Beiträge

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone Networks entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone Networks zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.


Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone Networks es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone Networks

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone Networks nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone Networks entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone Networks in der Planung oder sogar bereits in der Entwicklung.

Durch die Integration von macmon NAC mit dem Greenbone Security Manager entsteht ein schnell agierendes, vollautomatisches Sicherheitskonzept. Neue oder über längere Zeit abwesende Endgeräte im Netzwerk werden automatisch von macmon NAC erkannt und anschließend vom Greenbone Security Manager auf Schwachstellen gecheckt. Hier erfahren Sie mehr über die Partnerschaft von Greenbone Networks und macmon secure.

Die als physische und virtuelle Appliance verfügbare Greenbone Professional Edition, basierend auf dem Greenbone Security Manager (GSM), identifiziert Sicherheitslücken in der Unternehmens-IT und bewertet deren Risikopotenzial. Zudem empfiehlt der GSM Maßnahmen zur Behebung gefundener Schwachstellen.

Ziel ist es, Angriffspunkte zu erkennen, bevor Cyberkriminellen es tun und somit Angriffe zu verhindern. Denn die Praxis zeigt: 999 von 1.000 ausgenutzten Schwachstellen waren bereits über 12 Monate bekannt und hätten somit geschlossen werden können. Zur Lösung gehört ein tägliches Security-Update der Schwachstellentests, die zum Aufspüren der Schwachstellen ausgeführt werden. Aktuell sind über 87.000 Schwachstellentests verfügbar. Der GSM findet mittlerweile in über 50.000 professionellen Installationen und Integrationen quer durch alle Branchen und Unternehmensgrößen Anwendung. Die schlüsselfertige Appliance basiert auf Open-Source-Software und lässt sich innerhalb kürzester Zeit in Betrieb nehmen.

Seit 2018 ist Greenbone Networks Technologiepartner der macmon secure GmbH.

Wie funktioniert die technische Partnerschaft von Macmon und Greenbone Networks?

macmon secure lässt neue Endgeräte beim Betreten des Unternehmensnetzwerks vom GSM nach Schadsoftware scannen und wertet regelmäßig den Compliance-Status aus, um das Unternehmensnetzwerk zu schützen. Dazu Christian Bücker, Geschäftsführer macmon secure GmbH: „Es ist für die IT-Sicherheit wichtig, das Unternehmensnetzwerk regelmäßig zu scannen. Das Ergebnis dieses Scans wird von GSM bereitgestellt und in regelmäßigen Abständen von macmon NAC ausgewertet. Wenn das Gerät im Einklang mit den Unternehmensrichtlinien steht, wird der Netzwerkzugang weiterhin gewährt. Ist dies nicht der Fall, kann macmon NAC mit einer konfigurierten Reaktion das Endgerät isolieren oder vom Netzwerk trennen und den Administrator benachrichtigen. Somit wird eine regelkonforme Netzwerkzugangskontrolle gewährleistet.“

macmon NAC erkennt neue und wiederkehrende Endgeräte und initiiert Scans

In einem Unternehmensnetzwerk gibt es ständig neue Geräte. Für gewöhnlich stellt ein Administrator sicher, dass ein solches Endgerät nicht mit Schadcode infiziert ist und keine Gefahr für die Datenintegrität und die Netzwerksicherheit darstellt. macmon NAC erkennt ein neues Endgerät, wenn es mit dem Netzwerk verbunden wird und beauftragt den GSM mit einem Scan. Entsprechend des Ergebnisses wird der Zugang gewährt oder verweigert.

Außerdem erkennt macmon NAC ein wiederkehrendes Endgerät und lässt es vom GSM scannen, wenn der Zeitraum der Abwesenheit zu groß ist. Einige Endgeräte können nicht regelmäßig gescannt werden, weil sie nicht dauerhaft ans Unternehmensnetzwerk angeschlossen sind.

So kann beispielsweise eine Mitarbeiterin im Außendienst für Tage oder Wochen außer Haus sein. Bei der Rückkehr verbindet sich das Endgerät erneut mit dem Unternehmensnetzwerk, wo es von macmon NAC erkannt wird. macmon NAC gibt dem GSM dann den Befehl, einen Scan durchzuführen. Das Ergebnis dieses Scans wird vom GSM bereitgestellt. Wenn das Gerät mit den Unternehmensrichtlinien konform ist, wird der Netzwerkzugang weiterhin gewährt. Ist dies nicht der Fall, kann macmon NAC, wie bei einem neuen Endgerät auch, mit einer konfigurierten Reaktion das Endgerät isolieren und wiederum den Administrator benachrichtigen.

macmon NAC überprüft somit regelmäßig, je nach zeitlichen Vorgaben des Anwenders, die Integrität neuer und temporär abwesend gewesener Endgeräte.

Die Geschäftsführer von macmon secure und Greenbone Networks bestätigen die Vorteile der Partnerschaft für die Sicherheit Ihrer Kunden

Dr. Jan-Oliver Wagner, CEO und Mitbegründer von Greenbone Networks: „Sowohl macmon als auch Greenbone achten auf eine schnelle, vollautomatische Reaktion, um die Einhaltung von Sicherheits-Richtlinien zu gewährleisten. Auch Angreifer nutzen Automatisierung. Ihnen setzen wir ein individuelles, nach Kunden-Vorgaben handelndes System-Team entgegen. Potenzielle Angriffsflächen werden schnell und gezielt isoliert, geprüft und freigegeben. Auch nachts um 2 Uhr. Die Stärken beider Unternehmen ergänzen sich perfekt, um größtmögliche Sicherheit für die Kunden zu gewährleisten.“

Dazu Christian Bücker, Geschäftsführer von macmon secure: „Der große Vorteil dieser Integration ist, dass sobald macmon NAC die Anwesenheit eines Endgerätes erkennt, sofort und vollautomatisch ein Scan durchlaufen wird. Wird ein unerwünschter Zustand erkannt, wird macmon NAC direkt informiert und reagiert sofort und automatisch mit der Aussperrung oder Quarantäne-Schaltung. Es geht also um schnelle, automatische Reaktionen ohne Administratoreingriff. Und natürlich wird das Sicherheitskonzept gestärkt, da beide Lösungen ihre Expertisen zusammenlegen. macmon NAC kann sehr schnell erkennen, dass ein Gerät frisch ins Netzwerk gekommen ist und das Enforcement für Greenbone übernehmen, welches nicht selbst Sicherheitsregeln vollstrecken kann. Greenbone kann sehr gut Schwachstellen aufzeigen, was wiederum nicht macmons Hauptdisziplin ist.“

Die Integration des Greenbone Security Manager mit macmon NAC wird einfach über die Web-Oberfläche von macmon NAC vorgenommen.

Es war einer der spektakulärsten Cyberangriffe aller Zeiten: Im Herbst 2019 griffen Hacker SolarWinds an und schleusten im Frühjahr 2020 eine Malware in ein Update der Orion-Plattform von SolarWinds ein. Kunden, die die kompromittierte Version der Netzwerkmanagement-Software installierten, bekamen die Backdoor „SUNBURST“ gleich frei Haus – darunter zahlreiche US-Regierungsbehörden und große Unternehmen. Gut getarnt konnten die Hacker so lange Zeit unbemerkt Daten ausspionieren. Hier erfahren Sie, wie Sie sich mit Greenbone Networks‘ Lösungen vor dem SolarWinds-Angriff schützen können.

Den Cyberkriminellen ist damit ein nahezu perfekter Coup gelungen. Das Perfide daran: Kunden von SolarWinds nutzen die Orion-Plattform eigentlich, um ihre IT-Umgebung zu überwachen. Ausgerechnet eine Software, die schützen soll, bringt also die Gangster ins Haus. Dabei gingen die Angreifer ganz gezielt und äußerst raffiniert vor. Sie attackierten SolarWinds zunächst mit der speziell entwickelten „SUNSPOT“-Malware. Diese infiltrierte eine bösartige Hintertür mit dem Namen „SUNBURST“, manchmal auch „Solorigate“ genannt, in den Produktionsprozess der Produktlinie „SolarWinds Orion-Plattform“. Die Malware wurde direkt in den Code eingebettet und mit einer gültigen Software-Signatur versehen. Dadurch war sie perfekt getarnt. Mit dem kompromittierten Update konnte die Backdoor dann unbemerkt an die Kunden verteilt werden.

Lange Zeit unentdeckt

Am 12. Dezember 2020 wurde SolarWinds über den Vorfall informiert und hat Untersuchungen eingeleitet. Das Sicherheitsunternehmen FireEye, das zu den betroffenen Opfern gehört, veröffentlichte zusätzliche Informationen über den Einbruch in sein Netzwerk. Demzufolge hatten die Cyberkriminellen verschiedene Angriffswerkzeuge von FireEye gestohlen, die das Unternehmen für Tests seiner eigenen Kunden verwendet. Auch andere SolarWinds-Kunden meldeten Sicherheitsverletzungen. Doch damit noch nicht genug: Während der Untersuchung des Vorfalls fanden Sicherheitsforscher eine weitere Backdoor, die offensichtlich von einer zweiten, unabhängigen Hackergruppe stammt. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10148 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. In jüngster Zeit wurden außerdem mehrere neue Schwachstellen entdeckt, die eine vollständige Remote-Codeausführung ermöglichen können, wenn sie nicht gepatcht werden.

