Low hanging fruit = 98% Sicherheit

Wir alle leben in unserer Blase und ich in meiner. Und ich möchte hier kurz teilen, was sich grade in meiner Blase zu einem Thema tut und was wir gemeinsam daraus lernen können:

Inhalt

  1. Top of „meine Blase“
  2. Microsoft Digital Defense Report
  3. Enable multifactor authentication / Multifaktor-Authentifizierung nutzen
  4. Keep up-to-date! / Modernes Patch-/Vulnerabilitymanagement
  5. Utilize Anti-Malware / Nutze Anti-Malware bzw. Anti-Virus
  6. Apply least privilege access / Arbeite immer mit den minimal notwendigen Rechten
  7. Protect Data / Daten schützen
  8. Fazit

Top of „meine Blase“

Wir – also meine direkten Kolleg*innen und ich – werden sowohl von Kunden als auch von Partnern aktuell sehr häufig auf das Thema „Azure Sentinel“ und die damit verbundenen Themen SIEM und SOAR angesprochen.

Finde ich super, zeigt es doch, dass dieses Thema offensichtlich bei zunehmend mehr Menschen landet und damit das Verständnis für die Notwendigkeit von entsprechenden (Cyber)Security Maßnahmen steigt! 👍

Und jeder der mich kennt weiß, dass jetzt ein „ABER“ kommt!

ABER ich fange ja auch bei einem Haus nicht mit dem Dach an, bevor ich überhaupt den Keller geplant oder genehmigt habe!

Stephanus

Was hat das eine mit dem anderen zu tun?
Ganz einfach: SIEM/SOAR stellt die Kür beim Thema Cybersecurity Maßnahmen dar und nicht den Anfang.

Und gerne darf jetzt gefragt werden: „Wo ist denn dann der Anfang? Unsere Netzwerkabteilung sagt doch, dass wir mit Firewall, Proxy, IDS super aufgestellt sind und alles abwehren können und uns jetzt nur noch ein gescheites SOC fehlt!“

Ähm, falsch!

Wenn wir uns mal die tägliche Presse vor Augen führen und dort jeden Tag wieder ein neues Opfer von Ransomware o.ä. finden, dann zeigt es uns doch sehr deutlich, dass dem eben nicht so ist!

Und um das auch mal deutlich zu sagen: „Die Einschläge kommen näher!“ (wenn sie nicht eh schon mal getroffen haben!)

Und nicht nur das – die Angriffe scheinen sich (in meiner Blase) grade auch eindeutig zu verlagern:
Weg von „klassischen Opfern Kunden“ hin zu „Public Sector“ Kunden.
Oder wie es im Darknet heißt: „Low hanging fruits“!
Dies lässt sich im Übrigen damit erklären, dass viele Kunden mittlerweile den Weg in die Obhut unserer sicheren Cloud gehen und damit deutlich besser geschützt sind und Angriffe schneller erkannt und eingedämmt werden können.

Microsoft Digital Defense Report

Und nun? Wie bauen wir denn den Keller, die Sicherheitstür, den Hüllenschutz und die Schatzkammer, bevor wir mit dem Dach weitermachen?

Dazu möchte ich das Auge auf den Microsoft Digital Defense Report und dort insb. auf die Seite 124 lenken:

Microsoft Digital Defense Report – the cybersecurity bell curve

Dort wird ausgeführt, dass 5 Maßnahmen zu einem Schutz von 98% führen – was – und da geben uns die täglichen Meldungen Recht – bei weitem mehr ist, als typischer Weise heute verfügbar ist.

Ich möchte (kurz) auf diese 5 Maßnahmen (Achtung geänderte Reihenfolge!) eingehen und auch auf meine anderen Blogposts

verweisen:

1. Enable multifactor authentication / Multifaktor-Authentifizierung nutzen

Muss ich darüber wirklich noch schreiben? Ja, leider!
Also:

Ein Unternehmen, welches seine Identitäten nicht (ausreichend) schützt, darf gerne sein übriges Security Budget gemeinnützigen Zwecken spenden, denn dort hat es einen größeren Impact!

Stephanus

Wer in einer Cloudwelt seine Identitäten nicht schützt, der hat schon verloren – und das sehe ich anders als Brecht, denn da hilft aller Kampf nicht um einem „kann“ auch nur nahe zu kommen.

Daher MFA, MFA, MFA! Und wenn dann noch Zeit ist #gopasswordless.

