Es gibt verschiedene Vorgehensweisen, wie Sie eine Systemhärtung in Ihrem Unternehmen realisieren können. Wir stellen hier die Besonderheiten sowie die Vor- und Nachteile von Rapid Hardening, Layered Hardening und Lifecycle Hardening vor.
Ein Gastbeitrag von Teal Technology Consulting
Cyber-Security ohne Systemhärtung? Bitte nicht!
Systemhärtung bzw. System Hardening ist kein “Nice to Have”, sondern ein “Must Have”! Dies dürfte jedem klar sein, der sich mit IT-Security bzw. Cyber-Security beschäftigt.
Einerseits ist es bei Unternehmen notwendig, das Niveau der IT-Sicherheit zu steigern, um sich besser gegen die zunehmende Cyber-Bedrohungen zu schützen. Andererseits gewinnt das Thema “System Hardening” bzw. “Secure Configuration” auch in Bezug auf gängige Standards und Zertifizierungen an Bedeutung. Normen wie die ISO 27001, der Teletrust-Standard, der den ”Stand der Technik” definiert, sowie Regularien und Gesetze verlangen ein spezifisches Konzept zur Härtung von Systemen.
Was die Härtung von IT-Systemlandschaften erschwert
Viele Firmen suchen nun nach Wegen, wie sie eine Systemhärtung effizient, kostengünstig und ohne größere Probleme bei sich implementieren können. Ein Hindernis bei der Umsetzung ist oft die Komplexität historisch gewachsener IT-Infrastrukturen, die zahlreiche Fehlkonfigurationen aufweisen können.
Zusätzlich erschweren unklare Zuständigkeiten für bestimmte Services oder der Einsatz veralteter Betriebssysteme und Applikationen, die nicht mehr den aktuellen Sicherheitsstandards entsprechen, die Durchführung der Hardening-Projekte. Diese Faktoren müssen bei der Planung einer Systemhärtung berücksichtigt werden, da sie den Projektverlauf deutlich verzögern können.
In diesem Beitrag stellen wir Ihnen drei erprobte Methoden vor, wie Sie die Herausforderungen meistern können: Layered Hardening, Rapid Hardening und Lifecycle Hardening.
So funktioniert Layered Hardening
Beim Layered Hardening ist wesentlich mehr zu tun, als „nur“ Systeme nach aktuellen Vorgaben zu härten. Zuerst beginnt man mit einer Bedrohungsanalyse, um die Assets zu klassifizieren und den Schutzbedarf festzulegen. Dabei werden Systeme in “Tiers” nach Kritikalität klassifiziert.
Ziel ist es, die besonders schützenswerten Systeme zu identifizieren. Diese werden im Anschluss mit technischen und organisatorischen Maßnahmen isoliert und zu abgesichert. In Folge können zwar Angreifer unter Umständen in die Firmen-Systeme eindringen, aber nicht mehr ohne weiteres auf kritische Bestandteile zugreifen und damit die gesamte Umgebung übernehmen.
Hier ein Beispiel, wie Systemhärtung gegen einen Mimikatz-Angriff hilft:
Wie wir das Layered Hardening umsetzen
Wir von Teal sind wie die FB Pro auf das Thema “Systemhärtung” spezialisiert. Zudem sorgen wir dafür, dass sich die Art und Weise, wie man in Unternehmen die IT-Infrastruktur administriert und absichert, verbessert. Dabei nehmen Vorgehensweisen wie Enhanced Secure Administration Environment (ESAE) und Securing Privilege Access von Microsoft, die CIS Security Controls und der BSI-Grundschutz eine zentrale Rolle ein.
Typischerweise starten wir bei unseren Kunden mit einem Sicherheitsassessment, indem wir die Ist-Situation analysieren und Schwächen in der Umgebung aufzeigen. Komplettiert wird das Assessment durch eine Security-Roadmap, in der wir detailliert die Ergebnisse aufzeigen, aber auch Vorschläge unterbreiten, um die Gesamtsicherheit in der Infrastruktur zu verbessern.
