Die IT-Sicherheitsspezialisten zweier großer US-Behörden haben sich zusammengeschlossen, um einen Leitfaden zu verfassen. Thema ist die sichere Konfiguration von IT-Systemen. Das sind die Empfehlungen und Ratschläge von NSA und CISA.
Ein Plädoyer für die sichere Konfiguration von Systemen
Die National Security Agency (NSA), der größte Auslandsgeheimdienst der USA, und die Cybersecurity and Infrastructure Security Agency (CISA), die Sicherheitsbehörde der Vereinigten Staaten von Amerika, veröffentlichten am 5. Oktober 2023 zusammen ein Cybersecurity Advisory (CSA).
Das 44 Seiten lange, kostenlose PDF trägt den Titel “NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations”. Der Untertitel fasst sehr gut zusammen, was der Zweck der Veröffentlichung ist: “A plea for network defenders and software manufacturers to fix common problems.”
Das Plädoyer weist also auf die häufigsten Cybersecurity-Fehlkonfigurationen in Unternehmen und Organisationen hin. Zudem liefert das Werk von NSA und CISA auch viele praktische Tipps und Maßnahmen, wie IT-Verantwortliche Betriebssysteme und Applikationen – sprich: Windows, Active Directory, MS Office, Browser und Co. – richtig absichern können.
Der Fokus liegt hier auf der sicheren Konfiguration der Komponenten. Die Zusammenfassung des CSA lautet: “Remove default credentials and harden configurations”. Kurz gesagt: Das NSA-CISA-Whitepaper empfiehlt, dass Unternehmen und Organisationen eine ordentliche Systemhärtung (englisch: System Hardening) durchführen sollten, um ihre IT-Infrastrukturen abzusichern!
Warum raten CISA und NSA zu einer Systemhärtung?
Die Blue Teams und Red Teams der US-Behörden, die sich am MITRE ATT&CK Framework (Version 13) orientierten, fanden bei ihrer Zusammenarbeit “10 most common network misconfigurations”. Diese sind im O-Ton:
-
- Default configurations of software and applications
- Improper separation of user/administrator privilege
- Insufficient internal network monitoring
- Lack of network segmentation
- Poor patch management
- Bypass of system access controls
- Weak or misconfigured multifactor authentication (MFA) methods
- Insufficient access control lists (ACLs) on network shares and services
- Poor credential hygiene
- Unrestricted code execution
Die Fehlkonfiguration bzw. die unsichere Konfiguration von Betriebssystemen und Anwendungen führt dazu, dass Hacker oft leichtes Spiel haben. Deshalb ist es eminent wichtig, typische Lücken zu verringern oder gar ganz zu schließen.
In der Executive Summary des “Joint Cybersecurity Advisory” raten beide Behörden zu diesen grundlegenden Maßnahmen:
-
- Deaktivieren Sie ungenutzte Dienste und implementieren Sie Zugriffskontrollen.
- Updaten Sie regelmäßig Ihre Applikationen.
- Automatisieren Sie das Patching, wobei Sie Patches für bekannte, ausgenutzte Schwachstellen vorrangig zu behandeln haben.
- Reduzieren, beschränken, prüfen und überwachen Sie administrative Konten und Privilegien.
Die National Security Agency und die Cybersecurity and Infrastructure Security Agency empfehlen somit das, was in der IT als “Systemhärtung” oder “Härtung” bekannt ist. Hiermit schließen Sie sinnbildlich die Türen Ihrer IT-Systemlandschaft ab, sodass Angreifer es deutlich schwerer haben, Ihre Netzwerke, Server, Einzelplatzrechner und IoT-Komponenten zu infiltrieren und zu kompromittieren.
Damit gehört das Härten der Systeme zu den präventiven Maßnahmen im IT-Security-Dreiklang (“Protect – Detect – Response”). Damit unterscheidet sich das Hardening deutlich von vielen anderen Lösungen. Diese sind meist in den Bereichen “Detektion” und “Reaktion” verortet:
Wie gut sind Ihre Systeme konfiguriert bzw. “gehärtet”?
Finden Sie es heraus – mit dem AuditTAP! Das kostenlose Tool dokumentiert automatisch die Konfiguration Ihrer Systeme und gleicht sie mit den aktuellen Empfehlungen von Microsoft, dem BSI, den CIS Benchmarks und weiteren erprobten Standards ab.
Wie Sie das AuditTAP installieren und einen Hardening-Report erstellen, erklärt Ihnen dieses Video:
Gut zu wissen: Das Erstellen von Dokumentationen (Richtlinien, Protokolle etc.) sowie die regelmäßige Kontrolle der Hardening-Maßnahmen sind nicht erst seit der Datenschutz-Grundverordnung (DS-GVO) etwas, worauf Unternehmen achten müssen! Firmen und Organisationen, welche die Informationssicherheit und den Datenschutz im Speziellen auf die leichte Schulter nehmen, drohen mittlerweile saftige Strafen.
Doch noch viel gewichtiger sind die direkten Folgen einer erfolgreichen Cyber-Attacke – zum Beispiel die Kosten des Betriebsausfalls oder Image- und Reputationsschäden.
Wie lässt sich eine professionelle Systemhärtung realisieren?
Das Härten eines einzelnen Windows 10-Computers kann schon ziemlich herausfordernd und zeitraubend sein, da es Hunderte Einstellungen zu überprüfen und anzupassen gibt. Eine deutliche Erleichterung bringt die Umsetzung von etablierten Standards. So gibt das BSI Empfehlungen zur Windows-Härtung heraus, ebenso Security-Organisationen wie DISA, CIS und ACSC.
Diese Konfigurationen auf eine IT-Systemlandschaft mit Dutzenden oder gar Hunderten Systemen anzuwenden und dauerhaft zu überwachen, ist mit manueller Arbeitskraft ein Ding der Unmöglichkeit. Hier hilft nur die Automatisierung über ein Hardening-Tool wie dem Enforce Adminstrator. Dieser erschafft sinnbildlich ein “selbstheilendes System”.
Enforce Administrator: Weitere Informationen!
Haben Sie noch Fragen?
Wollen Sie wissen, wie Sie die aktuellen Konfigurationsempfehlungen von NSA und CISA umsetzen können? Haben Sie Fragen zum Thema Systemhärtung? Benötigen Sie Unterstützung bei der Erarbeitung einer nachhaltigen Hardening-Strategie?
Oder möchten Sie eine Lösung wie den Enforce Administrator in Ihre IT-Prozesse implementieren? Kontaktieren Sie uns! Das Expertenteam der FB Pro steht Ihnen gerne mit Rat und Tat zur Seite.