Wenn ich sonst nichts mache, das ist das ABSOLUTE Minimum!
Gerne dazu sowas wie SSO zu allen Cloud und on-premises Apps, Conditional Access, etc.
Wer soweit gekommen ist, der kennt den Wert einer solchen Herangehensweise und wird ganz von alleine weitermachen mit

2. Keep up-to-date! / Modernes Patch-/Vulnerabilitymanagement

Lange habe ich überlegt, wie ich das „politisch korrekt“ schreiben kann – ich schaffe es leider nicht:

Kriegt endlich euer Patchmanagement in den Griff! Kann doch nicht so schwer sein auf aktuelle Bedrohungen, für die es Patches/Mitigations gibt, schnellst möglich zu reagieren!

Stephanus

Wenn ich das sage bekomme ich viele Ausreden, die folgende Phrasen enthalten: „Wir müssen unsere Wartungsfenster einhalten!“, „Wir müssen erst 300% getestet haben…“, „Der Azubi ist dafür verantwortlich!“, „Haben wir doch!“

Really? No!

Auf kurzfristige Bedrohungen sind die wenigsten vorbereitet (die Liste an Beispielen ist leider ziemlich lang).
Also packt es endlich an! Hilft übrigens auch bei anderen Themen wie agile Softwareverteilung, Recovery, etc…

Noch ein Wort zu Vulnerabilitymanagement: das verhählt sich so ähnlich wie Schatten IT: alle denken „haben wir nicht“ bzw. „brauchen wir nicht, läuft doch über unsere normalen Deploymentmechanismen super duper“ – wenn man dann aber mal genauer drauf schaut, dann zeigt sich: falsche Annahmen führen zu Katastrophen, vgl. Was hat Jurassic Park* mit IT Security zu tun?

Um das in den Griff zu bekommen hilft die Vulnerabilitymanagement Funktionalität von Microsoft Defender for Endpoint (MDE) – á propos MDE:

3. Utilize Anti-Malware / Nutze Anti-Malware bzw. Anti-Virus

*ohneWorte*

Ok, doch ein Satz: bald wird es „Microsoft Defender for Endpoint Plan 1“ im Lizenzbundle von Microsoft 365 E3 geben – und alleine dadurch kann hier sehr viel erreicht werden – über den Plan 2 und die erweiterten Möglichkeiten sprechen wir ein ander Mal!

4. Apply least privilege access / Arbeite immer mit den minimal notwendigen Rechten

Bei dem Thema frage ich immer gerne: schätzt doch mal, wieviel eurer Zeit (bzw. die eurer Admins) verbringt ihr mit Arbeiten?

Antwort: 220 Tage * 8h = 1760h.

Wieviele Stunden hat ein Jahr?
Antwort: 365*24h = 8760h

Das macht? 8760h/1760h ~ 5.

Also ist die Antwort: 1/5 eurer Zeit verbringt ihr mit Arbeit! (Ja, hat mich auch überrascht, dass es tatsächlich so wenig ist, aber Mathematik lässt sich nicht leugnen!)

D.h. in 4/5 der Zeit liegen dedizierte Useraccounts brach und können während dieser Zeit unbemerkt missbraucht werden!
Da wäre es doch schon ganz clever, wenn während dieser Zeit alle Rechte, die Schaden anrichten könnten, deaktiviert wären und nur über einen auditierfähigen und überwachten Freigabeworkflow gestartet werden könnten, oder?

Na dann los! What is Privileged Identity Management? – Azure AD | Microsoft Docs

5. Protect Data / Daten schützen

Eins meiner Lieblingsthemen – und darüber habe ich schon (mehr als einmal) gebloggt: [SD] Best Practice Datenklassifizierung

Daher nur kurz die Zusammenfassung: wer seine Daten nicht kennt, der muss alle gleich behandeln – was nicht funktionieren kann, daher müssen Daten basierend auf ihrem Inhalt (manuell/automatisch) klassifiziert werden und anhand der Klasse müssen Regeln gelten, z.B.:

  • Darf nicht mit externen Usern geteilt werden
  • Muss verschlüsselt sein
  • Muss nach X Tagen gelöscht werden
  • Darf nicht vor Y Tagen gelöscht werden

Damit bekommt man neben der Cybersicherheit auch noch so manches Compliance Thema in den Griff, aber das führt jetzt zu weit! 😉

Fazit

Wenn ich diese 5 Maßnahmen erfolgreich umgesetzt habe, dann erhöhe ich meine Sicherheit in einem ungeahnten Maße und erst dann ist die richtige Zeit gekommen um sich über „Advanced“ Themen wie ein vollumfängliches SOC mit SIEM/SOAR zu beschäftigen – aber guess what – auch dabei sind wir natürlich gerne behilflich!