Zunächst muss gesagt werden, dass es 100%ige Sicherheit nicht gibt. Nichtsdestotrotz kann ein Verteidiger es potenziellen Angreifern so schwer machen, dass der Aufwand für einen erfolgreichen Angriff den zu erwartenden Gewinn übersteigt. In diesem Blogpost möchte ich auf eben diese Möglichkeiten eingehen und aus einer Angreifer Perspektive genauer beleuchten, warum sich der (potenzielle hohe) Aufwand lohnt, diese umzusetzen.

Was bereits im Mittelalter funktioniert hat, kann ja nicht schlecht sein…

Wie eben bereits angesprochen, sollte das Ziel als Verteidiger sein, es einem Angreifer so schwer wie möglich zu machen. Hierbei hat sich die letzten Jahre ein Konzept namens Defense in Depth durchgesetzt. Eine schöne Analogie für Defense in Depth ist eine Ritterburg. Hier wurde auch nicht nur auf eine Verteidigungslinie gesetzt, sondern in Schichten gearbeitet. So folgte auf eine äußere Mauer häufig ein Burggraben. Darauf gefolgt gab es dann die innere Burgmauer und so weiter. Genauso werden bei Defense in Depth mehrere Verteidigungsschichten hintereinander aufgebaut, um den Angreifer irgendwann zu stoppen. Jedes dieser Hindernisse für sich kann umgangen werden, wenn alle zusammenspielen, wird es für die meisten Angreifer jedoch schnell knifflig.

Ebene 1: Die äußere Mauer

Das oberste Ziel sollte es sein, Angreifer gar nicht erst in die Burg (Ihr Netzwerk) zu lassen. Hierfür stehen Ihnen (bzw. Ihren Admins) zwei essenzielle Tools zur Verfügung: Das Blockieren von Office Makros und Application Whitelisting. Ich glaube, dass Office Makros einer der bekanntesten Wege ist, Malware auf Systemen zu platzieren, brauche ich hier nicht weiter zu erläutern. Indem ich die Ausführung von Makros deaktiviere, nehme ich einen potenziellen Infektionsweg aus dem Spiel. „Aber was ist, wenn wir legitime Makros einsetzen und unsere Business-Prozesse dadurch zusammenbrechen?“ Hierfür gibt es die Möglichkeit, nur signierte Makros auszuführen. Das heißt, Ihre Prozesse funktionieren weiterhin, die bösen Makros aus dem Internet werden jedoch weiterhin geblockt.

Die zweite Möglichkeit die Ausführung von Malware zu verhindern ist Application Whitelisting. Hierbei dürfen nur vorher festgelegt Programme auf einem Rechner gestartet werden. Da der Trend in letzter Zeit zu Alternativen zu den oben angesprochenen Office Makros geht, muss sich auch hier die Verteidigerseite weiterentwickeln. Die allermeisten Infektionsketten bauen darauf auf, irgendwann eigene Programme zu starten (Achtung: dieser Prozess wird hier stark vereinfacht dargestellt). Durch gut ausgewählte Application Whitelisting Regeln kann ich diese Infektionsketten im Keim ersticken.

Ebene 2: Der Burggraben

Wenn es ein Angreifer trotzdem über „die äußere Mauer“ geschafft hat, sollte als nächste Schicht die Rechteerweiterung auf dem geknackten System unterbunden werden. Hierzu sollte unternehmensweit jeder Nutzer zunächst nur die Berechtigungen haben, die benötigt werden, um seiner Arbeit nachzukommen. Nicht jeder Nutzer braucht Admin-Berechtigungen!

Zusätzlich sollte das standardmäßig aktivierte Admin-Konto deaktiviert und durch ein anders Konto ersetzt werden. Für dieses Konto sollte ein starkes, nicht erratbares Passwort verwendet werden. Dieses Passwort sollte unter keinen Umständen auf anderen Systemen wiederverwendet werden. Auch hierfür gibt es bereits eine Lösung, die sich Windows Local Administrator Password Solution (LAPS) nennt. Hierbei wird jedem Administrator ein zufällig generiertes, starkes Passwort zugewiesen.

Ganz wichtig ist hier auch, die installierte Software auf den Systemen aktuell zu halten und Patches möglichst schnell zu installieren. Es werden Tag für Tag unzählige Sicherheitslücken in unterschiedlichsten Produkten gefunden. Das beste Rechtekonzept bringt nichts, wenn ein Angreifer eine veraltete Software mit Sicherheitslücken findet, die mit erhöhten Rechten auf dem System läuft.

Ebene 3: Die innere Mauer

Wenn es, trotz aller Schutzmaßnahmen, möglich war ein System zu übernehmen, sollte ich es dem Angreifer so schwer wie möglich machen, sich von dem System aus auszubreiten und durchs Netzwerk zu bewegen. Hierbei ist mit eine der effektivsten Maßnahmen eine strikte Unterteilung des Netzwerkes in Segmente, die durch Firewalls voneinander abgetrennt sind. Sehr wahrscheinlich muss die Industriesteueranlage nicht mit dem Drucker kommunizieren können. Mit jedem Pfad, den ich im Netzwerk eliminiere, nehme ich dem Angreifer einen potenziellen Pfad, den er zum Ausbreiten im Netzwerk benutzen könnte. (Tipp an die Techniker: Dies betrifft vor allem Ports 139 und 445 in Windows-Netzen, die für viele Techniken zum Ausbreiten benutzt werden).

Zusätzlich sollte das Active Directory so gehärtet sein, dass eine Übernahme nicht so ohne weiteres möglich ist. Doch dies würde den Rahmen dieses Blogeintrags deutlich sprengen.

Ebene 4: Den Ernstfall Proben

Selbst wenn all diese Maßnahmen in der Theorie richtig umgesetzt wurden, schleichen sich erfahrungsgemäß trotzdem Fehlkonfigurationen ein. Deswegen ist es wichtig, diese umgesetzten Maßnahmen regelmäßig und fachmännisch überprüfen zu lassen. Gerne können wir Sie hierbei unterstützen!