Ein Kommentar von Kristian von Mejer, Global Account Executive bei Forescout Technologies Inc.

[datensicherheit.de, 08.06.2020] Die COVID-19-Pandemie stellt Unternehmen vor neue, unvorhergesehene Herausforderungen und bringt leider auch ernsthafte, weitreichende IT- und Sicherheitsrisiken durch Nutzung einer Remote-Arbeitsumgebung mit sich. Die Situation hat jedoch auch die Möglichkeit geschaffen, bestehende und neue Investitionen in Cyber-Verteidigungstechnologien anzupassen. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, entstehen neue Hindernisse, wie die Skalierung und Absicherung von Virtual Private Networks (VPNs) und Fernzugriff. Die meisten Organisationen hatten zuvor keine ausgereiften Sicherheitspraktiken für ihre VPN-Netzwerke oder ihre Fernmitarbeiter in der Größenordnung eingeführt, mit der sie jetzt konfrontiert sind.

Kristian von Mejer, Forescout Technologies Inc., © Forescout Technologies Inc.

Remote-Arbeitsumgebung

Die Richtigen Fragen stellen

Es ist daher für Sicherheitsverantwortliche sehr wichtig, Ihren Teams die richtigen Fragen zu stellen, um dafür zu sorgen, dass das Netzwerk am Ende wirklich sicher ist. Die Herausforderung besteht vor allem durch die physische Ausweitung und steigende Mobilität. Das Ziel sollte immer sein, das höchstmögliche Sicherheitsniveau zu erreichen, ohne die Arbeitsweise der Mitarbeiter einzuschränken, denn am Ende müssen sie die Leistung erbringen, ohne Einschränkungen bei der Nutzererfahrung.

Unternehmen sollten die folgenden sechs Fragen an ihre IT-Verantwortlichen zur Anpassung an die heutige Remote-Arbeitsumgebung stellen:

1. Wie viele Administratoren sind im Unternehmen beschäftigt? Unternehmen sollten sicherstellen, dass mehrere Konten für verschiedene Administratoren eingerichtet wurden – mit granularen Berechtigungen, Umfang und Auditierung -, um sicherzustellen, dass es bei der Verwaltung des Systems keinen Single Point of Failure gibt, wenn einer der Admins nicht verfügbar ist.
2. Hat jemand (vielleicht besser „Haben Administratoren…“) im Unternehmen Fernzugriff auf Management-Konsolen (welche Management-Konsolen? Von internen IT-Systemen)? Es wird zwar nicht empfohlen, dass Management-Konsolen aus der Ferne zugänglich sind, aber können Firmen diese erreichen, wenn der überwiegende Großteil der Mitarbeiter per Remote-Zugriff verbunden sind und von zu Hause aus arbeiten? Viele Firewalls haben unterschiedliche Regelsätze, zum Beispiel LAN<->LAN vs. VPN<->LAN-Zugriff.
3. Wurden Dashboards oder Reportings für zentrale Services eingerichtet? Die Sicherheits- und Netzwerkteams von Unternehmen müssen Remote-Benutzern und -Geräten bei der VPN-Verbindung zu Unternehmensnetzwerken den gleichen Grad an Einblick und Kontrolle bieten wie den Mitarbeitern auf dem Campus. Dies kann durch Konformitätsbewertung und richtlinienbasierte Endpunkt- und Netzwerkkontrollen erreicht werden, die dazu beitragen können, Geräte zu sichern, während sie per Fernzugriff Unternehmens- oder Bring Your Own Device (BYOD)-Systeme mit Unternehmensnetzwerken verbinden.
4. Sicherheitslösungen können die Sicherheit in Bezug auf Sichtbarkeit, Gerätekonformität und Kontrolle über Richtlinien automatisieren. Sicherheits- und Netzwerkteams müssen alle Ferngeräte in dem Moment sehen und identifizieren, in dem sie sich mit dem Unternehmensnetzwerk verbinden – genau wie Geräte auf dem Campus. Diese erweiterte Sichtbarkeit trägt zur Risikominimierung in der neuen Work-from-Home-Umgebung bei. Als nächstes müssen sie sicherstellen, dass diese Geräte konform sind und dies auch bleiben, unabhängig von dem spezifischen Standort, von dem aus sie sich verbinden.
5. Ausgestattet mit dieser Transparenz können Sicherheits- und Netzwerkteams die Sicherheitslage ihrer Remote-Geräte besser verstehen und sie auf der Grundlage einer Risikobewertung für jedes Szenario entsprechend verwalten.
6. Können Tickets bei den eigenen IT-Service-Desks auch in der Telearbeit erstellt und bearbeitet werden. Können sich diese Teams auf das Endgerät einwählen? Besonders bei neu angeschafften Geräten muss sichergestellt werden, dass diese auch für die Fernwartung aktiviert wurden. Wenn bei der Arbeit von zu Hause aus etwas schief geht, gibt es dann die erforderlichen Details und den Zugang zur Support-Website, um schnell mit dem Team sprechen zu können?

