.png)
Grundlegendes zu den EU-Compliance-Mandaten: GDPR, Cyber Essentials
In Teil eins In dieser Blogserie habe ich über die Compliance-Landschaft gesprochen und darüber, dass die verschiedenen Branchen jeweils ihre eigenen behördlichen Mandate oder Leitlinien zur Cybersicherheit haben. Darauf folgten ein Beitrag über Regulierung und Sicherheitskontrollen im Sektor Kritische Systeme und Betriebstechnologie, ein Bereich, in dem ich direkte Erfahrung hatte und der mich fasziniert, da sich die Cybersicherheit dort entwickelt. Von dort zog ich in die Vorschriften für Finanzdienstleistungen in der EU präsent.
Hier werden wir zu einem leicht tangentialen Mandat, der DSGVO, übergehen und uns auch Cyber Essentials/Cyber Essentials Plus als eine Reihe von NCSC-Richtlinien (UK National Cyber Security Center) zur Cybersicherheit ansehen.
Die Allgemeine Datenschutzverordnung - GDPR
Viele von Ihnen sind mit der Allgemeinen Datenschutzverordnung (GDPR) vertraut — unabhängig davon, ob sie sich direkt auf Ihr Leben und Ihre Arbeit in der EU auswirkt oder ob sie für die Daten gilt, mit denen wir arbeiten, und die Systeme, mit denen wir interagieren.
Ohne zu sehr ins Detail zu gehen, konzentriert sich die DSGVO in erster Linie auf Datenschutz, Datenverarbeitung und Datenschutzbedenken für EU-Bürger Persönlich identifizierbare Informationen (PII). Die Kernprinzipien geben Einzelpersonen die Kontrolle über ihre Daten und schreiben vor, dass die für die Verarbeitung Verantwortlichen und Datenverarbeiter die entsprechenden Einrichtungen einrichten „angemessene technische und organisatorische Maßnahmen“ zur Umsetzung der Datenschutzgrundsätze. Die DSGVO wurde im Frühjahr 2018 eingeführt und gilt für alle Organisationen, die mit den Daten der EU-Bürger umgehen. Sie ist weitreichend, zielt jedoch darauf ab, die Kontrolle personenbezogener Daten als Verordnung (Kontrolle) und nicht als Richtlinie (Leitfaden) zu vereinheitlichen.
Im Grunde bedeutet die DSGVO einige Dinge für Cybersicherheitsexperten. Insbesondere müssen Unternehmen:
- Sicherheitsrisiken managen
- Schützen Sie persönliche Daten vor Cyberangriffen
- Erkennen Sie Sicherheitsereignisse
- Minimiere die Auswirkungen
Diese können adressiert werden in eine Reihe von Möglichkeiten, einschließlich der Umsetzung von Grundlagen des Cyber-Internets Richtlinien in Großbritannien, auf die wir später in diesem Beitrag eingehen werden.
Im Moment möchte ich näher darauf eingehen, wie wir die Anforderungen interpretieren und anwenden, insbesondere unter dem Gesichtspunkt der Mikrosegmentierung, der Verhinderung von Sicherheitsverletzungen und der Reduzierung von seitlichen Bewegungen.
Die wichtigsten DSGVO-Prinzipien und wie Illumio hilft
Es gibt eine Reihe von Richtlinien, anhand derer Sie die DSGVO-Standards aus Sicht der Cybersicherheit einhalten können. Diese werden im NCSC GDPR Security Outcomes Guide beschrieben. Von diesen fallen eine Reihe spezifischer Anforderungen in den Zuständigkeitsbereich der Mikrosegmentierung:
A) Sicherheitsrisiken verwalten
Sie verfügen über angemessene Organisationsstrukturen, Richtlinien und Prozesse, um Sicherheitsrisiken für personenbezogene Daten zu verstehen, zu bewerten und systematisch zu verwalten
Konkret:
A.3 Vermögensverwaltung
Diese Anforderung bezieht sich in der Regel auf die Daten selbst gemäß der DSGVO, aber die Datenverarbeitungs- und Datenhostingsysteme selbst können visualisiert und kartografiertund anschließend entsprechend segmentiert, um ungewollten Zugriff oder Gefährdung zu verhindern.
A. 4 Datenverarbeiter und die Lieferkette
Sie verstehen und verwalten Sicherheitsrisiken für Ihre Verarbeitungsvorgänge, die sich aus Abhängigkeiten von Dritten wie Datenverarbeitern ergeben können. Dazu gehört auch die Sicherstellung, dass sie angemessene Sicherheitsmaßnahmen ergreifen.
Abbildung der Anwendungsabhängigkeiten, über Beleuchtung, ist eine Hauptfunktion von Illumio Core und ermöglicht ein besseres Verständnis der Konnektivität Ihres Unternehmens mit externen Systemen.
B) Schützen Sie personenbezogene Daten vor Cyberangriffen
Sie verfügen über angemessene Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen, die sich auf die von Ihnen verarbeiteten personenbezogenen Daten und die Systeme, die diese Daten verarbeiten, erstrecken.
Ähnlich wie oben dreht sich die Kernrichtlinie hier um die Verhinderung von Cyberangriffen, also um die Verhinderung erfolgreicher lateraler Bewegungen in die Systeme, in denen Daten gespeichert sind, die unter die DSGVO fallen. Genau davor schützt die Mikrosegmentierung.
C) Erkennen Sie Sicherheitsereignisse
Sie können Sicherheitsereignisse erkennen, die sich auf die Systeme auswirken, die personenbezogene Daten verarbeiten, und Sie überwachen den Zugriff autorisierter Benutzer auf diese Daten.
C.1 Sicherheitsüberwachung
Sie überwachen angemessen den Status der Systeme, die personenbezogene Daten verarbeiten, und überwachen den Benutzerzugriff auf diese Daten, einschließlich anomaler Benutzeraktivitäten.
Auch hier kommt das Mapping von Anwendungsabhängigkeiten voll zur Geltung. Die Überwachung der Anwendungsflüsse in und aus kritischen Anwendungen oder Systemen ist äußerst effektiv, wenn es um die Überwachung von Sicherheitslücken oder Verhaltensänderungen geht. Gepaart mit der Fähigkeit integrieren Mit Systemen wie SIEMs und SOARs ermöglicht es eine schnelle Reaktion auf Angriffe, z. B. die Quarantäne eines Geräts, das als gefährdet angesehen wird.
Für Unternehmen, die eine Zero-Trust-Haltung einnehmen, stellen die Illumino-Richtlinien ein Unternehmen in den Vordergrund, bevor sich ein Angriff überhaupt etablieren kann, und schützen kritische Systeme von Natur aus vor der Kette von Seite zu Seite.
D) Minimiere die Auswirkungen
Du kannst:
Minimierung der Auswirkungen einer Verletzung des Schutzes personenbezogener Daten
Stellen Sie Ihre Systeme und Dienste wieder her
Dies befasst sich mit dem Explosionsradius, insbesondere mit dessen Verständnis und Minimierung. Auch hier geht es speziell um die Referenzierung von Systemen und nicht um die Daten selbst.
Um diese Anforderungen zu erfüllen, gibt es eine Reihe spezifischer Richtlinien, auf die verwiesen werden kann, und sogar eine ganze Organisation, die sich der Beratung und Anleitung zur Einhaltung der DSGVO-Standards widmet. Eine solche Reihe von Richtlinien, auf die im Vereinigten Königreich als Ausgangspunkt verwiesen werden kann, ist Cyber Essentials, und seine extern geprüfte Version, Cyber Essentials Plus:
Cyber-Grundlagen, Cyber-Essentials Plus
Cyber Essentials ist ein vom NCSC veröffentlichter Satz einfacher Cybersicherheitsrichtlinien, die jedes Unternehmen verwenden kann, um sein Unternehmen zu schützen, und das bei der Erfüllung der DSGVO oder auf andere Weise hilfreich sein kann. Cyber Essentials selbst ist eine Option zur Selbstbewertung, wobei Cyber Essentials Plus als extern validierte Version erhältlich ist. Die Anforderungen sind für beide gleich, nur die Art der Bescheinigung ändert sich.
Der Umfang kann die gesamte IT-Infrastruktur umfassen — oder einen Teil davon. Webanwendungen sind standardmäßig im Geltungsbereich enthalten.
Stand: Version 2.1 — August 2020, die spezifischen Anforderungen drehen sich um einige Schlüsselbereiche:
- Firewalls
- Sichere Konfiguration
- Benutzerzugriffskontrolle
- Schutz vor Schadsoftware
- Patch-Verwaltung
Davon gibt es drei Hauptbereiche, bei denen Illumio helfen kann: Firewalling, sichere Konfiguration und Malware-Schutz. Einige Aspekte der Benutzerzugriffskontrolle können auch mit dem Illumio behandelt werden Adaptive Benutzersegmentierung Funktionalität.
Firewalls
Auf allen Geräten werden Netzwerkdienste ausgeführt, die eine Form der Kommunikation mit anderen Geräten und Diensten herstellen. Indem Sie den Zugriff auf diese Dienste einschränken, reduzieren Sie Ihr Risiko für Angriffe. Dies kann mithilfe von Firewalls und gleichwertigen Netzwerkgeräten erreicht werden.
Eine Grenzfirewall ist ein Netzwerkgerät, das den eingehenden und ausgehenden Netzwerkverkehr auf Dienste in seinem Netzwerk von Computern und Mobilgeräten einschränken kann. Sie kann zum Schutz vor Cyberangriffen beitragen. Cyber Essentials: Anforderungen an die IT-Infrastruktur, indem sie Einschränkungen, sogenannte „Firewall-Regeln“, implementiert, die den Datenverkehr je nach Quelle, Ziel und Art des Kommunikationsprotokolls zulassen oder blockieren können.
Alternativ kann eine hostbasierte Firewall auf einem Gerät konfiguriert werden. Dies funktioniert genauso wie eine Grenzfirewall, schützt jedoch nur das einzelne Gerät, auf dem sie konfiguriert ist. Dieser Ansatz kann für maßgeschneidertere Regeln sorgen und bedeutet, dass die Regeln für das Gerät gelten, unabhängig davon, wo es verwendet wird. Dies erhöht jedoch den Verwaltungsaufwand bei der Verwaltung von Firewallregeln.
Illumio nutzt in erster Linie die hostbasierte, etablierte Betriebssystem-Firewall und programmiert sie so, dass auf einfache Weise ein dynamisches Zero-Trust-Sicherheitsniveau erreicht werden kann. Die Nutzung vorhandener, individueller Firewalls ermöglicht eine sehr detaillierte Richtlinie, die sich in der Nähe des Geräts und der Daten richtet, die geschützt werden müssen.
Sichere Konfiguration
Computer und Netzwerkgeräte sind in ihren Standardkonfigurationen nicht immer sicher. Standardkonfigurationen, die sofort einsatzbereit sind, enthalten häufig eine oder mehrere Schwachstellen wie:
- ein Administratorkonto mit einem vorbestimmten, öffentlich bekannten Standardkennwort
- voraktivierte, aber unnötige Benutzerkonten (manchmal mit speziellen Zugriffsrechten)
- vorinstallierte, aber unnötige Anwendungen oder Dienste
Standardinstallationen von Computern und Netzwerkgeräten können Cyberangreifern eine Vielzahl von Möglichkeiten bieten, sich unbefugten Zugriff auf vertrauliche Informationen eines Unternehmens zu verschaffen — oft mit Leichtigkeit.
Auch hier erhöht Zero Trust als Richtlinienmodell die Sicherheit eines bestimmten Workloads massiv — und minimiert den Zugriff auf die genannten „unnötigen Anwendungen oder Dienste“.
Schutz vor Schadsoftware
Die Ausführung von Software, die aus dem Internet heruntergeladen wurde, kann ein Gerät einer Malware-Infektion aussetzen.
Malware, wie Computerviren, Würmer und Spyware, ist Software, die bewusst geschrieben und verbreitet wurde, um bösartige Aktionen auszuführen. Zu den potenziellen Infektionsquellen gehören bösartige E-Mail-Anhänge, Downloads (einschließlich solcher aus App Stores) und die direkte Installation nicht autorisierter Software.
Mit dieser Anleitung können beide Illumio Core und Illumio Edge tragen dazu bei, die laterale Bewegung einer Malware-Infektion zu verhindern, indem der Explosionsradius minimiert und die anschließende Gefährdung kritischer Geschäftsanwendungen verhindert wird.
Abschließend
In two cases of control and leadership is the interpretation of important meaning. The DSGVO is known that they difficult to to apply and implementation is and that they relatively offen-is, what the specific possibilities apply, the required goals. Bußgelder im Zusammenhang mit der DSGVO berücksichtigen nebst den technischen Einzelheiten der implementierten Kontrollen auch die Aufsicht und den Aufwand, der zur Erfüllung der Anforderungen erforderlich ist.
In ähnlicher Weise bietet Cyber Essentials einen grundlegenden Überblick darüber, wie die Sicherheit erhöht werden kann, bietet jedoch mehrere Möglichkeiten, dies zu erreichen. The detailed overview, the application dependency mapping offers, and the Zero-Trust security position, that will not used by Illumio standard, help company with this two safety guidelines are a major step before.
Um mehr über den Zero-Trust-Ansatz von Illumio zu erfahren, besuchen Sie https://www.illumio.com/solutions/zero-trust.
