Die Sicherheit kleiner Unternehmen erfordert große Strategien, um die Sicherheit von Exchange zu gewährleisten

Kleine Unternehmen haben andere Anforderungen an die IT-Verwaltung als größere Unternehmen. Häufig wird den kritischen Bereichen der IT – einschließlich der Microsoft Exchange-Messaging-Umgebung – nicht genügend Aufmerksamkeit geschenkt. Die Verantwortlichen verfügen möglicherweise nicht über die erforderlichen Erfahrungen oder Tools, um die Sicherheit zu gewährleisten.

Wenn Sie für ein kleines Unternehmen arbeiten, das Microsoft Exchange verwendet – lokal oder in der Cloud -, gibt es mehrere Sicherheitsbereiche, die für diese Umgebungen einzigartig sind.

In drei Bereichen können Sie sicherstellen, dass die Exchange-Sicherheit in Schach gehalten wird:

1) Ressourcen. Viele kleine Unternehmen verwalten ihre eigenen Exchange-Umgebungen, manchmal sogar ohne das Fachwissen eines IT-Experten – entweder interne Mitarbeiter oder Berater. Dies kann zu erheblichen Kosteneinsparungen führen, zahlt sich jedoch nicht so stark in Bezug auf Systemstabilität und Reaktionsfähigkeit bei einem Ausfall oder bei Auftreten eines Sicherheitsvorfalls aus. In vielen Situationen führt das verfügbare IT-Know-how nicht zu Sicherheitskompetenz für die Bereitstellung in kleinen Unternehmen.

Es kann argumentiert werden, dass kleine Unternehmen von Angreifern ausgeschlossen sind, aber wenn eine Exchange-Umgebung im Internet verfügbar ist, ist dies ein faires Spiel für Denial-of-Service-Angriffe, Remote-Exploits und andere sicherheitsrelevante Vorfälle. Solche Vorfälle können Exchange für einen längeren Zeitraum offline schalten oder einen Verstoß oder einen vollständigen Verlust des Systems begünstigen.

2) Wartung. Eine gepflegte Microsoft Exchange-Umgebung kann vielen Arten von Angriffen standhalten. Ich sehe jedoch häufig ältere Exchange-Systeme, z. B. Exchange 2007, die nicht gepatcht werden, nie ordnungsgemäß gehärtet wurden oder Lücken im Datensicherungsprozess aufweisen.

Viele kleine Unternehmen arbeiten im Modus “Wenn es nicht kaputt ist, beheben Sie es nicht”. Ein lobenswerter Ansatz für unkritische Systeme vergangener Tage, der heute jedoch unrealistisch ist, angesichts der Bedrohungen und Schwachstellen, die durch ein öffentlich zugängliches E-Mail-System verursacht werden – ein System, das von Personen verwendet wird, die häufig nicht geschult sind und bei einer kritischen Anwendung Fehler machen können kann langfristige Auswirkungen auf das Geschäft hinterlassen.

3) Sichtbarkeit. Obwohl die IT-Mitarbeiter der meisten kleinen Unternehmen im Vergleich zu ihren größeren Kollegen eine einfache Netzwerkumgebung aufweisen, ist eine solche Umgebung selten anzutreffen, in der die für das Management verantwortliche Person genau weiß, was zu einem bestimmten Zeitpunkt im System geschieht. Dies kann auf mangelndes Fachwissen zurückzuführen sein, ist jedoch auf mangelnde Informationen zurückzuführen – die Tools, die erforderlich sind, um Sicherheitsanomalien und -angriffe zu erkennen, zu verhindern oder angemessen darauf zu reagieren, z. B. Systemüberwachung und -warnung, Intrusion Prevention, Verhinderung von Datenverlust und Mobile Geräteverwaltung.

Stellen Sie die Exchange-Sicherheit in kleinen Unternehmen sicher

Das Letzte, was ein Unternehmen benötigt – insbesondere ein kleines -, ist ein Verstoß gegen die Messaging-Umgebung, der mit den richtigen Informationen und der richtigen Kontrolle hätte verhindert werden können.
Um zu bestätigen, dass Exchange keine unnötigen Sicherheitsrisiken für kleine Unternehmen verursacht, müssen Sie zunächst feststellen, wo sich die Risiken befinden, einschließlich Systemhärtung, Wartung und Antimalware, die Sie verwalten oder auslagern. Dies erfordert eine Bewertung der Sicherheitslücke, idealerweise durch einen Dritten mit einer unvoreingenommenen Perspektive. Achten Sie darauf, dass Sie nach den vielen häufig übersehenen Exchange-Fehlern suchen.
Lösen Sie die Risiken, indem Sie die erforderlichen Richtlinien und Verfahren anwenden, die wiederum durch die entsprechenden Technologien durchgesetzt werden, z E-Mail-Sicherheitsgateways und Verhinderung von Datenverlust. Richtlinien sollten Kennwörter, Patches, Systemüberwachung, Sicherungen und andere Sicherheitsbedenken berücksichtigen. In einer gut geschriebenen Richtlinie sowie in spezifischen Verfahren wird angegeben, was und wie Ihre kleine Organisation Sicherheitsbedenken berücksichtigt. Berücksichtigen Sie dabei auch die laufende tägliche, wöchentliche und monatliche Wartung.

Alle internen IT-Mitarbeiter benötigen entsprechende Schulungen. Dies kann in Form von Microsoft-spezifischen Klassen, Sicherheits-Webcasts, Seminaren und Konferenzen wie z RSA-Konferenz und Black Hat. Denken Sie daran, Ihre Benutzer anhand Ihrer Richtlinien zu schulen, was zu tun ist und was nicht.
Kleine Unternehmen sollten auch in Betracht ziehen, einen Exchange- und Informationssicherheitsfachmann auf Abruf zu haben. Sie müssen sich nicht auf die Suche im Internet verlassen, um Hilfe zu erhalten, wenn Sie sich in einer Bindung befinden.
Wenn Sie diese Exchange-Sicherheitsprobleme in kleinen Unternehmen kennen und die Investition tätigen, um die Schwachstellen auszugleichen, können Sie über große Sicherheit auf Unternehmensebene verfügen. Vor allem haben Sie die Gewissheit, dass die Rentabilität Ihres kleinen Unternehmens nicht von einer dieser Sicherheitsüberprüfungen abhängt.
Über den Autor:
Kevin Beaver ist ein Berater für Informationssicherheit, Sachverständiger und professioneller Redner mit Principle Logic LLC mit Sitz in Atlanta. Mit über 26 Jahren Erfahrung in der Branche ist Beaver auf die Durchführung unabhängiger Sicherheitsbewertungen und Penetrationstests spezialisiert, die sich mit dem Informationsrisikomanagement befassen. Er hat 12 Bücher über Informationssicherheit verfasst / mitverfasst, darunter Hacking für Dummies und Der praktische Leitfaden zur Einhaltung der Datenschutz- und Sicherheitsbestimmungen von HIPAA. Außerdem ist er der Schöpfer der Security On Wheels Hörbücher zur Informationssicherheit und Blog Bereitstellung von Sicherheitslernen für IT-Experten unterwegs. Biber ist erreichbar unter www.principlelogic.com und du kannst folge ihm auf Twitter, schau ihn dir auf YouTube an und Verbinden Sie sich mit ihm auf LinkedIn.

Similar Posts

Leave a Reply