Meldung

Automatisierter Schutz für Remote-Verbindungen

Vectra AI warnt davor, dass Remote-Arbeitsplätze, die Verlagerung der Belegschaft ins Home Office und die Nutzung von RDP, VPN und VDI die Angriffsfläche ganz massiv vergrößern. Angemessene Sicherheitsmaßnahmen erfordern detaillierten Einblick in die Fernverbindung von Benutzern zu internen geschäftskritischen Systemen. Dies sei jedoch rein manuell nicht zu bewältigen.
Zur Absicherung von Remote-Verbindungen bieten sich automatisierte Systeme an.
In seinem Internet Exposure Dashboard für Deutschland zeigt Shodan auf, dass es derzeit über 5.400 dem Internet ausgesetzte Maschinen gibt, die die Remote-Code-Execution-Schwachstelle "BlueKeep" in RDP (Remote Desktop Protocol) aufweisen.

"Eine Vectra-Studie von 2019 belegte, dass RDP eine große und anfällige Angriffsfläche in vielen Netzwerken schafft. Laut dem Vectra 2019 Spotlight Report on RDP hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen im ersten Halbjahr 2019 erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf", berichtet Andreas Müller, Director DACH bei Vectra [1].

Unerwartete Zugriffsaktivitäten im Blick behalten

Die erhebliche Ausweitung der Telearbeit lässt sich an der seit Anfang 2020 beobachteten 41-prozentigen Zunahme der Nutzung von Remote-Desktops und 33-prozentigen Zunahme der VPN-Nutzung in Unternehmen ablesen. Dies wirft neue Fragen über die Sicherheit der Werkzeuge auf, die Menschen auf der ganzen Welt nutzen, um sich mit wichtigen Arbeitsplatzsystemen und geschäftskritischen Daten zu verbinden.

Eine weiterhin deutliche Zunahme des VPN- und VDI-Zugriffs ist hierbei zu erwarten. Unternehmen sehen sich somit innerhalb kurzer Zeit mit einer Ausweitung der Cyberangriffsfläche konfrontiert. Umso wichtiger ist es daher, nach unerwarteten Zugriffsaktivitäten zu suchen. Dies könnte alles sein, vom Trend, dass Benutzer persönliche Cloud-Speicher nutzen, bis hin zu einem Server-Administrator, der Fernzugriffs-Tools einsetzt, um eine direkte Verbindung zu den Systemen herzustellen.

Überwachung der virtuellen Desktop-Infrastruktur

Um die steigende Anzahl der Mitarbeiter an entfernten Standorten zu bewältigen, greifen Unternehmen zunehmend auf Cloud-basierte "Desktop as a Service"-VDI-Dienste zurück. Diese verfügen über eine verschlüsselte private Verbindung zurück in das Unternehmensnetzwerk. Mehrere gleichzeitige VDI-Sitzungen können durch zugehörige Kerberos- und NT-LAN-Manager (NTLM)-Authentifizierungssitzungen identifiziert werden und eine Überprüfung auf Anzeichen von kompromittierten Kontoanmeldeinformationen rechtfertigen. Jeglicher VDI-bezogener Verkehr außerhalb der gesicherten privaten Verbindung mit dem Cloud-VDI-Anbieter des Dienstes sollte identifiziert und kontrolliert werden.

Überwachung des Remote-Desktop-Protokolls

Microsoft RDP wird von Remote-Clients zur Verbindung mit VDI-Diensten verwendet und ist ein verlockendes Ziel für Angreifer, da es ihnen die volle Kontrolle über die mit dem Netzwerk verbundenen Geräte geben kann. Im Laufe der Jahre sind immer wieder neuen RDP-Schwachstellen hinzugekommen, die eine Remote-Codeausführung und eine Eskalation von Privilegien ermöglichen. Normalerweise sollte RDP nicht dem Internet ausgesetzt sein, und wo VDI-Dienste lokal gehostet werden, sollte dies nur über VPN-Zugriff für entfernte Mitarbeiter geschehen.

Einige Unternehmen geben der Bereitstellungsgeschwindigkeit jedoch gegenüber der Sicherheit den Vorrang. Sie stellen ihre RDP-Dienste hinter eine Web Application Firewall (WAF) und machen den Dienst öffentlich zugänglich. Die Exposition von RDP-Diensten gegenüber dem Internet ist normalerweise ein großes Risiko. In diesem Szenario ist es wichtig, dass eingehende RDP-Anforderungen ausschließlich auf die Verbindung mit dem legitimen RDP-Gateway beschränkt sind.

Identifizieren der unbefugten Nutzung von Cloud-Speicher

Die Verwendung von nicht genehmigten Cloud-Speicherdiensten kann zu Problemen bei der Einhaltung von Vorschriften und Richtlinien führen und es erschweren, Datenexfiltration zu erkennen. So ist davon auszugehen, dass für die gemeinsame Nutzung von Informationen verstärkt Cloud-basierte Speicher (OneDrive, Google Drive et ceterea) anstelle von firmeninternen Dateiservern verwendet werden.

Dies bedeutet, dass mehr wertvolle Informationen in einem Cloud-Speicher abgelegt werden könnten, als dies unter gewöhnlichen Umständen der Fall wäre. Die Art und Weise, wie der Remote-Host verbunden ist, wirkt sich auf den Grad der Sichtbarkeit des Cloud-Speichers aus. Bei einer VPN-Verbindung mit geteiltem Tunnel werden nur die DNS-Anforderungen gesehen, die die IP-Adressen des Cloud-Speicherdienstes auflösen. Im Falle eines VPN mit vollem Tunnel wird iSession auch die nachfolgenden Verbindungen zum Cloud-Speicherdienst anzeigen.

Beobachtung von Server Message Block mit externem Zugriff

SMB ist ein Protokoll auf Anwendungsebene, das den gemeinsamen Zugriff auf Dateifreigaben, Drucker und serielle Schnittstellen von Geräten in einem Netzwerk ermöglicht. SMB ist ein komplexes Protokoll mit vielen bekannten Schwachstellen, einschließlich EternalBlue, dem Exploit, der die Verbreitung von WannaCry, NotPetya und anderen verheerenden Ransomware-Angriffen ermöglicht. Normalerweise sollten SMB-Dienste nicht dem Internet ausgesetzt sein und nur über einen VPN-Zugang für Remote-Mitarbeiter erfolgen. Jede Exposition von SMB-Diensten geht mit einem erheblichen Datenverlustrisiko einher.

Überprüfung der Sicherheitslage an entfernten Endpunkten

Da die Arbeit an entfernte Standorte verlagert wird, ist es ratsam, sicherzustellen, dass über VPN verbundene Arbeitsplätze richtig konfiguriert sind, um auf die vom Unternehmen verwalteten Dienste wie DNS und NTP zuzugreifen. Wie verhalten sich die Endpunkte, die sich jetzt physisch außerhalb der Kontrolle befinden? Welche Hosts im Netzwerk initiieren zum Beispiel rekursive DNS-Anforderungen an externe DNS-Server? Bei VPN-Verbindungen mit vollem Tunnel wären die DNS-Auflösungen zu nicht firmeneigenen verwalteten DNS-Diensten sichtbar. Bei VPN-Verbindungen mit geteiltem Tunnel würde das DNS lokal aufgelöst und nicht sichtbar sein.

NDR-Plattform reduziert Arbeitsaufwand

Versteckt im hohen Traffic-Volumen von Remote-Mitarbeitern, Unternehmensnetzwerken und Cloud-Instanzen gibt es kleine, aber wertvolle Hinweise, die für die Sicherheit relevant sind. "Durch den Einsatz einer automatisierten NDR-Plattform können Sicherheitsteams den mit solchen Erkennungen und Analysen verbundenen Arbeitsaufwand reduzieren und so ihre Effizienz und Effektivität erhöhen, worauf es gerade jetzt umso mehr ankommt", rät Andreas Müller abschließend.
15.04.2020/dr

Tipps & Tools

Zwei Jahre DSVGO [29.05.2020]

Am 25. Mai jährt sich die Einführung der DSGVO zum zweiten Mal. Die Regelung hat zum Ziel, den Datenschutz der Bürger zu modernisieren und an die Bedingungen der globalen digitalen Wirtschaft anzupassen. Bußgelder in Höhe von 25 Millionen Euro und mehr als 21.000 gemeldete Datenpannen in Deutschland zeigen aber: Firmen tun sich schwer, ihre Daten richtig zu managen und zu schützen. [mehr]

Keine Sorge bei Ransomware [23.05.2020]

Viele Unternehmen erstellen regelmäßige Backups, um sich vor Ransomware zu schützen. Darüber kann eine Software wie Veritas Backup Exec für noch besseren Schutz sorgen. In unserem Tipp stellen wir hilfreiche Funktionen des Backupprogramms vor und erklären, wie Sie Ihr System im Falle eines Angriffs schnell wiederherstellen. [mehr]

Fachartikel

Verantwortungsmodelle für mehr Cloudsicherheit [27.05.2020]

IT-Experten schätzen die IT-Sicherheit von Clouddiensten wesentlich höher ein als die des lokalen IT-Betriebs. Die Krux dabei: Die Provider-Security deckt nicht alle Elemente und Dienste ab. Es bedarf also neuer Ansätze, die die Verantwortung aller Akteure miteinbeziehen. Ein möglicher Weg ist das Shared-Responsibility-Modell. Es teilt sämtliche Verantwortungsbereiche in der Cloud gleichwertig auf, von den Providern über die Kunden bis hin zu jedem einzelnen Endnutzer. Auf diese Weise soll ein Rundumschutz garantiert und die Vorteile der modernen Cloud-IT voll ausgeschöpft werden – egal, ob IaaS, PaaS oder SaaS. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen