Schlagwortarchiv für: CIS

Markus Feilner

Schutz von Office-Paketen: Greenbone integriert weitere BSI-Grundschutz- und CIS-Vorgaben

Das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologe (BSI) macht seit wenigen Jahren auch klare Vorgaben für Anwender von Microsoft Office. Seit April 2024 integrieren die Enterprise-Produkte von Greenbone auch Tests, die belegen sollen, ob ein Unternehmen diese Anweisungen umsetzt. Dabei werden die BSI-Anweisungen mit den Leitlinien des Center for Internet Security (CIS) in Übereinstimmung gebracht.

Im Abschnitt „APP:Anwendungen 1.1. Office Produkte“ legt das BSI fest, welche „Anforderungen an die Funktionsweise der Komponenten von Office-Produkten“ zu stellen sind. Ziel ist der Schutz der durch die Office-Software bearbeiteten und genutzten Daten. Auch wenn in den meisten Fällen Microsoft Office gemeint sein dürfte – hat es doch immer noch die bei weitem größte Marktdurchdringung –, so möchte das Modell hinter den BSI-Vorgaben diese auf jedes Office-Produkt anwenden können, „das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen“.

BSI-Vorgaben

Das Modul baut ausdrücklich auf die Vorgaben des Bausteins „ APP.6 Allgemeine Software“ auf und verweist auf die Module „APP.5.3 Allgemeiner E-Mail-Client“ sowie „APP.4.3 Relationale Datenbanken“ und „OPS.2.2 Cloud-Nutzung“, berücksichtigt diese jedoch ausdrücklich nicht.

Das BSI macht dabei drei wesentliche Gefährdungen für Office-Pakete aus:

  • Fehlende Anpassung der Office-Produkte an den Bedarf der Institution
  • Schädliche Inhalte in Office-Dokumenten
  • Integritätsverlust von Office-Dokumenten

Die im BSI-Grundschutzhandbuch genannten Bausteine umfassen 16 Punkte, von denen aber einige bereits wieder entfallen sind. Greenbone hat mehrere hundert Tests entwickelt, die vor allem für fünf der genannten Basis-Anforderungen zum Einsatz kommen, darunter beispielsweise das „Sichere Öffnen von Dokumenten aus externen Quellen“ (APP.1.1. A3) und den in APP.1.1. A15 aufgeführten „Einsatz von Verschlüsselung und Digitalen Signaturen“. In diesen Vorgaben schreibt das BSI zum einen:

„Alle aus externen Quellen bezogene Dokumente MÜSSEN auf Schadsoftware überprüft werden, bevor sie geöffnet werden. Alle als problematisch eingestuften und alle innerhalb der Institution nicht benötigten Dateiformate MÜSSEN verboten werden. Falls möglich, SOLLTEN sie blockiert werden. Durch technische Maßnahmen SOLLTE erzwungen werden, dass Dokumente aus externen Quellen geprüft werden.“

Hinsichtlich der Verschlüsselung heißt es: „Daten mit erhöhtem Schutzbedarf SOLLTEN nur verschlüsselt gespeichert bzw. übertragen werden. Bevor ein in ein Office-Produkt integriertes Verschlüsselungsverfahren genutzt wird, SOLLTE geprüft werden, ob es einen ausreichenden Schutz bietet. Zusätzlich SOLLTE ein Verfahren eingesetzt werden, mit dem Makros und Dokumente digital signiert werden können.“

CIS-Leitlinien verbessern den Grundschutz

Zusätzlich zu den im BSI-Grundschutzhandbuch genannten Vorgaben finden sich im CIS-Benchmark des Centers for Internet Security (CIS) für Microsoft Office noch weitergehende und spezifischere Vorschläge zur Absicherung der Microsoft-Produkte. Die CIS-Vorgaben entstehen in einer Community aus Sicherheitsexperten und stellen eine im Konsens entstandene Best-Practice-Sammlung, hier für Microsoft Office dar.

Als einer der ersten und einzigen Anbieter von Schwachstellenmanagement bringt Greenbone nun Tests auf dort genannte sicherheitsrelevante Features und vereint dabei erstmals die CIS- und BSI-Anleitungen zu zahlreichen, teils tiefgehenden Tests, beispielsweise auf die ActiveX-Control Initialisierung in Microsoft Office. Das Greenbone Vulnerability Management testet hier beispielsweise, ob dieser Schalter auf „enabled“ gesetzt ist, aber auch viele andere Settings, beispielsweise „Always prevent untrusted Microsoft Query files from opening“ is set to „Enabled“ und viele andere mehr.

Viele der Tests beschäftigen sich dabei mit externen Inhalten, dem Einbinden von Makros und der Frage, ob und wie diese externen Inhalte signiert, verifizierbar und daher vertrauenswürdig oder nicht sind, und ob die Administratoren ihre Hausaufgaben bei der Konfiguration von Microsoft Office gemacht haben. Denn, so das BSI, eine der wichtigsten Bedrohungen (und die als erste genannte) ist die mangelnde Anpassung der Office-Produkte an die Realität und die Business-Prozesse im Unternehmen. Hier sorgt Greenbone mit den neuen Tests für eine effiziente Erfüllung von Compliance-Vorgaben und erschwert es Angreifern und Malware, im Unternehmen Fuß zu fassen und Schaden anzurichten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone integriert CIS Docker Compliance Tests in Schwachstellenmanagement

Seit fast zwei Jahren nimmt Greenbone immer mehr Tests aus den Empfehlungen des Center for Internet Security (CIS) in seinen Sicherheitsfeed auf. Zu den neuesten gehören Benchmarks für die Container-Management-Lösung Docker. Docker ist eine der am meisten verbreiteten Container-Technologien in Unternehmensumgebungen. Ihre zunehmende Beliebtheit in DevOps-Kreisen, ihre Benutzerfreundlichkeit und Flexibilität haben sie bei Entwicklern und DevOPS populär gemacht.

Aus diesem Grund stellt die CIS Benchmark-Tests für die Konfigurationskonformität in Docker-Umgebungen zur Verfügung, die „für System- und Anwendungsadministratoren, Sicherheitsspezialisten, Auditoren, Helpdesk- und Plattformbereitstellungspersonal gedacht sind, die planen, Lösungen zu entwickeln, bereitzustellen, zu bewerten oder zu sichern, die Docker einbeziehen“ – und Greenbone freut sich, diese Tests in seine Vulnerability-Management-Produkte zu integrieren.

Docker-Umgebungen auf Schwachstellen testen

Die CIS-Benchmarks (mehr als 140, Stand 2023) enthalten Anleitungen zu Best Practices für die Konfiguration von IT-Systemen, Netzwerken und Software. Sie werden in Zusammenarbeit mit Entwicklern, Fachleuten und Unternehmen in Docker-Umgebungen erstellt und haben sich als Referenz für Compliance-Tests im Bereich Cybersicherheit etabliert. Die CIS-Benchmarks sind in sieben Gruppen unterteilt (Betriebssystem, Server-Software, Cloud-Provider-Benchmarks, Mobilgeräte, Netzwerkgeräte, Desktop-Software, Multifunktionsdrucker), wobei die Docker-Tests in der Server-Sektion angesiedelt sind.

Greenbone unterstützt CIS-Benchmarks seit Jahren

Seit 2021 integriert Greenbone kontinuierlich CIS-Benchmarks in seine Produkte – jetzt auch die Docker-Compliance-Benchmarks für Docker-Systeme ab Version 1.4 (bisher Version 1.2). Alle Tests werden von Greenbone in Scan-Konfigurationen zusammengefasst und dem Greenbone Enterprise Feed hinzugefügt. Das Greenbone Schwachstellenmanagement führt den Testsatz auf einem Zielsystem aus und prüft dabei die Konfiguration und andere Einstellungen, z. B. Dateiberechtigungen. Anschließend sendet es einen Bericht mit Abhilfestrategien an den Administrator, der dann seine Systeme an die Empfehlungen zur Einhaltung der Sicherheitsvorschriften anpassen kann.

Zertifiziert durch CIS

Als Mitglied des CIS-Konsortiums baut Greenbone seine CIS-Benchmark-Scan-Konfigurationen kontinuierlich aus – aktuell arbeitet Greenbone zum Beispiel an der Kubernetes-Integration. Wie alle von Greenbone auf Basis der CIS Benchmarks entwickelten Compliance Policies sind auch die neuesten von der CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System nach den CIS-Härtungsempfehlungen zu auditieren. Dies vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien können bereits im Vorfeld mit einem Scan durch ein Greenbone-Produkt überprüft und ggf. gefundene Schwachstellen behoben werden, bevor Probleme entstehen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone erweitert Compliance-Richtlinien für CIS Benchmarks

Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux: Ein Jahr nach Einführung bringt Greenbone zahlreiche neue Compliance-Richtlinien für CIS Benchmarks in seinen Produkten. CIS Benchmarks werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Softwareprodukte, Anwendungen, Betriebssysteme und andere Komponenten sichere Vorgaben erfüllen. Ähnlich dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt das Center for Internet Security (CIS), eine im Jahr 2000 gegründete Non-Profit-Organisation, umfangreiche Best Practices für die IT-Sicherheit von Regierungen, Industrie und Wissenschaft bereit. Schon 2021 entwickelte Greenbone erste Compliance-Richtlinien für CIS Benchmarks. Nun kommen 18 weitere Compliance-Richtlinien hinzu.

