Vor externen Bedrohungen schützen

In einer früheren Kolumne habe ich dargelegt, wie die überwiegende Mehrheit der Sicherheitsbedrohungen für Computer in Ihrer Umgebung auf der Clientseite lebt und die Einbeziehung des Endbenutzers erfordert. Benutzer müssen sozial konstruiert sein, um auf ein Element auf ihrem Desktop (eine E-Mail, einen Dateianhang, eine URL oder eine Anwendung) zu klicken, das sie nicht haben sollten. Dies bedeutet nicht, dass wirklich entfernte Exploits keine Bedrohung darstellen. Sie sind.

[Roger Grimes 'Kolumne ist jetzt ein Blog! Erhalten Sie die neuesten IT-Sicherheitsnachrichten aus dem Security Adviser-Blog. ]]

Remote Buffer Overflow und DoS-Angriffe stellen weiterhin eine ernsthafte Bedrohung für die von Ihnen kontrollierten Computer dar. Obwohl sie weniger verbreitet sind als clientseitige Angriffe, bringt die Idee, dass ein Remoteangreifer eine Reihe von Bytes auf Ihren Computern starten und dann die Kontrolle über sie erlangen kann, Administratoren immer die größte Angst und sorgt für die größten Schlagzeilen. Es gibt aber auch andere Arten von Fernangriffen gegen Abhördienste und Dämonen.

Ein Handschuh von Remote-Exploits

Viele Dienste und Dämonen sind MitM-Angriffen (Man in the Middle) und Abhören ausgesetzt. Viel zu viele Dienste erfordern keine Endpunktauthentifizierung oder Verschlüsselung. Durch das Abhören können Unbefugte Anmeldeinformationen oder vertrauliche Informationen erfahren.

Eine unangemessene Offenlegung von Informationen ist eine weitere Bedrohung. Es dauert nur ein wenig Google-Hacking, um Sie zu erschrecken. Sie finden Anmeldeinformationen in einer einfachen Ansicht, und es wird nicht mehr lange dauern, bis Sie echte streng geheime und vertrauliche Dokumente finden.

Viele Dienste und Dämonen sind häufig falsch konfiguriert und ermöglichen einen anonymen privilegierten Zugriff aus dem Internet. Letztes Jahr, als ich eine Klasse über Google-Hacking unterrichtete, fand ich die Gesundheits- und Sozialdatenbank eines gesamten US-Bundesstaates im Internet zugänglich, ohne dass Anmeldeinformationen erforderlich waren. Es enthielt Namen, Sozialversicherungsnummern, Telefonnummern und Adressen - alles, was ein Identitätsdieb benötigt, um erfolgreich zu sein.

Viele Dienste und Dämonen bleiben ungepatcht, aber dem Internet ausgesetzt. Erst letzte Woche fand der Datenbanksicherheitsexperte David Litchfield Hunderte bis Tausende ungepatchter Microsoft SQL Server- und Oracle-Datenbanken im Internet, die nicht durch eine Firewall geschützt waren. Einige hatten keine Patches für Schwachstellen, die vor mehr als drei Jahren behoben wurden. Einige neue Betriebssysteme werden wissentlich mit veralteten Bibliotheken und anfälligen Binärdateien veröffentlicht. Sie können jeden Patch herunterladen, den der Anbieter anbietet, und Sie können ihn trotzdem ausnutzen.

Was kannst du tun?

* Inventarisieren Sie Ihr Netzwerk und erhalten Sie eine Liste aller Abhördienste und Daemons, die auf jedem Computer ausgeführt werden. 

* Deaktivieren und entfernen Sie nicht benötigte Dienste. Ich habe noch kein Netzwerk gescannt, in dem nicht viele nicht benötigte (und oft böswillige oder zumindest potenziell gefährliche) Dienste ausgeführt wurden, von denen das IT-Support-Team nichts wusste.

Beginnen Sie mit risikoreichen und hochwertigen Vermögenswerten. Wenn der Dienst oder Dämon nicht benötigt wird, deaktivieren Sie ihn. Wenn Sie Zweifel haben, recherchieren Sie es. Im Internet stehen viele hilfreiche Ressourcen und Anleitungen kostenlos zur Verfügung. Wenn Sie keine endgültige Antwort finden, wenden Sie sich an den Anbieter. Wenn Sie sich immer noch nicht sicher sind, deaktivieren Sie das Programm und stellen Sie es wieder her, wenn etwas kaputt geht.

* Stellen Sie sicher, dass alle Ihre Systeme vollständig gepatcht sind, sowohl das Betriebssystem als auch die Anwendungen. Durch diesen einzelnen Schritt wird die Anzahl der ordnungsgemäß konfigurierten Dienste, die ausgenutzt werden können, erheblich reduziert. Die meisten Administratoren leisten hervorragende Arbeit beim Anwenden von Betriebssystem-Patches, stellen jedoch nicht sicher, ob Anwendungen gepatcht sind. In dieser speziellen Spalte geht es mir nur um das Patchen von Anwendungen, auf denen Abhördienste ausgeführt werden.

* Stellen Sie sicher, dass die verbleibenden Dienste und Daemons in einem Kontext mit den geringsten Berechtigungen ausgeführt werden. Die Tage, in denen alle Ihre Dienste als Root- oder Domain-Administrator ausgeführt wurden, sollten zu Ende gehen. Erstellen und verwenden Sie eingeschränktere Dienstkonten. Wenn Sie in Windows ein Konto mit hohen Berechtigungen verwenden müssen, verwenden Sie LocalSystem anstelle von Domänenadministrator. Entgegen der landläufigen Meinung ist das Ausführen eines Dienstes unter LocalSystem weniger riskant als das Ausführen als Domain-Administrator. LocalSystem verfügt nicht über ein Kennwort, das in der Active Directory-Gesamtstruktur abgerufen und verwendet werden kann.

* Erfordern, dass alle Dienst- / Dämonkonten sichere Kennwörter verwenden. Dies bedeutet lang und / oder komplex - 15 Zeichen oder mehr. Wenn Sie sichere Kennwörter verwenden, müssen Sie diese weniger häufig ändern, und Sie benötigen keine Kontosperrung (da die Hacker niemals erfolgreich sein werden).

* Google-Hack dein eigenes Netzwerk. Es tut nie weh herauszufinden, ob Ihr Netzwerk vertrauliche Informationen veröffentlicht. Eines meiner Lieblingswerkzeuge ist Foundstones Site Digger. Es automatisiert im Wesentlichen den Google-Hacking-Prozess und fügt viele von Foundstones eigenen Überprüfungen hinzu.

* Installieren Sie Dienste an nicht standardmäßigen Ports, wenn diese an den Standardports nicht unbedingt benötigt werden. Dies ist eine meiner Lieblingsempfehlungen. Setzen Sie SSH auf etwas anderes als Port 22. Setzen Sie RDP auf etwas anderes als 3389. Mit Ausnahme von FTP konnte ich die meisten Dienste (die von der Öffentlichkeit nicht benötigt werden) auf nicht standardmäßigen Ports ausführen, wo Hacker selten sind finde sie.

Testen Sie Ihr Netzwerk natürlich mit einem Schwachstellenanalyse-Scanner, entweder kostenlos oder kommerziell. Es gibt viele ausgezeichnete, die die niedrig hängenden Früchte finden. Haben Sie immer zuerst die Verwaltungsberechtigung, testen Sie außerhalb der Geschäftszeiten und akzeptieren Sie das Risiko, dass Sie während des Scans wahrscheinlich einen wichtigen Dienst offline schalten. Wenn Sie wirklich paranoid sind und öffentlich bekannt gegebene Sicherheitslücken überwinden möchten, verwenden Sie einen Fuzzer, um nach unbekannten Zero-Day-Exploits zu suchen. Ich habe in diesen Tagen mit einem Werbespot gegen verschiedene Sicherheitsgeräte gespielt (behalten Sie das Testcenter für meine Überprüfung im Auge), und der Fuzzer findet Dinge, von denen ich vermute, dass die Anbieter nichts wissen.

Und vergessen Sie natürlich nicht, dass Ihr Risiko für böswillige Exploits hauptsächlich von clientseitigen Angriffen ausgeht.