,
/
  • Last updated
/
  • 21 min read

Cybersicherheits-Checkliste für MSPs: Praktische Schritte zum Schutz Ihres MSP-Unternehmens vor Ransomware und anderen Bedrohungen

  • by Jonathan Crowe, Director of Community & Advocacy   |  übersetzt von Dragos Frangulea
Cybersicherheits-Checkliste für MSPs

Systemhäuser und ihre Kunden sind zunehmend zu beliebten Zielen für Cyberangriffe geworden.

Vor allem Ransomware-Kriminelle haben MSPs und ihre Kunden als Hauptkandidaten für Erpressungen ausgemacht und ihre Taktiken so angepasst, dass sie Alptraumszenarien schaffen.

Anstatt einfach nur die Systeme des Systemhauses zu verschlüsseln, nutzen Angreifer die kompromittierten Anmeldeinformationen der MSP-Mitarbeiter:innen, um die Software-Tools des Systemhauses zu kompromittieren und damit Ransomware für alle Kunden des MSP auf einmal zu verteilen.

Ab 2019 verschafften sich Angreifer Zugang zu einer breiten Palette von MSPs und missbrauchten eine Reihe beliebter MSP-Software, darunter Kaseya VSA, Webroot, Connectwise ScreenConnect und Continuum. In diesem Jahr gelangten Angreifer auch bei einer kleinen Anzahl von NinjaOne-MSP-Kunden in die Systeme, über Methoden, die in keinem Zusammenhang mit NinjaOne standen. In keinem dieser Fälle sahen wir Hinweise darauf, dass bei NinjaOne Sicherheitsverletzungen verursacht wurden. Stattdessen gab es Beweise dafür, dass die MSPs über andere Kanäle kompromittiert wurden und die Angreifer dann die Anmeldeinformationen der Systemhäuser nutzten, um unbefugte Aktionen mit deren Tools durchzuführen.

Zum Verdienst der MSP-Community führten diese Vorfälle zu einer branchenweiten Initiative für strengere Sicherheitsprotokolle. Insbesondere die Durchsetzung der 2-Faktor-Authentifizierung hat einen dramatischen Einfluss auf die Verringerung erfolgreicher Angriffe. Während unseres jüngsten 2020 MSP Security Summit sagte Coveware-CEO Bill Siegel, dass sein Unternehmen noch auf keinen Vorfall reagieren musste, bei dem 2FA durchgängig aktiviert war.

Auch wenn Fortschritte erzielt wurden, ist die Dringlichkeit nach wie vor sehr groß. Die anfänglichen erfolgreichen Angriffe auf MSP-Konten haben Cyberkriminelle ermutigt, sich weiterhin stark auf die Kompromittierung von MSP-Netzwerken zu konzentrieren. Wenn Sie ein Systemhaus sind, müssen Sie leider davon ausgehen, dass es nur eine Frage der Zeit ist, bis ähnliche Angriffsversuche auf Sie zukommen. Daher ist es sinnvoll, sich grundlegende Kenntnisse in Cyber Threat Intelligence sowie in den unten aufgeführten Best Practices der Cybersicherheit anzueignen.

Die nächsten Maßnahmen (falls Sie diese nicht schon ergriffen haben)

Es ist entscheidend, dass MSPs so früh wie möglich die 2FA für jede Software, die sie verwenden, sowie für E-Mails aktivieren. Sie sollten jedoch einen Schritt weitergehen. Wir haben die folgende Checkliste erstellt, um MSPs konkrete Maßnahmen vorzuschlagen, die sie ergreifen können, um ihre Angriffsfläche zu verringern und ihre Fähigkeit zu verbessern, Angriffe zu verhindern, zu erkennen und darauf zu reagieren.

Wir wollen Sie nicht überfordern, indem wir Ihnen vorschlagen, all diese Empfehlungen auf einmal zu befolgen. Stattdessen wollen wir Ihnen einfach eine Liste an die Hand geben, auf die Sie zurückgreifen und sich nach und nach vorarbeiten können, wenn Zeit und Prioritäten es erlauben. Schließlich ist die Verbesserung der Sicherheit keine einmalige Angelegenheit, sondern ein fortlaufender Prozess. Denken Sie daran, dass alle Verbesserungen, die Sie jetzt vornehmen können, weit weniger zeit- und kostenaufwändig sind als ein aktiver Angriff, also zögern Sie es nicht hinaus.

Möchten Sie eine PDF-Kopie der Checkliste, die Sie später nachschlagen können? Laden Sie diese hier herunter.

msp checkliste für cybersicherheit herunterladen

 

Hinweis: Diese Empfehlungen sind natürlich nicht allumfassend. Je nach den Besonderheiten Ihres Unternehmens (Größe, Infrastruktur usw.) sind einige davon möglicherweise nicht für Ihr Unternehmen geeignet. Sicherheit ist keine Einheitsgröße, und was für den einen wichtig ist, kann für den anderen übertrieben sein. Kümmern Sie sich darum, was praktisch ist, wählen Sie einen mehrschichtigen Ansatz und denken Sie daran, dass es bei der Implementierung neuer Kontrollen immer eine gute Idee ist, diese zunächst zu testen, um unbeabsichtigte Störungen zu vermeiden.

Was diese Checkliste behandelt

  1. Beschränken Sie den Zugriff in Ihrem Netzwerk
    1. Sperren der Fernverwaltungs-Tools
    2. Absicherung von Remote-Desktop
  2. Schützen Sie Ihre Benutzer:innen und Endpunkte
    1. Härtung von Windows-Systemen
    2. Absicherung von Microsoft Office
  3. Seien Sie bereit, Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren
    1. Monitoring
    2. Erstellung eines Plans zur Reaktion auf Vorfälle

Beschränken Sie den Zugriff in Ihrem Netzwerk

„Die Erde ist nicht flach und Ihr Netzwerk sollte es auch nicht sein.“

– Catherine Pitt, VP Information Security Officer bei Pearson

Viele der heutigen Angriffe, wie zum Beispiel APTs, sind so konzipiert, dass sie in den Netzwerken der Opfer landen und sich ausbreiten. Um dies zu verhindern, müssen Sie Barrieren zwischen Ihren Benutzer:innen und Assets errichten.

  • Inventarisieren Sie aktiv alle Netzwerk-Assets und klassifizieren Sie diese nach Risiko
     Hier finden Sie eine Kurzanleitung, die Ihnen den Einstieg erleichtert.
  • Verwenden Sie sichere, einmalige Passwörter
    Sie sollten zwischen Groß- und Kleinschreibung unterscheiden und aus Buchstaben, Zahlen und Symbolen bestehen. Außerdem sollten Passwörter nicht weitergegeben oder wiederverwendet werden. Aus praktischer Sicht bedeutet das, dass das richtige Tool für die Passwortverwaltung ein Muss ist. Ein Spreadsheet reicht hier nicht aus. Es gibt zahlreiche Optionen für die sichere Speicherung von Passwörtern, die Verwaltung von Berechtigungen, die Überprüfung der Nutzung und die Überwachung von Sitzungen. Dieses Softwarelösungen kommen Ihnen auch dann zugute, wenn Sie einen Techniker entlassen müssen oder dieser plötzlich kündigt. 
  • Dazu gehört auch die Verwendung einmaliger lokaler Administratorpasswörter
    Microsofts Local Administrator Password Solution (LAPS) kann dabei helfen, diese Aufgabe zu bewältigen.
  • Speichern Sie keine Anmeldeinformationen in Browsern
     Für Angreifer/Malware ist es sehr üblich, den Browser-Cache auszulesen.
  • Falls möglich, aktivieren Sie die Multi-Faktor-Authentifizierung
    Dies ist besonders wichtig, um die aktuelle Flut von Ransomware-Angriffen zu verhindern, die MSP-Software-Tools komrpomittieren. Es besteht eine Vielzahl von 2FA/MFA-Tools, die in Frage kommen.
  • Verzichten Sie auf Standard-Benutzernamen
    Kein ‚admin‘, ‚administrator‘, ‚default‘, ‚root‘, ‚user‘, usw.
  • Beseitigen Sie die unnötige Nutzung erweiterter Privilegien
    Richten Sie sich nach dem Prinzip der Minimalprivilegien. Beispiel: Techniker:innen sollten standardmäßig ein Nicht-Admin-Konto und nur bei Bedarf ein separates Administratorkonto verwenden, idealerweise von einer Workstation mit privilegiertem Zugriff.
  • Schaffen Sie Puffer zwischen verschiedenen Ebenen des privilegierten Zugriffs
    Microsoft empfiehlt die Einführung eines mehrstufigen Modells, das aus drei Ebenen von Administratorkonten besteht, die jeweils eine andere Kategorie von Assets (Domains, Server und Workstations) kontrollieren.
  • Setzen Sie minimale Zugriffsberechtigungen für Dienstkonten durch
    Die Einrichtung von Dienstkonten für bestimmte Anwendungen kann Ihnen helfen, den Schaden einzugrenzen, wenn ein einzelnes Konto kompromittiert wird, aber nur, solange Sie häufige Fehler vermeiden. Deaktivieren Sie Services, die Sie nicht benötigen, und erwägen Sie die Verwendung von Group Managed Service Accounts (gMSA), um die Verwaltung von Dienstkonten einfacher und sicherer zu machen.
  • Entfernen Sie Endbenutzer:innen aus der lokalen Administratorgruppe
    Eine weitere der grundlegendsten Sicherheitskontrollen, die in der Praxis häufig übersehen wird. Hier finden Sie eine einfache Anleitung zum Entfernen lokaler Administrator:innen mithilfe eines GPO sowie Ratschläge zum Umgang mit Missverständnissen oder Widerständen, auf die Sie bei Führungskräften und anderen Personen stoßen könnten.
  • Audit-Systeme für inaktive Benutzerkonten
    Es wird geschätzt, dass ein Drittel der Benutzerkonten nicht benutzt, aber immer noch aktiv sind. All diese unbeaufsichtigten Zugangspunkte stellen ein großes Sicherheitsrisiko dar. Führen Sie regelmäßig Audits durch, und legen Sie eine klare Richtlinie für die Deaktivierung und Löschung von Konten fest, wenn Benutzer:innen das Unternehmen verlassen.
  • Blockieren Sie Seitwärtsbewegungen zwischen Workstations
    Eine wachsende Zahl der heutigen Angriffe infiziert nicht nur einzelne Workstations. Sie sind darauf ausgelegt, zu landen und zu expandieren. Durch die Verwendung von Active Directory, Gruppenrichtlinien und der Windows-Firewall können Sie die Kommunikation zwischen Arbeitsstationen verhindern und dennoch den Zugriff von Ihrer Workstation mit privilegiertem Zugriff ermöglichen.


Sichern Sie Ihre Fernverwaltungs-Tools

Fernzugriffsfunktionen sind nicht nur für Ihr Unternehmen von entscheidender Bedeutung, sondern es bestehen auch nur wenige Dinge, die ein Angreifer lieber kompromittieren würde.

  • Beschränken Sie den Zugriff auf Fernverwaltungs-Tools
    Beschränken Sie ihre Verfügbarkeit strikt auf die Personen, die ihre Arbeit nicht ohne sie erledigen können.
  • Verwenden Sie starke, einmalige Passwörter UND Multi-Faktor-Authentifizierung
  • Begrenzen Sie das, worauf Remote-Konten Zugriff haben.
    Verwenden Sie immer Minimalprivilegien, besonders bei der Arbeit mit Kunden in regulierten Branchen oder bei der Arbeit mit personenbezogenen Daten oder anderen sensiblen Informationen. Möglicherweise müssen Sie irgendwann beweisen, dass Ihre Techniker:innen nie die Möglichkeit hatten, auf diese Informationen zuzugreifen.
  • Melden Sie sich nicht mit Domain-Administratorkonten bei Workstations an 
    Dabei besteht die Gefahr, dass Angreifer an die DA-Anmeldeinformationen gelangen, falls eine dieser Arbeitsstationen kompromittiert wird. Domain-Administratorkonten sollten nur in wenigen Fällen und ausschließlich für die Anmeldung bei Domain-Controllern (nicht bei Workstations) verwendet werden. 
  • Halten Sie Ihre Fernverwaltungs-Software auf dem neuesten Stand
    Führen Sie regelmäßig Updates durch und halten Sie besonders Ausschau nach Patches, die Schwachstellen beheben, die Angreifern die Ausführung von Remote-Code oder unberechtigten Zugriff ermöglichen könnten.
  • Aktivieren Sie die zentralisierte Protokollierung/Überwachung und Benachrichtigung für Fernzugriffssitzungen
    Die Erfassung von Informationen über Fernzugriffssitzungen und -aktivitäten ermöglicht es Ihnen, Audits durchzuführen, Anomalien zu erkennen und verdächtige Aktivitäten zu untersuchen bzw. darauf zu reagieren.


Sicherer Remote-Desktop (RDP)

Die Absicherung von RDP ist zwar ein elementarer Sicherheitsaspekt, aber das Versäumnis, dies zu tun, ist nach wie vor eine der Hauptursachen für Kompromittierungen. Ein schneller Shodan-Scan zeigt, dass derzeit Millionen von Systemen RDP zugänglich machen. Sie sind zweifelsohne Brute-Force-Angriffen ausgesetzt. Einmal geknackt, kann der Zugang zu kompromittierten Konten für eine Handvoll Dollar auf Dark-Web-Marktplätzen erworben werden.

Die Kompromittierung über RDP war der bevorzugte Angriffsvektor für zahlreiche Ransomware-Varianten, darunter CrySiS/Dharma, Shade und SamSam, die Ransomware, mit der Allscripts, zahlreiche Krankenhäuser und die Stadt Atlanta infiziert wurden.

  • Geben Sie RDP (oder andere interne Ressourcen) nur dann für das Internet frei, wenn dies unbedingt erforderlich ist
    Und selbst dann sollten Sie sich fragen, ob es nicht einen besseren Weg zum Erledigen Ihrer Aufgabe gibt.
  • Verwenden Sie Port-Scanner, um RDP (und andere Ports und Dienste) zu identifizieren, die dem Internet ausgesetzt sind
    Verwenden Sie Scan-Tools wie Nmap, masscan oder Shodan. Angreif tun dies sicherlich bereits, also nehmen Sie sich ein paar Minuten Zeit, um Ihr Netzwerk mit deren Augen zu sehen. Ein weiteres Tool, das grundlegende Port-Scans führen kann, ist ShieldsUP.
  • Identifizieren Sie Systeme, die mit RDP-Backdoors kompromittiert wurden
    Einer der häufigsten Wege, eine Backdoor zu schaffen, ist der Missbrauch der Windows-Funktion ‚Sticky Keys‘. Zwei verschiedene Scan-Tools zur Identifizierung von RDP-Servern mit Backdoors sind verfügbar hier oder hier.
  • Deaktivieren Sie RDP auf Rechnern, die es nicht benötigen
    Das verringert das Risiko, dass Angreifer einen kompromittierten Rechner ausnutzen, um auf andere Rechner in Ihrem Netzwerk zuzugreifen.
  • Entfernen Sie den Zugriff des lokalen Administratorkontos auf RDP
    Alle Administrator:innen können sich standardmäßig bei Remote-Desktop anmelden.
  • Verwenden Sie sichere, einmalige Passwörter und Multi-Faktor-Authentifizierung
    MFA ist in jedem Fall eine gute Idee, aber wenn Sie unbedingt RDP verwenden müssen, ist diese Funktion ein Muss.
  • Führen Sie eine Kontosperrungsrichtlinie ein
    Die Anzahl der Fehlversuche, die erforderlich sind, um eine Sperre auszulösen, hängt von Ihren Präferenzen ab, aber als allgemeine Grundregel gilt das, was Microsoft empfiehlt, und zwar 15-minütige Sperrungen nach 10 Fehlversuchen.
  • Melden Sie sich von getrennten und inaktiven Sitzungen ab
    Dies mag nicht populär sein, aber es ist eine wichtige Maßnahme, um zu verhindern, dass Sitzungen kompromittiert werden.
  • Schränken Sie den RDP-Zugriff durch Firewalls ein, RD-Gateways und/oder VPNs
    Durch den Einsatz einer Firewall können Sie den RDP-Zugriff auf IP-Adressen auf der Whitelist beschränken. RD-Gateways sind umfassender. Sie ermöglichen es Ihnen, nicht nur zu beschränken, wer Zugang hat, sondern auch, worauf diese Personen Zugriff haben, ohne dass Sie VPN-Verbindungen konfigurieren müssen. Erfahren Sie mehr über RD Gateways hier. 
  • Lassen Sie die Authentifizierung auf Netzwerkebene (NLA) aktiviert
    NLA bietet eine zusätzliche Authentifizierungsebene vor dem Aufbau einer Remote-Verbindung. Hier finden Sie mehr Informationen dazu, wie Sie Ihre Gruppenrichtlinien-Einstellungen überprüfen können, um sicherzustellen, dass NLA aktiviert ist.
  • Ändern Sie den Standard-Abhörport (TCP 3389)
    Dies wird RDP nicht vor erfahrenen Angreifern schützen, aber es wird die Messlatte höher legen und Ihnen helfen, sich vor automatisierten Angriffen und faulen Angreifern zu schützen. Microsoft erklärt hier, wie Sie die Änderung vornehmen können. 

Zusätzliche Ressourcen:

 

Schützen Sie Ihre Benutzer:innen und Endpunkte

„Zeigen Sie mir eine bösartige E-Mail, und ich zeige Ihnen jemanden, der darauf klicken wird.“

– Antikes Sprichwort der Informationssicherheit

Die überwiegende Mehrheit der Angriffe zielt auf den anfälligsten Teil Ihres Netzwerks ab: Ihre Benutzer:innen. Im Folgenden finden Sie Best Practices zur Sicherung ihrer Geräte und zum Schutz der Benutzer:innen vor sich selbst.

  • Verwenden Sie Endpunktsicherheits-Software, die maschinelles Lernen und/oder Verhaltensanalysen einsetzt
    Heutzutage verlassen sich nur wenige AVs ausschließlich auf den Signaturabgleich. Stattdessen haben die meisten AV-Anbieter Algorithmen zur Erkennung durch maschinelles Lernen entweder in ihr allgemeines Angebot oder als zusätzliche (teurere) Produktlinie integriert (sehen Sie unseren Guide zu EDR- und NGAV-Tools hier). Diese Lösungen sind deutlich besser in der Lage, neue oder polymorphe Malware zu blockieren, haben aber den Nachteil, dass sie eine beträchtliche Anzahl von Fehlalarmen erzeugen können. Außerdem sind sie oft noch blind für Angriffe, die legitime Systemtools missbrauchen oder andere ‚dateilose‘ Techniken verwenden. Dies ist ein weiterer Grund, warum es bei der Sicherheit auf mehrere Ebenen ankommt.
  • Halten Sie Endpunktsysteme und Software auf dem neuesten Stand
    Das ist oft leichter gesagt als getan, wenn man bedenkt, dass im Jahr 2018 mehr als 15.500 Allgemeine Schwachstellen und Sicherheitslücken (CVE) veröffentlicht wurden. Windows-Updates allein sind schon eine Herausforderung, ganz zu schweigen von Anwendungen von Drittanbietern. Stellen Sie sicher, dass Sie das Patch-Management so weit wie möglich über Ihr RMM automatisieren und dass Sie sich darauf verlassen können, dass die Patches erfolgreich angewendet werden. Führen Sie regelmäßig Patch-Audits durch, um Rechner zu identifizieren, die anfällig sein könnten. 57 % der Datenschutzverletzungen werden auf ein schlechtes Patch-Management zurückgeführt.
  • Entwickeln Sie ein Standardverfahren für die Prüfung Ihrer Firewall-Richtlinien
    Vergewissern Sie sich, dass Sie Ihr System schützen, indem Sie die Prüf- und Filterfunktionen Ihrer Firewall optimieren.
  • Verwenden Sie DNS-Filterung zum Schutz vor bekannten bösartigen Internetseiten
    DNS-Filterungslösungen können Benutzer:innen auch dann schützen, wenn sie sich nicht im Netzwerk befinden.
  • Verstärken Sie Ihre E-Mail-Sicherheit
    Angesichts der Tatsache, dass 92 % der Malware per E-Mail übertragen wird, ist ein guter Spam-Filter natürlich ein Muss. Leider ist es nicht nur die Malware, die Ihnen Probleme bereiten kann. Um Phishing- und BEC-Angriffe (Business Email Compromise) zu verhindern, sollten Sie DMARC, SPF und DKIM einrichten, um Ihre Domain vor Fälschungen zu schützen. Hier finden Sie einen Überblick über die Einrichtung und ein kostenloses DMARC-Überwachungs- und Berichterstellungstool, das Ihnen dabei helfen kann.
  • Bieten Sie Trainings zur Entwicklung eines Sicherheitsbewusstseins, um Mitarbeiter:innen beizubringen, wie sie bösartige E-Mails und Webseiten erkennen können.
    Benutzer:innen bleiben nun mal Benutzer:innen. Sie werden Dinge anklicken, die sie nicht anklicken sollten, aber wenn man sie nicht trainiert, kann man ihnen kaum einen Vorwurf machen. Zumal bösartige E-Mails immer überzeugender werden. Beginnen Sie damit, sie über die klassischen Warnzeichen zu informieren und zeigen Sie ihnen Beispiele aus der Praxis. Außerdem sollten Sie Ihnen grundlegende Best Practices beibringen, wie etwa der Mauszeiger über Links zu bewegen. Ziehen Sie dann in Betracht, zu Phishing-Simulationen und formalisierteren Schulungen überzugehen
  • Verwenden Sie eine zuverlässige Backup-Lösung und testen Sie die Wiederherstellung von Backups in großem Umfang
    Mehrere Wiederherstellungspunkte und Offsite-Replikation sind ebenso wichtig wie regelmäßige Tests, um dafür zu sorgen, dass Backups richtig konfiguriert sind und funktionieren. Erinnern Sie sich an Schrodinger’s Backup: „Der Zustand eines Backups ist unbekannt, bis eine Wiederherstellung versucht wird.“

Härtung des Windows-Systems

Viele der heutigen Angriffe versuchen, integrierte Tools und Funktionen zu missbrauchen. Diese Taktik, die ‚living off the land‘ gennant wird, hilft ihnen, Sicherheitsmaßnahmen zu umgehen und sich der Entdeckung zu entziehen, indem sie sich unter die legitimen Verwaltungsaktivitäten mischen. Hier sind einige Maßnahmen zur Schadensbegrenzung, die Sie ergreifen können:

  • Schützen Sie sich vor Credential-Dumping
    Für Windows 10- und Server 2016-Rechner sollten Sie Credential Guard aktivieren. Sie können auch die Anzahl der vorherigen Anmeldeinformationen, die Windows zwischenspeichert, begrenzen oder deaktivieren (der Standardwert ist 10). Hier finden Sie Anweisungen zum Deaktivieren der Zwischenspeicherung von Anmeldeinformationen auf älteren Systemen.
  • Deaktivieren oder schränken Sie PowerShell ein
    Angreifer missbrauchen PowerShell für eine Vielzahl von Aktivitäten, vom Herunterladen und Ausführen von Malware bis hin zum Aufbau von Persistenz, dem Erreichen von lateralen Bewegungen und vielem mehr (alles unter Umgehung der AV-Erkennung). PowerShell ist auch standardmäßig aktiviert. Wenn PowerShell auf dem Computer eines Benutzers nicht benötigt wird, sollten Sie das Programm deinstallieren. Falls dies nicht möglich ist, stellen Sie sicher, dass es sich um die neueste Version handelt, deaktivieren Sie die PowerShell v2-Engine, und verwenden Sie eine Kombination aus AppLocker und Constrained Language Mode, um seine Funktionen zu reduzieren (hier erfahren Sie mehr).
  • Schränken Sie den Start von Skriptdateien ein
    PowerShell ist nicht die einzige Skriptsprache und das einzige Framework, das Angreifer gerne missbrauchen. Vor Windows 10 empfahl Microsoft, die Registrierung so zu ändern, dass eine Warnmeldung ausgegeben wird, bevor die Ausführung von .VBS-, .JS-, .WSF- und anderen Skriptdateien zugelassen wird. Windows 10-Systeme können AppLocker nutzen, um Skriptdateien mit genauerer Kontrolle zu blockieren.
  • Verwenden Sie AppLocker zur Einschränkung von Anwendungen
    Whitelisting ist nicht für jeden Fall geeignet. Für manche Teams kann es eine Herausforderung sein, es zu verwalten und aufrechtzuerhalten, aber in Umgebungen, in denen es möglich ist, kann Whitelisting eine sehr effektive Sicherheitsebene darstellen. Dadurch wird zwar eingeschränkt, welche Anwendungen unter welchen Bedingungen ausgeführt werden können. Tipps für den Einstieg finden Sie hier.
  • Blockieren oder schränken Sie Living-off-the-Land-Binärdateien (LOLbins) ein
    Um AV- und Whitelisting-Lösungen wie AppLocker zu umgehen, verwenden Angreifer zunehmend native Windows-Tools. Integrierte Programme wie certutil, mshta und regsvr32 sollten blockiert oder daran gehindert werden, ausgehende Anfragen mit Hilfe von Windows-Firewall-Regeln zu stellen. Dasselbe gilt für die legitimen Datenübertragungsprogramme bitsadmin und curl. Eine ausführlichere Liste von ‚LOLbins‘ finden Sie hier.
  • Verwenden Sie die Windows Firewall zur Isolation von Endpunkten
    Zusätzlich zum Blockieren der oben aufgeführten ‚LOLbins‘ für ausgehende Anfragen können Sie die Windows-Firewall verwenden, um einige der am häufigsten missbrauchten Pfade für böswilligen Remote-Zugriff und laterale Bewegungen zu unterbrechen (zum Beispiel den Zugriff auf Dateifreigaben über SMB). Hier finden Sie eine großartige Anleitung.
  • Überwachen oder schränken Sie Windows Management Instrumentation (WMI) ein
    WMI steht in Sachen Nützlichkeit auf einer Stufe mit PowerShell, was bedeutet, dass Sie auch dieses Programm auf potenziellen Missbrauch überwachen sollten. Für alle Fälle, in denen Remote-WMI nicht notwendig ist, sollten Sie einen festen Port dafür festzulegen und ihn zu blockieren.
  • Verwenden Sie die höchste Stufe der Benutzerkontensteuerung (UAC), wann immer dies möglich ist
    Die Benutzerkontensteuerung kann Angriffen, die versuchen, ihre Rechte zu erweitern, erhebliche Hindernisse in den Weg legen. Erwägen Sie die Anpassung der Windows 10-Richtlinieneinstellungen, um Erhöhungsversuche für Standardbenutzer automatisch zu verweigern und Administrator:innen auf dem sicheren Desktop zur Zustimmung aufzufordern. Eine Anleitung zu UAC-Gruppenrichtlinien-Einstellungen für frühere Windows-Versionen finden Sie hier. Ziehen Sie außerdem in Betracht, den Admin-Genehmigungsmodus für das integrierte Administratorkonto zu aktivieren. Dadurch werden nicht nur die Versuche der Privilegienerweiterung minimiert, sondern es werden auch alle Versuche zum Missbrauch von PsExec (ein legitimes Verwaltungstool in Microsofts Sysinternals-Suite) fehlschlagen. Vielleicht interessiert Sie auch, wie Sie die UAC-Einstellungen für Windows konfigurieren können (PowerShell-Skript).

Zusätzliche Ressourcen:

Absicherung von Microsoft Office

Schädliche Office-Dokumente gehören nach wie vor zu den beliebtesten und erfolgreichsten Verbreitungswegen für Malware. Der Schlüssel zur Minimierung dieser Bedrohung ist die Deaktivierung oder Einschränkung der folgenden Funktionen. 

