Für Firmen

Sichere und vertrauliche Systeme, die man sich leisten kann

Sowas wollen Sie nicht:

Survey: „92% of organizations already implement a defense-in-depth strategy and manage between 10 and 30 different security products.“

Dieser finanzielle und organisatorische Aufwand ist kaum zu stemmen.

Das wollen Sie auch nicht:

„The Microsoft Windows operating system talks to 291 hosts and 2,764 IPs on the internet. Microsoft Office talks to 69 hosts and 451 IPs on the internet.“

Produkte von Microsoft können daher keine vertrauenswürdige Umgebung für vertrauliche Dokumente sein.

Und das nicht:

Firmen kaufen EDR-Software. Die soll die Endpoints schützen, also die PCs. Die ist kompliziert und oft teuer. Der Betrieb ist aufwendig: es braucht jemanden, der darauf geschult ist und sie betreut.

Funktioniert das? Sehen wir uns die neuesten Meldungen an:
Bitmarck, ein IT-Dienstleister für die Krankenkassen, wurde erfolgreich angegriffen. Adesso, einer der größten IT-Dienstleister und Berater von Großkonzernen und Behörden und selbst Anbieter von IT-Sicherheitslösungen, wurde erfolgreich angegriffen.

Ransomware Group Bypasses „Enormous“ Range of EDR Tools

„a service to hide malware from EDRs and antivirus programs.“

Organizations are spending billions on malware defense that’s easy to bypass

Irgendwie scheint ein Unterschied zu sein zwischen dem, was Sicherheitsforscher von EDR halten und dem, was die Verkäufer von EDR-Software versprechen und deren Kunden erhoffen.

Was also tun?

Firmen brauchen ein umfassendes Konzept gegen Angriffe. Sie müssen sich z. B. davor schützen, zuviel von sich preiszugeben*. Sie müssen auch verhindern, dass Angreifer eindringen können. Dazu braucht es personelle (Schulungen) und sinnvolle technische Maßnahmen. Desweiteren müssen Sie sich darauf vorbereiten, dass irgendwann ein Angriff erfolgreich sein könnte. Und so weiter.

* Ich sehe täglich Webseiten, die so nachlässig konfiguriert sind, dass einem Angreifer die Hälfte der Informationen, die er braucht, auf dem silbernen Tablett präsentiert werden.

Was man konkret tun kann, steht in den Empfehlungen des BSI und in denen des, in Sicherheiskreisen populären, MITRE ATT&CK®. Das ist eine „knowledge base of adversary tactics and techniques based on real-world observations.“

Hier werden Angriffe beschrieben, und wie man sich dagegen schützt. Sehen Sie sich deren Matrix am besten auf einem großen Bildschirm an: Deren Größe ist erschreckend. Das erschlägt einen. Da verliert man schnell die Hoffnung, noch durchblicken zu können.

Es sei denn…

Wir konzentrieren uns auf’s Wesentliche

Wesentlich ist es, auf einen erfolgreichen Angriff vorbereitet zu sein, durch Backups, einen Notfallplan etc.

Noch wesentlicher ist es, gar nicht erst zuzulassen, dass ein Angreifer eindringen kann. Der Zeitpunkt heisst bei MITRE Initial Access, ziemlich weit links in der Matrix. Wenn wir einen Angriff hier blockieren, fallen die Themen rechts davon weg. Soweit, so gut!

Ransomware kommt über den PC des Anwenders in die Firmen: Der Anwender startet sie (unabsichtlich) auf seinem PC, von dort breitet sie sich über das Netzwerk aus.

Wie schnell wären wir das Thema Ransomware los, wenn sie gar nicht erst gestartet werden könnte?

Es gibt viele Wege, Angriffe beim Initial Access zu blockieren, vor allem ohne dass Sie „10 bis 30 verschiedene Sicherheitsprodukte“ einsetzen müssen.

Sehen wir uns dazu die Empfehlungen von MITRE dazu an. Es sind 9 Punkte (plus Unterpunkte).
Jeweils kurz zusammengefasst, zusammen mit einer Einschätzung, ob die Methoden, die auf dieser Webseite beschrieben sind, dagegen helfen.

1. Drive-by Compromise

Angriff durch Besuch einer Webseite
Schutz: Virtualisierung, Browser Sandbox, Script- und Ad-Blocker, Software-Updates, Control Flow Integrity, Antiviren-Software

Alle Schutzmethoden gegen diesen Angriff sind vorhanden, bis auf Antiviren-Software. Antiviren-Software installiere ich nur auf besonderen Wunsch, denn sie ist eigentlich zu problematisch, um sie einzusetzen.

2. und 3. Exploit Public-Facing Application
und External Remote Services

Angriff auf Dinge, die mit dem Interent kommunizieren, also Webseiten, Datenbanken, Dienste wie SMB oder SSH, …
Viele kleinere Firmen betrifft das nur zum Teil, weil z. B. Webseiten bei externen Hostern liegen. Sonstiger Schutz: SMB, SSH, RDP sichern oder ganz abschalten, VPN, Firewall.

Alle Punkte erfüllt, bis auf RDP, den es aber erst gar nicht gibt.

4. Hardware Additions

Jemand baut infizierte Geräte bei Ihnen ein
Schutz: Einstellung im Netzwerk etc.

Das betrifft eine andere Baustelle.

5. Phishing

Ahnungslose Anwender werden für Angriffe eingespannt.
Schutz: Antivirensoftware, potentiell gefährliche E-Mails und Anhänge abfangen, bevor sie zum Anwender gelangen, Schulung.

Antiviren-Software installiere ich nur auf besonderen Wunsch, denn sie ist eigentlich zu problematisch, um sie einzusetzen.

Als E-Mail Anbieter schlage ich kleineren Firmen mailbox.org vor. Der kann problemlos und ohne großen Aufwand gefährliche Anhänge blockieren oder umleiten (über eine Methode namens „Sieve“).

6. Replication Through Removable Media

Angriff über USB-Gerät
Schutz: Ausführbare Dateien (wie .exe, .dll, oder .scr) blockieren, Autorun abschalten

In einem Linux-System können diese ausführbaren Dateien nichts ausrichten, Autorun gibt es nicht.

7. Supply Chain Compromise

Jemand liefert Ihnen infizierte Hard- oder Software
Schutz: Prüfen, was kommt etc.

Das betrifft eine andere Baustelle.

8. Trusted Relationship

Eindringen mittels externer Dienstleister

Das betrifft eine andere Baustelle.

9. Valid Accounts

Angreifer findet Zugangsdaten
Schutz: Zugangsdaten sicher aufbewahren, inaktive Konten löschen, Rechte einschränken, gute Passworte, Multi-Factor Authentication etc.

Ein verlässlicher Passwort-Manager ist installiert. Der Rest ist eine andere Baustelle.

Fazit

Wenn Sie ihre Computer so konfigurieren oder sich von jemandem wie mir konfigurieren lassen, wie auf dieser Webseite vorgeschlagen wird, und Ihre Mitarbeiter zur IT-Sicherheit schulen, haben sie das getan, was empfohlen wird.

Außerdem wird das Gerät keine vertraulichen Daten an Unbefugte senden!

Ein Linux-PC, wie ich ihn vorschlage (und nicht nur ich) oder mein Super-Sicherer-Computer sind sehr sicher und auch für Firmen mit kleinem Budget geeignet:

  • Der externe E-Mail Anbieter filtert gefährliche Anhänge
  • Erwünschte Anhänge lässt man durch, macht sie aber bequem im PC unschädlich
  • Schadsoftware für Windows oder Microsoft Office (das ist 95% aller Schadsoftware) kann in einem Linux-System nichts anrichten
  • Antiviren-Software, das gefährliche Ärgernis, bleibt Ihnen erspart
  • Akualisierungen spielt das Gerät ein, ohne dass man etwas davon bemerkt!
  • Die meisten JavaScripte werden im Browser blockiert
  • Die wenigen JavaScripte, die man zulassen möchte, sind im Browser eingesperrt, der wiederum in einer virtualisierten Umgebung eingesperrt ist. Schadsoftware hat es wirklich sehr sehr schwer, da raus zu kommen!
  • Der PC ist verschlüsselt, Diebe kommen also nicht an Daten
  • Backup-Software ist installiert (allerdings sollten Dateien in Firmen eher auf einem Server liegen und von diesem gesichert werden)
  • Das Gerät überträgt keine Daten an Fremde
  • Falls Sie mehr als einen Arbeitsplatz brauchen, kann man den für Ihre Bedürfnisse optimierten Arbeitsplatz (also die Festplatte) beliebig oft vervielfältigen, ohne dass neue Kosten durch Lizenzen entstehen
  • Der Schulungsaufwand für die Mitarbeiter ist gering
  • Linux ist allerdings nicht für jeden Arbeitsplatz geeignet

Interesse? Klick hier.