Compliance-Richtlinien für CIS Benchmarks

Benchmarks für die Unternehmenssicherheit

Die CIS Benchmarks bilden Richtlinien von Unternehmen und Behörden ab, die als Messlatte (Benchmark) für das Einhalten von Anforderungen dienen. Ausführlich beschreiben die Benchmarks Konfigurationen, Bedingungen, Audits und Tests für diverse Setups und Systeme. Nach erfolgreichem Scan erhalten IT-Admins einen umfangreichen Bericht mit einer Prozentzahl, die Aufschluss über die Compliance der Systeme, aber auch gleich Empfehlungen für weitere Härtungsmaßnamen liefert.

Im Vergleich zu den Vorgaben des IT-Grundschutz erweisen sich CIS Benchmarks häufig als deutlich detaillierter, damit aber auch als umfangreicher. Anders als die vielen Tests im Greenbone Enterprise Feed, die Sicherheitslücken und Schwachstellen suchen, um bei der Abwehr von Angriffen zu helfen, dienen die CIS Benchmarks dem Nachweis, dass ein Unternehmen oder eine Behörde die geltenden Compliance-Vorschriften zu jedem Zeitpunkt einhält und stets eingehalten hat.

CIS Benchmarks bei Greenbone

Bereits seit 2021 integriert Greenbone zahlreiche Compliance-Richtlinien für CIS Benchmarks. Bei diesen Richtlinien handelt es sich um Zusammenstellungen an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Vereinfacht gesagt wird dabei für jede einzelne Anforderung oder Empfehlung aus einer CIS Benchmark ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Enterprise Feed hinzugefügt. Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

2022 baut Greenbone den Satz an CIS-Compliance-Richtlinien, der im Greenbone Enterprise Feed enthalten ist, deutlich aus. 18 weitere Compliance-Richtlinien für CIS Benchmarks für diverse Produktfamilien wurden hinzugefügt. Neben einer Compliance-Richtlinie für Docker-Container stehen jetzt auch Tests für Windows 10 Enterprise, Windows 2019 Server, Centos und distributionsunabhängige Linux-Benchmarks zur Verfügung. Außerdem können jetzt auch Webmaster mit Servern wie Apache (2.2 und 2.4), NGINX, Tomcat und Microsoft IIS 10 sowie Datenbankadministrationen (MongoDB 3.2 und 3.6, Oracle Community Server 5.6 und 5.7 sowie PostgreSQL 9.6, 10, 11 und 12) auf Compliance-Richtlinien für CIS Benchmarks zurückgreifen.

CIS Benchmarks: Level 1, 2 und STIG

Die CIS Benchmarks gliedern sich in mehrere Level (Level 1, 2 und STIG) und umfassen meist mehrere zu testende Konfigurationsprofile. Level 1 gibt grundlegende Empfehlungen zur Verringerung der Angriffsfläche eines Unternehmens, Level 2 adressiert Nutzende mit besonderen Sicherheitsbedürfnissen. STIG – das ehemalige Level 3 – kommt dagegen vor allem im militärischen oder behördlichen Umfeld zum Einsatz. STIG steht für Security Technical Implementation Guide. Das US-amerikanische Verteidigungsministerium pflegt hierzu eine Webseite mit allen Details. Die dort beschriebenen DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) sind eine Anforderung des US-Verteidigungsministeriums.

Zertifiziert von CIS

Greenbone ist Mitglied des CIS-Konsortiums und erweitert seine CIS-Benchmark-Scan-Konfigurationen fortlaufend. Wie alle von Greenbone auf Basis von CIS Benchmarks entwickelten Compliance-Richtlinien sind auch die neuesten von CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System gemäß den Härtungsempfehlungen von CIS zu prüfen. Das vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien lassen sich schon vorab mit einem Scan durch eine Greenbone-Lösung prüfen und gegebenenfalls gefundene Schwachstellen beheben, bevor Probleme auftauchen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Greenbone AG

CIS-zertifizierte Compliance-Richtlinien im Greenbone Security Feed

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.

CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone in der Planung oder sogar bereits in der Entwicklung.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von