Im Greenbone Security Manager (GSM) sind die passenden Schwachstellentests bereits integriert

Rund 18.000 Kunden haben das kompromittierte Update von SolarWinds erhalten und sind damit potenziell vom Hack betroffen. Nicht bei allen sind die Cyberkriminellen aber auch durch die Hintertür eingedrungen und haben Daten abgegriffen. Bisher haben sie sich wohl auf besonders attraktive Ziele konzentriert. Sind Ihre Netzwerke auch gefährdet? Als Kunde von Greenbone Networks können Sie das schnell herausfinden. Denn wir haben sofort reagiert, als der Vorfall bekannt wurde und entsprechende Schwachstellentests in den Greenbone Security Manager integriert. Das Vulnerability Scanning zeigt an, ob Ihre IT-Umgebung über „SUNBURST“/„Solorigate“ oder CVE-2020-10148 verwundbar ist und Sie damit zu den potenziellen Angriffszielen zählen. Außerdem kann der GSM prüfen, ob Sie bereits Opfer von „SUPERNOVA“ oder den zusätzlich von den Hackern genutzten Malware-Tools „TEARDROP“ oder „Raindrop“ geworden sind.

Die Lage ist ernst, aber es gibt gute Lösungen

Wer von den genannten Schwachstellen betroffen ist, sollte sie schließen. SolarWinds hat mittlerweile Hotfixes dafür veröffentlicht. Allzu sicher fühlen dürfen wir uns trotzdem nicht. Denn die unbekannte Hackergruppe ist weiterhin aktiv. Erst vor Kurzem hat das Sicherheitssoftware-Unternehmen Malwarebytes mitgeteilt, dass es Opfer eines Cyberangriffs geworden ist. Offensichtlich stecken dieselben Akteure dahinter wie beim SolarWinds-Hack, obwohl Malwarebytes selbst gar keine SolarWinds-Software einsetzt. Als Angriffsvektor haben die Cyberkriminellen Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen missbraucht. Der Schaden war nach eigenen Angaben glücklicherweise gering und Malwarebytes-Software wurde nicht kompromittiert.

Die Vorfälle zeigen allerdings, dass wir eine neue Dimension der Cyberkriminalität erreicht haben. Die Akteure führen perfekt geplante, komplexe und mehrstufige Attacken durch, bei denen sie zunächst eine vertrauensvolle Software hijacken und dann als blinder Passagier zu vielen anderen lukrativen Opfern vordringen. Um solchen Angriffen so wenig Chancen wie möglich einzuräumen, ist es wichtig, Schwachstellen frühzeitig zu erkennen und zu schließen.

 

Gibt es eigentlich unabhängige Testberichte über die Lösungen von Greenbone Networks?

Natürlich – wir sind stolz, Ihnen den aktuellen Bericht eines führenden Branchenmagazins vorstellen zu können: „IT-Administrator hat das System [Lösung von Greenbone Networks] ausprobiert und war von dessen Funktionsumfang begeistert.“ (IT-Administrator 01/2021)

Im September 2020 bat das Magazin IT-Administrator – eine deutsche Fachzeitschrift für professionelle System- und Netzwerkadministration – Greenbone Networks darum, einen Testbericht über eine Greenbone-Appliance schreiben zu dürfen.

Der Bericht ist aktuell in der Januarausgabe des Magazins erschienen. Hier können Sie den ausführlichen Bericht lesen.

Im Test nahm IT-Administrator den Greenbone Security Manager 150 genauer in Augenschein. Der GSM 150 ist eine physische Appliance für das Schwachstellenmanagement in kleinen bis mittelgroßen Unternehmen oder Organisationen mit mittelgroßen Zweigstellen. Er scannt innerhalb von 24 Stunden bis zu 500 IP-Adressen und kann darüber hinaus auch als Sensor für größere Appliances genutzt werden.

Getestet wurde alles, was auch bei einem standardmäßigen Einsatz eines Greenbone Security Managers zu tun ist: angefangen beim ersten Setup über die Konsole, über das Konfigurieren von Scans auf der Web-Oberfläche bis hin zum Auswerten eines Scanberichts.
Für das Testen der Schwachstellenscans hatte IT-Administrator verschiedene Zielsysteme mit unterschiedlichem Sicherheitsstatus vorbereitet, um die Unterschiede in den Ergebnissen unter die Lupe zu nehmen. Auch authentifizierte Scans waren Teil des Tests.

Lesen Sie den ganzen Artikel hier.