Abstract:
Remote Access – Top Security Challenges
An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit.
Speaker:
Günther Roat, SBA Research
Philipp Reisinger, SBA Research
Talk language: German
About the Speaker:
*********************
Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.
Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther Roat, Philipp Reisinger
1. Classification: Public 1
Willkommen
zur SBA Live Academy
#bleibdaheim # remotelearning
Heute: Remote Access – Top Security Challenges – Teil 1
by Günther Roat, Philipp Reisinger
This talk will be recorded as soon as the presentation starts!
Please be sure to turn off your video in your control panel.
2. Classification: Public 2
Professional Services
Penetration Testing
Architecture Reviews
Security Audit
Security Trainings
Incident Response Readiness
ISMS & ISO 27001 Consulting
Forschung & Beratung unter einem Dach
Applied Research
Industrial Security | IIoT Security |
Mathematics for Security Research |
Machine Learning | Blockchain | Network
Security | Sustainable Software Systems |
Usable Security
SBA Research
Wissenstransfer
SBA Live Academy | sec4dev | Trainings |
Events | Lehre | sbaPRIME
Kontaktieren Sie uns: anfragen@sba-research.org
3. Classification: Public 3
#bleibdaheim #remotelearning
Willkommen zur SBA Live Academy!
3 x pro Woche (Di - Do)
13:00 – 13:30 Uhr
20-minütiger Live-Talk
Ausgiebige Q&A Session
Kostenfrei
Programm: https://www.sba-
research.org/sba-live-academy/
Treten Sie unserer MeetUp Gruppe bei!
https://www.meetup.com/Security-Meetup-by-SBA-Research/
4. Classification: Public 4
#bleibdaheim #remotelearning
Willkommen zur SBA Live Academy!
Impulse setzen
Interessantes vermitteln
Erfahrungsaustausch Tiefgehende Schulung
6. Classification: Public 6
Remote Access – Top Security Challenges
Part I: Typische Auditfindings im Bereich People & Processes
Part II: Typische Auditfindings im Bereich Technology
02.04.2020, 13.00 Uhr
SBA Research gGmbH, 2020
7. Classification: Public 7
Vorwort
Audits als Werkzeug der kontinuierlichen Verbesserung
SBA Research gGmbH, 2020
• Die Auditfeststellungen sollen keine überhebliche Top Down
Predigt von Auditoren im Elfenbeinturm sein!
• Viele SBA Prüfer kommen selbst aus der operativen IT, SW
Entwicklung und müssen sich auch intern mit
Informationssicherheitsanforderungen „herumschlagen“.
• Informationssicherheit muss langfristig gedacht werden und sich
stätig weiterentwickeln (KVP).
-> Blick von Extern hilft oft Blind Spots und aufzudecken.
8. Classification: Public 8
People – Processes – Technology
Die drei Säulen der Informationssicherheit
SBA Research gGmbH, 2020
„Wenn Sie glauben, Technologie könne Ihre Sicherheitsprobleme lösen, dann
verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht.“
– Bruce Schneier, Vorwort von Secrets and Lies, 2000
“Security is not a product. It‘s a process.”
– Bruce Schneier
9. Classification: Public 9
People – Processes – Technology
Drei Säulen der Informationssicherheit
SBA Research gGmbH, 2020
People
ProcessesTechnology
10. Classification: Public 10
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
11. Classification: Public 11
People
Typische Auditfindings I
Zwei Themengebiete sind sei jeher unter den Top Feststellungen:
• Keine/wenige unternehmensweiten Richtlinien zum Thema.
o z.B. Nutzung privates Equipment erlaubt/verboten/wofür zulässig?
o Unstrukturiertes „Ausnahmenmanagement“.
• Mangelnde Schulung der Mitarbeiter.
o z.B. Sicherer Verwendung von zulässigen Remote Access Tools &
Gefahren.
SBA Research gGmbH, 2020
12. Classification: Public 12
People
Typische Auditfindings II
Information Governance
• Oftmals „totes Papier“ – sofern überhaupt vorhanden.
o Verantwortung der InfoSec Teams ist nicht nur Vorgaben zu definieren,
sondern auch bei deren Umsetzung zu unterstützen und zu beraten!
• Informationsklassifikation & Verarbeitungsregelungen
o Was darf von welchen Geräten aus verarbeitet und wo gespeichert werden?
o Nur kleinem Kreis der „InfoSec Wissenden & Auditoren“ bekannt.
• Sync von Firmenmails auf mangelhaft verwaltete Smartphones.
o Selten über IMAP, aber oft über Active Sync mit schwachen
Sicherheitseinstellungen (z.B. kein PIN Enforcement).
SBA Research gGmbH, 2020
13. Classification: Public 13
People
Typische Auditfindings III
• Verstärkte Gefahr Social Engineering nicht angemessen adressiert.
o Phishing: Mitarbeiter Awareness mit regelm. Infomails
aufrechterhalten – hier mehr denn je zeitnah informieren.
o CEO Fraud: Sind Verifizierungs-Prozesse auch im Telearbeitsworkflow
sichergestellt? – Erreichbarkeit der Beteiligten?
o Incident Response Prozesse stehen vor Herausforderungen bei
flächendeckender Telearbeit (wie wird Client isoliert etc.).
• Thema Media Disposal @ Home nicht geregelt (PII im Papiermüll).
SBA Research gGmbH, 2020
14. Classification: Public 14
People
Typische Auditfindings IV
• Benutzerfreundlichkeit der Lösung nicht berücksichtigt, wodurch
sie mittels „alternative Kanäle“ umgangen wird.
o Timeouts (VPN, RDP, etc.) gehen an Arbeitspraxis vorbei.
o Performance der Firmengeräte im Home Office nicht ausreichend.
o Installation von privaten Druckern auf Firmengeräten möglich?
(sonst Umgehung mittels USB Stick und privater Email)
• Nutzung nicht autorisierter Fernwartungssoftware (e.g.
TeamViewer, VNC, LogMeIn etc.).
o z.B: Dev und R&D (keine Schuldzuweisung)
SBA Research gGmbH, 2020
15. Classification: Public 15
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
16. Classification: Public 16
Processes
Typische Auditfindings I
• Verfügbarkeit & Kapazitätsplanung nicht berücksichtig.
o Sind wichtige Komponenten hochverfügbar? (VPN Endpoints, Server Cluster)
o QoS/Traffic Shaping -> müssen Mitarbeitergruppen priorisiert werden?
o Wartungsfenster aktuell schwer planbar -> Mitarbeiter haben durch
Familienpflichten ungewöhnliche Arbeitszeiten.
• Kein Monitoring bzw. Alerting bei fehlgeschlagenen Anmeldeversuchen.
o Brute Forcing, Password Spraying & Credential Stuffing Angriffe.
o Verfügbarkeitssicht - > zu viele Requests durch Brute Forcing -> DoS
o User Lockouts durch Sicherheitsmaßnahmen am Perimeter.
SBA Research gGmbH, 2020
17. Classification: Public 17
Processes
Typische Auditfindings II
• Kein strukturierter „Demand Prozess“ & Schatten IT
o z.B. dringender Bedarf an neuer Online Meeting Lösung geht an
Demand Prozess vorbei (zu langsam) -> Prozess für Re-Evaluierung
nach Überwindung der aktuellen Situation.
• Langsames Patch Management bei kritischen Remote Access
Schwachstellen
o Insb. aktuell: Konflikt Verfügbarkeit vs. Sicherheit.
o Spätestens wenn Exploits automatisierbar sind -> patchen!
o e.g. Bluekeep & BlueGate, Citrix Gateway, etc.
o Angreifer nutzen Krisensituationen um ihre Erfolgschancen zu
erhöhen!
SBA Research gGmbH, 2020
18. Classification: Public 18
Processes
Typische Auditfindings III
• Kein Prozess zur zentralen Meldung und Sperrung von externen
Zugängen (etwa bei Diebstahl des Notebooks)
o Kontaktdaten für Helpdesk auch ohne Firmenclient verfügbar?
o Kann ich einzelne Geräte überhaupt aus dem VPN aussperren?
• Keine zentrale Sichtbarkeit und Review von Externen mit VPN
Zugriff (inkl. Shared Accounts).
o Alle zuvor besprochenen Aspekte treffen nun natürlich auch auf
Dienstleister im Home Office zu – Risiko kann hier noch höher sein!
SBA Research gGmbH, 2020
19. Classification: Public 19
Processes
Typische Auditfindings IV
• Kein Notfallplan/Alternativen für den Ausfall von Remote Access
Services.
• Neu: Wie werden defekte Endgeräte gerade serviciert?
o Abholung durch Botendienst?
o Wie ist die Ansteckungsgefahr durch Notebook Oberflächen
einzuschätzen?
o Sofort durch neues Gerät tauschen?
o Ersatzgerät (vor Ort) für „kritische“ Mitarbeiter/Prozesse?
SBA Research gGmbH, 2020
20. Classification: Public 20
Processes
Typische Auditfindings V
• Wie geht man aktuell mit Endgeräten um die eine Malware
Infektion anzeigen?
o Wie schon bei Verlust des Clients: Kann ich einzelne Devices überhaupt
aus dem VPN aussperren?
o Bzw. kann ich einzelne Geräte im VPN so isolieren, dass ich noch
IR/Forensics Maßnahmen durchführen kann? (Quarantäne/Remediation
Netz).
• Daten auf lokalen Geräten im Backupkonzept nicht berücksichtigt
bzw. Thema in Schulungen/Richtlinien nicht adressiert.
SBA Research gGmbH, 2020
21. Classification: Public 21
People – Processes – Technology
Typische Auditfindings
SBA Research gGmbH, 2020
People
ProcessesTechnology
22. Classification: Public 22
Ausblick: Technology
Typische Auditfindings
• Keine Zwei Faktor Authentifizierung.
• Schlechte Netzwerk Segmentierung im vgl. zu on-Premise.
• Nutzung veralteter und unsicherer Protokolle (e.g. PPTP).
• Private Geräte im Unternehmens-VPN ohne angm. Security Baseline.
o Patch-Status, AV aktiv, Host Firewall aktiv, Festplattenverschlüsselung etc.
• Keine Sichtbarkeit & Schutz des Client Internetverkehrs (Split Tunneling).
• RDP direkt im Internet / Kein RPD Hardening (e.g. Gateways, NLA,
Encryption).
• Kein Hardening der VDI Umgebungen (Escaping).
• Schlechte TLS Konfig & keine mutual Authentication (Zertifikatprüfung).
SBA Research gGmbH, 2020
23. Classification: Public 23
Weiterführende Literatur
• SBA Research Security Tipps for Home Office:
https://www.sba-research.org/2020/03/19/security-tips-for-home-office/
• ENISA Sicherheit bei Telearbeit:
https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home
• BSI Standards VPN und Fernzugriff:
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-VPN/vpn_node.html
und
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/ISi-Reihe/ISi-Fern/fern_node.html
• BSI VPN Checklist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_fern_checklist
e_pdf.pdf?__blob=publicationFile&v=1
SBA Research gGmbH, 2020