Bei der praktischen Umsetzung härten wir zunächst die höchst schützenswerten Assets (= Tier0). Wir legen dabei die höchstmöglichen Schutzstandards an, indem wir unter anderem unsichere Protokolle wie SMB v1 oder veraltete Cipher Suiten abschalten und die Nutzung von Ntlm einschränken.
Das hat allerdings viele Seiteneffekte, da besonders ältere Anwendungen teilweise auf genau diese veralteten Protokolle angewiesen sind und nach einer Härtung nicht mehr funktionieren. Das heißt, dass man tatsächlich System für System durchgehen, härten und testen muss. Das erhöht den Aufwand, stellt gleichzeitig aber auch sicher, dass die Systeme entsprechend gesichert und geschützt sind.
Was wichtig ist: Schritt für Schritt zum Ziel
Nach dem Tier0-Layer widmen wir uns den nächsten kritischen Assets, den Tier1-Systemen. Das sind typischerweise Server wie Datenbank-Server, Webserver oder Server, die als Terminalserver oder Dokumentationsablage genutzt werden. Das Vorgehen bei Tier1 ist ähnlich wie bei den besonders kritischen Tier0-Systemen: Es wird ein möglichst restriktives Sicherheits-Benchmark definiert und System für System ausgerollt.
Kommt es zu Inkompatibilitäten mit Anwendungen, kann man gegebenenfalls die Vorgaben etwas aufweichen. Sprich: Ein Tier1-System darf nach einer Risikobewertung weniger restriktiv gehärtet werden als ein Tier0-System.
Zuletzt härten wir die Tier2- oder End-User-Geräte, damit auch diese eine möglichst kleine Angriffsfläche aufweisen. Dabei ist es wichtig, auf die “Alltagstauglichkeit” zu achten. Auf Endgeräten muss beispielsweise Bluetooth eingeschaltet bleiben, damit Mitarbeiter weiterhin ihre Headsets und Kameras für Videokonferenzen verwenden können.
Layered Hardening: die Vorteile
-
- Der primäre Vorteil liegt auf der Hand: Die kritischen Systeme haben nach erfolgreicher Durchführung des Härtungsprojektes den bestmöglichen Schutz und damit die geringste Angriffsfläche, die in der Umgebung möglich ist.
- Man muss sich zwangsläufig mit den Altlasten in der Systemlandschaft auseinandersetzen. Es sind viele Infrastruktur-relevante Aspekte zu betrachten und eine System-Inventar-Übersicht zu erstellen bzw. diese zu aktualisieren.
- Das Layered Hardening hat somit den großen Vorteil, das Sicherheitsniveau deutlich zu erhöhen.
Layered Hardening: die Nachteile
-
- Das Vorgehen, die Systeme nacheinander und einzeln zu härten, führt zu relativ langen Projektlaufzeiten und entsprechenden Kosten.
- Es ist aufwändig, restriktive Härtungssätze einzuführen.
Wann sollten Sie auf Layered Hardening setzen?
Layered Hardening ist eine sehr gute Methode, wenn Sie Ihr IT-Sicherheitsniveau wirklich nachhaltig steigern und sehr restriktiv behandeln müssen. Dies gilt besonders, wenn Ihr Unternehmen bereits Opfer einer Cyberattacke war oder die Wahrscheinlichkeit für einen Cyberangriff sehr hoch ausfällt.
Zudem empfehlen wir diesen Ansatz, wenn Sie sich in einer stark regulierten oder sensiblen Branche befinden. Das gilt unter anderem für Unternehmen und Organisationen, die als KRITIS (Kritische Infrastruktur) klassifiziert sind.
Wie zum Beispiel Energieversorger ihre Systeme härten können, erfahren Sie in dieser Webinar-Aufzeichnung:
Das macht Rapid Hardening besonders
Beim Rapid Hardening liegt der Fokus, wie es der Name schon besagt, auf der Geschwindigkeit der Umsetzung. Das Ziel ist es, möglichst schnell viele Systeme mit einem Basisschutz auszustatten. Dieser Basisschutz sollte trotzdem wie immer auf Industriestandards basieren. Es werden allerdings nur die notwendigen und unkritischen Einstellungen realisiert, die ohne viel Troubleshooting „einfach“ umzusetzen sind.
