7 ultimative Tipps zur Vorbeugung gegen Cyber-Attacken

7 ultimative Tipps zur Vorbeugung gegen Cyber-Attacken

von

Wie du dich gegen Cyber-Attacken besser schützen kannst

Multi-Faktor-Authentifizierung ist eine Sicherheitsmassnahme, die zwei oder mehr Identitätsnachweise erfordert, um Benutzern Zugang zu gewähren

Du brauchst mehr als nur ein Passwort, um Zugriff auf das gewünschte System oder die Anwendung zu erhalten. Ein einmaliger Zugangscode, eine Gesichtserkennung oder ein
Fingerabdruck können ebenfalls als zusätzliche Sicherheitskontrolle erforderlich sein. Dazu schreibt das neue nDSG vor, gem. Art. 03 DSG des bestehenden, gem. in Erweiterung, dass die bisherige Definition der besonders schützenswerten Personendaten um genetische und, sofern diese eine natürliche Person eindeutig identifizieren, biometrische Daten erweitert wird.

Applikationen und Geschäftsanwendungen können so auch durch Brutfore-Angriffe besser geschützt werden. Mit der Verlagerung in die Cloud sind auch sämtliche Anmeldekonsolen für den Gefahren ausgesetzt. Damit wandert die Systemverwaltung und -sicherheit ebenfalls in die Cloud und macht es Notwendig, dass eine Multi-Faktor-Authentifizierung (MFA) eingesetzt wird.

Vorteile einer MFA

  • minimiert das Risiko unbefugter Zugriffe
  • generiert Warnmeldungen bei unbefugten Zugriffen
  • Ermöglicht es künftige Zugriffsversuche zu blockieren und Nachzuverfolgen
  • verhindert die gemeinsame Nutzung von Benutzerkonten und ermöglicht genaue Audits (Logs), sodass das Verhalten einem bestimmten Benutzer zugeordnet werden kann

Es ist also eine Sicherheitsmassnahme, die überall eingeführt werden sollte.

Remote Desktop Protocol (RDP) für externe Verbindungen sollte blockiert werden

Das Remote Desktop Protocol (RDP) ermöglicht es dir, eine Verbindung zu einem entfernten Computer herzustellen, um Applikationen und Dienste aufzurufen. Dies Verhalten ist das gleiche, als würde man physisch an einem Computer arbeiten. Das RDP Protokoll hat sich in Cloud Umgebungen als nützlich erwiesen, sodass von überall auf der Erde auf entfernte Applikationen zugegriffen werden kann. Aber auch On Premises Systeme profitieren von diesem Protokoll, wenn virtuelle Systeme vorgehalten werden. Was praktisch ist, wird natürlich auch für Angriffe verwendet. Das RDP Protokoll ist von Hause aus nicht besonders gut geschützt, sodass externe Angriffe hoch sind. Auch wird meist nur nach einen Benutzer und Passwort gefragt, zudem der RDP Client nur max. 128 Bit (symmetric key) bietet, sowie Triple DES (bulk encryption) und mit sha-1 (hashing operation) ausgestattet ist. Das ist die Standard Verschlüsselung von Microsoft.

  • Da zudem Benutzenamen und das Passwort häufig gespeichert werden, ist es für folgende Angriffstechniken (Oberbegriff MITRE ATT&CK-Techniken) interessant
  • Hijacking (Zugang und Kontrolle über IT-Systeme durch Angreifer als vermeintlich legitimer Nutzer)
  • Lateral Movement (Laterale Bewegung per RDP)
  • Tunneling (Tunnelzugriff über RDP)
  • Command and Control (Kontrolle über RDP)
  • Using Valid Accounts (Verwendung gültiger Konten per RDP)
  • System Network Connections Discovery (System zur Erkennung der Netzwerkverbindungen)
  • Application Layer Protocol (Protokoll auf Anwendungsebene)

Sobald ein Angreifer erfolgreich eine RDP-Sitzung angegriffen hat, ist es nicht Möglich den Angreifer zu stoppen. Da nützt Dir auch das am besten gesicherte Rechenzentrum der Welt nichts. Oft wird auch damit geworben, dass deine Daten in Bergen besonders hoch gesichert seien. Man könnte das lediglich darauf zurückführen, dass es “Bombensicher” im wahrsten Sinne des Wortes ist, jedoch gegen Angriffe solcher Szenarien hilft auch 1000 Meter im Berg nichts. Also Augenwischerei in dem Sinne. Wichtig ist zu wissen, wie solche Szenarien genügend Schutz verliehen werden kann.

RDP hört auf den Port 3389. Wenn dieser über eine Firewall einfach weitergeleitet wird, hilft dir auch keine Firewall. Du machst daraus nur einen Durchlaufherhitzer. Auch nützt es dir nichts auf einen anderen Port weiterzuleiten. Shodan.io kennt sie alle und weiss wo sich ungesicherte Ports befinden.

Fernzugriffe sollten daher nur über hochgesicherte VPN Verbindungen stattfinden. Gemeint ist damit nicht etwa SSL VPN. Sondern IPSec oder OpenVPN Verbindungen, die mindestens das folgende Merkmal aufweisen sollten.

  • 4096 Bit Serverzertifikat
  • AES 256 Bit
  • SHA-256
  • DH-Group 28

Höhere Verschlüsselungen führen bei aufwendigen Applikationen zu Performanceeinbussen und sollten dementsprechend geprüft werden. Hochsensible Daten sollten noch höhere Verschlüsselungsmechanismen aufweisen.

Schutz von Endgeräten (Endpoint Security)

Bei vielen Administratoren hält sich die Massnahme, dass Endgeräte weniger Aufmerksamkeit benötigen als zentrale Systeme, da diese der Meinung sind, dass Geräte, die vermeindlich isoliert sind, einen höheren Schutz nicht benötigen. Es wird sich somit meisst nur mit dem Schutz von Anti-Malware beschäftigt. Vergessen wird dabei auch ganz oft, dass Mobiltelefone Daten an Drittanbieter senden, Applikationen genutzt werden, die Daten an Dritte versenden, oder das Endgerät als nicht so wichtig betrachtet wird. Dabei loggen sich diese Endgeräte dann meisst auch in Unternehmensnetzwerke ein. Endgeräte sind auch Laptops, die oft mit Nachhause genommen werden und gleichzeitig als Arbeitsplatz dienen. Ganz aussen vorgelassen sind dann Applikationen die neben der Richtlinie noch installiert werden, oder Applikationen genutzt werden, die Daten an Orte senden, die dem Datenschutz widersprechen.

Ungeschützte Systeme sind Blind

Cyber-Kriminelle finden immer Mittel und Wege, um sich in Systeme einzuschleichen. Die Methoden werden immer ausgeklügelter. In Windows werden oft bestimmte Verwaltungstools für das Eindringen in Systeme genutzt, ohne dass die Administratoren davon Kenntnis erlangen, wenn nicht die richtigen Methoden angewandt werden. Zu nennen wäre da die Powershell Konsole, Java Script, geplante Aufgaben, Gruppenrichtlinien, Freigaben, Datenverteilungsmechanismen, WMI, Teamviewer, etc. In Cloud Umgebungen ist sowas natürlich heikel. Das schlimme daran ist noch, dass diese Techniken heute von Script Kiddies eingesetzt werden können, also müssen nichtmals versierte Angreifer sein, da es vorgefertigte Tools dafür gibt.

Hacker Netzwerk

Ein ungeschützter Endpoint System kann somit zum Einfallstor für den Zugriff auf Deine internen kritischen Daten und Anwendungen werden. Aber auch Systeme ohne direkten Internetzugang benötigen den richtigen Schutz. Angesichts der vielen Möglichkeiten, die Cyberkriminellen zur Verfügung stehen, ist es daher wichtig, Endpoint-Schutz für alle Systeme einzurichten, auch für solche ohne direkten Internetzugang.

Angreifer verstecken ihre Aktivitäten meist über Wochen oder gar Monate und infiltrieren deine Systeme, sammeln Daten und passen schliesslich den richtigen Zeitpunkt ab um zuzuschlagen. Oft kommen dann noch RANSOMWARE Attacken hinzu, wo ich einen Artikel schrieb, dass ein Backup nicht immer vor Ransomware schützen kann, falls die Backupdaten auch betroffen sein sollten. Cyber-Kriminelle zielen darauf an, die Enpoint Sicherheit zu deaktivieren, weil diese zum Beispiel erhöhte Systemrechte erlangt haben, oder weil der Endpoint nicht richtig konfiguriert ist. Solch einen Angriff habe ich einmal Live gezeigt sowie ist dieser unter Videos bei Aweluna Schweiz und Österreich zu sehen. Angesichts der Umstände wie beschrieben, kann das ein katastrophaler Zustand sein.

Verhindere, dass Hacker an deine Passwörter herankommen können

Benutzerkonten ohne Multi-Faktor-Authentifizierung gehören heute immer noch zu den häufigsten Angriffsmethoden und haben für die Phase des Erstangriffs eine hohe Bedeutung. Zudem können solche Konten auch dazu verwendet werden, um weitere Szenarien zu planen und zu infiltrieren. Es bleibt ohne Multi-Faktor-Authetifizierung schwierig für einen Adminsitrator herauszufinden, ob berechtigt oder nicht berechtigt. Viele Personen nutzen die Unternehmensanmeldedaten auch für private Online-Dienste und die meisten verwenden
hierbei eine E-Mail-Adresse anstelle des Benutzernamens, was die Gefahrenlage noch weiter vergrössert. Ein einziges durch Kriminelle gekapertes Passwort kann der Schlüssel zu vielen weiteren Türen sein. Ein weiterer fataler Vorteil für die Cyberkriminellen.

Homeoffice – Das Eldorado für Hacker

Beschrieben habe ich dieses Szenario in einem Report https://cajabox.ch/cyber-lift-report/

Wie die kriminellen Cyber-Gangster an deine Anmeldedaten kommen

Die Liste dazu ist lang und jeden Tag kommen neue hinzu. Nur zum eingewöhnen ein paar wichtige Angriffsmethoden

  • Externe Methoden, z.b. Phishing
  • Brute-Force Attacken
  • Social Engineering
  • SQL Injection
  • HiJAcking Injection
  • Remote Desktop Angriffe
  • FTP Angriffe (auch gezeigt in einem Live Hack – steht auf Aweluna zur Verfügung)
  • Angriffe über Teamviewer
  • Cloud Service und über Office365 (Microsoft365)
  • Häufige Passwörter zu oft verwendet
  • Benutzernamen, die über e-Mails abgeleitet werden können
  • Drive by Downloads
  • Kompromittierte Exchange Server
Und damit es nicht so auffällt gehen Cyber-Kriminelle anders vor und nutzen die Microsoft Landschaft, zum Beispiel
  • Informationen über das System und die Umgebung mit einfachen Befehlen wie „whoami“ und „ipconfig“ ermitteln
  • Das Gerät, auf dem man sich befindet (und alle zugeordneten Laufwerke) nach Dateien mit „Passwörtern“ im Namen oder Inhalt durchsuchen
  • LDAP durchsuchen, um zu sehen, welche anderen Konten interessant sein könnten
  • Durchsuchen der Windows-Registrierung nach gespeicherten Anmeldeinformationen
  • Durchsuchen von Web-Cookies nach gespeicherten Anmeldeinformationen
  • Ein PowerShell-basiertes Befehls- und Steuerungstool ablegen, damit der Angreifer wieder zurückkehren kann, selbst wenn Sie ein Kennwort ändern oder einen Patch für Ihre Sicherheitslücke installieren
  • Herausfinden, welche Programme installiert sind – Fernzugriffstools und Admin-Tools wie PSExec und PSKill können sehr nützlich sein.

Zu den beliebten Tools zum Auffinden von Konten mit höheren Berechtigungen gehören Mimikatz, IcedID (IceID Schweiz auf Rang 1), PowerSploit und Cobalt Strike (früher mit Armitage zusammen und Metasploit). Zudem könnten Cyberkriminelle zur Installation und / oder Verwendung von „potenziell unerwünschten Programmen“ übergehen. Die oben erwähnten PSExec und PSKill sind offizielle Microsoft-Admin-Tools, werden aber auch in vielen anderen eingesetzt. Port-Scanner und Packet-Sniffer, NMAP zum Beispiel. Darüber gibt es auch Literatur wie man die Tools effektiv einsetzen kann. Die meisten Tools davon befinden sich ebenso in KaliLinux wieder (früher BackTrack). Das Ziel dieser Tools ist es, alle Endpoint-Sicherheitslösungen lahmzulegen, um anschliessend obendrauf noch mit RANSOMWARE zu punkten und die Systemlandschaft zu verschlüsseln und Lösegeld zu fordern. Ransomware as-a-Service ist lukrativ für Cyberkrininelle und es werden immer perfidere Methoden dazu ausgearbeitet. Im Gegensatz dazu der Schutz nicht sonderlich angeglichen wird. Dazu habe ich einen Artikel verfasst (Die Cyber-Sicherheit in der Schweiz ist ungenügend), was die IT-Sicherheit schweizweit widerspiegeln soll. Darin enthalten ist auch ein grosser Report von RANSOMWARE, den ich bereits in 2016 verfasst hatte.

