News – Seite 2 – GRC Factory GmbH

Dezember 3, 2022Januar 23, 2023

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des “Blue Teams” zu automatisieren, einschließlich der Durchführung von Analysen.
ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Erste Schritte mit ATT&CK: Emulation von Angreifern und Red Teaming Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Emulation von Angreifern und Red Teaming auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
Do-It-Yourself ATT&CK-Evaluierungen zur Verbesserung Ihrer Sicherheitslage Präsentation: In dieser Präsentation wird erläutert, wie Verteidiger ihre Sicherheitslage durch den Einsatz von Gegneremulationen verbessern können, indem sie ihre eigenen ATT&CK-Evaluierungen durchführen.
APT ATT&CK – Bedrohungsbasiertes Purple Teaming mit ATT&CK Fortsetzung der Präsentation: In dieser Präsentation wird der Einsatz von ATT&CK für Purple Teaming vertieft, einschließlich der Erfahrungen aus ATT&CK-Evaluierungen.
To Blue with ATT&CK-Flavored Love Präsentation: Diese Präsentation zeigt aus der Sicht eines roten Teamers, wie ATT&CK ein wertvolles Instrument ist, um roten und blauen Teams bei der Zusammenarbeit zur Verbesserung ihrer Verteidigung zu helfen. Die Folien sind ebenfalls verfügbar.
Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
Pläne für die Emulation von Angreifern: Um die praktische Anwendung von ATT&CK für offensive Operatoren und Verteidiger zu demonstrieren, hat MITRE Pläne für die Emulation von Angreifern erstellt. Wir haben bereits einen Plan für APT3 (sowie ein begleitendes Feldhandbuch) veröffentlicht und werden voraussichtlich in Zukunft weitere Pläne veröffentlichen.
CALDERA: CALDERA ist ein automatisiertes System zur Emulation von Angreifern, das das Verhalten von Angreifern nach einer Kompromittierung in Windows-Unternehmensnetzwerken durchführt. Es generiert Pläne unter Verwendung eines vorkonfigurierten Angreifermodells, das auf ATT&CK basiert. Diese Präsentation von der BSides Charm bietet einen Überblick über CALDERA.
Threat-based Purple Teaming with ATT&CK Präsentation: Diese Präsentation beschreibt, wie Purple Teams ATT&CK als gemeinsame Sprache für die Emulation von Angreifern nutzen können. Die Folien sind ebenfalls verfügbar.
ATT&CKing mit Threat Intelligence Präsentation: Diese Präsentation zeigt auf, wie Bedrohungsdaten für die ATT&CK-basierte Emulation von Gegnern genutzt werden können.
ATT&CK Evaluations Adversary Emulation Summary: Diese Zusammenfassung von der ATT&CK Evaluations Website bietet eine Einführung in den Ansatz der Gegneremulation bei ATT&CK Evaluations.

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Erste Schritte mit ATT&CK: Assessments und Engineering Blog Post: Dieser Blog-Beitrag beschreibt, wie Sie ATT&CK für Assessments und Engineering in drei verschiedenen Schwierigkeitsgraden einsetzen können.
Lessons Learned – Anwendung von ATT&CK-basierten SOC-Bewertungen Präsentation: Diese Keynote-Präsentation erörtert einen Prozess zur Bewertung der Detektivfähigkeiten eines SOC in Bezug auf ATT&CK, einschließlich der praktischen Erfahrungen und Erkenntnisse von MITRE.
ATT&CK-Bewertungen: Die von MITRE durchgeführten Evaluierungen von Cybersicherheitsprodukten anhand einer offenen, auf ATT&CK basierenden Methodik können Endanwendern helfen zu verstehen, wie kommerzielle Sicherheitsprodukte bekannte Verhaltensweisen von Angreifern erkennen.
Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

September 18, 2022Januar 17, 2023

Interne Revision: Leitfaden zu Grundlagen der IT-Revision ist in der 2. Auflage verfügbar

Sechs Jahre sind vergangen seit unsere Fachgruppe IT-Revision der ISACA den Leitfaden zu den Grundlagen der IT-Revision herausgegeben hat.

Geänderte Vorgaben, neue Themen wie Blockchain und Kryptowährungen, die fortschreitende Digitalisierung und nicht zuletzt die Corona-Pandemie haben für die Revision viele neue Fragen aufgeworfen. Der Anspruch des Autorenteams der ISACA-Fachgruppe IT-Revision war es daher, den vorliegenden Leitfaden hinsichtlich der Änderungen bei wichtigen Vorgaben, aber auch bei Veränderungen in den Grundlagen zu aktualisieren und anzupassen.

Der aktualisierte Leitfaden kann hier heruntergeladen werden.

Der Leitfaden wurde in Zusammenarbeit von internen Revisoren, erfahrene Berater und Kollegen aus Wissenschaft und Lehre erstellt bzw. aktualisiert.

Autorenteam (alphabetisch):

Dr. Karlheinz Ahlers, CISA, 1. und 2. Auflage
Markus Bank, CISA, 1. und 2. Auflage
Axel Dors, CISA, 1. und 2. Auflage
Torsten Enk, CISA, CDPSE, 1. und 2. Auflage
Sebastian Grüneberg, CISA, CISM, 2. Auflage
Jochen Hartmann, CISA, CISM, 1. Auflage
Ralf Herter, 1. und 2. Auflage
Ingrid Dubois, 1. Auflage
Prof. Matthias Knoll, CISA, 1. und 2. Auflage
Christian Lossos, 2. Auflage
Wolf-Rüdiger Mertens, CIA, CISA, CISSP,
Torsten Meyer, CISA, 1. und 2. Auflage
Patrick Schwieder, 2. Auflage
Stefanie Schmidt, CIA, CISA, 2. Auflage
Simon Scribelka, CISA, 2. Auflage
Dr. Dirk Silkenbäumer, CISA, 2. Auflage

Vielen Dank auf diesem Weg an unser engagiertes Team der Fachgruppe IT-Revision.

Juni 2, 2022Januar 17, 2023

Gesetze und Verordnungen: Cybersecurity im Finanzsektor – Vorläufige Einigung über DORA erzielt

Angesichts der immer größer werdenden Risiken von Cyberangriffen stärkt die EU die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Gestern Abend erzielten die Ratspräsidentschaft und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa in der Lage ist, seine Operationen auch bei einer schweren Betriebsstörung aufrechtzuerhalten.

DORA legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen IKT (Informations- und Kommunikationstechnologien)-bezogene Dienste zur Verfügung stellen, wie etwa Cloud-Plattformen oder Datenanalysedienste. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit, wobei alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Hauptziel besteht darin, Cyber-Bedrohungen zu verhindern und abzuschwächen.

Nach der vorläufigen Einigung werden die neuen Vorschriften einen sehr robusten Rahmen bilden, der die IT-Sicherheit des Finanzsektors erhöht. Die von den Finanzunternehmen verlangten Anstrengungen werden im Verhältnis zu den potenziellen Risiken stehen.

Nahezu alle Finanzunternehmen werden den neuen Vorschriften unterworfen sein. Im Rahmen der vorläufigen Einigung werden Wirtschaftsprüfer nicht der DORA unterliegen, aber Teil einer zukünftigen Überprüfung der Verordnung sein, bei der eine mögliche Überarbeitung der Regeln untersucht werden kann.

Kritische IKT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, damit die Aufsicht ordnungsgemäß durchgeführt werden kann.

Hinsichtlich des Aufsichtsrahmens einigten sich die Mitgesetzgeber auf ein zusätzliches gemeinsames Aufsichtsnetz, das die Koordinierung zwischen den europäischen Aufsichtsbehörden in diesem sektorübergreifenden Bereich verstärken wird.

Die vorläufige Vereinbarung sieht vor, dass Penetrationstests in einem funktionierenden Modus durchgeführt werden, wobei die Möglichkeit besteht, mehrere Behörden der Mitgliedstaaten in die Testverfahren einzubeziehen. Der Einsatz interner Prüfer wird nur unter bestimmten, streng begrenzten Bedingungen möglich sein, die an Schutzmaßnahmen geknüpft sind.

Was das Zusammenspiel von DORA mit der Richtlinie über Netz- und Informationssicherheit (NIS) betrifft, so werden die Finanzunternehmen im Rahmen der vorläufigen Einigung volle Klarheit über die verschiedenen Vorschriften zur digitalen operationellen Widerstandsfähigkeit haben, die sie einhalten müssen, insbesondere für diejenigen Finanzunternehmen, die mehrere Zulassungen besitzen und auf verschiedenen Märkten innerhalb der EU tätig sind. Die NIS-Richtlinie gilt weiterhin. DORA baut auf der NIS-Richtlinie auf und regelt mögliche Überschneidungen durch eine lex specialis-Ausnahme.

Die gestern Abend erzielte vorläufige Einigung muss noch vom Rat und vom Europäischen Parlament gebilligt werden, bevor das förmliche Annahmeverfahren eingeleitet wird.

Sobald der DORA-Vorschlag formell angenommen ist, wird er von jedem EU-Mitgliedstaat in ein Gesetz umgesetzt. Die zuständigen Europäischen Aufsichtsbehörden (ESAs), wie die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapieraufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), werden dann technische Standards entwickeln, an die sich alle Finanzdienstleistungsinstitute halten müssen, von Banken über Versicherungen bis hin zur Vermögensverwaltung. Die jeweils zuständigen nationalen Behörden werden die Einhaltung der Vorschriften überwachen und die Verordnung erforderlichenfalls durchsetzen.

Hintergrund

Die Kommission legte den DORA-Vorschlag am 24. September 2020 vor. Er ist Teil des umfassenderen Pakets für digitale Finanzen, mit dem ein europäischer Ansatz entwickelt werden soll, der die technologische Entwicklung fördert und die Finanzstabilität und den Verbraucherschutz gewährleistet. Neben dem DORA-Vorschlag enthält das Paket eine Strategie für das digitale Finanzwesen, einen Vorschlag zu Märkten für Krypto-Assets (MiCA) und einen Vorschlag zur Distributed-Ledger-Technologie (DLT).

Dieses Paket schließt eine Lücke in der bestehenden EU-Gesetzgebung, indem es sicherstellt, dass der derzeitige Rechtsrahmen keine Hindernisse für die Nutzung neuer digitaler Finanzinstrumente darstellt und gleichzeitig gewährleistet, dass solche neuen Technologien und Produkte in den Anwendungsbereich der Finanzregulierung und der Vorkehrungen für das operative Risikomanagement von in der EU tätigen Unternehmen fallen. Somit zielt das Paket darauf ab, Innovationen und die Einführung neuer Finanztechnologien zu fördern und gleichzeitig ein angemessenes Niveau des Verbraucher- und Anlegerschutzes zu gewährleisten.

Der Rat nahm sein Verhandlungsmandat zu DORA am 24. November 2021 an. Die Trilogverhandlungen zwischen den Mitgesetzgebern begannen am 25. Januar 2022 und endeten mit der gestern erzielten vorläufigen Einigung.

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Original-Mitteilung des European Council: Digital finance: Provisional agreement reached on DORA – Consilium (europa.eu)