Rubrik und das NIST CSF 2.0

Das US-amerikanische National Institute of Standards and Technology (NIST) ist seit langem der von der US-Bundesregierung offiziell benannte Ersteller und Herausgeber von Kontrollrahmen für die Cybersicherheit. Die Organisation entwickelte das erste NIST Cybersecurity Framework (NIST CSF) im Jahr 2014. Ziel des Rahmenwerks war es, Anbietern kritischer Infrastrukturen (wie Staudämmen und Stromversorgern) dabei zu helfen, ihre Cyberabwehr in Übereinstimmung mit einer Reihe freiwilliger Standards zu verbessern (siehe: 2013 Executive Order 13636, „Improving Critical Infrastructure Cybersecurity“).

Doch seit 2014 hat sich viel verändert. Die Cyber-Bedrohungslage hat sich verschärft und betrifft nun auch andere Bereiche als kritische Infrastrukturen. Im März 2024 veröffentlichte das NIST sein Cybersecurity Framework 2.0, das Kontrollmaßnahmen und Tipps zur Cybersicherheit für Organisationen in allen Branchen empfiehlt.

Dies ist eine wichtige Entwicklung, die der Tatsache Rechnung trägt, dass Cyber-Bedrohungen inzwischen allgegenwärtig sind und jeden Teil der Wirtschaft bedrohen. Und alle Unternehmen sind gut beraten, die erweiterten Anforderungen des NIST zu befolgen. In der Tat bestätigt das NIST CSF 2.0 Framework einen Kerngedanken: Jeder muss Cybersicherheit ernst nehmen.

Während die Einhaltung des NIST CSF 2.0 für einige Sektoren verpflichtend ist, ist sie für andere freiwillig; und einige Unternehmen scheuen vielleicht die Mühe, eine freiwillige Richtlinie umzusetzen. Angesichts des unsicheren Zustands der digitalen Wirtschaft lohnt sich der Aufwand jedoch.

Dieser Artikel hebt die wichtigsten Teile des NIST CSF 2.0 hervor, in denen die Mitarbeiter und Produkte von Rubrik dabei helfen können, diese neuen Cybersicherheitsempfehlungen in die Tat umzusetzen – insbesondere in den Bereichen Datenschutz und Cyber-Resilienz. Rubrik verfügt über eine besondere Expertise in diesem Bereich und Experten von Rubrik haben frühe Entwürfe des neuen Rahmenwerks geprüft und Feedback gegeben, das in das Endprodukt eingeflossen ist. 

Ein Überblick über das NIST CSF 2.0

In der Pressemitteilung, in der die Veröffentlichung des NIST CSF 2.0 angekündigt wurde, beschrieb NIST-Direktorin Laurie Locascio das neue Rahmenwerk als „eine Reihe von Ressourcen, die individuell angepasst und einzeln oder in Kombination mit der Zeit verwendet werden können, wenn sich die Cybersicherheitsbedürfnisse einer Organisation ändern und sich ihre Fähigkeiten weiterentwickeln“. Das aktualisierte Rahmenwerk steht im Einklang mit der Nationalen Cybersicherheitsstrategie der Biden-Regierung, die Anfang 2023 verabschiedet wurde.

Das NIST CSF 2.0 ist in sechs Kernfunktionen gegliedert, die im Großen und Ganzen die Sphären der Cybersicherheitsoperationen widerspiegeln. Sie ahmen auch die Bereiche einer „Defense in Depth“-Cybersicherheitsstrategie nach, bei der alle Ressourcen in einem Unternehmen zusammenarbeiten, um eine Vielzahl von Cyberabwehrmaßnahmen im gesamten Unternehmen zu schaffen.