Nachdem wir nun einen Ausflug in die bösen Hackertools gemacht haben ist es Zeit wie du dich davor besser schützen kannst

Die Probleme sind real, wie du in den Medien immer wieder lesen kannst. Die Dunkelziffer ist sehr gross. In Zukunft müssen die Betriebe ab 1. September 2023 melden.

  • Wichtig sind Mitarbeiterschulungen in Bezug auf Cyber-Sicherheit
  • Erkennen von Phishing Mails (am besten nimmt man Technologien wo die e-Mail ohnehin eingedämmt wird. Denn e-Mail ist neben den anderen Methoden ein sehr grosses Einfallstor (siehe zum Beispiel auch Exchange Server Probleme)
  • Einmalige Passwörter und nur für ein spezielles Konto (schaffe dir einen Passwortmanagement Tool an KeyPass zum Beispiel)
  • Reduziere Windows Systeme wo immer du kannst
  • Reduziere Konten mit Berechtigungen die Admin sind und Beschränkung lokaler Admin Konten
  • Ungenutzte Dienste entfernen
  • Plane eine einschlägige Systemhärtungsrichtlinie
  • Vermeiden von Websites die Schadsoftware enthalten könnten

Multi-Faktor-Authentifizierung sollte in allen Bereichen zum Einsatz kommen. Sowie für die Überwachung aller Ereignisse. Dazu gibt es wiederum einige Tools aus der XDR Reihe, zuvor SIEM Tools. Wazuh ist ein Opensource Tool, was sich für solche Überwachungen gut eignet. Wichtig ist, eine 24/7 Rundumüberwachung zu garantieren, denn die meisten Angriffe finden an freien Tagen statt oder kurz davor.

Potenziell unerwünschte Anwendungen oder Dienste

Was für den Admin gut ist, wird meist auch von Cyber-Kriminellen gerne verwendet. Potenziell unerwünschte Anwendungen haben haben meist Root und Systemzugriffe, da diese Funktionen wie Port-Scanning, Paketerfassung, Skripting, Überwachung, Sicherheitstools, Komprimierung und Archivierung, Verschlüsselung, Debugging, Penetrationstests, Netzwerkverwaltung und Fernzugriff verwendet werden. Viele Endpoint Security Dienste kennzeichen diese Tools als potentiell gefährlich ein, sodass mancher Admin dazu übergeht die einer globalen Ausschluss- und Zulassungsrichtlinie hinzuzufügen. Das wiederum öffnet den Cyber-Gangstern Tür und Tor sodass die Überwachung somit überflüssig wird.

Angreifer nutzen zum Beispiel

  • PSExec (ein leichtgewichtiger Telnet-Ersatz, der es dem Nutzer ermöglicht, Prozesse auf anderen Systemen auszuführen, komplett mit voller Interaktivität für Konsolenanwendungen und ohne manuell Client-Software installieren zu müssen. Zu den leistungsfähigsten Anwendungen gehören das Starten interaktiver Kommandozeilen (Command Prompts) auf entfernten Systemen und remotefähiger Programme wie IpConfig, die ansonsten nicht in der Lage sind, Informationen über entfernte Systeme anzuzeigen.
  • PSKill (kann Prozesse auf entfernten Systemen beenden, sogar ohne vorheriger Client-Installation auf dem Zielcomputer).
  • Process Hacker (ein Tool zur Ressourcenüberwachung, das oft verwendet wird, um Sicherheits- und Log-Software zu beenden)
  • Anydesk/TeamViewer/RDPWrap (oder jedes andere Tool, das für den Fernzugriff, insbesondere via Internet, entwickelt wurde, kann von einem Angreifer verwendet werden)
  • GMER (als Anti-Rootkit-Tool entwickelt nutzen Bedrohungsakteure es, um Sicherheitsprozesse auszuhebeln)
  • 7Zip/GZip/WinRar (diese Komprimierungstools nutzen Angreifer, um Daten zu kombinieren, zu verkleinern und zu ex filtrieren. In der Regel zu Erpressungszwecken)
  • Nirsoft Tools (eine Sammlung von Tools zur Passwort-Wiederherstellung, Deinstallation von Software plus: Möglichkeit, Befehlszeilentools ohne Anzeige einer Benutzeroberfläche auszuführen)
  • IOBit (bringt leistungsstarke Deinstallationsroutinen mit und wird häufig zum Entfernen von Sicherheitssoftware verwendet)
  • ProcDump (ein Debugging-Tool, das den Speicher auf die Festplatte auslagern kann. Es ermöglicht Angreifern, speicher interne Informationen wie Anmeldedaten offenzulegen)

Wer diese Tools gegenüber den Sicherheitsrichtlinien ausschliesst, kann für Cyberkriminelle einen Freifahrtschein öffnen. So sollten diese Tools intern nur auf separaten Geräten installiert und ausgeführt werden. Wenn z. B. eine Ransomware Attacke ausgeführt wurde, sind sämtliche Sicherheitsmechanismen ausgeschaltet worden. Grund genug auch zu sehen, dass Ransomware Attacken oft nicht gezielt sind, sondern durch Bots durchgeführt werden. Das sollte jeden Unternehmer wachrütteln, der einen solchen Angriff unterlegen war.

Die Cyberkriminellen sind uns immer einen Schritt voraus, deshalb solltest du auch immer voraus denken

Cyber-Gangster arbeiten mit unglaublicher Geschwindigkeit und Kreativität. Wer will kann dies auch mit einem Schachspiel vergleichen. Wobei die Partie immer den Hacker zuteil wird. 100 Prozent an Sicherheit können nicht erreicht werden, aber es kann das Risiko soweit es geht und soweit es wirtschaftlich ist, herunterdrücken. Aus Kostengründen scheitern jedoch viele an dieser Hürde und haben mit erheblichen Schäden und Imageverlusten zu kämpfen. Cyber-Attacken werden rund um die Uhr durchgeführt, so sollten auch die Überwachungssysteme rund um die überwacht werden, was bei vielen jedoch nicht gemacht wird.

Wir wissen, dass bei Microsoft betriebenen Systemen oft Patches anliegen und diese stopfen auch sehr oft schwerwiegende Lücken. Was auf der einen Seite geschlossen wird, wird auf der anderen Seite wieder geöffnet. Ich empfehle wo immer es möglich ist, sollten Windows Systeme gegen Linux Systeme ersetzt werden. Eine beliebtes Angriffsziel ist Microsofts Exchange Server, der immer wieder negative Schlagzeilen macht. Was viele nicht wissen, dass Microsoft wie auch Twitter, Google etc. im Bilde von FBI, CIA evtl. Pentagon involviert sein könnten. Bei Twitter wurde es mit den Twitter Files bewiesen. Und das Lücken und Schwachstellen evtl. erst spät bekannt gegeben werden, sodass evtl. auch staatliche Angriffe möglich werden. Somit sollten man sich überlegen, ob es nicht auch Alternative Methoden und Dienste gibt, die eingesetzt werden könnten. Aweluna arbeitet unabhängig und bietet unabhängige Ressourcen, damit eine sichere, konforme und wirtschaftliche IT möglich wird. In jedem Fall macht es Sinn, sich einem 4-Augen Prinzip zu unterziehen und einen IT-Audit erwägen.

Plane für den Ernstfall

Pläne für den Notfall zu haben sind essentiell. Damit legst du fest wie Massnahmen, die du im Falle einer Sicherheitsverletzung oder einem Angriff ergreifen solltest. Folgende Fragestellungen sind die Grundlage für einen Incident Response Plan

  • Wie schwerwiegend ist der Vorfall?
  • Wo befinden sich die kritischen Systeme und wie sind sie zu isolieren?
  • Wie und mit wem soll kommuniziert werden?
  • Wer ist zu kontaktieren und welche Maßnahmen sind zu ergreifen?
  • Was ist mit den Sicherheitskopien? – Wurde eine komplette Wiederherstellung getestet?

Das SANS Incident Handler’s Handbook enthält als Beispiel ausführliche Abschnitte zur Vorbereitung für den Ernstfall.

Für weitere Informationen steht dir das Aweluna Partner System zur Seite. Oder telefonisch unter + 41 41 450 05 62

Teile dies wenn dir der Artikel gefällt