Anstatt einfach nur die Systeme des Systemhauses zu verschl\u00fcsseln, nutzen Angreifer die kompromittierten Anmeldeinformationen der MSP-Mitarbeiter:innen, um die Software-Tools des Systemhauses zu kompromittieren und damit Ransomware f\u00fcr alle Kunden des MSP auf einmal zu verteilen.<\/p>\n
Ab 2019 verschafften sich Angreifer Zugang zu einer breiten Palette von MSPs und missbrauchten eine Reihe beliebter MSP-Software, darunter Kaseya VSA, Webroot, Connectwise ScreenConnect<\/a> und Continuum<\/a>. In diesem Jahr gelangten Angreifer auch bei einer kleinen Anzahl von NinjaOne-MSP-Kunden<\/a> in die Systeme, \u00fcber Methoden, die in keinem Zusammenhang mit NinjaOne standen. In keinem dieser F\u00e4lle sahen wir Hinweise darauf, dass bei NinjaOne Sicherheitsverletzungen verursacht wurden. Stattdessen gab es Beweise daf\u00fcr, dass die MSPs \u00fcber andere Kan\u00e4le kompromittiert wurden und die Angreifer dann die Anmeldeinformationen der Systemh\u00e4user nutzten, um unbefugte Aktionen mit deren Tools durchzuf\u00fchren.<\/p>\n Zum Verdienst der MSP-Community f\u00fchrten diese Vorf\u00e4lle zu einer branchenweiten Initiative f\u00fcr strengere Sicherheitsprotokolle. Insbesondere die Durchsetzung der 2-Faktor-Authentifizierung<\/a>\u00a0hat einen dramatischen Einfluss auf die Verringerung erfolgreicher Angriffe. W\u00e4hrend unseres j\u00fcngsten 2020 MSP Security Summit<\/a> sagte Coveware-CEO Bill Siegel, dass sein Unternehmen noch auf keinen Vorfall reagieren musste, bei dem 2FA durchg\u00e4ngig aktiviert war.<\/p>\n Auch wenn Fortschritte erzielt wurden, ist die Dringlichkeit nach wie vor sehr gro\u00df. Die anf\u00e4nglichen erfolgreichen Angriffe auf MSP-Konten haben Cyberkriminelle ermutigt, sich weiterhin stark auf die Kompromittierung von MSP-Netzwerken zu konzentrieren. Wenn Sie ein Systemhaus sind, m\u00fcssen Sie leider davon ausgehen, dass es nur eine Frage der Zeit ist, bis \u00e4hnliche Angriffsversuche auf Sie zukommen. Daher ist es sinnvoll, sich grundlegende Kenntnisse in Cyber Threat Intelligence<\/a> sowie in den unten aufgef\u00fchrten Best Practices der Cybersicherheit anzueignen.<\/p>\n Es ist entscheidend, dass MSPs so fr\u00fch wie m\u00f6glich die 2FA<\/strong> f\u00fcr jede Software, die sie verwenden, sowie f\u00fcr E-Mails aktivieren. Sie sollten jedoch einen Schritt weitergehen. Wir haben die folgende Checkliste erstellt, um MSPs konkrete Ma\u00dfnahmen vorzuschlagen, die sie ergreifen k\u00f6nnen, um ihre Angriffsfl\u00e4che zu verringern und ihre F\u00e4higkeit zu verbessern, Angriffe zu verhindern, zu erkennen und darauf zu reagieren<\/a>.<\/p>\n Wir wollen Sie nicht \u00fcberfordern, indem wir Ihnen vorschlagen, all diese Empfehlungen auf einmal zu befolgen. Stattdessen wollen wir Ihnen einfach eine Liste an die Hand geben, auf die Sie zur\u00fcckgreifen und sich nach und nach vorarbeiten k\u00f6nnen, wenn Zeit und Priorit\u00e4ten es erlauben. Schlie\u00dflich ist die Verbesserung der Sicherheit keine einmalige Angelegenheit, sondern ein fortlaufender Prozess. Denken Sie daran, dass alle Verbesserungen, die Sie jetzt vornehmen k\u00f6nnen, weit weniger zeit- und kostenaufw\u00e4ndig sind als ein aktiver Angriff, also z\u00f6gern Sie es nicht hinaus.<\/p>\n M\u00f6chten Sie eine PDF-Kopie der Checkliste, die Sie sp\u00e4ter nachschlagen k\u00f6nnen? Laden Sie diese hier herunter<\/a>.<\/strong><\/p>\n <\/p>\n Hinweis:<\/strong> Diese Empfehlungen sind nat\u00fcrlich nicht allumfassend. Je nach den Besonderheiten Ihres Unternehmens (Gr\u00f6\u00dfe, Infrastruktur usw.) sind einige davon m\u00f6glicherweise nicht f\u00fcr Ihr Unternehmen geeignet. Sicherheit ist keine Einheitsgr\u00f6\u00dfe, und was f\u00fcr den einen wichtig ist, kann f\u00fcr den anderen \u00fcbertrieben sein. K\u00fcmmern Sie sich darum, was praktisch ist, w\u00e4hlen Sie einen mehrschichtigen Ansatz und denken Sie daran, dass es bei der Implementierung neuer Kontrollen immer eine gute Idee ist, diese zun\u00e4chst zu testen, um unbeabsichtigte St\u00f6rungen zu vermeiden.<\/p>\n \u201eDie Erde ist nicht flach und Ihr Netzwerk sollte es auch nicht sein.\u201c<\/p>\n – Catherine Pitt, VP Information Security Officer bei Pearson<\/p>\n<\/blockquote>\n Viele der heutigen Angriffe, wie zum Beispiel APTs<\/a>, sind so konzipiert, dass sie in den Netzwerken der Opfer landen und sich ausbreiten. Um dies zu verhindern, m\u00fcssen Sie Barrieren zwischen Ihren Benutzer:innen und Assets errichten.<\/p>\n Fernzugriffsfunktionen sind nicht nur f\u00fcr Ihr Unternehmen von entscheidender Bedeutung, sondern es bestehen auch nur wenige Dinge, die ein Angreifer lieber kompromittieren w\u00fcrde.<\/p>\n Sind Sie auf der Suche nach einer M\u00f6glichkeit, die Sicherheit Ihrer verteilten Server und Endpunkte im Blick zu behalten?<\/p>\n \ud83d\udd12 Erfahren Sie, wie NinjaOne RMM\u00ae Endpoint Security<\/a> mit modernen IT-Umgebungen zusammenarbeitet.<\/span><\/p>\n<\/div>\n Die Absicherung von RDP ist zwar ein elementarer Sicherheitsaspekt, aber das Vers\u00e4umnis, dies zu tun, ist nach wie vor eine der Hauptursachen f\u00fcr Kompromittierungen.\u00a0Ein schneller Shodan-Scan<\/a> zeigt, dass derzeit Millionen von Systemen RDP zug\u00e4nglich machen. Sie sind zweifelsohne Brute-Force-Angriffen<\/a> ausgesetzt. Einmal geknackt, kann der Zugang zu kompromittierten Konten f\u00fcr eine Handvoll Dollar auf Dark-Web-Marktpl\u00e4tzen erworben werden<\/a>.<\/span><\/p>\n Die Kompromittierung \u00fcber RDP war der bevorzugte Angriffsvektor f\u00fcr zahlreiche Ransomware-Varianten, darunter CrySiS\/Dharma, Shade und SamSam<\/a>, die Ransomware, mit der Allscripts, zahlreiche Krankenh\u00e4user und die Stadt Atlanta infiziert wurden.<\/p>\n Zus\u00e4tzliche Ressourcen:<\/strong><\/p>\n <\/p>\n \u201eZeigen Sie mir eine b\u00f6sartige E-Mail, und ich zeige Ihnen jemanden, der darauf klicken wird.\u201c<\/p>\n – Antikes Sprichwort der Informationssicherheit<\/p>\n<\/blockquote>\n Die \u00fcberwiegende Mehrheit der Angriffe zielt auf den anf\u00e4lligsten Teil Ihres Netzwerks ab: Ihre Benutzer:innen. Im Folgenden finden Sie Best Practices zur Sicherung ihrer Ger\u00e4te und zum Schutz der Benutzer:innen vor sich selbst.<\/span>Die n\u00e4chsten Ma\u00dfnahmen (falls Sie diese nicht schon ergriffen haben)<\/h2>\n
![\"msp](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2024\/10\/msp-cybersecurity-checklist-blog-banner-1.png\")
<\/a><\/p>\nWas diese Checkliste behandelt<\/h2>\n
\n
\n
\n
\n
Beschr\u00e4nken Sie den Zugriff in Ihrem Netzwerk<\/h2>\n
\n
\n
\n<\/strong> Hier finden Sie eine Kurzanleitung<\/a>,\u00a0die Ihnen den Einstieg erleichtert.<\/li>\n
\n<\/b>Sie sollten zwischen Gro\u00df- und Kleinschreibung unterscheiden und aus Buchstaben, Zahlen und Symbolen bestehen. Au\u00dferdem sollten Passw\u00f6rter nicht weitergegeben oder wiederverwendet werden. Aus praktischer Sicht bedeutet das, dass das richtige Tool f\u00fcr die Passwortverwaltung ein Muss ist. Ein Spreadsheet reicht hier nicht aus. Es gibt zahlreiche Optionen f\u00fcr die sichere Speicherung von Passw\u00f6rtern, die Verwaltung von Berechtigungen, die \u00dcberpr\u00fcfung der Nutzung und die \u00dcberwachung von Sitzungen. Dieses Softwarel\u00f6sungen kommen Ihnen auch dann zugute, wenn Sie einen Techniker entlassen m\u00fcssen oder dieser pl\u00f6tzlich k\u00fcndigt.\u00a0<\/span><\/li>\n
\n<\/b>Microsofts Local Administrator Password Solution (LAPS)<\/a> kann dabei helfen, diese Aufgabe zu bew\u00e4ltigen.<\/li>\n
\n<\/strong> F\u00fcr Angreifer\/Malware ist es sehr \u00fcblich, den Browser-Cache auszulesen.<\/li>\n
\nDies ist besonders wichtig, um die aktuelle Flut von Ransomware-Angriffen zu verhindern, die MSP-Software-Tools komrpomittieren.<\/strong> Es besteht eine Vielzahl von 2FA\/MFA-Tools, die in Frage kommen.<\/li>\n
\n<\/b>Kein ‚admin‘, ‚administrator‘, ‚default‘, ‚root‘, ‚user‘, usw.<\/li>\n
\nRichten Sie sich nach <\/span>dem Prinzip der Minimalprivilegien<\/span><\/a>. Beispiel: Techniker:innen sollten standardm\u00e4\u00dfig ein Nicht-Admin-Konto und nur bei Bedarf ein separates Administratorkonto verwenden, idealerweise von einer<\/span> Workstation mit privilegiertem Zugriff<\/span><\/a>.<\/span><\/li>\n
\n<\/b>Microsoft empfiehlt die Einf\u00fchrung eines mehrstufigen Modells<\/a>, das aus drei Ebenen von Administratorkonten besteht, die jeweils eine andere Kategorie von Assets (Domains, Server und Workstations) kontrollieren.<\/li>\n
\nDie Einrichtung von Dienstkonten f\u00fcr bestimmte Anwendungen kann Ihnen helfen, den Schaden einzugrenzen, wenn ein einzelnes Konto kompromittiert wird, aber nur, solange Sie<\/span> h\u00e4ufige Fehler vermeiden<\/span><\/a>. Deaktivieren Sie Services, die Sie nicht ben\u00f6tigen, und erw\u00e4gen Sie die<\/span> Verwendung von Group Managed Service Accounts (gMSA)<\/span>, um die Verwaltung von Dienstkonten einfacher und sicherer zu machen.<\/span><\/li>\n
\n<\/span>Eine weitere der grundlegendsten Sicherheitskontrollen, die in der Praxis h\u00e4ufig \u00fcbersehen wird. Hier finden Sie eine einfache Anleitung<\/span> zum Entfernen lokaler Administrator:innen mithilfe eines GPO<\/span> sowie Ratschl\u00e4ge zum Umgang mit Missverst\u00e4ndnissen oder Widerst\u00e4nden, auf die Sie bei F\u00fchrungskr\u00e4ften und anderen Personen sto\u00dfen k\u00f6nnten.<\/span><\/span><\/li>\n
\n<\/b>Es wird gesch\u00e4tzt, dass<\/span> ein Drittel der Benutzerkonten nicht benutzt, aber immer noch aktiv sind<\/span><\/a>. All diese unbeaufsichtigten Zugangspunkte stellen ein gro\u00dfes Sicherheitsrisiko dar. F\u00fchren Sie regelm\u00e4\u00dfig Audits durch, und legen Sie eine klare Richtlinie f\u00fcr die Deaktivierung und L\u00f6schung von Konten fest, wenn Benutzer:innen das Unternehmen verlassen.<\/span><\/span><\/li>\n
\n<\/b><\/span>Eine wachsende Zahl der heutigen Angriffe infiziert nicht nur einzelne Workstations. Sie sind darauf ausgelegt, zu landen und zu expandieren. Durch die Verwendung von Active Directory, Gruppenrichtlinien<\/a> und der Windows-Firewall k\u00f6nnen Sie die Kommunikation zwischen Arbeitsstationen verhindern<\/a> und dennoch den Zugriff von Ihrer Workstation mit privilegiertem Zugriff erm\u00f6glichen.<\/li>\n<\/ul>\n
\n<\/strong>Sichern Sie Ihre Fernverwaltungs-Tools<\/h2>\n\n
\n<\/b>Beschr\u00e4nken Sie ihre Verf\u00fcgbarkeit strikt auf die Personen, die ihre Arbeit nicht ohne sie erledigen k\u00f6nnen.<\/span><\/span><\/li>\n
\n<\/b>Verwenden Sie immer Minimalprivilegien<\/span>, besonders bei der Arbeit mit Kunden in regulierten Branchen oder bei der Arbeit mit personenbezogenen Daten oder anderen sensiblen Informationen. M\u00f6glicherweise m\u00fcssen Sie irgendwann beweisen, dass Ihre Techniker:innen nie die M\u00f6glichkeit hatten, auf diese Informationen zuzugreifen.<\/span><\/li>\n
\n<\/b>Dabei besteht die Gefahr, dass Angreifer <\/span>an die DA-Anmeldeinformationen gelangen,<\/span><\/a> falls eine dieser Arbeitsstationen kompromittiert wird. Domain-Administratorkonten sollten nur in wenigen F\u00e4llen und ausschlie\u00dflich f\u00fcr die Anmeldung bei Domain-Controllern (nicht bei Workstations) verwendet werden.\u00a0<\/span><\/li>\n
\n<\/b>F\u00fchren Sie regelm\u00e4\u00dfig Updates durch und halten Sie besonders Ausschau nach Patches, die Schwachstellen beheben, die Angreifern die Ausf\u00fchrung von Remote-Code oder unberechtigten Zugriff erm\u00f6glichen k\u00f6nnten. <\/span><\/li>\n
\n<\/b>Die Erfassung von Informationen \u00fcber Fernzugriffssitzungen und -aktivit\u00e4ten erm\u00f6glicht es Ihnen, Audits durchzuf\u00fchren, Anomalien zu erkennen und verd\u00e4chtige Aktivit\u00e4ten zu untersuchen bzw. darauf zu reagieren.<\/span><\/li>\n<\/ul>\n
\n<\/strong> Sicherer Remote-Desktop (RDP)<\/h2>\n\n
\n<\/b>Und selbst dann sollten Sie sich fragen, ob es nicht einen besseren Weg zum Erledigen Ihrer Aufgabe gibt.<\/span><\/li>\n
\n<\/b>Verwenden Sie Scan-Tools wie <\/span>Nmap<\/span><\/a>, <\/span>masscan<\/span><\/a> oder <\/span>Shodan<\/span><\/a>. Angreif tun dies sicherlich bereits, also nehmen Sie sich ein paar Minuten Zeit, um Ihr Netzwerk mit deren Augen zu sehen. Ein weiteres Tool, das grundlegende Port-Scans f\u00fchren kann, ist <\/span>ShieldsUP<\/span><\/a>.<\/span><\/li>\n
\n<\/b>Einer der h\u00e4ufigsten Wege, eine Backdoor zu schaffen, ist der <\/span>Missbrauch der Windows-Funktion ‚Sticky Keys‘<\/span><\/a>. Zwei verschiedene Scan-Tools zur Identifizierung von RDP-Servern mit Backdoors sind verf\u00fcgbar <\/span>hier<\/span><\/a> oder <\/span>hier<\/span><\/a>.<\/span><\/li>\n
\n<\/b>Das verringert das Risiko, dass Angreifer einen kompromittierten Rechner ausnutzen, um auf andere Rechner in Ihrem Netzwerk zuzugreifen.<\/span><\/li>\n
\n<\/b>Alle Administrator:innen k\u00f6nnen sich standardm\u00e4\u00dfig bei Remote-Desktop anmelden.<\/span><\/li>\n
\n<\/b>MFA ist in jedem Fall eine gute Idee, aber wenn Sie unbedingt RDP verwenden m\u00fcssen, ist diese Funktion ein Muss.<\/span><\/li>\n
\n<\/b>Die Anzahl der Fehlversuche, die erforderlich sind, um eine Sperre auszul\u00f6sen, h\u00e4ngt von Ihren Pr\u00e4ferenzen ab, aber als allgemeine Grundregel gilt das, was <\/span>Microsoft empfiehlt<\/span><\/a>, und zwar 15-min\u00fctige Sperrungen nach 10 Fehlversuchen.<\/span><\/li>\n
\n<\/b>Dies mag nicht popul\u00e4r sein, aber es ist eine wichtige Ma\u00dfnahme, um <\/span>zu verhindern, dass Sitzungen kompromittiert werden<\/span><\/a>.<\/span><\/li>\n
\n<\/b>Durch den Einsatz einer Firewall k\u00f6nnen Sie<\/span> den RDP-Zugriff auf IP-Adressen auf der Whitelist beschr\u00e4nken<\/span><\/a>. RD-Gateways sind umfassender. Sie erm\u00f6glichen es Ihnen, nicht nur zu beschr\u00e4nken, wer Zugang hat, sondern auch, worauf diese Personen Zugriff haben, ohne dass Sie VPN-Verbindungen konfigurieren m\u00fcssen. <\/span>Erfahren Sie mehr \u00fcber RD Gateways hier.<\/span><\/a>\u00a0<\/span><\/li>\n
\n<\/b>NLA bietet eine zus\u00e4tzliche Authentifizierungsebene vor dem Aufbau einer Remote-Verbindung. Hier finden Sie mehr Informationen dazu, <\/span>wie Sie Ihre Gruppenrichtlinien-Einstellungen \u00fcberpr\u00fcfen k\u00f6nnen, um sicherzustellen, dass NLA aktiviert ist.<\/span><\/a><\/li>\n
\n<\/b>Dies wird RDP nicht vor erfahrenen Angreifern sch\u00fctzen, aber es wird die Messlatte h\u00f6her legen und Ihnen helfen, sich vor automatisierten Angriffen und faulen Angreifern zu sch\u00fctzen. <\/span>Microsoft erkl\u00e4rt hier, wie Sie die \u00c4nderung vornehmen k\u00f6nnen.<\/span><\/a>\u00a0<\/span><\/li>\n<\/ul>\n\n
Sch\u00fctzen Sie Ihre Benutzer:innen und Endpunkte<\/h2>\n
\n
\n<\/span><\/p>\n\n