NIST bietet Tools zur Abwehr staatlich geförderter Hacker

Sonderveröffentlichung 800-172 wurde entwickelt, um sensible Informationen in einer Vielzahl elektronischer Systeme zu schützen.

Nationen auf der ganzen Welt erweitern ihr Arsenal um Cyberkriegsführung und beschäftigen hochqualifizierte Teams, um Angriffe gegen andere Länder zu starten. Diese Gegner werden auch als „Advanced Persistent Threat“ oder APT bezeichnet, da sie über die Werkzeuge und Ressourcen verfügen, um ihre Ziele über einen längeren Zeitraum wiederholt zu verfolgen und sich an die Bemühungen der Verteidiger anzupassen, ihnen zu widerstehen.

Zu den gefährdeten Daten gehören sensible, aber nicht klassifizierte Informationen, die von Regierung, Industrie und Wissenschaft zur Unterstützung verschiedener Bundesprogramme verwaltet werden. Nun bietet eine fertiggestellte Veröffentlichung des National Institute of Standards and Technology (NIST) eine Anleitung zum Schutz solcher „kontrollierten nicht klassifizierten Informationen“ (CUI) vor dem APT. NIST's Special Publication (SP) 800-172, Erhöhte Sicherheitsanforderungen zum Schutz von kontrollierten, nicht klassifizierten Informationen:A Supplement to NIST SP 800-171, bietet eine Reihe von Tools, die den Bemühungen staatlich geförderter Hacker entgegenwirken sollen, und ergänzt eine andere NIST-Veröffentlichung zum Schutz von CUI.

„Cyberangriffe werden mit lautlosen Waffen durchgeführt, und in einigen Situationen sind diese Waffen nicht nachweisbar“, sagte Ron Ross, ein Informatiker und NIST-Stipendiat. „Weil Sie die direkten Auswirkungen des nächsten Hacks vielleicht noch nicht ‚fühlen‘, denken Sie vielleicht, dass er eines Tages kommen wird; aber in Wirklichkeit passiert es gerade.“

Die Bundesregierung verlässt sich stark auf nichtföderale Diensteanbieter, um mithilfe von Informationssystemen eine Vielzahl von Missionen durchzuführen – ein Begriff, der Computer umfasst, aber auch eine Reihe anderer spezialisierter Technologien wie industrielle Steuerungssysteme und das Internet der Dinge. Der Schutz sensibler Bundesdaten, die sich in nichtföderalen Systemen befinden – wie sie beispielsweise von Landes- und Kommunalverwaltungen, Hochschulen und Universitäten sowie unabhängigen Forschungsorganisationen verwendet werden – ist von größter Bedeutung, da er sich direkt auf die Fähigkeit der Bundesregierung zur Durchführung ihrer Operationen auswirken kann . Ein Hack im Jahr 2018, der sensible Informationen kompromittiert hat, hat die Arbeit des NIST-Teams an SP 800-172 direkt inspiriert.

Früher als SP 800-171B während der Entwurfsphase nummeriert, bietet SP 800-172 zusätzliche Empfehlungen für den Umgang mit CUI in Situationen, in denen diese Informationen ein höheres Expositionsrisiko als üblich beinhalten. CUI umfasst eine Vielzahl von Informationstypen, von den Namen von Einzelpersonen oder Sozialversicherungsnummern bis hin zu wichtigen Verteidigungsinformationen.

„Wir haben SP 800-171 als Reaktion auf große Cyberangriffe auf kritische Infrastrukturen in den USA entwickelt, und das Begleitdokument SP 800-172 wurde entwickelt, um Angriffe von fortgeschrittenen Cyberbedrohungen wie dem APT abzuwehren“, sagte Ross. „Die Implementierung der Cyber-Sicherheitsvorkehrungen in SP 800-172 wird Systembesitzern helfen, das zu schützen, was Hacker auf staatlicher Ebene als besonders wertvolle Ziele angesehen haben:sensible Informationen über Menschen, Technologien, Innovation und geistiges Eigentum, deren Enthüllung unsere Wirtschaft gefährden könnte.“ und nationale Sicherheit.“

Die erweiterten Sicherheitsanforderungen müssen zusätzlich zu denen in SP 800-171 implementiert werden, da diese Veröffentlichung nicht auf die APT ausgerichtet ist. Die Anforderungen in SP 800-172 gelten für die Komponenten nicht föderaler Systeme, die CUI verarbeiten, speichern oder übertragen oder die Schutz für solche Komponenten bieten. Um den Anwendungsbereich weiter einzuschränken, werden die Anforderungen nur angewendet, wenn die designierte CUI mit einem kritischen Programm oder einem hochwertigen Asset verknüpft ist – die höchste Priorität für den Schutz.

Die Veröffentlichung wurde hauptsächlich für Administratoren wie Programmmanager, CIOs und Systemprüfer entwickelt und befasst sich mit dem Schutz von CUI für Systemkomponenten durch die Förderung einer durchdringungsresistenten Architektur, schadensbegrenzenden Operationen und Designs, um Cyber-Resilienz und Überlebensfähigkeit zu erreichen. Seine Tools, die in 14 Familien unterteilt sind, sollen nicht massenhaft implementiert werden, sondern werden nach den Bedürfnissen der Organisation ausgewählt.

„Höchstwahrscheinlich wird eine Organisation, die diese Leitlinien umsetzt, nicht alle erweiterten Sicherheitsanforderungen nutzen wollen, die wir hier anbieten“, sagte Ross. „Die Entscheidung, einen bestimmten Satz erweiterter Sicherheitsanforderungen auszuwählen, basiert auf Ihrer Mission und Ihren geschäftlichen Anforderungen – und wird dann von fortlaufenden Risikobewertungen geleitet und informiert.“

Als Reaktion auf das Feedback, das während der öffentlichen Kommentierungsphase eingegangen ist, enthält der endgültige Entwurf aktualisierte Leitlinien für den Umfang und die Anwendbarkeit sowie einen flexibleren Ansatz zur Auswahl der Anforderungen, damit Unternehmen ihre Sicherheitslösungen individuell anpassen können.

Ross sagte, dass die Tools in der neuen Veröffentlichung jedem Hoffnung geben sollten, der sich gegen Hacks verteidigen möchte, selbst durch eine so einschüchternde Bedrohung wie das APT.

„Die Gegner bringen ihr ‚A-Game‘ in diese Cyberangriffe 24 Stunden am Tag, 7 Tage die Woche ein“, sagte er. „Sie können damit beginnen, sicherzustellen, dass der Schaden minimiert wird, wenn Sie die Cyber-Sicherheitsvorkehrungen von SP 800-172 verwenden.“

Originalquelle:https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers