Während Cybersicherheit den Schutz von Computersystemen vor böswilligen Angreifern umfasst, hat es Sicherheitspraktiken des Militärs übernommen, um seine Bemühungen zur Verhinderung und Abwehr von Cyberangriffen zu verstärken. Eine solche vom Militär entlehnte Praxis ist Defense in Depth (DiD).
Tiefenverteidigung ist eine militärische Strategie, die bis ins Mittelalter zurückverfolgt werden kann, als Burgen über mehrere Sicherheitsebenen wie Zugbrücken, Gräben, Wassergräben, Mauern und Wachtürme verfügten, die der Burg zusätzliche Sicherheitsebenen boten.
Die Tiefenverteidigung wurde auch während des Ersten und Zweiten Weltkriegs eingesetzt, als Militärs Gräben aushoben, strategisch platzierte Maschinengewehre einsetzten, Befestigungen bauten und Panzerabwehrhindernisse einsetzten, um den Vormarsch der Feinde zu verlangsamen, Verluste zu verursachen und Zeit für Vergeltungsmaßnahmen zu gewinnen.
In der Cybersicherheit ist Defense-in-Depth eine Sicherheitspraxis, bei der mehrere Sicherheitsprodukte und -kontrollen, wie z Firewalls, Verschlüsselungs- und Angriffserkennungssysteme, werden geschichtet und zusammen verwendet, um Netzwerke und Computersysteme vor Angriffen zu schützen.
Dies führt zu einer verbesserten Sicherheit kritischer Vermögenswerte, die das Eindringen in Systeme erschweren, da beim Versagen einer Sicherheitsmaßnahme zusätzliche Sicherheitsebenen vorhanden sind, um ein System vor Bedrohungen zu schützen.
Defense-in-Depth nutzt Redundanz in Internet-Sicherheit, was es sehr effektiv macht, da eine einzelne Cybersicherheitsmaßnahme oder -kontrolle nicht alle Formen von Cybersicherheit stoppen kann Cyber-Angriffe. Der mehrschichtige Ansatz von Defense in Depth zur Cybersicherheit ermöglicht den Schutz vor einer Vielzahl von Cyberangriffen, was zu besser gesicherten Computersystemen führt, die sehr schwer zu kompromittieren sind.
Elements of defense in depth
Die Tiefenverteidigung besteht aus den folgenden Schlüsselelementen
Physikalische Kontrollen
Dies sind Sicherheitsmaßnahmen, die eingerichtet werden, um Computersysteme zu sichern und den physischen Zugriff auf die Systeme zu verhindern intruderS. Dies beinhaltet in der Regel die Beschränkung des Zugangs zu Computersystemen, indem physische Infrastrukturen wie Überwachungskameras, verschlossene Türen, ID-Karten-Scanner und biometrische Systeme installiert oder sogar Wachen in Räumen mit kritischen Computersystemen eingesetzt werden.
Technische Kontrollen
Hierbei handelt es sich um die Hardware und Software, die zum Schutz von Systemen vor böswilligen Angreifern implementiert werden. Beispiele für solche Sicherheitsmaßnahmen sind Firewalls, Multifaktor-Authentifizierung, Intrusion Detection or Prevention Systems (IDS/IPS), AntiVirus und Konfigurationsmanagement, unter vielen anderen.
Administrative Kontrollen
Diese umfassen die Richtlinien und Verfahren einer Organisation für ihre Mitarbeiter, die den Zugriff auf die Ressourcen der Organisation kontrollieren und die Mitarbeiter auch in angemessenen Cybersicherheitspraktiken anleiten sollen, um menschliche Fehler zu reduzieren, die dazu führen können, dass Computersysteme von Angreifern kompromittiert werden.
Why defense in depth is important
Kevin Mitnick, der einst als der berühmteste Hacker der Welt galt, nachdem er Systeme von Unternehmen wie Sun Microsystems, Nokia und Motorola gehackt hatte, ist dafür bekannt, dass er sagte: „Alles da draußen ist anfällig für Angriffe, wenn genügend Zeit und Ressourcen vorhanden sind.“
Diese Aussage gilt bis heute, insbesondere mit den ausgeklügelten Tools, auf die Angreifer zugreifen können. Dies wiederum bedeutet, dass es niemals eine One-Fix-All-Cybersicherheitslösung gibt, die nicht kompromittiert werden kann. Aus diesem Grund ist eine Tiefenverteidigung in einer Welt mit raffinierten Angreifern, die Zugriff auf immense Ressourcen haben, sehr wichtig.
Defense-in-Depth zwingt Organisationen dazu, einen proaktiven Ansatz für ihre Sicherheit zu verfolgen und an die Sicherheit ihrer Ressourcen zu denken, selbst wenn ein Sicherheitsprodukt ausfällt.
