Was ist das AuditTAP?
Das Audit Test Automation Package (kurz: AuditTAP) überprüft die Secure Configuration Ihrer Systeme (zum Beispiel von Windows 10, Windows 11, Microsoft-Server-Betriebssysteme oder Linux) und viel genutzten Programmen wie Microsoft Office, Google Chrome und Mozilla Firefox.
Auf Basis eines transparenten Berichts erfahren Sie, ob die eingesetzten Betriebssysteme und Anwendungen die Härtungsempfehlungen von BSI, DISA, CIS, ACSC und Microsoft erfüllen.
Auch die neueste Fassung des AuditTAP dürfen Sie kostenlos herunterladen und vollumfänglich gemäß BSD3-Lizenz einsetzen. Hier geht’s zum Download bei Github:
AuditTap 5.2: Was ist die größte Neuerung?
Nachdem mit dem AuditTAP 5.1 nur ein paar kleine Aktualisierungen eingeführt wurden, beinhaltet das neue Update ein paar größere und vor allem auch wichtige Veränderungen. So führt die Version 5.2 ein Business-orientiertes Risiko-Modell ein, Risk Score genannt.
Dieser Risk Score bewertet den Stand eines Systems nach quantitativen Gesichtspunkten und berücksichtigt jetzt auch die Kritikalität von Einstellungen. Es wird also neben der Menge an konformen oder eben auch nicht konformen Einstellungen eine Gewichtung vorgenommen. Denn manche Einstellungen sind aus Sicht der Informationssicherheit kritischer als andere.
Beide Bewertungsdimensionen zusammengenommen ergeben dann den Risk Score des Systems.
Aufgrund dessen ist der AuditTAP-Report neu strukturiert. Und kleinere Design-Änderungen führen zu einer noch besseren und einfacheren Lesbarkeit. Schlussendlich wurden noch einige Benchmark-Updates implementiert.
Warum ist die neue Risikobewertung so wichtig?
Das AuditTAP bietet die Möglichkeit, einfach und transparent ein Audit von IT-Systemen durchzuführen. In wenigen Sekunden sieht man, in wieweit die eigenen Konfigurationen den System-Hardening-Empfehlungen von BSI & Co. entsprechen.
Geht das noch besser? Wir finden: Ja! Denn bislang gab es keine Hilfestellung, wenn folgende Fragen gestellt worden sind:
-
- Ist ein System sicher, wenn 90% Compliance erreicht wurde, aber SMBv1 angeschaltet ist?
- Gilt ein System als unsicher, wenn nur 70% Compliance erreicht sind, aber bspw. das veraltete Protokoll SMBv1 oder die Nutzung des Algorithmus RC4 verhindert wurden?
- Oder gilt ein System als sicher, wenn die Windows Firewall ausgeschaltet wurde?
Um eine bessere Bewertung des Risikos zu ermöglichen, haben wir den neuen Risk Score implementiert. Damit sehen und verstehen auch Nicht-Techniker, wie risikoreich das unzureichend oder nur partiell gehärtete System ausfällt. Das hilft ungemein, die oben gestellten Fragen zu beantworten.
So sieht der AuditTAP-Bericht im Einsatz aus
Wird ein Report auf Betriebssystem-Ebene (aktuell sind Microsoft-Betriebssysteme unterstützt) mittels AuditTAP erstellt, findet man alle wichtigen Punkte – zusammengefasst und konsolidiert – im neuen Menü-Punkt “Summary”.
Dort ist auch der neue, risikobasierte Ansatz verortet. Über eine im Risiko-Management bekannte Risikomatrix wird die Anzahl der zu einer Härtungsempfehlung konformen Einstellung, aber auch die Kritikalität der Einstellungen bewertet. Diese Kombination führt zu einer direkten, auf das Risiko zielende Interpretation der Konfiguration. In Folge können mögliche Maßnahmen jetzt einfacher priorisiert werden.
Die Berechnung des Risiko-Scores fällt ganz einfach aus. Sie wird im Bericht selbst unter dem Reiter “Risk Score” transparent erläutert, als auch nachfolgend erklärt.
Quantitativ wird eine gewisse Konformität vorausgesetzt, um den Risiko-Level von “Critical” auf “Low” zu senken. Diese Tabelle verdeutlicht das:
Compliance to Benchmark | Risk assessment |
80% < X | Low |
65% < X < 80% | Medium |
50% < X < 65% | High |
X < 50% | Critical |
Ein System mit einer Konformität von weniger als 50% Konformität mit aktuellen Hardening-Empfehlungen gilt damit per se als “kritisch”.
Qualitativ prüft das AuditTAP, ob als kritisch (“severity”) hinterlegte Einstellungen nicht konform der Hardening-Empfehlungen ausfallen. Ist eine der als kritisch hinterlegten Einstellungen nicht konform der Empfehlung, gilt das als kritisch und entspricht damit der höchsten Risiko-Stufe.
Als kritisch sind zum Beispiel folgenden Einstellungen gekennzeichnet:
-
- Passwörter dürfen nicht mit wieder umkehrbarer Verschlüsselung gespeichert werden
- Audit-Logs dürfen nur von Administratoren verwaltet werden
- RC4 muss abgeschaltet sein
- SMBv1 muss abgeschaltet sein
- Die Windows Firewall muss angeschaltet sein
- Verschiedene “Attack Surface Reduction”-Konfigurationen (ASR) müssen konfiguriert sein
Möchten Sie mehr über den neuen Risk Score des AuditTAP erfahren? Und wollen Sie wissen, welche Dinge Sie aus den Ergebnissen ableiten können oder sollten? Dann lesen Sie dazu diesen Beitrag:
Was ist noch neu im AuditTap 5.2?
Mit weiteren Änderungen und Optimierungen haben wir das fortwährend wachsende AuditTAP auf ein neues Level gehoben. Diese Dinge sind neben dem Risk Score hinzugekommen:
-
- Um den mittlerweile recht langen Bericht besser zu strukturieren, gibt es nun eine Navigationsleiste.
- Die Top-Header-Leiste erfuhr eine Verschlankung. Die Inhalte aus der Top-Header-Leiste sind nun nach unten in den Inhaltsbereich des Berichts gewandert.
- Einzelne Hardening-Empfehlungen werden nun nach der aktuell verfügbaren Version geprüft.
- Einige Issues aus der Community wurden behoben. Eine detaillierte Übersicht aller Änderungen zeigt diese Changelog-Seite.
Wie nutzt man das AuditTAP?
Die Installation wie auch die Anwendung ist ganz einfach. Dieses Video hilft beim Einstieg:
Was folgt nach dem Audit?
Sind die Systeme nicht gemäß allgemein anerkannter Hardening-Empfehlungen konfiguriert, gilt es, dieses Manko schnellstmöglich auszumerzen. Zum Beispiel mit einem #NoCodeHardening-Tool wie dem Enforce Administrator.
Sollen wir Ihnen den Enforce Administrator zeigen?
Benötigen Sie Hilfe bei der sicheren Konfiguration von Systemen?
Haben Sie Fragen zum AuditTAP? Oder benötigen Sie Unterstützung bei der (automatisierten) Systemhärtung? Sie wollen Systemhärtung direkt in Ihre Deployment- bzw. Installationsprozesse integrieren? Unsere Experten sind gerne für Sie da! Kontaktieren Sie uns ganz unverbindlich, wir melden uns umgehend bei Ihnen.