Noch genügend Aufklärungsbedarf
Mehr Sicherheit in Unternehmen und Behörden: Tipps von SolarWinds
Datei-Integritätsüberwachung (FIM) einrichten, um Änderungen an Dateien, Ordnern und Registry-Einstellungen zu erkennen
(09.11.15) - Fast ein halbes Jahr ist es her, aber noch steckt ganz Deutschland der Cyberschreck in den Knochen: Der Bundestag gehackt, Admin-Passwörter abgefangen, krimineller Zugang zum gesamten Parlacom, dem Computernetz des Bundestags. Und es vergeht fast kein Monat ohne neue Schreckensmeldungen: im September war der App-Store von Apple ins Visier geraten und eben im Oktober gab es einen Angriff auf T-Mobile.
Es scheint also trotz der monatlichen Meldungen immer noch genügend Aufklärungsbedarf zu geben. Und dazu zählt, die wichtigsten Bedrohungen überhaupt erkennen zu können. Daher hier die häufigsten Maschen im Überblick, auf die Sicherheitsverantwortliche alle Mitarbeiter regelmäßig hinweisen bzw. auf die IT-Admins vorbereitet sein sollten und essentielle Tipps von SolarWinds für mehr Sicherheit in Unternehmen und Behörden:
>> Spearfishing: Diese Angriffe funktionieren entweder über eine infizierte Website, auf die der Nutzer geschleust wird oder – am häufigsten – durch Attachments in E-Mails. Die Erfahrung zeigt: Wenn nur genug solcher Mails versandt werden, dann findet sich auch jemand, der auf sie reinfällt und damit der Malware Tür und Tor öffnet. Sabotage oder Datendiebstahl sind die Folge.
Admin ToDo:
## Datei-Integritätsüberwachung (FIM) einrichten, um Änderungen an Dateien, Ordnern und Registry-Einstellungen zu erkennen
## Nutzungsmuster privilegierter Accounts überwachen, da die meisten externen Verstöße den Versuch beinhalten, Anmeldedaten zu kompromittieren.
>> Zugang zu privilegierten Accounts: Eine häufige Hacker-Methode ist es, sich gezielt Zugang zu privilegierten Accounts zu erschleichen. Dadurch verschaffen sich die Hacker Zugriff auf die wirklich wertvollen Daten im Unternehmen oder in einer Behörde. Die entsprechenden Passwörter kommen nicht selten von internen Quellen.
Admin ToDo:
## Standardadministratorkonten überwachen, um Richtlinienverstöße und Missbrauch zu erkennen
## Warnungen bei verdächtigen Aktivitäten auf privilegierter Accounts einrichten, z.B. bei einer signifikanten Änderung in der Anzahl von fehlgeschlagenen Authentifizierungsversuchen oder einer Erhöhung der täglichen Logins.
>> SQL-Einschleusung: Hier wird eine Sicherheitslücke in SQL-Datenbanken ausgenutzt. Der Hacker trickst die Zugangsanwendung zur Datenbank aus und schleust eigene Befehle ein. So verschafft er sich Zugang auf wichtige Daten oder – und das ist der Jackpot – Benutzernamen und Passwörter zu den internen Systemen.
Admin ToDo:
## Fehlerraten beobachten: Wenn Angreifer versuchen, in fremden SQL-Umgebungen zu navigieren, generieren sie fast immer SQL-Fehler. Sie zu erkennen ist der beste Weg, um einen Angriff zu erkennen, während es geschieht.
## Web-Anwendungsprotokolle auf Vektoren, die üblicherweise bei Cross-Site-Scripting- und SQL-Injection-Angriffen gefunden werden, hin überwachen.
>> Botnets: Kriminelle infizieren tausende von Computern mit Roboter-Programmen und dirigieren damit Angriffe, zum Beispiel indem sie allen auf einmal befehlen eine bestimmte Website mit Angriffen zu überhäufen. Diese bricht dann unter dem Ansturm zusammen. Man spricht bei einem solchen Angriff von (Distributed)-Denial-of-Service, kurz DDoS.
Admin ToDo:
>> Kontinuierliche Log-Überwachung aus vielfältigen Quellen, um Kommunikation mit Command Control Servern zu erkennen.
>> Automatische Antwort einrichten, z.B. Warnmeldung verschicken, IP-Blockierung, Account schließen.
(SolarWinds: ra)
SolarWinds: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.