MManagement

CYBER-SICHERHEITSBEWERTUNG: Beispiele, Checkliste und Tools

Bewertung der Cybersicherheit
CPA Kanada
Inhaltsverzeichnis Verbergen
  1. Was ist Cyber ​​Security Assessment?
  2. Tools zur Bewertung der Cybersicherheit
  3. Wie führt man eine Cybersicherheitsbewertung durch?
  4. Checkliste zur Bewertung der Cybersicherheit
  5. Was ist in einer Cyber-Sicherheitsbewertung enthalten?
  6. Bewertungsdienste für Cybersicherheit
  7. Beispiel für einen Bericht zur Bewertung der Cybersicherheit
  8. Wie lange dauert eine Cybersicherheitsbewertung?
  9. Was ist eine NIST-Sicherheitsbewertung?
    1. Was sind die drei Phasen eines Sicherheitsbewertungsplans?
    2. Wie starte ich eine Cyber-Sicherheitsbewertung?
  10. Kostenlose Tools zur Bewertung der Cybersicherheit
    1. #1. Kali-Linux
    2. #2. Gehen Sie phish
    3. #3. Verteidigung
    4. #4. Aircrack-ng
    5. #5. Burp-Suite
  11. Zusammenfassung
  12. Häufig gestellte Fragen zur Cyber-Sicherheitsbewertung
    1. Was ist Cyber ​​Security Assessment?
    2. Was ist die Checkliste für die Sicherheitsrisikobewertung?
    3. Wie führen Sie eine Cybersecurity-Risikobewertung in 5 Schritten durch?
    4. Ähnliche Artikel
    5. Bibliographie

Da sich die Cyberbedrohungslandschaft ständig ändert, sind routinemäßige Cybersicherheitsbewertungen ein wesentlicher Bestandteil eines umfassenden Risikomanagementprogramms. Ihr Unternehmen muss jederzeit die Cyber-Hygiene seines gesamten Ökosystems überwachen, einschließlich Dritt- und Viertanbieter. Eine Cybersicherheits-Risikobewertung hilft Ihnen dabei, indem sie Cyberrisiken identifiziert, die sich auf Ihre Sicherheitslage auswirken, sodass Sie fundiertere Entscheidungen darüber treffen können, wie Sie Mittel zur Implementierung von Sicherheitskontrollen und zum Schutz des Netzwerks zuweisen. Sehen wir uns einige der gängigsten Risikobewertungen zur Cybersicherheit und die Maßnahmen an, die Ihr Unternehmen mit Tools ergreifen kann, um eine effektive Bewertung durchzuführen:

Was ist Cyber ​​Security Assessment?

Eine Cybersicherheitsbewertung ist ein Prozess, der den aktuellen Stand der Cybersicherheit Ihres Unternehmens ermittelt und Verbesserungsschritte empfiehlt. Obwohl es viele verschiedene Arten von Bewertungen gibt, konzentriert sich dieser Artikel auf NIST SP 800-115: Implementing Security Controls for Federal Information Systems (ICS) – Security Assessment Methodology 2nd Edition (SAM2). Das Ziel hier ist, einige Hintergrundinformationen über die Funktionsweise von SAM2 bereitzustellen, damit Sie entscheiden können, ob es für Ihre spezielle Situation geeignet ist.

Tools zur Bewertung der Cybersicherheit

Die Tools zur Bewertung der Cybersicherheit bewerten die Cybersicherheitslage Ihres Unternehmens. Die Bewertung besteht aus einer Reihe von Fragen, die dabei helfen, die aktuelle Cyber-Sicherheitslage Ihres Unternehmens zu bestimmen, potenzielle Risiken und Chancen zu identifizieren und eine Gelegenheit zu bieten, Ihre bestehenden Kontrollen zu bewerten.

Die Bewertung ist so konzipiert, dass sie von einem externen Gutachter durchgeführt wird, der Ihre Organisation zuvor noch nicht bewertet hat. Basierend auf den Bewertungsergebnissen wird ein Bewertungsbericht erstellt, der Empfehlungen zur Verbesserung Ihrer Cyber-Sicherheitslage enthalten kann.

Wie führt man eine Cybersicherheitsbewertung durch?

Der erste Schritt bei der Durchführung einer Cybersicherheitsbewertung besteht darin, den Umfang Ihres Projekts zu verstehen. Eine Cybersicherheitsbewertung kann als eine Analyse definiert werden, die alle Aspekte der Informationssicherheit berücksichtigt, einschließlich Netzwerk- und Systemsicherheit, Anwendungsentwicklung und -implementierung, Benutzerautorisierungsmodelle (z. B. Single Sign-On) sowie Richtlinien und Verfahren zur Verwaltung der Datenklassifizierung.

Der Umfang Ihrer Bewertung sollte Folgendes umfassen:

  • Die Auswirkungen auf das Geschäft, wenn eine Bedrohung oder Schwachstelle auftritt;
  • Aktuelle Risikostufen für jeden oben identifizierten Bereich; 
  • Wie gut schützt jeder Bereich vor bekannten Bedrohungen? Wenn nicht, identifizieren Sie, welche Kontrollen möglicherweise implementiert werden müssen, basierend auf aktuellen Industriestandards/Best Practices;
  • Welche anderen Bereiche müssen beachtet werden? Zum Beispiel: Haben wir ausreichend Überwachungskapazität für unseren Netzwerkverkehr? Gibt es genügend Einblick in das, was Kunden im Rahmen ihrer täglichen Aktivitäten online tun, ohne jedes Mal, wenn sie sich anmelden, über uns zu gehen?

Checkliste zur Bewertung der Cybersicherheit

Sie können eine standardmäßige Sicherheitsbewertungs-Checkliste verwenden, um sicherzustellen, dass Sie alle Grundlagen mit Ihrer Cyber-Sicherheitsbewertung abdecken. Dies ist besonders wichtig, wenn Sie an großen Projekten und Teams arbeiten, da es die Zeit reduziert, die jede Person benötigt, um ihren Teil des Prozesses abzuschließen.

Im Folgenden finden Sie eine Beispiel-Checkliste, die Sie nach Bedarf anpassen und verwenden können:

  • NIST 800-53 (Computer Security Framework) – Dieses Dokument definiert die Mindestanforderungen für das Informationssicherheitsmanagement während des gesamten Lebenszyklus einer Organisation. Es beschreibt fünf Problembereiche: Risikobewertung, Penetrationstests, Entwicklung und Implementierung von Incident Response Plans, Entwicklung und Implementierung von Facility Security Management Plans, Erstellung/Aktualisierung von Policy Guidance Documents

Was ist in einer Cyber-Sicherheitsbewertung enthalten?

Eine Sicherheitsbewertung ist ein Prozess, der Tools und Techniken verwendet, um Informationen über Ihre Netzwerkumgebung zu sammeln. Eine gute Sicherheitsbewertung soll sicherstellen, dass die Daten, Systeme und Anwendungen Ihres Unternehmens so sicher wie möglich sind.

Eine gute Sicherheitsbewertung umfasst:

  • Umfang, Zeitplan und Kosten der Bewertung;
  • Das Team, das es ausführen wird;
  • Der für die Durchführung verwendete Ansatz (z. B. Penetrationstests oder Schwachstellen-Scans);
  • Tools/Techniken, die während der Erfassungsphasen verwendet werden – wie z. B. Port-Scanning oder Fuzzing-Software;
  • Personen, die Ergebnisse dieser Aktivität erhalten – d. h. Endbenutzer, die ihre Maschinen einzeln durchlaufen (keine manuelle Protokollierung erforderlich), Partner/Lieferanten, die Berichte direkt von uns per E-Mail-Anhang erhalten.

Bewertungsdienste für Cybersicherheit

Eine Sicherheitsbewertung ist eine systematische Sammlung von Daten, um das Risikoniveau zu bestimmen und Schwachstellen in der Informationssicherheit Ihres Unternehmens zu identifizieren. Das Ziel einer Sicherheitsbewertung besteht darin, Lücken in den aktuellen Prozessen und Richtlinien Ihres Unternehmens zu identifizieren und Schwachstellen zu bewerten, die Hacker ausnutzen könnten.

Sicherheitsbewertungen können mit Open-Source-Software wie Nessus oder der Vulnerability Management Suite (VMS) von Qualys durchgeführt werden, die Ihnen sofort eine Momentaufnahme der Konfiguration Ihres Netzwerks liefert – oder sie können ausgelagert werden (z. B. durch Cyber-Sicherheitsbewertungen). Dieses Verfahren hat viele Vorteile: Es ist billiger; es bietet Echtzeit-Feedback; Es gibt keine Anbieterbindungsprobleme, da Sie auf alle Tools auf einmal zugreifen können, und wenn Sie während der Bewertungsphase auf Probleme mit einem bestimmten Tool stoßen, steht möglicherweise ein anderes kostenlos zur Verfügung!

Beispiel für einen Bericht zur Bewertung der Cybersicherheit

Ein Bewertungsbericht zur Cybersicherheit ist ein Dokument, das die aktuelle Sicherheitslage Ihres Unternehmens und die Lücken darin beschreibt. Es enthält auch Empfehlungen zur Verbesserung der Cybersicherheit Ihres Unternehmens, einschließlich der Implementierung von Best Practices und Technologien.

Ein Bericht zur Bewertung der Cybersicherheit sollte Folgendes enthalten:

  • Der Zweck des Berichts (z. B. „Um Informationen über unser aktuelles Schutzniveau bereitzustellen“)
  • Eine Beschreibung, welche Art von Informationen enthalten sein werden (z. B. „Folgende Themen werden behandelt:“)
  • Eine Liste von Referenzen, die in diesem Dokument verwendet werden, einschließlich aller externen Quellen, die während seiner Erstellung konsultiert wurden (z. B. „Dr. John Doe hat dieses Dokument geschrieben.“)

Wie lange dauert eine Cybersicherheitsbewertung?

Dies hängt von der Größe Ihres Unternehmens, der Art der Bewertung ab, die Sie durchführen möchten, und davon, wie viel Zeit Sie zur Verfügung haben. Die Geschwindigkeit, mit der jeder Teil abgeschlossen wird, wirkt sich auch darauf aus, wie schnell Sie Ergebnisse von Dritten zurückerhalten können. Wenn sie also langsam mit Antworten sind oder überhaupt keine Ergebnisse liefern, kann dies andere Projekte verzögern um mehrere Tage oder Wochen in Bearbeitung (je nachdem, wie viele Ressourcen involviert sind). Wenn dies passiert, ist es manchmal besser, es stattdessen mit einem anderen Anbieter zu versuchen, bis einer kommt, der Ihren Anforderungen entspricht!

Was ist eine NIST-Sicherheitsbewertung?

NIST ist das National Institute of Standards and Technology (NIST). Es ist eine Nicht-Regulierungsbehörde innerhalb des US-Handelsministeriums, was bedeutet, dass es keine Gesetze erlässt oder Regierungsvorschriften durchsetzt. Stattdessen erstellt und veröffentlicht NIST Standards für Gebäude, Elektronik und Software – einschließlich Informationssicherheitsstandards!

Das Wort „Bewertung“ bezieht sich auf einen Bewertungsprozess, bei dem eine Organisation ihren aktuellen Zustand anhand eines oder mehrerer festgelegter Kriterien oder Ziele bewertet; ergreift dann basierend auf diesen Erkenntnissen Maßnahmen. Eine Sicherheitsbewertung kann Organisationen helfen, mehr über ihre Schwachstellen zu erfahren, indem sie frühere Sicherheitsverletzungen oder aktuelle Bedrohungen durch Cyberkriminelle betrachtet; festzustellen, ob sie über ausreichende Ressourcen verfügen, um zukünftige Angriffe zu verhindern; Identifizieren Sie Bereiche, in denen Verbesserungen vorgenommen werden könnten, damit Hacker erneut scheitern – und vieles mehr!

Was sind die drei Phasen eines Sicherheitsbewertungsplans?

Eine Sicherheitsbewertung ist ein Prozess, der das Sammeln von Informationen über Ihr Netzwerk und Ihre Kunden, das Definieren der Ziele der Bewertung, das Entwerfen eines Ansatzes zum Sammeln von Daten aus verschiedenen Quellen und das Analysieren der Ergebnisse umfasst.

Die erste Phase jeder Sicherheitsbewertung ist die Planung. In dieser Phase entscheiden Sie, welche Informationen gesammelt werden sollen, um den Cybersicherheitsstatus Ihres Unternehmens zu bewerten. Sie sollten auch überlegen, wer an der Ausführung dieser Aufgabe beteiligt sein wird und wie lange die einzelnen Personen (und ihr Team) benötigen, um sie auszuführen.

Sobald Ihr Plan erstellt wurde, ist es Zeit für die Ausführung! In dieser Phase beginnen alle während der Planung zugewiesenen Aufgaben je nach Kenntnisstand unabhängig voneinander oder gemeinsam mit der Bearbeitung.

Wie starte ich eine Cyber-Sicherheitsbewertung?

Der erste Schritt beim Setzen von Zielen besteht darin, das Problem zu definieren. Dies kann schwierig sein, wenn Sie dies noch nie zuvor getan haben, aber Sie müssen mit einem klaren Verständnis dafür beginnen, was Ihre Organisation zu erreichen versucht und wo ihr aktueller Zustand ist.

Sobald Sie das Problem definiert haben, ist es an der Zeit, messbare Ergebnisse festzulegen, damit Ihre Mitarbeiter verstehen, wie sie diese Ziele erreichen. Versuchen Sie nach Möglichkeit, sich nicht auf die Wahrnehmung anderer zu verlassen, wie gut sie abschneiden – Sie sollten Fehler und Misserfolge als Einzelperson oder Teammitglied immer eingestehen (und sich selbst nicht vergessen!). Ehrgeizig, aber realistisch zu sein, wird hier viel zum Erfolg beitragen; Denken Sie an Dinge wie: „Ich möchte, dass die Fitness meiner Teammitglieder in den nächsten sechs Monaten um 20 % gesteigert wird“.

Kostenlose Tools zur Bewertung der Cybersicherheit

Kostenlose Tools können hilfreich sein, wenn Sie einen schnellen Überblick über die Bewertung der Cybersicherheit suchen. Sie zeigen Ihnen wichtige Informationen über Ihr Netzwerk und liefern eine Momentaufnahme dessen, wo sich die Dinge befinden. Diese Tools sind jedoch nicht so detailliert oder zuverlässig wie kostenpflichtige, sodass Sie nicht alle Details darüber erhalten, wie sicher Ihre Umgebung ist.

Bezahlte Tools zur Bewertung der Cybersicherheit sind Gold wert, da sie detaillierter sind als kostenlose. Sie sind auch viel genauer bei der Bewertung der Risikostufen in verschiedenen Teilen der Infrastruktur Ihres Unternehmens (z. B. Desktop vs. Mobil).

Nachfolgend finden Sie eine Auswahl an kostenlosen Tools zur Bewertung der Cybersicherheit, die Sie sich unbedingt ansehen sollten.

#1. Kali-Linux

Kali Linux ist ein beliebtes Betriebssystem für Penetrationstests, auch bekannt als ethisches Hacking. Es basiert auf Debian Linux und hat über 600 Sicherheitstools vorinstalliert. Dies macht es ideal zum Testen der Sicherheit eines Netzwerks oder einer Webanwendung.

Kali kann die Sicherheit eines Netzwerks oder einer Webanwendung testen, indem es verschiedene Angriffe darauf durchführt (z. B. Port-Scanning).

#2. Gehen Sie phish

Go Phish ist ein Phishing-Toolkit für Penetrationstester und Schulungen zum Sicherheitsbewusstsein. Es bietet die Möglichkeit, realistische Phishing-E-Mails, Webseiten und SMS-Nachrichten zu erstellen, die in einer Bewertungs- oder Unterrichtsumgebung verwendet werden können.

Das Tool wurde von Adrienne Porter Felt entwickelt, die auch das beliebte Pentest-Framework Metasploit Framework (MSF) erstellt hat. Dieses Projekt zielte darauf ab, es Leuten zu erleichtern, die nicht über umfassende Programmiererfahrung verfügen, ihre Tools auf den APIs von MSF aufzubauen, ohne erst lernen zu müssen, wie diese APIs funktionieren – und genau das haben sie getan!

#3. Verteidigung

Defending ist ein webbasierter Sicherheitsscanner, der die OWASP Top 10 verwendet, um Ihnen dabei zu helfen, Schwachstellen in Ihren Webanwendungen zu finden und zu beheben. Es kann für Penetrations- und Sicherheitstests von Webanwendungen verwendet werden. Dennoch ist es in Python und Open Source geschrieben. Wenn Sie also daran interessiert sind, mehr über seine Funktionalitäten zu erfahren, schauen Sie sich ihre Außenstation auf GitHub an!

#4. Aircrack-ng

Aircrack-ng ist eine Suite von Tools, mit denen drahtlose Netzwerke geprüft werden können. Es wird zur Prüfung der WLAN-Sicherheit verwendet und stellt Netzwerkschlüssel und Kennwörter wieder her.

Das Tool wurde ursprünglich von Simon Paška entwickelt, der herausfand, dass die WPA/WPA2-Verschlüsselung mit einem automatisierten Skript namens „Aircrack“ anfällig für Denial-of-Service-Angriffe (DoS) ist. Die erste Version von Aircrack wurde 2002 von Wichert Akkerman und Michal Zalewski veröffentlicht.[4] 2004 erstellte Mikko Hyppönen eine neue Version namens Airmon, die mon0 statt mon0/1 unterstützt.[5] Bis 2007 war aircrack-ng in Kismets Linux-Shodan-Plug-in (ursprünglich 2006 veröffentlicht) integriert worden.

#5. Burp-Suite

Burp Suite ist eine integrierte Plattform zur Durchführung von Sicherheitstests von Webanwendungen. Es enthält eine Sammlung von Tools, die den gesamten Testprozess unterstützen, vom Abfangen und Überwachen des Datenverkehrs bis hin zur Erstellung von Ding-Berichten.

Burp Suite kann HTTP sowie Anforderungen und Antworten abfangen, manipulieren und protokollieren, um die Sicherheit von Websites oder Anwendungen zu gewährleisten. Es enthält Funktionen wie:

  • Proxy - Injiziert willkürliche Payloads ohne besondere Berechtigungen in Live-Netzwerkverbindungen; auch hilfreich beim Testen von Drittanbietern wie Twitter oder LinkedIn (für die häufig spezielle Berechtigungen erforderlich sind).
  • Verstärker - Ermöglicht es Ihnen, Anfragen mehrmals mit verschiedenen Eingaben zu wiederholen; nützlich beim Ausprobieren verschiedener Kombinationen von Parametern/Headern usw., z. B. Ändern von GET-Parametern zwischen zwei verschiedenen URLs durch mehrmaliges Wiederholen einer Anfrage!

Zusammenfassung

Abschließend sei darauf hingewiesen, dass eine Bewertung der Cybersicherheit ein Prozess ist, der Unternehmen dabei hilft, ihre Anfälligkeit für Hacking und Diebstahl einzuschätzen. Die Bewertung umfasst die Durchführung einer Bestandsaufnahme Ihrer Netzwerkinfrastruktur, die Bewertung der mit jedem System verbundenen Risiken, das Testen auf Schwachstellen in diesen Systemen und der Entwicklung sowie die Ausarbeitung eines Aktionsplans zur Behebung von Problemen, bevor sie zu größeren Problemen werden. Darüber hinaus ist es wichtig, ständig geschult zu werden, damit die Mitarbeiter wissen, wie sie sich am besten vor Hackern schützen können, die möglicherweise versuchen, vertrauliche Informationen aus den Systemen Ihres Unternehmens zu stehlen.

Häufig gestellte Fragen zur Cyber-Sicherheitsbewertung

Was ist Cyber ​​Security Assessment?

Eine eigenständige Desktop-Anwendung, die Eigentümer und Betreiber von Anlagen durch einen systematischen Prozess zur Bewertung von Betriebs- und Informationstechnologie führt.

Was ist die Checkliste für die Sicherheitsrisikobewertung?

Stellt eine Liste von Bedrohungen bereit, die die Integrität, Vertraulichkeit und Verfügbarkeit der Assets einer Organisation beeinträchtigen.

Wie führen Sie eine Cybersecurity-Risikobewertung in 5 Schritten durch?

  • Schritt 1: Bestimmen Sie den Umfang der Risikobewertung
  • Schritt 2: So identifizieren Sie Cybersicherheitsrisiken
  • Schritt 3: Analysieren Sie Risiken und bestimmen Sie die potenziellen Auswirkungen
  • Schritt 4: Risiken bestimmen und priorisieren
  • Schritt 5: Dokumentieren Sie alle Risiken

Bibliographie

Peace ist eine leitende Content-Autorin, Strategin und Redakteurin und stellt ihre Talente Organisationen wie BusinessYield zur Verfügung. Ihr Hintergrund liegt in der Content-Erstellung und Vordenkerrolle, mit Branchenexpertise in B2B-SaaS, spezialisierten Marketingagenturen und Unterhaltung. Mit Sitz in Missisauga, Ontario, Kalifornien, hat er einen Master in digitaler Kommunikation und journalistischer Innovation von der University of Waterloo. Wenn sie nicht gerade hart arbeitet, reist sie gerne, liest und isst Kohlenhydrate. Sie liebt es, Geschäftsartikel zu schreiben, die auf ihren reichen Finanz- und Marketingerfahrungen basieren.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *

- Vorheriger Artikel

Ist OXT im Jahr 2023 eine gute Investition?

Nächster Artikel -

KONTOAUSZUG: Warum Sie einen brauchen

Das Könnten Sie Auch Interessieren