Netzwerksicherheit

4 Security-Lektionen für 2022

Diese Cyberbedrohungen des Jahres 2021 zeigen, was Sicherheitsentscheider jetzt auf dem Zettel haben sollten.
Von 
CSO | 16. Februar 2022 05:55 Uhr
Die Gefahren der Vergangenheit zeigen, in welchen Bereichen der IT-Sicherheit Nachholbedarf besteht.
Die Gefahren der Vergangenheit zeigen, in welchen Bereichen der IT-Sicherheit Nachholbedarf besteht.
Foto: Pasko Maksim - shutterstock.com

Statt Vorhersagen darüber zu treffen, welche Security-Bedrohungen in diesem Jahr relevant werden, werfen wir lieber einen Blick auf die vier größten Problemfelder der Vergangenheit (genauer gesagt 2021), um die richtigen Lehren daraus zu ziehen.

Solar Winds: Kennen Sie Ihren Anbieter

Der Angriff auf die Software-Lieferkette von SolarWinds war einer der schlagzeilenträchtigsten der letzten Jahre. Die Supply-Chain-Attacken warfen ein Schadenspotenzial von bisher unbekanntem Ausmaß auf. Dabei konnten die Angreifer ihr Treiben verschleiern - bis eines der betroffenen Unternehmen, der Sicherheitsanbieter FireEye - die Eindringlinge bemerkte.

Es ist fraglich, wie viele Unternehmen über die nötigen Instrumente und Ressourcen verfügen, um einen Angriff auf die Software-Lieferkette zu erkennen. Laut Microsoft konnten die Cyberkriminellen SAML-Tokens fälschen und sich so als legitime Benutzer ausgeben.

Lektionen:

  • Überprüfen Sie die Sicherheitsprozesse Ihrer Softwareanbieter.

  • Überprüfen Sie ihre eigenen Sicherheitsprozesse

  • Achten Sie auf von der Norm abweichendes Nutzerverhalten - insbesondere bei hochprivilegierten Konten.

  • Überprüfen Sie, wann neue Vertrauensbeziehungen (Federated Trusts) erstellt oder Anmeldeinformationen zu Prozessen hinzugefügt werden, die Aktionen wie "mail.read" oder "mail.readwrite" ausführen können.

  • Außerdem sollten Sie bekannte C2-Endpunkte per Netzwerk-Firewall blockieren.

Exchange Server: Legacy-Systeme schützen

Im März 2021 wurden lokal installierte Exchange-Server über eine Zero-Day-Schwachstelle angegriffen. Microsoft ging zunächst davon aus, dass es sich um gezielte Angriffe gehandelt hat - was sich im Nachgang als Fehlannahme herausstellte. Da viele Exchange-Server mit völlig veralteter Software liefen, hatte der Windows-Konzern Probleme, entsprechende Patches für ältere Versionen zu liefern, um die betroffenen Systeme schnell auf den neuesten Stand bringen zu können.

Lektionen:

  • Stellen Sie sicher, dass jeder Legacy-Server geschützt ist. Besonders lokale Exchange-Server sind häufiger Ziel von Angriffen.

  • Stellen Sie angemessene Ressourcen für das Patch-Management dieser Altsysteme bereit.

  • Verlassen Sie sich auch nicht unbedingt auf die Bedrohungs- und Risikobewertung des Herstellers.

Print Nightmare: Drucker nicht vergessen

Im Juli 2021 veröffentlichte Microsoft ein Out-of-Band-Update für eine Sicherheitslücke namens PrintNightmare. Für Netzwerkadministratoren hat sich die Schwachstelle zum Print-Management-Albtraum entwickelt. Bei der Printspooler-Software handelt es sich um älteren Code aus der Windows-NT-Ära. Ihn komplett neu zu schreiben, würde zu erheblichen Störungen bei Drittanbietern von Druckern führen. So sind sogar PDF-Drucker auf den Spooler angewiesen.

Seither wurden zahlreiche Patches veröffentlicht. Die optionalen Updates beheben mehrere druckbezogene Probleme:

  • 0x000006e4 (RPC_S_CANNOT_SUPPORT)

  • 0x0000007c (ERROR_INVALID_LEVEL)

  • 0x00000709 (ERROR_INVALID_PRINTER_NAME)

Einige Netzwerkadministratoren haben sich aufgrund störender Nebeneffekte dieser Aktualisierungen dazu entschieden, keine Patches zu installieren.

Lektionen:

  • Enthält ein Update einen Fix für den Printspooler-Dienst, sollten Sie ausreichende Ressourcen zuweisen, um vor dem Update zu testen.

  • Nutzen Sie Ressourcen von Drittanbietern wie PatchManagement.org oder das Sysadmin-Forum auf reddit.

  • Deaktivieren Sie den Printspooler-Service auf Servern und Workstations, auf denen nicht gedruckt werden muss.

Ransomware: Angriffsaktivitäten einschränken

Ransomware ist und bleibt für Unternehmen ein großes Risiko. Inzwischen sind Erpressungstrojaner Teil der meisten Cyberversicherungs-Policen und Regierungsinstitutionen und Behörden veröffentlichen regelmäßig Warnhinweise und Handlungsempfehlungen.

Lektionen:

  • Verwenden Sie lokale und Netzwerk-Firewalls, um RPC- und SMB-Kommunikation zu unterbinden und laterale Bewegungen innerhalb des Netzwerks einzuschränken.

  • Aktivieren Sie Manipulationsschutzfunktionen, um Angreifer daran zu hindern, Sicherheitsdienste außer Kraft zu setzen.

  • Erzwingen Sie starke, zufallsgenerierte, lokale Admin-Kennwörter.

  • Überwachen Sie die Löschung von Ereignisprotokollen.

  • Stellen Sie sicher, dass alle mit dem Internet verbundenen Komponenten über die neuesten Sicherheits-Updates verfügen und überprüfen Sie diese regelmäßig auf verdächtige Aktivitäten.

  • Ermitteln Sie, wo sich hochprivilegierte Konten anmelden und Anmeldedaten preisgeben.

  • Überwachen und untersuchen Sie Anmeldeereignisse auf Anmeldetypattribute.

  • Hochprivilegierte Konten sollten nicht auf Workstations vorhanden sein.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Susan schreibt für unsere US-Schwesterpublikation CSO Online.