Was uns 2018 über 2019 lehren kann
Von staatlich geförderten Angriffen und anfälligen Industriesystemen bis hin zu einem anhaltenden Mangel an Sicherheitsfachkräften brachte uns das Jahr 2018 größere Datenschutzverletzungen, schwerwiegendere DDoS-Angriffe und die zunehmende Herausforderung für Unternehmen, ihre Infrastruktur vor Kriminellen zu schützen. Es war ein Jahr der Premieren – einwöchige DDoS-Angriffe im Terabyte-Bereich, die Überwachung kompromittierter Systeme zum Krypto-Mining und eine Zunahme politischer und militärischer Motive für die Durchführung von Angriffen. Darüber hinaus traten die vorgeschriebenen Datenschutz- und Privatsphärenbestimmungen der DSGVO in Kraft und veränderten die Rechte des Einzelnen auf den Schutz personenbezogener Daten mit weltweiten Auswirkungen.
Neben den Benutzern selbst waren Anwendungen im Jahr 2018 das Hauptziel von Cyberkriminellen, und mit Blick auf das neue Jahr ist eines sicher: Dieses Phänomen wird sich nicht ändern. Anwendungen und ihre Benutzer bleiben weiterhin gefährdet und da das Jahr 2019 vor der Tür steht, müssen wir auf die kontinuierliche Weiterentwicklung der Cyberkriminalität vorbereitet sein.
Dies sind einige der wichtigsten Bereiche, in denen wir neue Trends und anhaltende Risiken erkennen:
Cloud-Sicherheit – Für die App-Sicherheit wird eine doppelte Verantwortung zwischen Kunde und Cloud-Anbieter entstehen, was zu einem Anstieg verwalteter Sicherheitsdienste führen wird.
Für die Sicherheit von Systemen in der Cloud besteht eine gemeinsame Verantwortung. Während der Cloud-Anbieter für seine Infrastruktur und die vom Kunden erworbenen Dienste verantwortlich ist, liegt die Sicherung der Anwendung selbst in der Verantwortung des Kunden. Da immer mehr Unternehmen auf Cloud-Dienste angewiesen sind, ziehen die Cloud-Anbieter eine Grenze, um den Unternehmen klarzumachen, wo ihre Verantwortung endet. Viele der frühen Cloud-Sicherheitslösungen wurden aus der Not heraus entwickelt. Da jedoch immer mehr kritische Anwendungen in die Cloud verlagert werden, liegt es in der Verantwortung des Kunden, sicherzustellen, dass die richtigen Richtlinien, Identitäts- und Zugriffsverwaltungen und andere Sicherheitsvorkehrungen für die individuellen Anwendungsanforderungen vorhanden sind. Im kommenden Jahr könnte es mehr Managed Security Service Provider (MSSPs) geben, die wichtige Dienste anbieten, die herkömmlichen Cloud-Anbietern fehlen … und der Trend setzt sich fort, dass Sicherheitspersonal nach wie vor knapp ist.
Sicherheit wird wirklich jedermanns Sache
Da immer mehr Geschäftseinheiten (Personalwesen, Finanzen usw.) ihre Dienste in der Cloud bereitstellen, müssen auch sie Sicherheitsmaßnahmen ergreifen. Dies geschieht häufig in Zusammenarbeit mit der IT-Abteilung oder zumindest unter Befolgung einiger „Best Practices“. Viele jedoch eilen in die Cloud, vergessen oder verzichten in ihrem Streben nach Agilität auf die Sicherheit. Für Unternehmen insgesamt bedeutet eine stärkere Nutzung der Cloud höhere Budgets für die Sicherheit der Cloud-Infrastruktur, Managed Services, IAM, Analyse des Benutzerverhaltens und Orchestrierungs-/Automatisierungslösungen.
Unternehmen möchten möglicherweise mehr Sicherheit in den Code einbauen, müssen aber auch Sicherheitsaspekte innerhalb der DevOps-Funktionen berücksichtigen. Unabhängig von der Sicherheitsmaßnahme (WAF, IPS, IAM, Proxy) sollten diese Dienste bei der Entwicklung berücksichtigt und getestet werden.
Im Jahr 2019 wird letztlich ein höheres Budget für die Anwendungssicherheit bereitgestellt. Das ist gut, da unser aller Leben von diesen Anwendungen abhängt.
IoT – Die Anzahl kompromittierter IoT-Geräte wird zunehmen, da sich Angreifer auf die App-Ebene konzentrieren und die Bot-Erkennung von entscheidender Bedeutung sein wird.
Heute gibt es Milliarden vernetzter Geräte und in den kommenden Jahren werden weitere Milliarden dazukommen. Viele verfügen über keine oder nur eingeschränkte Sicherheitsvorkehrungen und sind daher anfällig für eine Übernahme. In der Vergangenheit wurden IoT-Botnetze nur in der Theorie betrachtet, bis Mirai im Jahr 2016 auf den Plan trat . Heute sind DDoS-Angriffe durch ThingBots an der Tagesordnung.
Vor diesem Hintergrund wird die proaktive Bot-Abwehr im kommenden Jahr von entscheidender Bedeutung sein. Auch wenn Sie möglicherweise bereits über eine Web Application Firewall (WAF) verfügen, verfügen viele herkömmliche WAFs nicht über diese wichtige Funktion und sind auch nicht in der Lage, sich entwickelnde Bedrohungen abzuwehren, die auf die Anwendungsebene abzielen. Um Bedrohungen zu begegnen, die sich im App-Stack weiter nach oben bewegen, sind erweiterte Schutzmaßnahmen erforderlich.
Die Verantwortung für die IoT-Sicherheit kann beim Hersteller liegen
Um das Problem der eingeschränkten Sicherheitsfunktionen von IoT-Geräten zu beheben, hat Kalifornien kürzlich ein Gesetz ( SB 327 ) verabschiedet, das den Herstellern mehr Verantwortung auferlegt. Auch wenn es nicht viele konkrete Details gibt, schreibt die Richtlinie vor: „ Ab dem 1. Januar 2020 sind Hersteller von vernetzten Geräten im Sinne dieser Begriffe verpflichtet, diese Geräte mit einer oder mehreren angemessenen Sicherheitsfunktionen auszustatten, die der Art und Funktion des Geräts angemessen sind, den Informationen entsprechen, die es erfassen, speichern oder übertragen kann, und die darauf ausgelegt sind, das Gerät und alle darin enthaltenen Informationen vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen, wie angegeben.“
Dies ist ein wichtiger erster Schritt zur gesetzlichen Regulierung dieser nicht ganz so intelligenten Geräte. Darüber hinaus könnte es einen Präzedenzfall schaffen, dem andere Staaten bald folgen werden. Das Gesetz verpflichtet Hersteller dazu, die Informationen/Daten offenzulegen, die das Gerät sammelt, enthält und überträgt. Außerdem ist es erforderlich, dass jedes Gerät über ein individuelles Kennwort verfügt, das die Benutzer vor der Verwendung ändern können. Dies ist wichtig, da viele kompromittierte IoT-Geräte entweder über kein Kennwort verfügen oder das Standardkennwort bekannt und daher ausgenutzt ist.
Mobil – Das Enterprise Mobility Management entwickelt sich weiter, da immer mehr Unternehmen eine Bring-Your-Own-Device-Strategie verfolgen.
Wir sprechen hier nicht von neuen iPhone-, Android-, Samsung- oder anderen Modellen, sondern eher von Bereichen wie richtlinienbasiertem Zugriff, Verhaltensbiometrie, 5G und Enterprise Mobility/BYOD.
Durch richtlinienbasierten Zugriff können Mitarbeiter mit jedem beliebigen Gerät auf Daten zugreifen. Dabei werden die Daten verschlüsselt oder in virtuellen, isolierten Arbeitscontainern geschützt, die gelöscht werden können, wenn das Gerät verloren geht oder gestohlen wird oder ein Mitarbeiter das Unternehmen verlässt.
Darüber hinaus können Geräte den Besitzer besser identifizieren und authentifizieren. Neuere Gesichtserkennungssoftware kann die Konturen des Gesichts bestimmen oder sich so weiterentwickeln, dass sie die Stimme, Bewegungen oder den Schreibstil der Person erkennt, um das Telefon zu entsperren. Dies ist sicherlich wichtig, da immer mehr Mitarbeiter von ihren privaten Geräten aus auf Unternehmensressourcen zugreifen.
Menschen und Gesellschaft – Social Engineering und Phishing werden auch weiterhin ein sehr erfolgreicher Weg für Betrug sein und die Privatsphäre wird noch schwerer zu schützen sein.
Laut der Bedrohungsforschung von F5 Labs ist Phishing der Angriffsvektor Nr. 1 . Durch Social-Engineering-Taktiken sind Phishing-Betrügereien weitaus raffinierter und schwieriger zu erkennen geworden. Angreifer profitieren vom Hacken, indem sie es monetarisieren, was wiederum die Art und Häufigkeit von Vorfällen bestimmt. Phishing-Angriffe sind häufig eine Möglichkeit, eine Identität zu stehlen, um sie dann für einen Anwendungsangriff zu verwenden. Laut Symantec erhielt der durchschnittliche Benutzer im letzten Jahr 16 bösartige E-Mails pro Monat. Wenn Sie Opfer eines Phishing-Versuchs werden, achten Sie aufmerksam auf weitere Eindringversuche. Obwohl es im heutigen digitalen Zeitalter nahezu unmöglich ist, die Privatsphäre absolut zu schützen – und die Vielzahl an persönlichen Smart-Geräten es noch komplizierter macht –, sollten Sie nicht vergessen, dass die meisten von uns jeden Tag freiwillig Details über sich selbst preisgeben. Auch wenn unsere Daten und Informationen überall im Internet verstreut sind, müssen wir dennoch alle möglichen Sicherheitsvorkehrungen zum Schutz unserer Privatsphäre treffen. Die europäische DSGVO zielt darauf ab, alle personenbezogenen Daten zu schützen. Jeder Verstoß gegen diese Daten kann aufgrund von Geldbußen im Rahmen der DSGVO zur Pleite eines Unternehmens führen. Der Reputationsschaden für ein Unternehmen, bei dem Datenschutzverletzungen vorliegen, kann durch die DSGVO nachhaltige Folgen haben.
Wir müssen klug sein, wachsam bleiben und darauf achten, wie viel wir preisgeben. Man weiß nie, wann plötzlich der alte Freund aus der Highschool in einer E-Mail auftaucht und fragt, ob man zum Homecoming-Treffen geht. Profi-Tipp: Klicken Sie nicht auf den Link!!