Meldung

Automatisierter Schutz für Remote-Verbindungen

Vectra AI warnt davor, dass Remote-Arbeitsplätze, die Verlagerung der Belegschaft ins Home Office und die Nutzung von RDP, VPN und VDI die Angriffsfläche ganz massiv vergrößern. Angemessene Sicherheitsmaßnahmen erfordern detaillierten Einblick in die Fernverbindung von Benutzern zu internen geschäftskritischen Systemen. Dies sei jedoch rein manuell nicht zu bewältigen.
Zur Absicherung von Remote-Verbindungen bieten sich automatisierte Systeme an.
In seinem Internet Exposure Dashboard für Deutschland zeigt Shodan auf, dass es derzeit über 5.400 dem Internet ausgesetzte Maschinen gibt, die die Remote-Code-Execution-Schwachstelle "BlueKeep" in RDP (Remote Desktop Protocol) aufweisen.

"Eine Vectra-Studie von 2019 belegte, dass RDP eine große und anfällige Angriffsfläche in vielen Netzwerken schafft. Laut dem Vectra 2019 Spotlight Report on RDP hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen im ersten Halbjahr 2019 erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf", berichtet Andreas Müller, Director DACH bei Vectra [1].

Unerwartete Zugriffsaktivitäten im Blick behalten

Die erhebliche Ausweitung der Telearbeit lässt sich an der seit Anfang 2020 beobachteten 41-prozentigen Zunahme der Nutzung von Remote-Desktops und 33-prozentigen Zunahme der VPN-Nutzung in Unternehmen ablesen. Dies wirft neue Fragen über die Sicherheit der Werkzeuge auf, die Menschen auf der ganzen Welt nutzen, um sich mit wichtigen Arbeitsplatzsystemen und geschäftskritischen Daten zu verbinden.

Eine weiterhin deutliche Zunahme des VPN- und VDI-Zugriffs ist hierbei zu erwarten. Unternehmen sehen sich somit innerhalb kurzer Zeit mit einer Ausweitung der Cyberangriffsfläche konfrontiert. Umso wichtiger ist es daher, nach unerwarteten Zugriffsaktivitäten zu suchen. Dies könnte alles sein, vom Trend, dass Benutzer persönliche Cloud-Speicher nutzen, bis hin zu einem Server-Administrator, der Fernzugriffs-Tools einsetzt, um eine direkte Verbindung zu den Systemen herzustellen.

Überwachung der virtuellen Desktop-Infrastruktur

Um die steigende Anzahl der Mitarbeiter an entfernten Standorten zu bewältigen, greifen Unternehmen zunehmend auf Cloud-basierte "Desktop as a Service"-VDI-Dienste zurück. Diese verfügen über eine verschlüsselte private Verbindung zurück in das Unternehmensnetzwerk. Mehrere gleichzeitige VDI-Sitzungen können durch zugehörige Kerberos- und NT-LAN-Manager (NTLM)-Authentifizierungssitzungen identifiziert werden und eine Überprüfung auf Anzeichen von kompromittierten Kontoanmeldeinformationen rechtfertigen. Jeglicher VDI-bezogener Verkehr außerhalb der gesicherten privaten Verbindung mit dem Cloud-VDI-Anbieter des Dienstes sollte identifiziert und kontrolliert werden.

Überwachung des Remote-Desktop-Protokolls

Microsoft RDP wird von Remote-Clients zur Verbindung mit VDI-Diensten verwendet und ist ein verlockendes Ziel für Angreifer, da es ihnen die volle Kontrolle über die mit dem Netzwerk verbundenen Geräte geben kann. Im Laufe der Jahre sind immer wieder neuen RDP-Schwachstellen hinzugekommen, die eine Remote-Codeausführung und eine Eskalation von Privilegien ermöglichen. Normalerweise sollte RDP nicht dem Internet ausgesetzt sein, und wo VDI-Dienste lokal gehostet werden, sollte dies nur über VPN-Zugriff für entfernte Mitarbeiter geschehen.

Einige Unternehmen geben der Bereitstellungsgeschwindigkeit jedoch gegenüber der Sicherheit den Vorrang. Sie stellen ihre RDP-Dienste hinter eine Web Application Firewall (WAF) und machen den Dienst öffentlich zugänglich. Die Exposition von RDP-Diensten gegenüber dem Internet ist normalerweise ein großes Risiko. In diesem Szenario ist es wichtig, dass eingehende RDP-Anforderungen ausschließlich auf die Verbindung mit dem legitimen RDP-Gateway beschränkt sind.

Identifizieren der unbefugten Nutzung von Cloud-Speicher

Die Verwendung von nicht genehmigten Cloud-Speicherdiensten kann zu Problemen bei der Einhaltung von Vorschriften und Richtlinien führen und es erschweren, Datenexfiltration zu erkennen. So ist davon auszugehen, dass für die gemeinsame Nutzung von Informationen verstärkt Cloud-basierte Speicher (OneDrive, Google Drive et ceterea) anstelle von firmeninternen Dateiservern verwendet werden.

Dies bedeutet, dass mehr wertvolle Informationen in einem Cloud-Speicher abgelegt werden könnten, als dies unter gewöhnlichen Umständen der Fall wäre. Die Art und Weise, wie der Remote-Host verbunden ist, wirkt sich auf den Grad der Sichtbarkeit des Cloud-Speichers aus. Bei einer VPN-Verbindung mit geteiltem Tunnel werden nur die DNS-Anforderungen gesehen, die die IP-Adressen des Cloud-Speicherdienstes auflösen. Im Falle eines VPN mit vollem Tunnel wird iSession auch die nachfolgenden Verbindungen zum Cloud-Speicherdienst anzeigen.

Beobachtung von Server Message Block mit externem Zugriff

SMB ist ein Protokoll auf Anwendungsebene, das den gemeinsamen Zugriff auf Dateifreigaben, Drucker und serielle Schnittstellen von Geräten in einem Netzwerk ermöglicht. SMB ist ein komplexes Protokoll mit vielen bekannten Schwachstellen, einschließlich EternalBlue, dem Exploit, der die Verbreitung von WannaCry, NotPetya und anderen verheerenden Ransomware-Angriffen ermöglicht. Normalerweise sollten SMB-Dienste nicht dem Internet ausgesetzt sein und nur über einen VPN-Zugang für Remote-Mitarbeiter erfolgen. Jede Exposition von SMB-Diensten geht mit einem erheblichen Datenverlustrisiko einher.

Überprüfung der Sicherheitslage an entfernten Endpunkten

Da die Arbeit an entfernte Standorte verlagert wird, ist es ratsam, sicherzustellen, dass über VPN verbundene Arbeitsplätze richtig konfiguriert sind, um auf die vom Unternehmen verwalteten Dienste wie DNS und NTP zuzugreifen. Wie verhalten sich die Endpunkte, die sich jetzt physisch außerhalb der Kontrolle befinden? Welche Hosts im Netzwerk initiieren zum Beispiel rekursive DNS-Anforderungen an externe DNS-Server? Bei VPN-Verbindungen mit vollem Tunnel wären die DNS-Auflösungen zu nicht firmeneigenen verwalteten DNS-Diensten sichtbar. Bei VPN-Verbindungen mit geteiltem Tunnel würde das DNS lokal aufgelöst und nicht sichtbar sein.

NDR-Plattform reduziert Arbeitsaufwand

Versteckt im hohen Traffic-Volumen von Remote-Mitarbeitern, Unternehmensnetzwerken und Cloud-Instanzen gibt es kleine, aber wertvolle Hinweise, die für die Sicherheit relevant sind. "Durch den Einsatz einer automatisierten NDR-Plattform können Sicherheitsteams den mit solchen Erkennungen und Analysen verbundenen Arbeitsaufwand reduzieren und so ihre Effizienz und Effektivität erhöhen, worauf es gerade jetzt umso mehr ankommt", rät Andreas Müller abschließend.
15.04.2020/dr

Tipps & Tools

Download der Woche: SterJo NetStalker [5.05.2021]

Es gibt zahlreiche Maßnahmen, um die Sicherheit für Internet-Rechner zu fördern. Grundsätzlich gilt gerade für professionelle Anwender, dass sie zunächst wissen sollten, was auf dem PC nach außen geöffnet ist. Das kostenfreie Tool "NetStalker" hilft dabei, genau diese Details zu sehen und zu analysieren. Neben der Überwachung der Programme, die auf das Internet zugreifen, können Sie diese Verbindungen bei Bedarf auch blockieren. [mehr]

BITKOM kritisiert IT-Sicherheitsgesetz 2.0 scharf [4.05.2021]

Das kürzlich verabschiedete IT-Sicherheitsgesetz 2.0 stößt beim IT-Branchenverband auf überwiegend negative Resonanz. Es nehme Kollateralschäden in Kauf, kritisiert die BITKOM unter anderem. So bemängelt der Verband die Ausweitung des Kreises jener Unternehmen, die besonders hohe IT-Sicherheitsanforderungen erfüllen müssen. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [30.04.2021]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen