Neue LANline-Testreihe Security-Tools
Grundschutz für IT-Systeme
Fortsetzung des Artikels von Teil 1
IT-Security im kleinen Unternehmen
Mit der kommenden Security-Testreihe untersucht LANline, wie kleinere Unternehmen mit derartigen Tools einen Grundschutz für ihre IT-Systeme erreichen können. Wir konzentrieren uns dabei auf fünf Bereiche, die für eine Basisabsicherung der im eigenen Unternehmensnetz betriebenen Systeme wichtig sind.
Schwachstellenscanner: Um einen Überblick des aktuellen Sicherheitszustandes der eigenen IT-Systeme zu erhalten, sind Schwachstellenscanner das Mittel der Wahl. So lassen sich zum Beispiel mit dem kostenfreien Portscanner Nmap offene Ports und weitere Informationen zu den installierten Betriebssystemen und Applikationsdiensten ermitteln. Auf Basis dieser Informationen können spezialisierte Tools mittels im Internet verfügbarer Schwachstellen-Datenbanken untersuchen, ob auf den Systemen angreifbare Sicherheitslücken vorhanden sind. Es gibt passive und aktive Scanner, die mit Agenten auf den zu untersuchenden Rechnern sehr detaillierte Analysen durchführen können. Zu den bekanntesten Scannern zählt Nessus von
Tenable. Neben der Professional-Lösung ist auch eine kostenfreie Essential Edition erhältlich. Im Open-Source-Bereich hat sich OpenVAS einen Namen gemacht. Diesen Scanner bietet Greenbone Networks als kommerzielle Lösung an.
NDR: NDR-Lösungen (Network Detection and Response) sind darauf spezialisiert, den Datenverkehr zwischen allen Kommunikationspartnern zu überwachen und Bedrohungen möglichst frühzeitig zu erkennen. Die meisten Tools können zudem mit vom Systemverwalter definierten Aktionen automatisiert auf Angriffe reagieren. Um Schädlinge zu erkennen, kommen häufig ein IDS/IPS (Intrusion Detection/Prevention System) zum Einsatz, die Signaturdatenbanken nutzen. Zusätzlich soll eine Anomalie-Erkennung auffällige Verhaltensmuster in der Datenkommunikation feststellen und darauf mit Schutzmaßnahmen reagieren. Die technische Basis hierfür stellen Verhaltensmustererkennung, ML und KI bereit. Durch eine grafische Darstellung der im NDR-System erfassten Informationen lassen sich Angriffsmuster und die Reichweite der Bedrohung schnell erkennen.
EDR: Für den Schutz vor Angriffen ist eine Überwachung der Prozesse auf Endgeräten wie Clients oder Servern unabdingbar. Angreifer versuchen oft, von einem kompromittierten Rechner aus über das Netzwerk auf weitere Systeme vorzudringen. Deshalb ist es wichtig, ungewöhnliche Aktivitäten auf den Endpunkten möglichst schnell erkennen und Gegenmaßnahmen ergreifen zu können. Dafür nutzen EDR-Lösungen (Endpoint Detection and Response) ebenfalls Analysetechniken zur Verhaltensmustererkennung. Zu den Standardfunktionen von EDR-Lösungen zählt insbesondere die Erkennung und Isolierung von Schadsoftware wie Viren oder Malware. Die neueste Produktkategorie XDR (Extended Detection and Response) soll NDR und EDR auf ein neues Level heben. XDR verspricht, alle Endpunkte und die zugehörigen Datenströme Ende-zu-Ende zu analysieren, um Bedrohungen und Anomalien erkennen und darauf mit geeigneten Maßnahmen reagieren zu können.
Hierfür kommen in der Regel leistungsfähige Backend-Systeme zum Einsatz, die den Datenverkehr und das Verhalten der beteiligten Systeme mittels ML/KI-Mechanismen untersuchen.
AD-Schutz: Viele Unternehmen nutzen Microsofts Active Directory (AD) für die Verwaltung ihrer Benutzer und der zugehörigen Berechtigungen. Gelingt es einem Angreifer, die Rolle des Domänenadministrators zu kapern, erhält er Zugriff auf einen großen Teil des Unternehmensnetzes und der Geschäftsdaten. Deshalb ist es wichtig, die Zugriffe auf hoch privilegierte Domänen-Accounts zu überwachen und so weit wie möglich zu beschränken. Ein weiteres Angriffsziel sind die Konfigurationsdateien für die AD-Gruppenrichtlinien, über die sich viele Sicherheitseinstellungen und Benutzerberechtigungen steuern lassen. Hochsensibel sind zudem die in der AD-Datenbank gespeicherten Informationen. Hier liegen unter anderem die Kennwort-Hash-Werte der Benutzer- und Computerkonten. Für eine Härtung von AD-Systemen bieten sich zum Beispiel die Verwendung von Core-Servern sowie eine Verschlüsselung der auf den Servern und in den Backups gespeicherten Daten an.
Hacking-Tools: Zum Abschluss der LANline-Testreihe werfen wir einen Blick auf gängige Hacking-Tools. Dies hilft zum einen dabei, besser zu verstehen, auf welchen Wegen Angreifer versuchen, in Netzwerke und IT-Systeme einzudringen. Zum anderen können IT-Teams mit derartigen Tools selbst testen, ob die vorhandenen Sicherheitsmechanismen in der Lage sind, Angriffe abzuwehren. Einen umfangreichen Hacking-Werkzeugkasten stellt das Metasploit-Framework bereit. Es ermöglicht, Angriffe auf schlecht geschützte Server und die darauf laufenden Anwendungen durchzuführen. Auch ältere Tools wie Ettercap lassen sich nach wie vor für „Man in the Middle“-Angriffe nutzen. WLAN-Hacking-Tools wiederum können Funkdaten mitschneiden, um WEP-Passwörter abzugreifen und sie zu cracken.
Mit kleinen Schritten zu mehr Sicherheit
Im Angesicht der Bedrohungsvielfalt und der unüberschaubaren Menge an Sicherheitslösungen kann die IT-Security-Verantwortlichen schnell der Mut verlassen. Dabei ist es gar nicht so schwer, mit kleinen, aber wichtigen Schritten ein Mehr an Sicherheit zu erreichen. Zu den Basics zählt, kritische Security-Hotfixes immer möglichst schnell auf den betroffenen Systemen zu installieren.
Ein restriktives Benutzer- und Berechtigungskonzept, das nur die für die jeweilige Aufgabe benötigten Zugriffsrechte gewährt (Least Privilege), verkleinert die Angriffsflächen. Regelmäßige Schwachstellen-Scans helfen dabei, Sicherheitslücken aufzuspüren. Endgeräte und Netzwerkkommunikation lassen sich mit geeigneten Tools automatisiert überwachen. Das Backup-Konzept sollte dabei so gestaltet sein, dass es Datensicherungen vor Ransomware-Angriffen schützt.
Die Security-Testreihe in den kommenden LANline-Ausgaben will aufzeigen, dass zumindest eine Grundsicherung der IT-Systeme kleinerer Unternehmen auch mit vergleichsweise einfachen Mitteln möglich ist.
- Grundschutz für IT-Systeme
- IT-Security im kleinen Unternehmen
Lesen Sie mehr zum Thema
