Innerhalb des ersten Blog Artikels haben wir uns die Grundlagen rund um Zero Trust angeschaut.
Es ging primär darum zu verstehen, inwieweit sich die Angriffsoberfläche verändert, vergrößert und wie wir darauf reagieren müssen. Denn es werden beispielsweise immer mehr Systeme aus der Cloud heraus betrieben.
ZERO TRUST in Unternehmen
Um Zero Trust in Unternehmen umzusetzen, müssen wir den aktuellen IST-Zustand verstehen. Bevor wir etwas sicher konfigurieren, Diebstahl durch Mitarbeiter verhindern, oder Hackerangriffe erschweren, müssen zunächst folgende Fragen beantwortet werden:
- Welche Geräte sind im Netzwerk vorhanden?
- Wie kommunizieren diese Geräte miteinander?
- Welche Anwendungen und Versionen sind auf Clients und Servern installiert?
- Welche Cloud Systeme sind im Einsatz und wie funktioniert deren Kommunikation?
- Wo liegen welche Daten?
- Wer hat auf diese Daten Zugriff?
Seien wir ehrlich, die ersten zwei Fragen werden Sie problemlos beantworten können. Doch wie sieht es mit der dritten Frage aus?
Wenn ein Softwareupdate über Gruppenrichtlinien ausgerollt wird, woher wissen wir, dass dies auf jedem Computer der Fall ist?
Ist ein Compliance Dashboard vorhanden, welches uns anzeigt, an welcher Stelle beispielsweise Microsoft- oder Chrome Updates fehlen?
Meist müssen wir uns also zunächst mit der eigenen IT-Infrastruktur auseinandersetzen, um anschließend die verwendeten Systeme richtig absichern und überwachen zu können.
ZERO TRUST richtig umsetzen!
Angreifer suchen immer den einfachsten und kostengünstigsten Weg, um Unternehmen oder öffentliche Einrichtungen anzugreifen. Es geht daher weiter im Netzwerk: Welche Systeme sind aus dem Internet erreichbar? Alle Firewall Regeln händisch durchzugehen, ist eher nicht sehr zielführend. Daher gehen wir den anderen Weg, verwenden unsere öffentlichen IP-Adressen und geben diese bei Shodan.io ein. Shodan beschreibt sich selbst als „Search Engine for the Internet of Everything“. Dort sehen wir nun die geöffneten Dienste und Ports. Anhand der Zertifikate können wir herauslesen, welche Webseiten bzw. Domains erreichbar sind. Dies ist für uns zunächst ausreichend, jedoch noch nicht aussagekräftig genug.
Wir prüfen daher jetzt die folgenden Themen:
- Sind ausschließlich benötigte Systeme / Dienste aus dem Internet erreichbar?
- Zeigen diese Systeme das verwendete Produkt und die jeweilige Version an? Falls ja, sollte zumindest die Version gehärtet werden
Im internen Netzwerk ist die Beantwortung dieser Fragen etwas schwieriger.
Es müsste auf jedem Endgerät einen Agent vorhanden sein, um diese Informationen zu generieren. Doch was ist mit Geräten, die keinen Agent installiert haben?
Der einfachste Weg dies herauszufinden, ist ein simulierter Hackerangriff im internen Netzwerk. Dadurch finden wir alle Systeme, die im Netzwerk erreichbar sind und können die verwendeten Dienste und deren Konfiguration prüfen. Dadurch kann auch eine mögliche Schatten-IT gefunden werden.
Was bekommst Du von uns?
Als Ergebnis erhältst Du eine Übersicht der verwendeten Dienste und erreichbaren Systeme. Zusätzlich können offensichtliche Schwachstellen und Konfigurationsfehler aufgedeckt werden. Diese werden besonders häufig durch kriminelle Ransomware-Gruppen ausgenutzt. Daher erfährst von uns genau, wie du die gefundenen Einfallstore wirksam schließen kannst.
Du hast Fragen? Kontaktiere uns gerne per E-Mail an kontakt@aroundsec.de oder über unser Kontaktformular hier auf der Webseite!
author : Mario
Mario, unser technischer Kopf, bringt seine Expertise als versierter IT-Sicherheitsspezialist in die aroundsec ein. Er ist ein Meister darin, Sicherheitslücken zu identifizieren und robuste Verteidigungsstrategien zu entwickeln. Er analysiert die IT-Systeme unserer Kunden sowohl aus der Perspektive eines Angreifers als auch eines Verteidigers. Neben seiner digitalen Expertise ist Mario ein begeisterter Motorradfahrer.