15 Nov Drei effektive Methoden zur Einführung einer Systemhärtung
Das Thema Systemhärtung ist zurzeit eines der meistdiskutierten Themen bei unseren Kunden. Der große Vorteil einer Systemhärtungsstrategie ist es, durch Konfigurationseinstellungen effektiv die Angriffsfläche von IT-Systemen zu reduzieren. Branchenübliche Standards wie zum Beispiel das Center for Internet Security (CIS) oder das BSI Grundschutzlompendium geben gute Konfigurationseinstellungen vor. Genauso veröffentlicht aber auch Microsoft-Härtungsempfehlungen für die jeweilige Software.
Unternehmen haben mindestens zwei Treiber identifiziert, sich mit Systemhärtung zu beschäftigen. Zum einen muss das IT-Sicherheitsniveau angehoben werden, um den wachsenden Gefahren durch Cyberangriffe entgegenzuwirken. Zum anderen wird das Thema aber auch in gängigen Standards und Zertifizierungen immer wichtiger. Die ISO27001, das BSI im Rahmen der KRITIS-Überwachung, aber auch der für den „Stand der Technik“ relevante Standard von Teletrust fordern alle ein Konzept für das Thema Systemhärtung. Unser Partnerunternehmen FB Pro hat die Anforderungen aus regulatorischer Sicht in einem Blogartikel zusammengefasst.
Auch in unseren Webinaren haben wir dargelegt, wieso Systemhärtung in jeder Security Strategie einen maßgeblichen Platz einnehmen sollte. Das Thema nimmt mittlerweile an Fahrt auf und viele Unternehmen beschäftigen sich mit der Frage, wie sie eine Systemhärtung schnell, kostengünstig und ohne größere Komplikationen ausrollen können. Die Problematik, die Systemhärtungsprojekte so schwierig machen können, ist, dass viele IT-Infrastrukturen historisch gewachsen und zahlreiche Fehlkonfigurationen enthalten. Gleichzeitig gibt es für viele Services keine klaren Verantwortlichkeiten oder es wird mit Software gearbeitet, die sehr veraltet und nicht mehr den neuesten Security Standards entspricht. All diese Aspekte müssen bei einem Härtungsprojekt mitberücksichtigt werden und verzögern im Zweifel das Projekt erheblich.
In diesem Blog-Artikel möchten wir drei bewährte Methoden vorstellen, die wir bei unseren Kunden bereits erfolgreich angewendet haben. Die Vorgehensweise kann auch individuell kombiniert werden. In diesem Artikel fokussieren wir uns aber darauf, die einzelnen Methodiken vorzustellen und werden auch Vor- und Nachteile der jeweiligen Methodik vorstellen.
Die drei Methoden sind:
-
-
- Layered hardening
- Rapid hardening
- Life-Cycle hardening
-
Layered Hardening
Wir als Teal sind nicht nur auf das Thema Systemhärtung spezialisiert, sondern beschäftigen uns bei unseren Kunden damit, die Art und Weise, wie IT-Infrastruktur administriert ist, zu verändern und besser abzusichern. Dabei nehmen die Vorgehensweisen Enhanced Secure Administration Environment (ESAE) oder Securing Privilege Access von Microsoft, so wie die CIS Security Controls und der BSI-Grundschutz eine zentrale Rolle ein. Typischerweise starten wir bei Kunden mit einem Sicherheits-Assessment, indem wir die IST-Situation analysieren, und risikobasiert Schwächen in der Umgebung aufzeigen. Komplettiert wird das Assessment durch eine Security-Roadmap, in der wir detailliert die Ergebnisse aufzeigen, aber auch Vorschläge unterbreiten, um die Gesamtsicherheit in der Infrastruktur zu verbessern.
Dabei ist wesentlich mehr zu tun, als „nur“ Systeme nach aktuellen Vorgaben zu härten, sondern wir begleiten den Kunden in mehreren Feldern. Angefangen bei einer Bedrohungsanalyse, um die Assets zu klassifizieren und den Schutzbedarf festzulegen. Dabei werden Systeme in sogenannte Tiers bzw. nach Kritikalität klassifiziert. Ziel ist es, die besonders schützenswerten Systeme zu identifizieren und diese im Anschluss mit technischen und organisatorischen Maßnahmen zu isolieren und zu schützen. Angreifer gelangen ggf. noch ins Unternehmen, können aber eben nicht mehr ohne weiteres auf kritische Assets zugreifen und damit die gesamte Umgebung übernehmen. In typischen Sicherheitsprojekten gehen wir dabei so vor, dass wir zunächst die höchst schützenswerten Assets absichern und in diesem Zuge diese auch entsprechend härten. Aus Sicht der Systemhärtung legen wir dabei den höchstmöglichen Schutzstandard an. Das heißt, wir wollen beispielsweise unsichere Protokolle wie SMB v 1 oder veraltete Cipher Suiten abschalten und die Nutzung von Ntlm einschränken. Das wiederum hat beliebig viele Seiteneffekte, da vor allen Dingen ältere Software teilweise auf genau diese veralteten Protokolle angewiesen ist und nicht mehr funktionieren würde, wenn man die Umgebung entsprechend sicher konfiguriert. In der Realität bedeutet das, dass man tatsächlich System für System durchgehen, härten und testen muss. Das erhöht den Aufwand, stellt gleichzeitig, aber auch sicher, dass Systeme entsprechend gesichert und geschützt sind. Wieso oft bedeutet eine gute Sicherheit auch entsprechend viel Aufwand.
Im Anschluss würde man sich den nächsten kritischeren Systemen, in diesem Fall den sogenannten Tier1 Systemen, widmen. Das sind typischerweise Serversysteme wie zum Beispiel Datenbank Server oder Webserver oder auch Server, die als Terminalserver oder Dokumentationsablage genutzt werden. Das Vorgehen ist ähnlich wie bei den besonders kritischen Tier0-Systemen. Es wird ein möglichst restriktives Sicherheits-Benchmark definiert und System für System ausgerollt. Bei Inkompatibilitäten mit Anwendungssoftware würde man in der Praxis ggf. die Vorgaben etwas aufweichen und eher die Applikation anstatt der Sicherheit in den Fokus rücken. Ein Tier1 System kann ggf. weniger restriktiv gehärtet werden als ein Tier0-System. Das ist in Abhängigkeit einer individuellen Risikobewertung zu entscheiden.
Zuletzt werden die sogenannten Tier2 oder End User Geräte gehärtet, damit auch diese eine möglichst kleine Angriffsfläche haben. Auf Endgeräten beispielsweise müssen meistens Einstellungen wie z. B. Bluetooth entsprechend angeschaltet bleiben, damit Anwender das Headset weiterhin verwenden können oder auch eine Kamera im Zugriff haben.
Wichtig bei allen Ansätzen, die wir heute vorstellen, ist es, neue Systeme von Beginn an zu härten. So spart man sich später wertvolle Zeit und hat von Beginn an gesicherte Geräte im Einsatz.
Vorteile
-
- Der primäre Vorteil liegt auf der Hand: Die kritischen Systeme haben nach erfolgreicher Durchführung des Härtungsprojektes den bestmöglichen Schutz und damit die geringste Angriffsfläche, die in der Umgebung möglich ist.
- Gleichzeitig ist aber ein weiterer Aspekt nicht von der Hand zu weisen, nämlich dass man sich zwangsläufig mit den Altlasten in der Umgebung auseinandersetzen muss. Angefangen bei Fragen wie „wer ist eigentlich für das System verantwortlich“, über „gibt es nicht eventuell eine neuere Version oder gar eine andere Applikation, die genutzt werden kann, die eher den modernen Sicherheitsanforderungen entspricht“, muss man letztendlich viele infrastrukturrelevante Aspekte betrachten und hat beispielsweise auch die Möglichkeit, die vielleicht lange stiefmütterlich behandelte Inventarisierungsübersicht über vorhandene Systeme zu aktualisieren.
Zusammenfassend, bietet dieses Vorgehen die Möglichkeit das Sicherheitsniveau sehr stark zu verbessern.