Fazit

Der Schutz von Heimnetzwerken ist möglich, allerdings müssen dafür diese fünf Fragen beantwortet werden. Letztlich sollten alle Unternehmen, wenn sie Home Office ermöglichen, eine Lösung einsetzen, die VPN-Clients identifiziert und die unternehmenseigenen Richtlinien zum Schutz dieser Clients durchsetzt. Verwaltete Geräte, die sich über VPNs verbinden, sollten den gleichen Sicherheitsrichtlinien vor und nach dem Verbindungsaufbau unterliegen, die auch für Geräte vor Ort gelten. Die Forescout-Plattform kann dabei helfen, BYOD bzw. nicht verwaltete Geräte unmittelbar nach Aufbau einer VPN-Verbindung zu erkennen und deren Compliance zu den eigenen Sicherheitsrichtlinien zu prüfen. Sicherheits- und Netzwerkteams können dann schnell fundierte Entscheidungen über die Verweigerung oder Einschränkung des Zugriffs auf Netzwerkressourcen treffen. Nur dann können Unternehmen Bedrohungen wie Ransomware und Co. gelassen gegenüber stehen und ihre Mitarbeiter auch aus der Ferne auf das eigene Firmennetzwerk bzw. auf die Unternehmenseigenen Anwendungen und Daten zugreifen lassen.

Weitere Informationen zum Thema:

Forescout
Device Visibility and Control-Plattform

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

Ein Kommentar von Kevin Bocek, VP Threat Intelligence und Security Strategy bei Venafi

[datensicherheit.de, 22.10.2019] NordVPN, ein Anbieter von Virtual Private Networks aus Panama, hat zugegeben, Opfer eines Hackerangriffs geworden zu sein. Das Unternehmen verfolgt nach eigener Aussage eine „Zero-Logs“-Richtlinie. Hacker haben aber möglicherweise doch auf einige Benutzerdaten zugegriffen. Laut TechCrunch wurde im März 2018 illegal auf eines seiner Rechenzentren in Finnland zugegriffen. Der Angreifer erhielt Zugriff auf den Server – der etwa einen Monat lang aktiv war – durch die Ausnutzung eines unsicheren Remote Control-Systems, dass der Rechenzentrumsprovider zugelassen hatte, NordVPN gab jedoch an, es sei ihm nicht bekannt, dass ein solches System existierte.

Foto: Venafi

Kevin Bocek, „Vice President, Threat Intelligence and Security Strategy“ bei Venafi

Angeblich keine Benutzeraktivitätsprotokoll

Der Server selbst enthielt angeblich keine Benutzeraktivitätsprotokolle; keine der Anwendungen sendete benutzerdefinierte Anmeldeinformationen zur Authentifizierung, so dass Benutzernamen und Passwörter auch nicht abgefangen werden konnten. Dies scheint aber der einzig mögliche Weg, den Website-Verkehr zu missbrauchen gewesen zu sein: Ein personalisierter und komplizierter Man-in-the-Middle-Angriff. Mit dieser Technik kann eine einzelne Verbindung, die versuchte, Zugriff zu erhalten, abgefangen werden. Nach Angaben eines Unternehmenssprechers konnte der abgelaufene private Schlüssel nicht zur Entschlüsselung des VPN-Verkehrs auf einem anderen Server verwendet werden.

Rasantes Wachstum bei VPN-Providerm

VPN-Provider sind aufgrund des wachsenden Bedarfs an Privatsphäre rasant gewachsen. VPN-Cloud-Anbieter benötigen TLS-Zertifikate, die als Maschinenidentitäten fungieren, um die Verbindung, Verschlüsselung und das Vertrauen zwischen den Maschinen zu autorisieren.

Maschinenidentitäten sind äußerst wertvolle Ziele für Cyberkriminelle, und große Unternehmen haben oft Zehntausende von Maschinenidentitäten, die sie schützen müssen.

Automatisierung notwendig

Diese Verstöße werden in Zukunft immer häufiger auftreten. Es ist unerlässlich, dass Unternehmen die Flexibilität haben, automatisch alle Schlüssel und Zertifikate zu ersetzen, die bei Verstößen aufgedeckt wurden. Der schnelle Austausch von Maschinenidentitäten ist der zuverlässige Weg, um Privatsphäre und Sicherheit in einer Welt zu gewährleisten, in der Unternehmen ihre Geschäfte führen und auf die Cloud angewiesen sind.

Diese Fähigkeit ist besonders kritisch in großen Unternehmen, die über Zehntausende von Rechneridentitäten verfügen, die vor Angreifern geschützt werden müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2019
Next-Gen Code Signing: Lösung zum Schutz von Maschinenidentitäten

datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern

datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten