Mit <kes>+ lesen

Un-ver-zicht-bar! (Update) : 22 technische Mindeststandards für 2022

Vor gut einem Jahr hat unser Autor in der 20 Mindeststandards für die Verteidigung (nicht nur) gegen Ransomware veröffentlicht, die als Checkliste zur Prüfung und Ergänzung fehlender Aspekte gedacht waren. Seither ist die Bedrohung nicht geringer geworden und die Angreiferseite hat sich weiterentwickelt. Das vorliegende Update wurde daher um zwei zusätzliche Punkte (#11 und #18) ergänzt, die vormalige #13 (jetzt #14) aktualisiert.

Lesezeit 5 Min.

Checklisten muss man immer wieder abhaken – daher umfasst auch dieses Update noch einmal alle bereits bekannten unverzichtbaren Maßnahmen in Kurzform. Um Anforderungen zielgerichtet formulieren zu können, lassen sich IT-Systeme in drei Gruppen einteilen: Tier 0 sind alle Systeme, welche die gesamte IT gefährden könnten (Domaincontroller – DC, Backupsysteme, Verwaltungsrechner virtueller Maschinen, Firewallmanagement etc.), Tier 1 sind alle Server, Tier 2 alle Clients.

Wenn es um die Verteidigung einer digitalen Infrastruktur geht, dann ist die Abwehr von Ransomware heute der absolute Mindeststandard, den eine IT-Sicherheitsabteilung leisten muss. Dazu muss die IT im Jahr 2022 folgende 22 Mindestanforderungen erfüllen, die aber natürlich teils auch gegen weitere Bedrohungen helfen:

Phishing-Schutz

  • Mindeststandard #1: Cloudbasierter Spam-Schutz mit Link-Replacement und umfänglich aktivierten E-Mail-Hygieneoptionen
  • Mindeststandard #2: Blockierung gefährlicher Attachments – dazu gehören auch alte Office-Formate, die mittlerweile seit 11 Jahren nicht mehr Standard sind.

Härtung von Clients

  • Mindeststandard #3: Unterbinden der Makro-Ausführung in Office-Dokumenten von extern
  • Mindeststandard #4: Es gibt keinen einheitlichen lokalen Administrationsaccount mit dem gleichen Passwort – idealerweise ist die Microsoft Local Administrator Password Solution (LAPS) eingeführt, Support-Userkonten haben minimale Rechte und ihre Nutzung wird überwacht.
  • Mindeststandard #5: Benutzer erledigen normale Arbeiten nicht als lokaler Admin – dürfen aber bei Bedarf ein zusätzliches personalisiertes, lokales Administrationskonto für ihre Rechner haben.
  • Mindeststandard #6: Die Microsoft Security Baselines für Windows 10/11 (inklusive Office) wurden durchgearbeitet und nur mit Begründung verändert.

Externe Zugänge

  • Mindeststandard #7: Von außen erreichbare Administrationsoberflächen sind mit Multi-Faktor-Authentifizierung geschützt – Gleiches gilt für Remote-Zugänge wie RDP, Citrix, VPN und Ähnliches; alternativ reicht dort auch eine Riskbased Login-Policy.

Offline-Backup

  • Mindeststandard #8: Es existiert ein komplettes Backup, das jünger als 7 Tage ist (inklusive Active Directory bzw. System-States eines DC).
Bild: Andreas Heller, www.hellergrafik.de

Ooooops, your files have been encrypted!

  • Mindeststandard #9: Auch Angreifer mit Domain-Admin-Rechten und Zugriff auf die Passwörter sämtlicher Domänen-Accounts können dieses Backup nicht löschen.
  • Mindeststandard #10: Die Ausführung der Backup-Jobs und die gesicherte Datenmenge wird überwacht.

Schutz der Domäne

  • Mindeststandard #11 (neu): Angreifer zielen darauf, möglichst die gesamte Domäne zu übernehmen. Dazu ermitteln sie mit einem unprivilegierten Domänen-Benutzeraccount Informationen über Schwachstellen in der Domänen-Konfiguration – etwa mittels Tools
    wie Bloodhound (https://github.com/BloodHoundAD/BloodHound). Es sollte selbstverständlich, dass die Verteidiger dieselben Informationen nutzen und regelmäßig Scans ihrer Domäne – etwa mit dem Tool von pingcastle.com (kostenfrei) – durchführen sowie analysieren und „rote“ Ergebnisse bereinigen.
  • Mindeststandard #12: Account-Trennung für personalisierte User-, Admin- und Domain-Admin-Accounts mit jeweils unterschiedlichen Passwörtern und strengen Passwort-Richtlinien – es gibt zudem keine Service-Accounts mit Domain-Admin-Rechten.
  • Mindeststandard #13: Domain-Controller sind dedizierte Systeme, übernehmen also keine Zusatzaufgaben (außer DHCP und DNS), und spätestens 2 Tage nach Erscheinen eines neuen Microsoft-Updates auf dem aktuellen Patchlevel.
  • Mindeststandard #14: Die Protokollierung sicherheitsrelevanter Events ist auf allen Servern und Domain-Controllern sinnvoll konfiguriert – auf Tier-0-Systemen werden auch neu gestartete Prozesse geloggt (z. B. mit sysmon). Update: Die Domäne wird zudem umfassend auf Angriffe gegen Identitäten überwacht – zum Beispiel mittels Defender for Identity (früher Azure Advanced Threat Protection / Advanced Threat Analytics).
  • Mindeststandard #15: Implementierung eines Konzepts zur sicheren Administration, das es Angreifern möglichst schwer macht, Domain-Admin-Rechte zu erlangen – zum Beispiel das AD Administrative Tier Model von Microsoft mit abgesicherten Administrations-PCs (sog. PAWs) oder Red-Forest-Konzept.

Prüfung der Logs

  • Mindeststandard #16: Überwachung von Command&Control-(C2)-Verbindungen – Firewalls erkennen bekannt bösartige Adressen und die Protokolle werden überwacht (z. B. hinsichtlich vieler regelmäßiger kleiner Verbindungen oder großer abgehender Datenmengen).
  • Mindeststandard #17: Alle sicherheitsrelevanten Logdateien werden 2x täglich geprüft – etwa morgens und abends die Protokolle von Firewalls, Spam- und Malware-Abwehr, DCs, Backup et cetera. Ein Logauswertesystem oder ein externes SOC können dabei helfen.
  • Mindeststandard #18 (neu): Alle Server und idealerweise auch alle Clients haben eine Endpoint-Detection-&-Response-Software (EDR, XDR) installiert – etwa Defender for Endpoint, Sentinel One, Crowdstrike, Black Carbon oder ein Add-on des bevorzugten Anti-Malware-Herstellers. Wichtig ist, dass die IT-Abteilung sich mit dem Tools auskennt und das SOC es stringent überwacht! Der Einsatz einer solchen Software ist gegebenenfalls mit dem Betriebsrat abzustimmen. Aktuell rät der Autor allerdings davon ab, EDR-Clients mit sogenannten „Live-Response“-Fähigkeiten auf Tier-0-Rechnern zu installieren, da sonst ein Angriff auf das sehr mächtige EDR-System selbst kaum zu beherrschen ist – das heißt auf Tier 0 bleibt nur die Überwachung aus den Mindeststandards #10, #14, #16 und #17.

Patchmanagement

  • Mindeststandard #19: Alle Windows-Systeme (Server & Clients) sind spätesten 10 Tage nach Erscheinen von Updates auf dem aktuellen Patchlevel.
  • Mindeststandard #20: Alle Programme, die Daten aus dem Internet verarbeiten, sind einem automatischen Updateprozess unterworfen und werden automatisch nach spätestens 10 Tagen gepatcht. Veraltete Software, die keine Patches mehr bekommt oder sich nur mit Verzögerungen aktualisieren lässt, darf keine Daten aus dem Internet verarbeiten.

Isolation unsicherer Systeme

  • Mindeststandard #21: Systeme, welche die Mindeststandards nicht einhalten oder unsichere Protokolle (z. B. SMBv1) verwenden, arbeiten in einem separaten Netzwerksegment und sind vom restlichen Netz per Firewall sicher getrennt und strikt reglementiert (Internet-Whitelisting, nur notwendige In- und Outbound-Verbindungen etc.) – Gleiches gilt für Produktionssteuerungen, Entwickler-Testnetzwerke, IoT und Industrie-4.0-Systeme.

Vorbereitung auf den Ernstfall

Mindeststandard #22: Es gibt ein eigenes Team zur Incident-Response mit hinreichender Erfahrung oder die eigene Organisation hat Kontakt zu einem erfahrenen Response-Consultant hergestellt und eine eventuelle Beauftragung vorab geklärt. Idealerweise existieren ein Krisenhandbuch und Definitionen für die Alarmstufen „gelb“ und „orange“ (vgl. <kes> 2021#6, S. 12).

Fazit

Um IT-Umgebungen für die Abwehr von Ransomware fit zu machen, sind die genannten Empfehlungen ein nicht-verhandelbarer „Mindeststandard“ – es handelt sich um Vorgaben, die ohne Wenn und Aber in jeder IT-Landschaft komplett umgesetzt sein müssen, um einen
wirksamen Schutz gegen Ransomware zu etablieren. Andere Maschen der organisierten Kriminalität erfordern teils ganz andere Schutzmaßnahmen – wer Gefährdungen durch Industriespionage oder State-sponsored Actors ausgesetzt ist, benötigt zusätzliche Maßnahmen.

Die vollständige Fassung der in diesem Beitrag verkürzt wiedergegebenen Mindeststandards finden Sie in <kes> 2020#6 ab Seite 6. Und sicher gibt es auch noch weitere sinnvolle Empfehlungen, die über den hier vorgestellten absoluten Mindeststandard hinausgehen – zum Beispiel eine sinnvolle Segmentierung der Netzwerke, regelmäßige Übungen und Audits (vgl. <kes> 2021#4, S. 6), eine jährliche Revision der eigenen (IT-)Sicherheits-Situation, effektive Awareness-Maßnahmen oder die Implementierung von Netzwerksensoren. Im Sinne der Priorisierung gilt aber: im Zweifel erst mal die Top-Gefahr der Ransomware behandeln und sich danach (wieder) weiter gehenden Zielen zuwenden.

 

Florian Oelmaier ist Leiter IT-Sicherheit & Computerkriminalität, IT-Krisenmanagement bei der Corporate Trust, Business Risk & Crisis Management GmbH. Als @h0tz3npl0tz twittert er tagesaktuell wichtige Empfehlungen zur Cyber-Defense.

Diesen Beitrag teilen: