Können Sie Hubschrauber fliegen…?

Nicht schlimm, wir auch noch nicht, dafür machen wir Ihre IT-Sicherheit zum Überflieger 😊.

Neben den zweifelsfrei notwendigen technischen Security-Maßnahmen haben viele unserer Kundenanfragen ihren Ursprung in einer gewissen Orientierungslosigkeit und oftmals stellen sich folgende Fragen:

… was sind unsere größten Schwachstellen?
… was kostet es uns, diese zu lösen?
… was müssen wir dazu tun?
… womit fangen wir an?
… wann können wir was wie real gelöst haben?
… wie bekommen wir Übersicht und Planbarkeit?

Es ist keine neue Erkenntnis, dass in dem Spannungsfeld aus IT-Betrieb, neu umzusetzenden Projekten, organisatorischen Umstellungen wenig realer Spielraum für ein effektives Abarbeiten von Security Themen bleibt. Die vielen technischen und organisatorischen Fragestellungen verkomplizieren eine Lösungsfindung oft. Strukturierte Prozesse sind aufgrund der knappen Zeit und Ressourcen im Betrieb oft nicht vorhanden oder veraltet. Eine Dokumentation existiert oft nur teilweise oder gar nicht. Gleichzeitig existiert ein gewisser Druck seine IT-Sicherheit zu verbessern. Man will nicht der nächste Ransomware Fall sein der durch die Presse geht. Der Aufwand, eine kompromittierte Umgebung neu aufzubauen, ist immens und hat schon so manchen vor schier unlösbare Aufgaben gestellt. Von der schlechten „Publicity“ ganz zu schweigen.

Im Rahmen unserer Security Assessments geben wir als Teil eines Know-how-Transfers einen ausführlichen Überblick über die Bedrohungsszenarien. Auszüge dazu können in unserem Blogartikel vom 16. Nov 2022 nachgelesen werden. Dabei ist wichtig zu verstehen, dass auch Angreifer oft einer methodischen Vorgehensweise folgen, wie z.B. der „Unified Kill Chain“ oder dem “mitre&attack Framework” (siehe dazu u.g. Beispiel-Grafik).

Die Kosten durch solche Angriffe beliefen sich laut Bundesverband der deutschen Industrie bzw. Bitkom allein im Jahr 2022 in Deutschland auf rund 203 Milliarden Euro – siehe Bitkom-Artikel. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die Sicherheitslage in Deutschland als „zugespitzt“ (BSI-Artikel).

Doch was sollten Unternehmen tun, um sich effektiv zu schützen?

Das strukturierte Erfassen von Schwachstellen, die reale Bewertung der Bedrohung, die Priorisierung und unternehmerische Entscheidung möglicher Maßnahmen stellt aus unserer Sicht das Erfolgsrezept dar. Mit unserem strategischen Know-how unterstützen wir unsere Kunden, sich zeitgemäß aufzustellen. Das Hauptziel ist dabei, das Erschweren von Cyberangriffen sowie deren Auswirkungen zu minimieren. Mit dem heutigen Blogartikel möchten wir ein Vorgehen aufzeigen, mit dem sich dieses Ziel erreichen lässt – nämlich eine Infrastruktur effektiv abzusichern und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs zu verringern.

Damit dies gelingen kann, ist eine klare Strategie bzw. ein klares Vorgehen erforderlich. Dies ist immer ein Zusammenspiel aus technischen und organisatorischen Komponenten. Wichtig ist ein detaillierter Plan mit kurz-, mittel- und langfristigen Zielen. Dieser umfasst primär den Schutz vor potenziellen Angriffen, die Schadensbegrenzung und Wiederherstellung nach einem Angriff sowie die Fähigkeit, angemessen und gezielt zu handeln, falls ein Angriff tatsächlich eintritt. Gerade in der IT-Branche ist aber alles sehr schnelllebig und wie sagt man so schön: “Das Böse schläft nie”. Deswegen muss eine Strategie regelmäßig geprüft und ggf. angepasst werden, um so den aktuellen Gegebenheiten zu entsprechen.

Was sollte man konkret tun?

Vorweggenommen ist nicht jedes Vorgehen für jeden Kunden gleichermaßen erfolgversprechend, eine individuelle Beratung richtet sich nach den Organisationszielen. Erfahrungsgemäß ist jedoch das Active Directory eine zentrale Säule der meisten IT-Infrastrukturen. Die Absicherung der Identitäten, zugehörigen Infrastruktur und Prozesse ist Kern des Enhanced Secure Administration Environments (ESAE) von Microsoft. Für die komplexe Umsetzung von ESAE hat sich unserer Meinung nachfolgende Strategie bewährt:

Schritt 1 / Commitment

Das Erzeugen eines Verständnisses für die Notwendigkeit, Ressourcen und Kontingente für die Bearbeitung von Security-Aspekten bereitzustellen, ist grundlegend von Bedeutung. Bewährt hat sich die “crossfunktionale” und “vertikale” Betrachtung innerhalb der Organisation. Rein praktisch kann ein kleines Security Team aus Fachpersonal, einem internen, unabhängigen Security Consultant und Mitgliedern der mittleren/oberen Führungsebene bestehen.

Schritt 2 / Assessment

Um unseren Kunden einen klaren Überblick über vorhandene Schwachstellen geben zu können, führen wir im nächsten Schritt ein standardisiertes Assessment durch, welches die individuelle Kundensituation berücksichtigt. Wir setzen in diesem Zuge auf eine inhaltlich und grafisch verständliche Darstellung für unsere Kunden. Konkret erstellen wir eine Risikomatrix, die jedes Security Finding unternehmerisch bewertbar macht, indem wir sie nach folgenden Parametern kategorisieren:

• • Eintrittswahrscheinlichkeit,
  • Auswirkung bei Eintritt,
  • Aufwandsschätzung für eine Mitigation.

Beispiel für eine Risikoübersicht

Auf Basis der Assessment Ergebnisse schlagen wir dem Kunden eine Security Roadmap vor. Anhand dieser Information entwickeln wir mit unseren Kunden individuell die SECURITY STRATEGIE – und die damit geplanten, nächsten Maßnahmen.

Basis für die Strategie ist das von Microsoft entwickelte Enhanced Security Administration Environment (ESAE), welche technischen und organisatorischen Vorgehensweisen beschreibt.

Wir folgen dabei meistens den folgenden Umsetzungsschritten:

Schritt 3 / Quick Wins

Die im Rahmen des Assessments ermittelte Risikobewertung ermöglicht die Identifikation sog. Quick Wins. Dies sind schnell erreichbare Optimierungen, welche mit wenig Aufwand eine große Wirkung erzielen. Gibt es Accounts mit unnötigen Zugriffsberechtigungen? Wie steht es um die Passwortsicherheit? Gibt es inaktive Accounts, die gelöscht werden können? Was sind die kritischen Angriffspfade, die eine Kompromittierung der gesamten Domäne ermöglichen? Sind diese Fragen einmal geklärt, entwickelt man einen Plan, um die erkannten Schwachstellen kurzfristig zu eliminieren.

Zu weiteren möglichen Maßnahmen zählen etwa das Updaten der Passwörter (kein Passwort sollte niemals ablaufen / Passwörter müssen immer ein Ablaufdatum besitzen) und das Updaten der Betriebssysteme.

In diesem Schritt wird bereits ein erheblicher Sicherheitsgewinn erreicht.

Schritt 4 / Einführung eines Tiering-Modells

Die Idee des sog. Tierings ist es, kritische von unkritischen Systemen zu trennen und Zugriffe entsprechend zu limitieren bzw. zu steuern. Dazu erfolgt eine Einteilung in sogenannte Tiers, üblicherweise werden hochkritische Systeme im Tier 0, Serversysteme im Tier 1 und User-nahe im Tier 2 zusammengefasst.

Basierend auf den Tiers erfolgt die Konfiguration einer kontrollierten Zugriffssteuerung. D.h. untere Tiers können nicht auf Systeme der höheren Tiers zugreifen, umgedreht können Zugriffe auf Use-Case-Basis (nicht pauschal) erfolgen. Z.B. kann ein Client aus dem Tier2 nicht auf einen Domain Controller aus Tier 0 zugreifen.

Systemklassifizierung

Zunächst erfolgt die Klassifizierung der Systeme in die jeweilige Stufe (Tier0, Tier1 und Tier2). Dazu wird jedes relevante System analysiert, unter anderem nach Kritikalität der verarbeitenden Daten, Nutzung der verwendeten Software, eingesetztem Betriebssystem oder genutzten Schnittstellen.

Implementierung einer Organizational-Unit (OU) Struktur

Bei der Implementierung einer sicheren OU Struktur empfiehlt Microsoft eine Unterteilung in die verschiedenen Tiers, auf diese OUs werden die Berechtigungen so gesetzt, dass die Vererbung der Domain heads auf untergeordnete OUs unterbunden wird. Außerdem werden z.B. die Account Operatoren aus den Berechtigungen entfernt. Danach können hochprivilegierte Accounts und Systeme in die dazugehörigen OUs verschoben werden. Wie genau das Ganze aussieht, haben wir in unserem Troopers-Blogartikel mit Vortrag festgehalten.

Implementierung von Privileged Access Workstations (PAW)

Administrative Tätigkeiten werden häufig von Office-Workstations ausgeführt. Dadurch ergibt sich das Risiko, dass bei unberechtigtem Zugriff Informationen wie zum Beispiel Zugangsdaten für administrative Konten, die selbiges Gerät nutzen, gestohlen werden können. Solche Angriffe führen in nicht geschützten Umgebungen dazu, dass Angreifer oft bis zu Domäne durchdringen können, indem sie weitere hoch privilegierte Konten übernehmen. Aus diesem Grund empfehlen wir die Verwendung von separaten PAWs, um auf sicherheitsrelevante Systeme zuzugreifen. Somit ist die „normale“ Office-Tätigkeit von der administrativen Tätigkeit getrennt.

Beispiele für Umsetzungen in Kundensituationen sind in dem folgenden Blogartikel nachzulesen.

Schritt 5 / Systemhärtung

Systemhärtung strebt danach, ein System so zu konfigurieren, dass der Missbrauch und die Verwundbarkeit stark minimiert werden. Systemhärtung wird z.B. vom National Institute of Standards and Technology wie folgt definiert: “Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden“. Durch vorgegebene Konfigurationssets (z.B. CIS-Benchmarks) werden Systeme sicher konfiguriert. In Abhängigkeit zu den betriebenen Applikationen müssen ggf. Einstellungen abweichen, es sollten jedoch so viele Einstellungen wie möglich umgesetzt werden. Zudem werden Zugriffsrechte, die für den Betrieb notwendig sind, analysiert und minimiert (least privilege Prinzip). Dies hilft, um im Falle eines Eindringens in das System zu verhindern, dass sich der Angreifer Zugang verschafft und weiter ausbreitet. Vorteil einer individuellen Härtung ist, dass sie an das Unternehmen angepasst werden kann. Im Zusammenspiel mit den genannten PAWs bildet die Härtung einen großen Schritt in Richtung Gesamtsicherheit.

Die meisten Kunden konfigurieren die Systemhärtung mit hohem Aufwand manuell per Group Policies (GPO’s). Über unsere Hardening-Lösung “Enforce Suite“ ermöglichen wir eine verwaltete Härtung, welche den betrieblichen Aufwand deutlich reduziert. Näheres dazu ist in unserem Blogartikel nachzulesen.

Schritt 6 / Definition und Optimierung der Betriebsprozesse

„Was ich heute kann besorgen, verschiebe ich ruhig auf morgen“. Leider bleiben unter diesem Motto oft ungeliebte organisatorische Angelegenheiten liegen. Dies trifft allzu oft gerade bei Security Themen zu. Doch auch hierfür gibt es Lösungen. Gemeinsam mit dem Kunden definieren wir sicherheitsrelevante Prozesse, sog. Standard Operational Procedures (SOP’s) und implementieren diese in den operativen IT Betrieb. Gibt es bereits solche Prozesse? Wenn ja, welche? Macht es sinn neue zu generieren? Übliche Prozesse in der IT sind beispielsweise Standardverfahren zum Verteilen und Updaten von Betriebssystemen und Software, sowie Prozesse zum Zuweisen von Berechtigungen oder der Überprüfung der notwendigen Accounts. Bei Service-Accounts wird das Passwort oft niemals oder nur sehr selten geändert Kennwortwechselprozesse oder die Einführung von Group Managed Service Accounts helfen hier enorm.

Auf Wunsch unterstützen wir unsere Kunden im operativen Betrieb oder übernehmen Aufgaben im Rahmen unseres Managed Service Portfolios.

Implementation eines Logging und SIEM (Sicherheitsinformation und Ereignismanagement)

Mit den bisher beschriebenen Maßnahmen erreichen wir die Reduzierung der Angriffsfläche unserer Kunden. Um den erreichten Status im laufenden Betrieb erhalten zu können und um eine Gesamtübersicht der Security Lage in Organisationen zu erhalten, ist eine Überwachung von Security Incidents / -events unbedingt wichtig. Dazu werden Event- und Loggingdaten sowie Prozessinformationen in zentralen Datenbanken gelenkt, dann korreliert und ausgewertet.

Auf Basis eines zu erstellenden Regelwerkes kann dann eine automatisierte Alarmierung, ggf. auch eine Bearbeitung erfolgen. So können Events beispielsweise für das Operation Center vorgefiltert werden, auf deren Basis Mitarbeiter notwendige Aktionen einleiten können (z.B. die Isolation eines Clients im Falle eines Virusbefalls).

Da das Implementieren und Betreiben einer solchen Lösung oft sehr aufwändig sind, greifen Kunden öfter auf “Managed Detection and Response Services” (MDR) zurück. Dem Kunden wird damit der Aufwand der Auswertung und der Reaktion auf Security Events durch einen externen Service abgenommen. Prozesse, die beschreiben, was im Fehlerfall genau passieren soll, müssen aber trotzdem erstellt werden. Auch hier unterstützen wir gerne.

Fazit

Aus unserer Erfahrung ist das Thema Security für viele Kunden „angstbesetzt“, unübersichtlich und oft einfach überwältigend. Die zu bewältigenden Aufgaben scheinen oft unlösbar. Aus unserer Sicht ist die Analyse der IST-Situation und die Definition einer tragfähigen IT-Strategie der erste Schritt auf dem Weg zu einer verbesserten Sicherheit. Sie schafft Handlungsfähigkeit, indem Bedrohungen, Maßnahmen, Entscheidungen sowie Aktionen konkret beschrieben werden.

Auf diesem Weg stehen wir Ihnen jederzeit gerne zur Seite, um Ihnen mit unserem Rat, unserer tatkräftigen Unterstützung und nicht zuletzt unserer umfangreichen Expertise in Fragen der IT-Sicherheit zu helfen. Gemeinsam können wir sicherstellen, dass Ihre digitalen Daten vor Bedrohungen geschützt sind und Sie die Vorteile eines sicheren und verlässlichen IT-Systems genießen können.