NSA-Leitfaden
NSA veröffentlicht Leitfaden zur Netzwerksicherheit
Die US-Behörde National Security Agency (NSA) hat gerade einen neuen Leitfaden für die Sicherung von IT-Netzwerken vor Cyberangriffen veröffentlicht. Der Bericht mit dem Titel „Cybersecurity Technical Report (CTR): Network Infrastructure Security Guidance“ steht allen Netzwerkadministratoren und CIOs kostenlos zur Verfügung, um ihre Netzwerke vor Cyberangriffen zu schützen.
Die Veröffentlichung kann auch als Reaktion auf die massiven Cyberangriffe russischer und weißrussischer Hacker auf die Ukraine betrachtet werden, bei der neben DDoS-Angriffen auch eine neue Disc-Wiper-Malware namens Hermetic zum Einsatz kam. Die Sicherheitslage weltweit ist seither noch angespannter und verschiedene Sicherheitsbehörden wie FBI und BSI haben ihre Warnstufen erhöht (wir berichteten). Auch die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) empfiehlt Verantwortlichen in den USA und weltweit die Lektüre des NSA-Dokuments und die Anwendung der darin ausgesprochenen Empfehlungen.
Im Bericht enthalten sind alle Themen von Netzwerkdesign und Passwortmanagement über Remoteprotokollierung und -verwaltung sowie Update- und Patchmanagement bis hin zu den wichtigsten Exchange-Algorithmen. Auch Netzwerkprotokolle wie Network Time Protocol, SSH, HTTP und Simple Network Management Protocol (SNMP) werden behandelt.
Darüber hinaus beschäftigt sich das Dokument mit der Einführung von „Zero Trust“-Regeln, über die auch wir erst kürzlich an dieser Stelle berichtet haben. US-Bundesbehörden müssen diesen Standard bis 2024 umsetzen und auch das National Institute of Standards and Technology (NIST) hat bereits eine entsprechende Handreichung veröffentlicht, an die sich der NSA-Report nun anschließt und Empfehlungen für die Umsetzung ausspricht. Dabei geht es um die Installation von Routern, die Verwendung mehrerer Anbieter und um die Erstellung von Firewalls, die das Potenzial eines Exploits verringern.
Doch auch für Unternehmen und Organisationen, für die Zero Trust noch außer Reichweite liegt, ist der Report lesenswert, denn er gibt wertvolle Hilfestellung bei der Beseitigung der häufigsten Schwachstellen in bestehenden Netzwerken.
Unter anderem wird der Umgang mit Cisco und seiner weit verbreiteten IOS-Netzwerksoftware für Router und Switches besprochen. Auch wie man Passwörter mit den Algorithmen speichert, die Cisco IOS-Geräte verwenden, wird behandelt. Darüber hinaus wird empfohlen:
Ähnliche Systeme innerhalb eines Netzwerks gruppieren, um sich nach einer Kompromittierung vor einer Ausbreitung des Angreifers auf benachbarte Systeme zu schützen.
Backdoor-Verbindungen zwischen Geräten im Netzwerk entfernen, strenge Perimeter-Zugriffskontrolllisten verwenden und eine Netzwerkzugriffskontrolle (NAC) implementieren, die einzelne mit dem Netzwerk verbundene Geräte authentifiziert.
Bei VPNs Deaktivierung aller nicht benötigten Funktionen und strenge Verkehrsfilterregeln implementieren. Zudem werden im Dokument die Algorithmen spezifiziert, die für den Schlüsselaustausch in IPSec-VPN-Konfigurationen verwendet werden sollten.
Lokale Administratorkonten sollten mit einem eindeutigen und komplexen Passwort geschützt werden.
Die NSA empfiehlt außerdem die Durchsetzung einer neuen Passwortrichtlinie und warnt vor Default-Einstellungen, die standardmäßig administrative Rechte mitbringen. Administratoren sollten daher alle Standardkonfigurationen entfernen und sie dann mit einem eindeutigen sicheren Konto für jeden Administrator neu konfigurieren. Zu guter Letzt werden mit Leitlinien für die Auswahl geeigneter VPN-Netzwerke den besonderen Herausforderungen der vergangenen zwei Jahr Rechnung getragen.
Der vollständige Bericht ist hier zu finden.
Bild (c) TheDigitalArtist / Pixabay
5 Tipps zur Erhöhung der Netzwerksicherheit
Angst – Unbezahlte Rechnungen, Mahnungen, verschobene Termine, Fehler machen. Unwissenheit – Was ist Malware? Wie schütze ich mich gegen Malware? Warum sollte ich nicht jeden Link einfach anklicken?
Die Beispiele für beide Faktoren, die sich die aktuelle Infektionswelle von Emotet zu Nutze macht, können beliebig erweitert werden. Und gerade die Paarung von Angst und Unsicherheit macht Emotet so gefährlich. Sowohl Anwender, als auch IT Verantwortliche sind betroffen. Der Trojaner verbreitet sich über den Einfallsvektor E-Mail. Dabei setzt Emotet auf Outlook-Harvesting und kann somit täuschend echt wirkende Kommunikation erzeugen.
Ist ein System mit dem Trojaner infiziert versucht dieser zunächst, Anmeldeinformationen für das Netzwerk zu ermitteln um sich dann zu verbreiten und weitere Systeme zu infizieren (lateral movement). Dabei wird unter anderem der EternalBlue-Exploit genutzt, dieselbe Schwachstelle, die bereits von WannaCry genutzt wurde.
Anschließend wird Emotet versuchen, sich zu seinen Command & Control Servern zu verbinden um den eigentlichen Schadcode nachzuladen. Ob es sich dabei um Spyware, Ransomware oder sonstige Malware handelt, das Ergebnis ist in den meisten Fällen hoher wirtschaftlicher Schaden.
Was kann man also tun, um sich vor Emotet zu schützen?
1. Endpoint-Schutz
Eine aktuelle Schutzsoftware gegen Malware ist unumgänglich. Neben herkömmlichen Funktionen wie Antivirus und Firewall sollten auch Module zur Verfügung stehen, die das System gegen unbekannte Bedrohungen absichern. Dazu zählen:
- Behavior Monitoring: Analyse der Aktivität von ausführbarem Code auf dem System.
- Predictive Machine Learning: Extraktion von Features unbekannter Dateien, um Übereinstimmungen mit Features bekannten Schadcodes zu finden und Prognosen zur Einstufung der unbekannten Datei (vertrauenswürdig/schädlich) treffen zu können.
- Suspicious Connection Detection: Erkennung von Datenverkehr zu bekannten Command & Control Servern
2. Patch-Management
Malware nutzt immer wieder Schwachstellen im Betriebssystem oder in Anwendungen aus. Diese Schwachstellen müssen geschlossen werden. Oftmals dauert es jedoch einen längeren Zeitraum vom Entdecken einer Schwachstelle bis zur Veröffentlichung eines Patches durch den Hersteller. In diesen Fällen kann virtuelles patchen Abhilfe schaffen. Virtual Patching ist vergleichbar mit einem Pflaster, welches bis zur Heilung einer Wunde angebracht wird, um eine Infektion zu verhindern.
3. Anwender-Awareness
Ein großes Risiko für die Sicherheit des Netzwerkes ist der Faktor Mensch. Ob es nun wirklich die Angst ist, eine Rechnung nicht bezahlt zu haben oder die Unwissenheit, dass Rechnungen in der Regel nicht als Word-Dokumente mit Makros verschickt werden - Netzwerksicherheit schließt die Sensibilisierung und kontinuierlichen Schulung der Anwender ein.
4. Berechtigungskonzept
Nicht jeder Anwender benötigt Zugriff auf sämtliche Daten. Nicht jeder Anwender benötigt Berechtigungen eines lokalen Administrators. Ein abgestuftes Berechtigungskonzept verringert nicht nur das Risiko einer Infektion mit Malware, auch die Verbreitung und Auswirkungen einer Infektion werden eingedämmt. Ein umfassendes Berechtigungskonzept schließt: Lokale Berechtigungen, Netzwerkberechtigungen (NTFS), wechselnde Kennwörter und Internetzugriffe ein. Natürlich müssen diese Punkte auch für die Administratoren des Netzwerks beachtet werden.
5. Netzwerksegmentierung
Die Aufteilung der Netzwerksegmente (Server, Buchhaltung, Produktion, etc.) in VLANs ist gerade in Verbindung mit modernen Intrusion Prevention Systemen sinnvoll. Die Verbreitung von Malware zwischen den Segmenten kann auf diese Weise mit einfachen Mitteln unterbunden werden.
Verfasser: Marco Schmidt
Wenn wir Ihnen dabei helfen können ein sicheres Netz aufzubauen, nehmen Sie gerne Kontakt mit uns auf.
Netzwerksicherheit in Unternehmen: Die größten Gefahren und wie man sie abwehrt
Durch die weltweite Vernetzung ist die Bedeutung der Daten- und Netzwerksicherheit sehr wichtig geworden. Ortsunabhängig jederzeit eine Verbindung zu einem Netzwerk herstellen zu können, bringt zwar große Flexibilität, aber auch große Gefahren mit sich. Insbesondere Unternehmen müssen daher ihre Netzwerke absichern und vor Angriffen schützen.
Warum Netzwerksicherheit so wichtig ist
Heutzutage arbeiten die meisten Unternehmen sehr stark mit Computernetzwerken, um einen schnellen Informationsaustausch und reibungslose Abläufe und Prozesse zu gewährleisten. In diesen Netzwerken sind eine Vielzahl von Geräten mit unterschiedlichen Betriebssystemen, Software und Protokollen miteinander und mit dem Internet verbunden. Über diese Verbindungen werden im Alltag viele vertrauliche Informationen und wertvolle Daten übermittelt.
Werden die Netzwerke angegriffen, kann das erhebliche Auswirkungen auf das Unternehmen haben. Der Data Breach Report 2020 von IBM Security und dem Ponemon Institute beziffert die durchschnittlichen Kosten eines Datenlecks mit rund 4 Millionen US-Dollar. Hinzu kommt, dass der Umfang und die Schwere von Cyberangriffen zunimmt. Das zeigt u.a. auch die Internationale Netzwerk-Security-Studie mit Fokus auf Deutschland von Juniper Networks aus September 2020. Daraus geht hervor, dass Angriffe auf das Netzwerk eine wachsende Bedrohung für deutsche Unternehmen sind. Somit ist die Netzwerksicherheit geschäftskritisch und die globale Pandemie und deren Folgen für die Arbeitswelt haben die Situation noch verschärft.
Typische Bedrohungen der Netzwerksicherheit
Insbesondere die heterogene Hard- und Softwarelandschaft in Unternehmen, sowie der zunehmende Einsatz von Cloud Computing verändern den Umgang mit Daten und Informationen und eröffnen eine Vielzahl von möglichen Angriffspunkten für Cyberkriminelle. Die häufigsten und zugleich gefährlichsten Bedrohungen für die Netzwerksicherheit sind Malware, Advanced Persistent Threats (APT) und DDoS-Angriffe (Distributed Denial of Service).
Malware oder Ransomware werden häufig über E-Mail-basierte Angriffe und Phishing in das Netzwerk eingeschleust. Auch APT bedienen sich meist Malware und Phishing, nehmen dabei aber ein bestimmtes Unternehmen ins Visier und greifen so mit verschiedenen Mechanismen sehr gezielt die Sicherheitssysteme an, um eine Lücke zu finden. Bei DDoS-Angriffen ist das Ziel, das Netzwerk durch massenhafte Zugriffe von verschiedenen Systemen lahmzulegen – und somit das Unternehmen größtenteils oder vollständig handlungsunfähig zu machen. In vielen Fällen geht es dabei darum, das Unternehmen mit der Wiederfreigabe der Systeme zu erpressen.
Was versteht man unter Netzwerksicherheit
Die Netzwerksicherheit ist eine Verteidigungsmethode und bezeichnet als Sammelbegriff eine Reihe von Werkzeugen, Richtlinien und Taktiken, um das eigene Netzwerk und somit wichtige Daten und Informationen vor unbefugtem Zugriff, Verlust oder Spionage zu schützen. Netzwerksicherheit ist somit nicht ein einzelnes Tool, sondern setzt sich aus mehreren Elementen zusammen, die auf den Bedarf und die Risiken des jeweiligen Unternehmens zugeschnitten werden.
Die zwölf verbreitetsten Arten von Netzwerksicherheit
Firewalls, um interne und externe Netzwerke voneinander zu trennen E-Mail-Sicherheit, um Angriffe zu verhindern und ausgehende Nachrichten zu sichern Antivirus / Antimalware Software, die Programme und Daten scannt, Anomalien aufspürt und Malware beseitigt Endpoint Security zum Schutz der verschiedenen Endgeräte im Firmennetzwerk, insbesondere mobile Endgeräte VPN (Virtuelles privates Netzwerk) zur Verschlüsselung der Netzwerkverbindung WLAN-Sicherheit bzw. Wireless Security, um kabellose Netzverbindungen zu sichern, insbesondere auch an mobilen Endgeräten Netzwerk-Segmentierung für eine saubere und einfache Zugriffsverwaltung Prävention vor Datenverlust / Data Loss Prevention, sodass keine vertraulichen Daten außerhalb des Netzwerks übermittelt werden können Sicherheit von Anwendungen, d.h. Schutz jeder Software, die im Unternehmen zum Einsatz kommt Zugriffskontrolle / Access Control, damit nur zugelassene Endgeräte Zugang zum Netzwerk erhalten Intrusion Prevention-Erkennung, die den Netzwerkverkehr auf verdächtige Aktivitäten scannt Websicherheit, die sowohl die Webnutzung der Mitarbeiter, als auch die Sicherung des eigenen Webauftritts umfasst
Tipps für eine bessere Netzwerksicherheit
Um die richtigen Elemente für das eigene Unternehmen auszuwählen, ist zunächst eine gründliche Analyse des Unternehmensnetzwerks und der möglichen Bedrohungen und Risiken wichtig. Die Netzwerksicherheit sollte dabei auf drei Säulen aufgebaut werden:
Organisatorische Maßnahmen wie ein Reaktionsplan, Backup-Plan und klar definierte Prozesse für die stetige Überwachung und Optimierung der Netzwerksicherheit Technische Maßnahmen wie z.B. die oben genannten Schulung und Wissenstransfer für die Endanwender, um eine sichere Handhabung der Daten und Informationen zu gewährleisten
So entsteht eine mehrschichtige Angriffsabwehr, die durch ineinandergreifende Elemente vor den verschiedenen Angriffsvektoren schützt. Da sich insbesondere die technologischen Möglichkeiten ständig weiterentwickeln, haben wir ein neues Seminar entwickelt, das Ihnen umfassende Grundkenntnisse zu aktuellen Netzwerktechnologien sowie zu deren Erweiterungen und Absicherungen vermittelt. Das Seminar „Netzwerksicherheit“ kann als Inhouse-Seminar gebucht werden, oder findet im September 2021 als ortsunabhängiges Web-Seminar statt. Wir freuen uns darauf, Sie kennenzulernen!
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security