Hier sind die sechs Kernfunktionen:

• Verwalten (GV): Diese neue Funktion befasst sich mit der Unternehmensführung und -politik und spiegelt die Tatsache wider, dass Cybersicherheit nicht allein von den IT- und Sicherheitsteams umgesetzt werden kann.
• Identifizieren (ID): Beschreibt die Bemühungen, die unternommen werden, um sicherzustellen, dass die Cybersicherheitsrisiken der Organisation verstanden werden.
• Schützen (PR): Regelt die Umsetzung von Gegenmaßnahmen zur Minderung von Cyberrisiken
• Erkennen (DE): Tools und Richtlinien, die Bedrohungen der Cybersicherheit untersuchen und bestimmen, welche Bedrohungen ernsthaft sind und Maßnahmen erfordern
• Reagieren (RS): Wenn eine Bedrohung erkannt wird, werden Maßnahmen gemäß einem festgelegten Reaktionsplan ergriffen.
• Wiederherstellen (RC): Maßnahmen, die ergriffen werden, um sicherzustellen, dass die von einem Cybersicherheitsvorfall betroffenen Systeme, Software, Infrastrukturen und Daten wiederhergestellt werden

Verwalten (GV)

Govern umfasst eine Reihe von Richtlinien und Kontrollen, die sicherstellen sollen, dass die Führung einer Organisation und die wichtigsten Interessengruppen in die Strategie, die Erwartungen und die Richtlinien für das Management von Cybersecurity-Risiken einbezogen werden.

GV.OC-05 (Organisatorischer Kontext): Die Ergebnisse, Fähigkeiten und Dienstleistungen, auf die die Organisation angewiesen ist, werden verstanden und kommuniziert.

In diesem Fall bedeutet der organisatorische Kontext, dass die Beteiligten in der Organisation verstehen, wie Entscheidungen im Bereich der Cybersicherheit getroffen werden. Bei GV.OC-05 geht es um die Definition von Ergebnissen, Fähigkeiten und Diensten im Bereich der Cybersicherheit für eine Organisation. Es geht auch darum, sicherzustellen, dass die richtigen Personen an der Erstellung, Pflege und Anwendung von Cybersicherheitsrichtlinien beteiligt sind und dass diese Richtlinien den entsprechenden Interessengruppen ordnungsgemäß mitgeteilt werden. Es geht zum Beispiel darum, ein gemeinsames Verständnis darüber zu haben, wie die Organisation im Falle eines Cybersicherheitsvorfalls den Aufsichtsbehörden Bericht erstatten wird.

Wie Rubrik bei GV.OC-05. helfen kann Rubrik kann Organisationen dabei helfen, den Umfang eines Angriffs und seine Auswirkungen auf das Unternehmen zu bestimmen, indem es einen klaren Überblick darüber gibt, welche Daten betroffen sind und wo sie sich befinden. Mit einem umfangreichen Berichtswesen ermöglicht Rubrik IT- und Sicherheitsmanagern die Zusammenarbeit mit leitenden Geschäftsführern bei der Berichterstattung an Kunden, die Öffentlichkeit, die Regierung, die Strafverfolgungsbehörden und andere Aufsichtsbehörden.

Identifizieren (ID)

Bei der Funktion Identify geht es um das Verstehen von Risiken. Sie weist die Beteiligten an, kritische Informationsbestände (Daten, Hardware, Personal, Einrichtungen usw.) zu katalogisieren, diese Bestände abzufragen, um potenzielle Risiken aufzudecken, und Verbesserungen vorzuschlagen, die den Schutz dieser Bestände weiter stärken.

ID.AM-07 (Vermögensverwaltung): Inventare von Daten und entsprechenden Metadaten für bestimmte Datentypen werden gepflegt

Wie können Sie Ihre Daten schützen, wenn Sie nicht wissen, was (und wo) sie sind? Die Asset Management Kontrolle verlangt von einer Organisation, ein Inventar von Datenbeständen zu erstellen und zu pflegen und Metadaten zu erstellen/zu verfolgen, um bei zukünftigen Untersuchungen zu helfen. 

Wie Rubrik bei ID.AM-07 helfen kann: Rubrik Sensitive Data Discovery and Monitoring scannt Backup-Snapshots und identifiziert sensible Daten in Dateien und Anwendungen. Darüber hinaus kann das Tool User Access Analysis von Rubrik Ihnen helfen zu verstehen, wer Zugang zu sensiblen Daten hat, um die Unterstützung von Dateneigentümern zu gewinnen und die Datenverantwortung zu fördern.

Schützen (PR)

Protect beinhaltet die Entwicklung und Implementierung geeigneter Gegenmaßnahmen und Kontrollen, die die Auswirkungen einer Cyberbedrohung begrenzen oder eindämmen. Die Kontrollen im Rahmen dieser Funktion nutzen Sicherheitsvorkehrungen, die die Cybersicherheitsrisiken einer Organisation mindern.

PR.DS-01 (Datensicherheit): Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten im Ruhezustand werden geschützt, gepflegt und getestet.

Bei der Datensicherheit geht es darum, die bewerteten Cybersicherheitsrisiken mit angemessenen Investitionen in Einklang zu bringen. Zu diesem Zweck sollte jede Organisation konkrete Maßnahmen ergreifen, um gespeicherte Daten vor unbefugtem Zugriff zu schützen, zu verhindern, dass sie von böswilligen Akteuren verändert oder gelöscht werden, und sicherzustellen, dass sie den Benutzern so weit wie möglich zur Verfügung stehen.

Wie Rubrik bei PR.DS-01 helfen kann: Rubrik bietet unveränderliche Backups, die weder von einem Ransomware-Angreifer noch von einer anderen unbefugten Partei verändert werden können. Der Rubrik Cloud Vault verfügt über Zugangskontrollen und einen logischen „Air Gap“, der die Daten im Ruhezustand schützt. Zusätzlich unterstützt der Rubrik Secure Data Layer, der Teil der Rubrik Zero Trust Data Security Architektur ist, die Kontrolle mit Datenverschlüsselung im Ruhezustand, Prüfsummenbildung und Validierung während des gesamten Lebenszyklus der Daten. Der Secure Data Layer hält außerdem die Daten durch ein selbstheilendes Design mit Fehlertoleranz kontinuierlich verfügbar.

PR.DS-11 (Datensicherheit): Datensicherungen werden erstellt, geschützt, gepflegt und getestet Datensicherheit erfordert effektive Datensicherungen. Eine Sicherung ist jedoch nutzlos, wenn sie ausfällt, nicht ausreicht, um die Geschäftskontinuität aufrechtzuerhalten, oder durch eine externe Bedrohung beschädigt wird. Unternehmen müssen also eine effektive Backup-Lösung implementieren – und sicherstellen, dass diese auch geschützt ist.

Wie Rubrik bei PR.DS-11 helfen kann: Rubrik bietet Kernlösungen für den Schutz von Unternehmensdaten, die selbst intensive Backup- und Recovery-Anforderungen erfüllen können. Aber die Backup-Lösungen von Rubrik bieten auch Unveränderbarkeit, was bedeutet, dass ein Angreifer die Daten nicht verschlüsseln, löschen oder verändern kann, sobald sie geschrieben wurden. Dies ist eine wichtige Sicherheitsmaßnahme, da Ransomware-Angreifer oft Backups als Teil ihrer Strategie ins Visier nehmen.

Darüber hinaus erstellt Rubrik regelmäßig Prüfsummen für Datensicherungen, um sicherzustellen, dass die Sicherungen unverändert sind und nicht durch Eindringlinge beschädigt wurden. Dies hilft, die Wiedereinführung von Malware während einer Wiederherstellung zu verhindern. Rubrik bietet auch Tools, die es den IT- und InfoSec-Teams ermöglichen, Failover-Pläne im Vorfeld eines Cybervorfalls zu testen.

Erkennen (DE)

Die Detect-Funktion enthält Kontrollen, die die rechtzeitige Entdeckung und Überprüfung von Cybersecurity-Ereignissen (ein Angriff oder das Vorhandensein einer Bedrohung) ermöglichen, wenn sie auftreten.

DE-CM-09 (Kontinuierliche Überwachung): Computerhardware und -software, Laufzeitumgebungen und deren Daten werden überwacht, um potenziell schädliche Ereignisse zu erkennen.

Die kontinuierliche Überwachung setzt voraus, dass die von der Organisation identifizierten IT-Ressourcen regelmäßig überprüft werden, um Cybersecurity-Ereignisse in einem möglichst frühen Stadium zu erkennen. Auf diese Weise können die Beteiligten so früh wie möglich reagieren und die negativen Auswirkungen eines Cyber-Ereignisses möglicherweise begrenzen. Da Bedrohungen jederzeit auftreten können, müssen die Sicherheitsteams wachsam bleiben und über Tools verfügen, die den IT-Bestand ständig auf Anzeichen von Problemen überwachen. Oftmals treten diese Probleme in Form von subtilen Anomalien auf, wie z.B. übermäßige Datendownload-Anfragen zu ungewöhnlichen Zeiten.

Wie Rubrik bei DE-CM-09 helfen kann: Rubrik verfügt über Funktionen zur Überwachung und Eindämmung von Bedrohungen, die diesen Bedarf decken können. Die automatisierte Bedrohungsüberwachung von Rubrik erkennt Bedrohungen frühzeitig mit kontinuierlichen und automatischen Scans von Backup-Daten, um Indikatoren für eine Gefährdung zu identifizieren. Rubrik verwendet ein automatisch aktualisiertes Bedrohungsfeed zur Analyse von Backup-Daten auf bekannte Bedrohungen. Dank der mit Metadaten angereicherten Indizierung kann Rubrik die Daten schnell nach Bedrohungen durchsuchen, aber auch nach sicheren Wiederherstellungspunkten suchen, die es den Kunden ermöglichen, den Betrieb schnell wiederherzustellen. Und da Rubrik Cloud Vault ein unveränderliches Backup bietet – vergleichbar mit einem gehärteten Bunker – können die Kunden darauf vertrauen, dass diese Quelldaten sicher und gesund sind. 

DE.AE-04 (Analyse unerwünschter Ereignisse): Die geschätzten Auswirkungen und das Ausmaß von unerwünschten Ereignissen sind bekannt

Die Analyse unerwünschter Ereignisse setzt voraus, dass Cybersicherheitsereignisse (Netzwerkanomalien, Indikatoren für eine Kompromittierung und andere potenziell unerwünschte Ereignisse) analysiert werden, um den Beginn eines Cybersicherheitsvorfalls zu ermitteln. Bei DE.AE-04 geht es darum, die potenziellen Auswirkungen eines unerwünschten Ereignisses zu verstehen, und es werden Prozesse und Tools benötigt, die bewerten können, wie sich eine Bedrohung auf die IT und den Geschäftsbetrieb auswirken wird.

Wie Rubrik bei DE.AE-04 helfen kann: Rubrik bietet Anomalie-Erkennung, die es Sicherheitsteams ermöglicht, bösartige Aktivitäten zu identifizieren und den „Explosionsradius“ eines Cybersecurity-Ereignisses oder Angriffs zu bewerten. Rubrik nutzt maschinelles Lernen, um verdächtige Löschungen, Änderungen und Verschlüsselungen zu erkennen, aber auch um falsch-positive Ergebnisse zu identifizieren – so werden Ressourcen frei, um sich auf tatsächliche Bedrohungen zu konzentrieren. Dies ermöglicht es den Einsatzkräften, schnell zu handeln und die betroffenen Daten wiederherzustellen. In Verbindung mit der Erkennung sensibler Daten kann Rubrik auch feststellen, ob ein Angriff Auswirkungen auf sensible Daten haben wird. 

Reagieren (RS)

Bei der Funktion Reagieren geht es darum, was eine Organisation tut, wenn eine Cyber-Bedrohung auftaucht. Was tun Sie als Nächstes, wenn Sie einen Einbruch feststellen?

RS.AN-08 (Vorfallsanalyse): Das Ausmaß eines Vorfalls wird geschätzt und validiert

Vorfallsanalyse bedeutet, dass Untersuchungen durchgeführt werden, um eine wirksame Reaktion zu gewährleisten und forensische und Wiederherstellungsaktivitäten zu unterstützen. RS.AN-08 befasst sich mit der Bestimmung, wie stark sich eine Bedrohung auf eine Organisation auswirken wird, um die Priorität und das Ausmaß der Reaktion auf einen Vorfall festzulegen. Eine Bedrohung, die eine geringe Auswirkung hat, erfordert nicht die Ressourcen und den Fokus einer großen Bedrohung.

Wie Rubrik bei RS.AN-08. helfen kann Rubriks Threat Hunting-Lösung kann identifizieren, welche Systeme von einem Angriff betroffen sind und Backup-Snapshots analysieren, um den Schweregrad des Vorfalls zu bestimmen. Die Compliance- und Risikominderung von Rubrik hilft bei der Einhaltung von Vorschriften bei der Reaktion auf eine Bedrohung.

Zusätzlich erweitert das Ransomware Response Team von Rubrik die internen Cybersecurity-Ressourcen, um den Kunden zu helfen, ihre Umgebungen so schnell und effizient wie möglich wiederherzustellen. Die Mitarbeiter des RRT sind 24×7, 365 Tage im Jahr verfügbar, um dringend und vertraulich bei der Reaktion auf einen Vorfall und der Datenwiederherstellung während eines Ransomware-Ereignisses zu helfen. Der Zugang zu RRT ist für jeden Rubrik-Kunden mit einem aktiven Support-Vertrag verfügbar.

Wiederherstellen (RC)

Recover umfasst Richtlinien und Prozesse, die es einer Organisation ermöglichen, nach einem Cybervorfall zum Betrieb zurückzukehren. Es geht um die Widerstandsfähigkeit und die Wiederherstellung der vollen Funktionsfähigkeit von Systemen und umfasst Maßnahmen wie Wiederherstellungsplanung, interne und externe Kommunikation und Verbesserungen an Systemen nach einem Vorfall.

RC.RP-03 (Wiederherstellungsplan): Die Integrität von Backups und anderen Wiederherstellungsressourcen wird überprüft, bevor sie für die Wiederherstellung verwendet werden.

Ein Wiederherstellungsplan stellt sicher, dass ein Unternehmen über eine Reihe von Maßnahmen verfügt, die nach einem Cybervorfall zu ergreifen sind, um die volle Funktionalität der Systeme und Dienste wiederherzustellen. Dies erfordert ein Backup-System der Unternehmensklasse, das vor Angriffen geschützt werden kann. Wenn nämlich die Sicherungsdaten manipuliert wurden, könnten die Wiederherstellungsbemühungen in einer Katastrophe enden. RC.RP-03 verhindert dies, indem es die Validierung von Sicherungsdaten vor der Wiederherstellung fördert.

Wie Rubrik mit RC.RP-03 helfen kann: Rubrik Zero Trust Data Security und Secure Data Layer erstellt und speichert automatisch Prüfsummen für Daten während des gesamten Lebenszyklus der Daten. Dieser Prozess validiert, dass die Daten seit der Sicherung nicht verändert wurden. Die Benutzer können den Prozess bei Bedarf ausführen, aber Rubrik führt auch regelmäßig automatische Validierungen durch.

Darüber hinaus ermöglicht Rubrik Security Cloud mit Orchestrated Application Recovery den Benutzern, Wiederherstellungspläne im Vorfeld eines Angriffs zu schreiben und zu testen. Dies ermöglicht es der IT-Abteilung, mehrere zusammenhängende virtuelle Maschinen in einem einzigen Wiederherstellungsobjekt zu gruppieren, so dass der Wiederherstellungsplan die Geschäftsabläufe in der Reihenfolge der Prioritäten wieder online bringen kann. Auf diese Weise weiß das Wiederherstellungsteam, wie viel Arbeit (und Zeit) es braucht, um die Kerngeschäftsfunktionen wiederherzustellen.

NIST CSF 2.0 in der Praxis anwenden

Das NIST CSF 2.0 ist für eine breite Einführung konzipiert. Die Umsetzung wird ein Projekt für jede Organisation sein, die das Framework einführt. Rubrik kann bei der Operationalisierung von NIST CSF 2.0 helfen, insbesondere bei Kontrollen, die sich mit der Identifizierung von Datenbeständen, dem Schutz von Daten, wie unveränderliche Backups und Verschlüsselung, sowie der Erkennung von Bedrohungen und der Bewertung ihrer Auswirkungen befassen. Die Lösungen von Rubrik helfen auch bei der kontinuierlichen Überwachung, der Reaktion auf Vorfälle und der Planung der Wiederherstellung des Cyber-Wiederherstellungsprozesses und schließlich bei der Wiederherstellung der betroffenen Geschäftsabläufe. Zusammengenommen ermöglichen diese Fähigkeiten den Nutzern, mehrere der wesentlichen Kontrollziele des Rahmenwerks zu erfüllen.