Diese Schichtung verschiedener Sicherheitsprodukte bietet Unternehmen einen robusten Schutz für ihre kritischen Ressourcen und verringert die Wahrscheinlichkeit einer Kompromittierung ihrer Systeme erheblich. Defense-in-Depth macht den Prozess der Kompromittierung von Systemen für Angreifer sehr schwierig.
Darüber hinaus zwingt es Unternehmen dazu, einen ganzheitlichen Ansatz für ihre Sicherheit zu verfolgen und alle möglichen Arten zu berücksichtigen, auf denen ihre Systeme angegriffen werden können. Genau wie beim Militär, wo eine Tiefenverteidigung Angriffe verlangsamt und Zeit für Vergeltung verschafft, tut es dasselbe in der Cybersicherheit.
Defense-in-Depth kann böswillige Akteure verlangsamen, bevor sie auf Systeme zugreifen, und Administratoren Zeit geben, Angriffe zu identifizieren und Gegenmaßnahmen zu ergreifen, um die Angriffe zu stoppen, bevor sie ihre Systeme verletzen.
Es begrenzt auch den von Angreifern angerichteten Schaden, falls eine Sicherheitsmaßnahme fehlschlägt, da andere Sicherheitskontrollen den Zugriff und die Höhe des Schadens einschränken, den Angreifer einem System zufügen können.
How Defense in Depth Works
Eine Schlüsselkomponente der Tiefenverteidigung ist die Redundanz von Sicherheitsmaßnahmen, die es Angreifern erschweren, Angriffe auszuführen. Beispielsweise könnte ein Angreifer erwägen, physisch zu Ihnen zu kommen, um einen infizierten USB-Stick in Ihren Systemen zu installieren.
Durch die Bewachung der Räumlichkeiten durch Sicherheitspersonal oder die Verwendung von Biometrie zur Protokollierung und Kontrolle des Zugriffs auf Computer kann ein solcher Angreifer gestoppt werden.
Unter der Annahme, dass sie bei ihrem Angriff sehr entschlossen sind und ihren Fokus auf den Angriff auf das Netzwerk verlagern, indem sie Malware an das Netzwerk senden, kann ein solcher Angriff mit einer Firewall, die den Netzwerkverkehr überwacht, oder einem im Netzwerk installierten Antivirenprogramm gestoppt werden.
Oder wenn sie versuchen, mit kompromittierten Anmeldeinformationen auf das Netzwerk zuzugreifen, kann eine in einem Netzwerk implementierte Multifaktor-Authentifizierung sie möglicherweise daran hindern, auf das System zuzugreifen.
Unter der Annahme, dass sie immer noch in das System eindringen können, könnte ein Intrusion Detection System ihr Eindringen erkennen und melden, was dann behoben werden kann, bevor weiterer Schaden angerichtet wird. Alternativ kann auch ein Intrusion-Prevention-System eingesetzt werden, um Bedrohungen aktiv zu stoppen.
Wenn sie all diese Sicherheitsmaßnahmen durchlaufen sollen, können Sie Angreifer daran hindern, sie auszunutzen heikle Informationen durch Verschlüsselung von Daten während der Übertragung und im Ruhezustand.
So sehr Angreifer bei ihren Angriffen manchmal sehr entschlossen sein und die verschiedenen Sicherheitsmaßnahmen umgehen können, die zum Schutz von Daten installiert sind, funktioniert die Tiefenverteidigung, indem sie es Angreifern sehr erschwert, Zugang zu einem System zu erhalten. Dies kann sie von ihren Angriffen abhalten oder, noch besser, der Organisation Zeit geben, auf Angriffe zu reagieren, bevor ihre Systeme verletzt werden.
Use Cases of Defense in Depth
Defense-in-Depth kann in einer Vielzahl von Szenarien angewendet werden. Einige davon sind:
# 1. Netzwerksicherheit
Eine gängige Anwendung von Defense-in-Depth ist der Schutz von Netzwerken vor Angriffen. Dies geschieht in der Regel durch Firewalls zur Überwachung des Netzwerkverkehrs basierend auf den Richtlinien einer Organisation und Intrusion Protection-Systemen zur Überwachung böswilliger Netzwerkaktivitäten und zum Ergreifen von Maßnahmen zur Verhinderung und Minderung von Eindringlingen in ein Netzwerk.
Zusätzlich wird im Netzwerk Antivirensoftware installiert, um zu verhindern, dass Malware im Netzwerk installiert wird, oder installierte Malware zu entfernen.
Die letzte Sicherheitsebene ist die Verschlüsselung von Daten im Ruhezustand und Daten während der Übertragung im Netzwerk. Selbst wenn Angreifer alle vorherigen Sicherheitsmaßnahmen umgehen, können sie auf diese Weise die Daten, auf die sie zugreifen, nicht verwenden, da sie verschlüsselt sind.
# 2. Endpoint Security
Endpunkte sind Geräte wie Server, Desktop-Computer, virtuelle Maschinen und mobile Geräte, die sich mit dem Netzwerk einer Organisation verbinden. Endpunktsicherheit beinhaltet den Schutz dieser Geräte vor Bedrohungen.
Eine Defense-in-Depth-Strategie bei der Endpunktsicherheit kann die physische Sicherung des Standorts der Endpunkte, die Verwendung starker Passwörter und Multifaktor-Authentifizierung zur Zugriffskontrolle auf die Geräte und die Protokollierung der Aktivitäten der Geräte umfassen. Firewalls, Antivirensoftware und Datenverschlüsselung können ebenfalls implementiert werden, um zusätzliche Sicherheitsebenen hinzuzufügen.
# 3. Sicherheit der Anwendung
Defense-in-Depth ist auch nützlich, um Anwendungen abzusichern, da sie mit sensiblen Daten wie Bankkonten, persönlichen Identifikationsnummern und Adressen von Benutzern umgehen.
In einem solchen Szenario kann eine Tiefenverteidigung durch die Verwendung bewährter Codierungspraktiken zur Minimierung von Sicherheitslücken, regelmäßige Tests von Anwendungen zur Suche nach Schwachstellen, die Verschlüsselung von Daten während der Übertragung und im Ruhezustand und die Implementierung einer mehrstufigen Authentifizierung zur Bestätigung der Identität von implementiert werden Benutzer und führt auch ein Protokoll der Aktivitäten der Benutzer der Anwendung.
Layered Security vs. Defense in Depth
Obwohl diese beiden Sicherheitsmaßnahmen die Verwendung mehrerer Schichten von Sicherheitsprodukten beinhalten, um die Sicherheit von Computerressourcen zu verbessern, unterscheiden sie sich in Implementierung und Fokus. Beide verlassen sich jedoch auf den Aufbau von Redundanzen, um die Sicherheit zu erhöhen.
Layered Security ist ein Sicherheitsansatz, bei dem mehrere Sicherheitsprodukte eingesetzt werden, um die anfälligsten Bereiche in der Sicherheit eines Unternehmens zu schützen.
Bei diesem Ansatz werden mehrere Sicherheitsansätze in derselben Schicht oder demselben Stack bereitgestellt, z. B. die Verwendung unterschiedlicher Antivirensoftware, sodass, falls ein Antivirus einen Virus übersieht oder einen Mangel aufweist, die andere verfügbare Option den Virus erkennen oder die Mängel beheben kann des anderen Antivirus.
Ein weiteres Beispiel hierfür ist die Verwendung mehrerer Firewalls oder Systeme zur Erkennung von Eindringlingen, sodass im Falle, dass ein Produkt einen Eindringling nicht erkennt oder stoppt, ein anderes Produkt ihn erkennen kann.
Ein solcher Ansatz stellt sicher, dass die Sicherheit von Computersystemen nicht gefährdet wird, selbst wenn ein Produkt ausfällt. Layered Security kann sich über verschiedene Sicherheitsschichten erstrecken, um die Sicherheit kritischer Computersysteme zu verbessern.
Im Gegensatz zur mehrschichtigen Sicherheit, die Redundanz auf einer einzigen Sicherheitsebene aufbaut, baut die Tiefenverteidigung eine Redundanz über mehrere Ebenen oder Bereiche eines möglichen Angriffs auf, um Computersysteme vor einer Vielzahl von Angriffen zu schützen.
Ein Beispiel für Tiefenverteidigung ist die Implementierung von Firewalls, Multifaktor-Authentifizierung, Intrusion-Detection-Systemen, das physische Abschließen von Räumen mit Computern und die Verwendung von Antivirus-Software. Jedes Sicherheitsprodukt adressiert ein anderes Sicherheitsproblem und schützt so ein System vor einer Vielzahl von Angriffen.
Fazit
Frühere Cyberangriffe haben gezeigt, dass böswillige Akteure verschiedenes ausprobieren werden Angriffsvektoren wenn Sie nach einer Schwachstelle suchen, die Sie in einem beliebigen System ausnutzen können. Da Angreifer über eine Vielzahl von Angriffen verfügen, die sie starten können, um ein System zu kompromittieren, können sich Unternehmen nicht auf ein einziges Sicherheitsprodukt verlassen, um die Sicherheit ihrer Computerressourcen vor Angreifern zu gewährleisten.
Daher ist es wichtig, eine umfassende Verteidigung zu implementieren, um kritische Computerressourcen vor einer Vielzahl von Angriffen zu schützen. Dies hat den Vorteil, dass sichergestellt wird, dass alle möglichen Kanäle abgedeckt sind, die böswillige Akteure verwenden können, um ein System auszunutzen.
Defense-in-Depth bietet Organisationen außerdem den Vorteil, Angriffe zu verlangsamen und laufende Angriffe zu erkennen, sodass sie Zeit haben, Bedrohungsakteuren entgegenzuwirken, bevor sie ihre Systeme kompromittieren können.
Sie können auch erkunden Honeypots und Honeynets in der Cybersicherheit.