Nachteile
-
- Das Vorgehen der Systeme nacheinander und einzeln härtet, führt natürlich dazu, dass die Projektlaufzeit relativ lange ist
- Des Weiteren ist es aufwendig, restriktive Härtungssätze einzuführen, da der Bedarf an Troubleshooting höher ist, damit Applikationen entsprechend angepasst und den getroffenen Sicherheitseinstellungen entsprechen
- Dadurch sind die Kosten für ein solches Härtungsprojekt höher
Wann sollte ich diesen Ansatz wählen?
Der Ansatz „Layered Hardening“ ist vor allen Dingen dann interessant, wenn Sie das IT-Sicherheitsniveau wirklich nachhaltig steigern und sehr restriktiv behandeln müssen. Dies ist vor allen Dingen bei Unternehmen der Fall, die bereits Opfer einer Cyberattacke wurden oder so kritisch sind, dass die Wahrscheinlichkeit für einen Cyberangriff sehr hoch ist.
Des Weiteren ist dieser Ansatz zu empfehlen, wenn Sie sich in einer stark regulierten oder sensiblen Branche befinden und beispielsweise als Unternehmen, das kritische Dienstleistungen erbringt, klassifiziert sind.
Rapid Hardening
Im Unterschied zur Layered Hardening basiert der Ansatz Rapid Hardening, wie der Name schon sagt, auf der Geschwindigkeit in dem Härtungssätze ausgebracht werden. Ziel ist, dass möglichst schnell viele Systeme mit einem Basisschutz ausgestattet werden. Dieser Basisschutz sollte genauso wie in den anderen Ansätzen auf Industriestandards basieren, wie zum Beispiel CIS oder BSI, aber lediglich die notwendigen und unkritischen Einstellungen beinhalten, die ohne viel Troubleshooting „einfach“ auszurollen sind.
Nachdem ein Härtungssatz mit beispielsweise 200 bis 300 Einstellungen definiert ist, konzentriert sich der Rapid Hardening Ansatz darauf, beispielsweise mit den Clientsystemen (Tier2) zu beginnen und mehrere 100 Systeme pro Woche auszurollen. Das Vorgehen wäre wie folgt:
-
- Erstellen des Härtungssatzes
- Ausrollen des Härtungssatzes auf 5 bis 10 Pilotsysteme
- Testen der Applikationen und Funktionen
- Rollout auf weitere Systeme (100 bis 500 Systeme pro Woche)
Wie ausgerollt wird, ist abhängig von ihren Bedürfnissen. Denkbar sind Rollout-Zyklen nach Betriebssystem Version, nach Abteilungen oder nach Lokationen/Standorten.
Nachdem die Client-Betriebssysteme mit dem Basisschutz versorgt sind, würde man sich den Serversystemen widmen und diese auch mit einem möglichst unkritischen Härtungssatz ausstatten. Somit ist schnell ein solider Härtungssatz im Feld ausgerollt und die Angriffsfläche ist bei vielen Systemen verkleinert. Wenngleich der Schutz auch nicht überall höchsten Ansprüchen genügt, können in einem nachgelagerten iterativen Ansatz immer wieder weitere Konfigurationseinstellungen in den Härtungssatz aufgenommen und ausgerollt werden. Somit ist über die Dauer eine Verbesserung des Härtungssatzes zu erreichen
Der wesentliche Unterschied zu dem zuvor vorgestellten Vorgehen ist, dass schneller ein Basisschutz erreicht wird. Allerdings werden kritische Systeme erst nachrangig bearbeitet, da hier der größte Aufwand anzusetzen ist.
In jedem Fall ist jedoch zu empfehlen, dass neue Systeme immer mit entsprechenden Härtungsbenchmarks ausgestattet werden. Systeme sind damit von Beginn an mit einem guten Schutz ausgestattet.
Vorteile
-
- Der Vorteil beim Rapid Hardening ist die Geschwindigkeit und die Anzahl der Systeme, die man abgesichert bekommt.
- Durch das nachgelagerte gelagerte iterative Vorgehen sind von Beginn an mehr Systeme geschützt als in anderen Methodiken und die Angriffsfläche über die gesamte Umgebung ist von Beginn an verringert.
- Ein weiterer Vorteil liegt darin begründet, dass man schnell Ergebnisse erzielt und beispielsweise das Thema Systemhärtung im Unternehmen platziert bekommt und eben nicht mit Bedenkenträgern lange diskutieren muss, ob man überhaupt härtet.
- Testaufwände sind minimiert und es ist gut möglich, Härtungseinstellungen neben dem normalen Tagesgeschäft ohne eigenes Projekt auszurollen.
Nachteile
-
- Auf der einen Seite gewinnt man zwar eine gute Abdeckung über die gesamte Umgebung, gleichzeitig sind aber gerade kritische Systeme nur mit einem Basisschutz ausgestattet. Kritische Settings wie zum Beispiel Smbv 1 können gegebenenfalls nicht von Beginn an abgeschaltet werden. Diese werden aber von zahlreichen Angriffen benutzt, sodass eine Basishärtung zwar ein erster Schritt in Richtung sicherer Infrastruktur ist, allenfalls aber ein erster Schritt.
- Härtungseinstellungen müssen im Nachgang zum Initial-Rollout kontinuierlich verbessert werden.
- Es kann der Eindruck erweckt werden, dass man bereits sicher unterwegs ist, nur weil man einen Basisschutz ausgerollt hat.
Wann sollte man diese Methodik anwenden?
Gerade wenn schnell Ergebnisse zu präsentieren sind, beispielsweise gegenüber einer Cyberversicherung oder einer Behörde, bietet sich der Rapid Hardening Ansatz an.
Oftmals sind Auditoren damit zufrieden zu sehen, dass Unternehmen begonnen haben, sich einem Thema anzunehmen, und akzeptieren durchaus, dass die Lösung noch nicht perfekt ist. Hier sei abermals erwähnt, dass es am Ende darauf ankommt, einen soliden Plan aufzustellen. Dieser muss beantworten, wie man die Gesamtsicherheit kontinuierlich steigern will.
Des Weiteren ist Rapid Hardening eine Methodik, die helfen kann, mit dem Thema zu starten, erste Erfahrungen zu sammeln und gegebenenfalls Bedenken abzubauen.
Lifecycle Hardening
Ebenso hat sich das Vorgehen „Lifecycle Hardening“ bei unseren Kunden bewährt. Dabei wird das Thema Systemhärtung mit Lifecycle-Themen verbunden. Steht beispielsweise gerade ein Windows 11 Projekt bei Ihnen an, oder sind Sie dabei, Ihre Server-Systeme auf Server 2022 zu aktualisieren, so bietet sich an das Projekt, um das Thema Systemhärtung zu erweitern. Es kann individuell entschieden werden, ob man mit einem restriktiven oder einem Basishärtungssatz gestartet werden soll. Das ist abhängig von der Gesamtsituation bei Ihnen. Denkbar sind aber sowohl Rapid Hardening wie auch Layered Hardening Ansätze. Der große Vorteil ist, dass die Härtungs- und vor allem Test-Aufwände mit den Lifecycle-Aufwänden verbunden werden. Wenn ich beispielsweise Windows 11 im Feld ausrolle, muss ich zwangsläufig jede Unternehmensapplikation testen und die Funktionalität entsprechend sicherstellen. Da der Testaufwand sowieso anfällt, ist fraglich, ob dieser durch die Systemhärtung wirklich maßgeblich erhöht wird oder im besten Fall gleichbleibt. Sicherlich wird an der einen oder anderen Stelle eine Applikation mit gewissen Härtungseinstellungen nicht zurechtkommen. Der Gesamtaufwand erhöht sich dadurch meistens, aber nicht signifikant.
Aus Projektmanagement-Sicht werden keine weiteren Aufwände durch das Thema Systemhärtung verursacht. Der Rollout an sich ist ähnlich wie in den anderen Methodiken abhängig von ihren Gegebenheiten. Auch hier sind Rollout-Szenarien nach Betriebssystemversion, Lokationen oder ähnlichen Kriterien denkbar.
Vorteile
-
- Durch Kombination von Test- und Rollout-Aufwänden ist der größte Mehrwert dieses Ansatzes. Im Management ist längst bekannt und etabliert, dass LifeCycle-Projekte konstant Aufwände verursachen und auf Dauer unabdingbar sind.
