollte man genauer überlegen, welche Risiken sich nun neu ergeben oder verändert haben.
    Im Fokus stehen Softwareprodukte (aber auch Hardware), die im Unternehmen zum Einsatz kommen.
    –> Wie sichere ich Fremdsoftware als Risiko ab, natürlich und besonders auch, wenn diese aus einer (Microsoft) Cloud kommt.
  • Log-Archivierung
    Im Ergebnis war die Verfügbarkeit von Log Dateien über 90 Tage hinaus extrem hilfreich, um den Angriff verstehen zu können.
    Die Angriffe erfolgten nicht – wie allgemein angenommen – quasi sofort.
    Über Jahre hinweg wurden in kleinen Schritte Angriffe durchgeführt, die ohne LOG-Dateien gar nicht hätten rekonstruiert werden können.
    –> Sollte man die Log’s länger (als 90 Tage) archivieren?
  • Der Aspekt „Informationssicherheit bei Softwareentwicklung“ ist bereits ein Teil der Norm ISO 2700x.
    Allerdings bedarf es hier einiger Überlegungen und Anpassungen um die immer weiter vernetzten und dezentralen Entwicklungsprozesse besser absichern zu können.
    Auch die Entwicklungsumgebungen stellen ein Risiko dar, das behandelt werden muss.
    Über diese kann leicht eine Schadfunktion in viele Anwendungen unbemerkt eingebaut werden
    –> Wie kann man die Infiltration der selbst erstellten Software verhindern?
  • Konsolidierung der „Anmeldeinformationen“ hilft bei der Abwehr von Angriffen
    Um so mehr unterschiedliche Systeme zum Einsatz kommen, um so verletzlicher werden die Accounts.
    Hat man für sein internes Netzwerk eine andere oder eigenständige Lösung für die „Benutzerzugänge“ als z.B. in der Cloud?
    Sind moderne Technicken wie z.B. die „2-Faktor Authentifizierung“ durchgängig über alle Systeme erzwungen?
    Microsoft z.B. bietet heute in der Cloud sehr viel mehr Möglichkeiten an, als z.B. in den „OnPrem“ Umgebungen der Kunden.
    –> Die Planung und Zentralisierung der Anmeldungen sollte einen hohen Stellenwert haben, auch unter Berücksichtigung besonderer Möglichkeiten in der Cloud
  • Patch-Management soll zeitnah erfolgen.
    Auf der anderen Seite wären umfangreiche Tests notwendig, um eventuelle Schadfunktionen erkennen zu können.
    Das komlette Patchmanagement in einem Unternehmen wird deshalb aufwändiger.
    Ausgiebige Tests vor der Freigabe findet man fast nur in größeren Unternehmen.
    –> Zukünftig müssen wir eine Balance finden und besonders auch die „Vorbereitung bzw. Prüfung“ von Patches stärker bewerten.

Nur wenn wir aus den vergangenen Angriffen auch Verbesserungen für die Zukunft ableiten, werden wir in Zukunft zumindest besser vorbereitet sein.