  • Deaktivieren oder schränken Sie Makros ein
    Das Verstecken bösartiger Makros in Office-Dokumenten ist einer der ältesten Tricks in der Trickkiste moderner Angreifer und nach wie vor beliebt und erfolgreich. Wenn Makros in Ihrem Unternehmen nicht verwendet werden, sollten Sie die Verwendung von Gruppenrichtlinien-Einstellungen in Erwägung ziehen, um sie ohne Benachrichtigung zu deaktivieren und VBA für Office-Anwendungen ganz abzuschalten. Falls Sie Makros unter bestimmten Bedingungen ausführen müssen, schränken Sie diese ein, indem Sie nur signierte Makros zulassen und Makros in aus dem Internet heruntergeladenen Office-Dokumenten blockieren     Anleitung (Office 2016); Administrative Vorlagendateien für Gruppenrichtlinien (ADMX/ADML)
  • Deaktivieren oder schränken Sie Object Linking and Embedding ein (OLE)
    Anleitung zum Blockieren der Aktivierung von OLE-Paketen über Registrierungsänderungen; Anleitung für die Blockierung der Aktivierung von OLE / COM-Komponenten in Office 365 über Registrierungsänderungen; Anleitung zur Deaktivierung von Datenverbindungen und der automatischen Aktualisierung von Arbeitsmappen-Verknüpfungen über das Trust Center.
  • Deaktivieren Sie den Dynamischen Datenaustausch (DDE)
    Anleitung zum Deaktivieren von Dynamic Data Exchange Server Lookup / Launch über Registrierungsänderungen; Anleitung für die Deaktivierung über das Trust Center

 

Seien Sie bereit, Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren

„Die durch einen durchschnittlichen Ransomware-Vorfall verursachte Ausfallzeit und Störung dauert 7,3 Tage.“

Coveware

Es reicht nicht aus, sich um die Verhinderung von Angriffen zu kümmern. Außerdem müssen Sie über die richtigen Funktionen und Richtlinien verfügen, um Kompromittierungen schnell zu erkennen, einzudämmen, zu untersuchen und zu beheben. 

Hinweis: Es gibt grundlegende Maßnahmen, die Sie hier ergreifen können, aber im fortgeschrittenen Stadium geht es oft um den Einsatz komplexer Tools, das Durchsuchen von Protokollen und die Bereitstellung von 24/7-Überwachungs-/Reaktionsfunktionen. Je nach Fachwissen, Bandbreite und Anforderungen sollten Sie ein Outsourcing in Betracht ziehen. 

Überwachung

  • Erstellen Sie eine Basislinie für die Netzwerkleistung, damit Sie Anomalien erkennen können
  • Verwenden Sie Ihr RMM und/oder ein SIEM, um eine zentralisierte Echtzeit-Überwachung von Netzwerken und Endpunkten zu konfigurieren
  • Nutzen Sie die Vorteile der vorkonfigurierten Warnmeldungen und erstellen Sie Vorlagen für Standardanwendungsfälle (Workstations, Server usw.)
  • Entwickeln Sie Standardarbeits-Anweisungen zur Behandlung der kritischsten und häufigsten Warnmeldungen
  • Reduzieren Sie die Informationsflut, indem Sie Warnmeldungen eliminieren, die nicht schwerwiegend und nicht umsetzbar sind
  • Erwägen Sie die Überwachung wichtiger Windows-Ereignis-IDs. Beginnen Sie mit den Listen hier und hier. 
  • Ziehen Sie den Einsatz einer Endpunkt-Erkennung und Reaktion (EDR-Lösung) in Betracht.
  • Aktivieren und konfigurieren Sie die richtigen Systemprotokolle zur Unterstützung Ihrer eigenen oder ausgelagerten digitalen Forensik und Reaktion auf Vorfälle (DFIR). Sehen Sie diese Cheat-Sheets für Windows.
  • Speichern Sie Protokolle an einem zentralen, isolierten Ort
  • Bestimmen Sie, ob Sie die Verwaltung aller oder einiger der oben genannten Punkte an einen Anbieter von Managed Detection and Response (MDR) auslagern müssen.

Erstellen Sie einen Reaktionsplan für Vorfälle

Wenn ein Sicherheitsvorfall eintritt, müssen Sie in der Lage sein, unter Druck schnell zu handeln. Das erfordert klare Leitlinien und eine effektive Planung.  

  • Definieren Sie, was ein Sicherheitsvorfall ist.
  • Festlegung von Rollen, Zuständigkeiten und Verfahren für die Reaktion auf Vorfälle, einschließlich der Wiederherstellung im Katastrophenfall
  • Identifizieren Sie Eskalationsmöglichkeiten für den Fall, dass der Vorfall eine umfangreichere/fachkundigere Reaktion und Wiederherstellung erfordert, als Sie bereitstellen können.
  • Erstellen Sie einen Plan für die interne Kommunikation, die Kommunikation mit Kunden, Behörden und der Öffentlichkeit (falls erforderlich), oder besser noch, halten Sie Vorlagen bereit.
  • Berücksichtigen Sie Compliance-Anforderungen in Bezug auf die Offenlegung von Vorfällen und die Berichterstattung HIPAA-Regel zur Meldung von Verstößen; FAQ zur DSGVO-Benachrichtigung bei Datenschutzverletzungen
  • Simulieren Sie Vorfälle
  • Zusätzliche Ressource: Incident Handling: First Steps, Preparation Plans, and Process Models von ERNW

 

Schlussfolgerung: Rom wurde auch nicht an einem Tag erbaut.

Je nachdem, wie viel Sie bereits in die Sicherheit investiert haben, kann sich diese Liste überwältigend anfühlen. Wenn das der Fall ist, denken Sie einfach daran, dass Sicherheit nicht zu 100 % gewährleistet werden kann. Die Situation ändert sich ständig, und das Ziel ist nicht, auf magische Weise unangreifbar zu werden, sondern einfach sicherzustellen, dass man ständig kleine Fortschritte macht.

Konzentrieren Sie sich darauf, jeweils ein paar Dinge aus dieser Liste zu erledigen. Oder sogar nur eine Sache. Dann noch eine. Streben Sie einen schrittweisen Fortschritt an. Alles, was Sie tun, kann eine Wirkung haben. Wenn Sie Ihr Risiko senken oder die Hürde für Angreifer erhöhen, sei es auch nur geringfügig, dann haben Sie Ihre Aufgabe erfüllt.

Möchten Sie eine PDF-Kopie der Checkliste per E-Mail erhalten? Laden Sie diese hier herunter.

msp checkliste für cybersicherheit herunterladen

 

Starten Sie Ihre kostenlose Testphase

Das könnte Sie auch interessieren

Die 10 häufigsten Fallstricke bei der Überwachung der Datenbankleistung & Wie man sie vermeidet blog banner image

Die 10 häufigsten Stolperfallen bei der Datenbanküberwachung und ihre Lösungen

Die 10 besten Chat-GPT-Prompts für IT-Techniker:innen

Die 10 besten ChatGPT-Prompts für IT-Techniker:innen

Vollständiger Guide: DORA vs. DSGVO: Worin besteht der Unterschied?

Vollständiger Guide: DORA vs. DSGVO: Worin besteht der Unterschied?

Bewährte Praktiken für die VPN-Konfiguration unter Windows

Benutzerhandbuch: Bewährte Praktiken für die VPN-Konfiguration unter Windows

DORA-Compliance

Wie erreicht man DORA-Compliance (Digital Operational Resilience Act)?

DORA-Compliance

Wie man Microsoft-Cybersicherheitslösungen für die DORA-Konformität einsetzt

Zurück zur Blog-Startseite
Sind Sie bereit, die schwierigsten Aufgaben der IT zu vereinfachen?
Kostenlose Testversion starten
Produktvorstellung erhalten
×

Sehen Sie NinjaOne in Aktion!

Mit dem Absenden dieses Formulars akzeptiere ich die Datenschutzerklärung von NinjaOne.

NinjaOne Allgemeine Geschäftsbedingungen für Skripte

Indem Sie unten auf die Schaltfläche „Ich akzeptiere“ klicken, erklären Sie Ihr Einverständnis mit den folgenden rechtlichen Bedingungen sowie mit unseren Nutzungsbedingungen:

  • Eigentumsrechte: NinjaOne besitzt und wird weiterhin alle Rechte, Titel und Interessen an dem Skript (einschließlich des Urheberrechts) behalten. NinjaOne gewährt Ihnen eine eingeschränkte Lizenz zur Nutzung des Skripts in Übereinstimmung mit diesen rechtlichen Bedingungen.
  • Einschränkung der Nutzung: Sie dürfen das Skript nur für Ihre legitimen persönlichen oder internen Geschäftszwecke verwenden und es nicht an Dritte weitergeben.
  • Verbot der Wiederveröffentlichung: Sie sind unter keinen Umständen berechtigt, das Skript in einer Skriptbibliothek, die einem anderen Softwareanbieter gehört oder von diesem kontrolliert wird, erneut zu veröffentlichen.
  • Gewährleistungsausschluss: Das Skript wird „wie gesehen“ und „wie verfügbar“ bereitgestellt, ohne jegliche Garantie. NinjaOne gibt keine Versprechen oder Garantien, dass das Skript frei von Fehlern ist oder dass es Ihre speziellen Bedürfnisse oder Erwartungen erfüllt.
  • Risikoübernahme: Die Verwendung des Skripts erfolgt auf eigene Gefahr. Sie erkennen an, dass die Nutzung des Skripts mit bestimmten Risiken verbunden ist, und Sie verstehen und übernehmen jedes dieser Risiken.
  • Verzicht und Freigabe: Sie machen NinjaOne nicht für nachteilige oder unbeabsichtigte Folgen verantwortlich, die sich aus Ihrer Nutzung des Skripts ergeben, und Sie verzichten auf alle gesetzlichen oder billigkeitsrechtlichen Rechte oder Rechtsmittel, die Sie gegen NinjaOne im Zusammenhang mit Ihrer Nutzung des Skripts haben könnten.
  • EULA: Wenn Sie ein NinjaOne-Kunde sind, unterliegt Ihre Nutzung des Skripts dem für Sie geltenden Endbenutzer-Lizenzvertrag (EULA).
Ich akzeptiere