Netzwerksicherheit: 4 Security-Lektionen für 2022
Statt Vorhersagen darüber zu treffen, welche Security-Bedrohungen in diesem Jahr relevant werden, werfen wir lieber einen Blick auf die vier größten Problemfelder der Vergangenheit (genauer gesagt 2021), um die richtigen Lehren daraus zu ziehen.
Solar Winds: Kennen Sie Ihren Anbieter
Der Angriff auf die Software-Lieferkette von SolarWinds war einer der schlagzeilenträchtigsten der letzten Jahre. Die Supply-Chain-Attacken warfen ein Schadenspotenzial von bisher unbekanntem Ausmaß auf. Dabei konnten die Angreifer ihr Treiben verschleiern - bis eines der betroffenen Unternehmen, der Sicherheitsanbieter FireEye - die Eindringlinge bemerkte.
Es ist fraglich, wie viele Unternehmen über die nötigen Instrumente und Ressourcen verfügen, um einen Angriff auf die Software-Lieferkette zu erkennen. Laut Microsoft konnten die Cyberkriminellen SAML-Tokens fälschen und sich so als legitime Benutzer ausgeben.
Lektionen:
Überprüfen Sie die Sicherheitsprozesse Ihrer Softwareanbieter.
Überprüfen Sie ihre eigenen Sicherheitsprozesse
Achten Sie auf von der Norm abweichendes Nutzerverhalten - insbesondere bei hochprivilegierten Konten.
Überprüfen Sie, wann neue Vertrauensbeziehungen (Federated Trusts) erstellt oder Anmeldeinformationen zu Prozessen hinzugefügt werden, die Aktionen wie oder ausführen können.
Außerdem sollten Sie bekannte C2-Endpunkte per Netzwerk-Firewall blockieren.
Exchange Server: Legacy-Systeme schützen
Im März 2021 wurden lokal installierte Exchange-Server über eine Zero-Day-Schwachstelle angegriffen. Microsoft ging zunächst davon aus, dass es sich um gezielte Angriffe gehandelt hat - was sich im Nachgang als Fehlannahme herausstellte. Da viele Exchange-Server mit völlig veralteter Software liefen, hatte der Windows-Konzern Probleme, entsprechende Patches für ältere Versionen zu liefern, um die betroffenen Systeme schnell auf den neuesten Stand bringen zu können.
Lektionen:
Stellen Sie sicher, dass jeder Legacy-Server geschützt ist. Besonders lokale Exchange-Server sind häufiger Ziel von Angriffen.
Stellen Sie angemessene Ressourcen für das Patch-Management dieser Altsysteme bereit.
Verlassen Sie sich auch nicht unbedingt auf die Bedrohungs- und Risikobewertung des Herstellers.
Print Nightmare: Drucker nicht vergessen
Im Juli 2021 veröffentlichte Microsoft ein Out-of-Band-Update für eine Sicherheitslücke namens PrintNightmare. Für Netzwerkadministratoren hat sich die Schwachstelle zum Print-Management-Albtraum entwickelt. Bei der Printspooler-Software handelt es sich um älteren Code aus der Windows-NT-Ära. Ihn komplett neu zu schreiben, würde zu erheblichen Störungen bei Drittanbietern von Druckern führen. So sind sogar PDF-Drucker auf den Spooler angewiesen.
Seither wurden zahlreiche Patches veröffentlicht. Die optionalen Updates beheben mehrere druckbezogene Probleme:
0x000006e4 (RPC_S_CANNOT_SUPPORT)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Einige Netzwerkadministratoren haben sich aufgrund störender Nebeneffekte dieser Aktualisierungen dazu entschieden, keine Patches zu installieren.
Lektionen:
Enthält ein Update einen Fix für den Printspooler-Dienst, sollten Sie ausreichende Ressourcen zuweisen, um vor dem Update zu testen.
Nutzen Sie Ressourcen von Drittanbietern wie oder das Sysadmin-Forum auf reddit.
Deaktivieren Sie den Printspooler-Service auf Servern und Workstations, auf denen nicht gedruckt werden muss.
Ransomware: Angriffsaktivitäten einschränken
Ransomware ist und bleibt für Unternehmen ein großes Risiko. Inzwischen sind Erpressungstrojaner Teil der meisten Cyberversicherungs-Policen und Regierungsinstitutionen und Behörden veröffentlichen regelmäßig Warnhinweise und Handlungsempfehlungen.
Lektionen:
Verwenden Sie lokale und Netzwerk-Firewalls, um RPC- und SMB-Kommunikation zu unterbinden und laterale Bewegungen innerhalb des Netzwerks einzuschränken.
Aktivieren Sie Manipulationsschutzfunktionen, um Angreifer daran zu hindern, Sicherheitsdienste außer Kraft zu setzen.
Erzwingen Sie starke, zufallsgenerierte, lokale Admin-Kennwörter.
Überwachen Sie die Löschung von Ereignisprotokollen.
Stellen Sie sicher, dass alle mit dem Internet verbundenen Komponenten über die neuesten Sicherheits-Updates verfügen und überprüfen Sie diese regelmäßig auf verdächtige Aktivitäten.
Ermitteln Sie, wo sich hochprivilegierte Konten anmelden und Anmeldedaten preisgeben.
Überwachen und untersuchen Sie Anmeldeereignisse auf Anmeldetypattribute.
Hochprivilegierte Konten sollten nicht auf Workstations vorhanden sein.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Penetrationstests: IT-Systeme und -netze schützen
Diebstahl, Spionage, Sabotage, Erpressung und Systemausfälle, das sind die häufigsten Ziele, die Hacker bei Angriffen auf Unternehmen verfolgen. Als Einfallstor dienen dabei oft nicht ausreichend abgesicherte oder mit Schwachstellen versehene Systeme und IT-Infrastruktur-Komponenten.
Wir unterstützen Sie dabei, die Sicherheit Ihrer IT-Infrastruktur zu erhöhen und Ihre IT optimal gegen Cyber-Angriffe dieser Art zu schützen. Im Rahmen von Penetrationstests gegen Ihre IT-Infrastruktur decken wir bestehende Schwachstellen auf Netzwerk- und Systemebene auf und geben Ihnen gleichzeitig Empfehlungen zur Behebung an die Hand.
Sicherheit für Unternehmen von McAfee, SOPHOS, Kaspersky! Endpoint Security
Netzwerksicherheit
Die Netzwerksicherheitslösungen von McAfee umfassen Firewall-Sicherheit der nächsten Generation sowie Eindringungsschutz, erweiterte Verhaltensanalyse und hochentwickelte Bedrohungserkennungsmodule. Durch die Kombination dieser fortschrittlichen Technologien sind auch Ihre Netzwerke der nächsten Generation sicher geschützt. Unser Netzwerksicherheits-Framework bietet maximale Verfügbarkeit, Sicherheit, Integrität und Flexibilität sowie einfache Handhabung bei minimalem Verwaltungsaufwand und Risiko. McAfee hat sich als Anbieter von Netzwerksicherheit bewährt und ist Wunschpartner der meisten sicherheitsbewussten Unternehmen und Regierungen auf der ganzen Welt.
McAfee Next Generation Firewall (NGFW) schützt Unternehmen mit hochverfügbaren, skalierbaren und flexiblen Schutzmaßnahmen der Extraklasse vor den raffiniertesten Angriffen. All dies wird von Security Connected unterstützt, dem branchenweit am breitesten aufgestellten und ausgereiftesten Ökosystem für den Schutz vor Bedrohungen.
McAfee Network Security Platform
McAfee Network Security Platform ist eine einzigartige intelligente Sicherheitslösung, die komplexe Bedrohungen im Netzwerk erkennt und blockiert. Durch den Einsatz hochentwickelter Techniken zur Bedrohungserkennung schützt sie mit einer extremen Genauigkeit sowie einer Geschwindigkeit von bis zu 80 Gbit/s vor verborgenen Angriffen. Gleichzeitig liefert die Lösung umfangreiche Kontextdaten zu Benutzern, Geräten sowie Anwendungen und kann so nicht nur schnell, sondern auch genau auf netzwerkbezogene Angriffe reagieren.
McAfee Advanced Threat Defense
McAfee Advanced Threat Defense ermöglicht Unternehmen die Erkennung aktueller hochentwickelter und gezielter Angriffe sowie die Umsetzung von Bedrohungsinformationen in sofortige Gegenmaßnahmen. Im Gegensatz zu herkömmlichen Sandbox-Analysefunktionen besitzt diese Lösung zusätzliche Untersuchungsfunktionen, die die Erkennungsmöglichkeiten erweitern und auf diese Weise Stealth-Bedrohungen aufdecken. Die enge Vernetzung der Intel Security-Lösungen – vom Netzwerk bis zu den Endgeräten – ermöglicht den Sofortaustausch von Bedrohungsdaten in der gesamten Umgebung. Dadurch werden die Schutz- sowie Untersuchungsmöglichkeiten erweitert und die Problembehebung sowie Wiederherstellung nach einem Angriff verbessert.
McAfee Network Threat Behavior Analysis
McAfee Network Threat Behavior Analysis analysiert den Netzwerkverkehr auf Sicherheitsbedrohungen innerhalb Ihres Netzwerks und berücksichtigt dabei auch böswilliges Verhalten sowie ungewöhnliche Host-Aktivitäten. Durch die Verzahnung mit der Netzwerk-Eindringungsschutzplattform von McAfee kann Network Threat Behavior Analysis Bots, Würmer, Spam und Spähangriffe zuverlässig erkennen. Ein einzelnes Gerät kombiniert NetFlow-Feeds mit umfangreichen Layer-7-Daten aus dem gesamten Netzwerk und bietet eine einheitliche Übersicht über die Netzwerksicherheitsbedrohungen.
Die Netzwerksicherheitslösung McAfee Network Threat Response konzentriert sich auf die Suche nach der wichtigsten und schwerwiegendsten Sicherheitsbedrohung: dem Angriff aus dem eigenen Netzwerk. Network Threat Response ist ein Framework für Erkennungsmodule der nächsten Generation, das darauf spezialisiert ist, hochentwickelte hartnäckige Bedrohungen abzuwehren. Es stuft die Sicherheitsereignisse nach Priorität ein und zeigt nur die Ereignisse an, die weiter untersucht werden sollten. Dadurch wird eine Verkürzung der Analysedauer von Wochen auf Minuten möglich.
Weitere McAfee-Produkte zur Netzwerksicherheit