Rapid Hardening in der Praxis: Ein Beispiel
Zuerst wird eine Härtung mit 200 bis 300 Einstellungen definiert. Danach konzentriert man sich beim Rapid Hardening darauf, mit den Client-Systemen (Tier2) zu beginnen und die Härtung auf zig Systemen pro Woche auszurollen. Der Ablauf sieht dann so aus:
-
- Erstellen des Härtungssatzes
- Ausrollen auf fünf bis zehn Pilotsystemen
- Testen der Applikationen und Funktionen
- Rollout auf weiteren Systemen (100 bis 500 Systeme pro Woche)
Wie vorgegangen wird, ist abhängig von Ihren Bedürfnissen. Denkbar sind Rollout-Zyklen nach Betriebssystem-Version, nach Abteilungen oder nach Standorten.
Nachdem die Client-Betriebssysteme mit dem Basisschutz versorgt sind, widmet man sich den Server-Systemen und stattet diese auch mit einem möglichst unkritischen Härtungssatz aus. Derart entsteht eine solide Härtung und die Angriffsfläche verkleinert sich.
Der wesentliche Unterschied zu Layered Hardening ist, dass Sie mit Rapid Hardening schneller einen Basisschutz erreichen. Allerdings werden kritische Systeme erst nachrangig bearbeitet, da man sie aufwändiger härten muss. Es wird also sukzessive ein höheres Sicherheitsniveau erreicht.
Rapid Hardening: die Vorteile
-
- Der größte Vorteil beim Rapid Hardening ist die Geschwindigkeit und die Anzahl der Systeme, die man abgesichert bekommt.
- Durch das iterative Vorgehen sind von Beginn an mehr Systeme geschützt als bei anderen Vorgehensweisen. Die Angriffsfläche wird von Anfang an über die gesamte Umgebung verringert.
- Sie erzielen schnell Ergebnisse. Das hilft Ihnen dabei, das Thema “Systemhärtung” in Ihrem Unternehmen zu demonstrieren und zu verankern.
- Es ist gut möglich, die Härtungskonfigurationen neben dem normalen Tagesgeschäft ohne eigenes Projekt auszurollen.
Rapid Hardening: die Nachteile
-
- Gerade kritische Systeme sind beim Rapid Hardening nur mit einem Basisschutz ausgestattet. Kritische Settings wie zum Beispiel Smbv 1 können gegebenenfalls nicht von Beginn an abgeschaltet werden.
- Die Hardening-Einstellungen müssen im Nachgang zum Initial-Rollout kontinuierlich verbessert werden.
- Es kann der Eindruck entstehen, dass die IT-Systemlandschaft bereits sicher sei, nur weil man einen Basisschutz ausgerollt hat.
Wann sollten Sie Rapid Hardening anwenden?
Wenn Sie schnell Ergebnisse präsentieren müssen, beispielsweise gegenüber einer Cyber-Versicherung oder einer Behörde, bietet sich das Rapid Hardening an. Auditoren sehen es gerne, dass Unternehmen mit einer Härtung begonnen haben, und akzeptieren durchaus, dass die Lösung noch nicht perfekt ist. Trotzdem muss Ihr Unternehmen einen soliden Plan aufstellen! Dieser muss beantworten, wie man die IT-Sicherheit im Gesamten kontinuierlich steigern will.
Des Weiteren ist Rapid Hardening eine gute Methode, um mit einer Systemhärtung zu starten, erste Erfahrungen zu sammeln und gegebenenfalls interne Bedenken abzubauen.
Was ist ein Lifecycle Hardening?
Neben dem Layered Hardening und Rapid Hardening hat sich das Lifecycle Hardening bewährt. Dabei wird eine Härtung mit dem Lifecycle-Management verbunden.
Steht bei Ihnen beispielsweise ein Wechsel auf Windows Server 2022 an, so können Sie das Projekt mit einer Härtung der Systeme verknüpfen. Sie können frei entscheiden, ob Sie das Lifecycle Hardening mit einer restriktiven oder einer Basis-Härtung beginnen. Denkbar sind somit Rapid-Hardening- wie auch Layered-Hardening-Ansätze.
Wichtig ist, dass Sie die Härtungs- und vor allem die Test-Aufwände mit den Lifecycle-Aufwänden verbinden. Und auch hier sind Rollout-Szenarien nach Betriebssystem-Versionen, Niederlassungen oder ähnlichen Kriterien denkbar.
Lifecycle Hardening: die Vorteile
-
- Die Kombination von Test- und Rollout-Aufwänden ist der größte Mehrwert dieses Ansatzes.
- Lifecycle-Projekte mit Systemhärtung zu vereinen, kann helfen, das sicherheitsrelevante Thema voranzubringen.
- Es besteht die Möglichkeit, die Systemsicherheit enorm zu erhöhen und die Angriffsfläche effektiv zu verkleinern.
Lifecycle Hardening: die Nachteile
-
- Ein Lifecycle Projekt wird nicht jedes Jahr geplant, sondern immer mit entsprechenden Betriebssystem-Zyklen verknüpft.
- Es können leicht erhöhte Aufwände entstehen.
Wann sollte man an Lifecycle Hardening denken?
Steht bei Ihnen in nächster Zeit ein Lifecycle-Projekt an? Oder ist gegebenenfalls schon eines gestartet? Dann empfiehlt es sich zu prüfen, ob man das Thema um eine Systemhärtung erweitern kann.
Layered-, Rapid- oder Lifecycle-Hardening: Was ist besser?
Darauf kann man keine pauschale Antwort geben. Sie müssen ganz individuell herausfinden, welche Methode am besten für Ihr Unternehmen und seine Situation geeignet ist.
Es zeigt sich, dass man mit dem Layered Hardening gerade kritische Systeme sehr effektiv absichern kann. Aber die Kosten sind relativ hoch und die Projektdauer recht lang. Das Thema Rapid Hardening können wir empfehlen, wenn Sie schnell Ergebnisse vorweisen müssen oder es mit einem Lifecycle Hardening verbinden.
Damit Sie sich besser entscheiden können, haben wir hier noch eine grafische Übersicht, was die Stärken und Schwächen der drei Hardening-Methoden sind. Klicken Sie auf das Bild für eine größere Ansicht.
Effektive Härtungsvorgehen mit dem Enforce Administrator
Die drei aufgezeigten Härtungsvorgehen realisieren wir mit dem Enforce Administrator. Denn der Enforce Administrator zentralisiert die Verwaltung der Hardening-Einstellungen Ihrer IT-Systeme. Anhand vorkonfigurierter Baselines werden auf jedes System zugeschnittene Einstellungen definiert.
Mittels integrierter Rollout- und Rollback-Verfahren lassen sich die Baselines mit dem Enforce Administrator gefahrlos auf einzelne Systeme verteilen und testen. Versehentliche Änderungen Ihrer Hardening-Einstellungen gehören dank der integrierten Selbstüberwachung der Vergangenheit an. Und: Die integrierte Reporting-Engine liefert einen detaillierten Überblick über die angewendeten Härtungen je System.
Der Enforce Administrator hilft somit allen kleinen, mittelständischen und großen Unternehmen, die eine zentrale Verwaltung und ein zentrales Reporting über die Hardening-Einstellungen auf ihren Clients und Servern haben wollen. Abweichungen von Härtungseinstellungen werden innerhalb von Minuten zentral sichtbar. Das ermöglicht eine schnelle Reaktion auf eventuelle Schwachstellen. Regelmäßige Aktualisierungen der mitgelieferten Standards garantieren die Berücksichtigung neuer Sicherheitslücken.
_________________________________________________________
Über den Autor:
Die TEAL Technology Consulting GmbH ist spezialisiert auf Infrastruktur-Security-Projekte im On-Premises- und Cloud-Umfeld. Zudem gehört Teal zu den führenden Anbietern für die Adaption des Microsoft ESAE-Modells zur sicheren Infrastruktur-Administration. Als Harderning-Partner ergänzt Teal das Portfolio der FB Pro GmbH.
Bilder: Freepik, Pexels, Teal