- Diese Projekte mit Security-Themen zu kombinieren, kann helfen, Themen zu priorisieren und überhaupt umgesetzt zu bekommen.
- Je nachdem, wie restriktiv der initiale Härtungssatz definiert ist, besteht die Möglichkeit, die Systemsicherheit enorm zu erhöhen und die Angriffsfläche effektiv zu verkleinern.
Nachteile
-
- Das größte Problem bei diesem Ansatz ist, dass ein Lifecycle Projekt nicht jedes Jahr geplant ist, sondern immer mit entsprechenden Betriebssystem Zyklen verknüpft ist. Allerdings beschäftigen sich aktuell viele Unternehmen mit der Einführung von Server 2022 oder Windows 11, so dass der Zeitpunkt aktuell ideal für diesen Ansatz ist
Wann macht der LifeCycle Hardening Ansatz Sinn?
Wenn bei Ihnen in nächster Zeit ein LifeCycle-Projekt ansteht oder gegebenenfalls schon gestartet ist, empfiehlt es sich zu prüfen, ob man das Thema um die Systemhärtung erweitern kann.
Zusammenfassung und Gegenüberstellung
Nachfolgend haben wir die drei Vorgehen miteinander verglichen und nach den Kategorien Security, Komplexität, Aufwand und Dauer bewertet:
Es zeigt sich, dass man mit dem Layered Hardening gerade kritische Systeme sehr effektiv absichern kann. Gleichzeitig sind Kosten und Dauer bei dieser Methodik aber gegenüber den anderen Ansätzen im Hintertreffen. Das Thema Rapid Hardening ist immer dann zu empfehlen, wenn Sie schnell Ergebnisse vorweisen müssen, und wenn Sie sowieso Ihr nächstes Lifecycle-Projekt planen, bietet sich an, das Thema zu verbinden.
Es ist auch möglich, die Ansätze zu kombinieren. Wichtig bleibt aber festzuhalten, dass Sie in jedem Fall darüber nachdenken sollten, wie Sie Systemhärtung einführen. Das Thema ist nicht mehr neu. Unternehmen haben längst begonnen, Fortschritte in diesem Bereich zu erzielen. Sollten Sie noch nicht mit einer Systemhärtungsstrategie gestartet haben, wird es höchste Zeit. Das Thema wird sowohl aus regulatorischen Gesichtspunkten, als auch aus praktischen immer wichtiger. Das Verkleinern der Angriffsfläche ist die effektivste Maßnahme, die sie haben, um Cyber-Angriffe abzuwehren und gar nicht erst stattfinden zu lassen.
Wenn Sie Hilfe brauchen oder mit uns Ihren Ansatz diskutieren möchten, bieten wir Ihnen gerne ein kostenloses Beratungsgespräch an. Wir freuen uns, von Ihnen zu hören…
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
Sieh dir diesen Beitrag auf Instagram an
Sieh dir diesen Beitrag auf Instagram an
LATEST POSTS
-
it-sa 2024: Besuchen Sie uns in Nürnberg!
In diesem Jahr sind wir das erste mal gemeinsam mit unserem Partner FB Pro GmbH mit einem Stand und einem Fachvortrag auf einer der bedeutendsten IT-Sicherheitsmessen Europas vertreten: der it-sa 2024 in Nürnberg...
15 August, 2024 -
Windows LAPS: Was kann das „neue“ LAPS und sollte ich es nutzen?
Seit längerem ist nun eine neue Version von LAPS – Windows LAPS – verfügbar. In diesem Artikel wollen wir auf die Neuerungen eingehen und beleuchten, ob eine Migration auf die neue Version Sinn macht....
15 Juli, 2024 -
Ein ISO 27001-konformer Schwachstellenmanagement-Prozess: Wie muss ein solcher aussehen?
Damit Sie die Anforderungen der ISO 27001 erfüllen können, müssen Sie technische Schwachstellen in Ihrer IT-Infrastruktur fortlaufend erfassen, einer Risikobewertung unterziehen und durch Umsetzung von Verbesserungsmaßnahmen ...
17 Juni, 2024