Fazit Testreihe Security-Tools
Werkzeugkasten für den Basisschutz
Die LANline-Testreihe zu Security-Tools hat verschiedene Werkzeuge untersucht, mit denen sich ein IT-Grundschutz aufbauen lässt. Die getesteten Lösungen basieren auf Open-Source-Software und sind sowohl kostenfrei als auch in einer kommerziellen Variante erhältlich. Dieser Artikel vermittelt nun abschließend einen Überblick über die durchgeführten Tests.
Um die IT-Systeme eines Unternehmens vor Bedrohungen zu schützen, sind Maßnahmen auf verschiedenen Ebenen erforderlich. In der Testreihe zu Security-Tools hat LANline im Jahr 2022 Softwarelösungen aus fünf Einsatzbereichen getestet, mit denen auch kleinere IT-Abteilungen einen Grundschutz implementieren können. Für die Erkennung von Sicherheitslücken bei IT-Systemen und -Anwendungen sind Schwachstellenscanner ein unverzichtbares Instrument. Beim Aufspüren von Eindringlingen helfen Lösungen für Network Detection and Response (NDR), die den Datenverkehr überwachen und bei ungewöhnlichen Zugriffen oder verdächtigen Kommunikationsmustern Alarm schlagen. Ein möglichst umfassender Schutz der Endsysteme ist die Aufgabe von Tools für Endpoint Detection and Response (EDR), die auf den Endgeräten aktiv sind. Das Active Directory (AD) von Microsoft ist ein häufiges Ziel von Angriffsversuchen, weshalb spezielle Lösungen für AD-Security ein fester Bestandteil des Werkzeugkastens sein sollten. Damit IT-Abteilungen Alarmmeldungen richtig einschätzen und angemessen darauf reagieren können, ist es von Vorteil, wenn sie die Wege und Vorgehensweisen der Angreifer kennen. Im letzten Teil der Testreihe zeigten wir deshalb auf, wie einfach es ist, sich mit gängigen Hacker-Tools Zugriff auf die Geschäftsdaten eines Unternehmens zu verschaffen.
Zu den wichtigsten Sicherheitsmaßnahmen zählt nach wie vor ein aktueller Patch-Stand. Denn viele Angreifer versuchen, bekannte Sicherheitslücken auszunutzen, für die im Internet schlüsselfertige Hacker-Tools erhältlich sind. Regelmäßig durchgeführte Schwachstellenscans helfen der IT-Abteilung dabei, die aktuell bekannten Sicherheitslücken auf den eigenen Systemen und den darauf laufenden Anwendungen aufzuspüren.
Für den Test wählten wir den Scanner OpenVAS aus, der als Open Source und als kommerzielle Lösung vom Anbieter Greenbone Networks erhältlich ist. Das Tool führt über das Netzwerk aktive Scans auf den Zielsystemen durch und stellt die gefundenen Schwachstellen inklusive Lösungsvorschlägen in HTML-Reports übersichtlich dar. Führt ein Benutzer OpenVAS aus, der auf den gescannten Geräten über administrative Berechtigungen verfügt, kann das Tool zusätzliche Informationen unter anderem zu den installierten Anwendungen und ihren Versionsständen auslesen. Die kostenfreie OpenVAS-Version eignet sich gut als Einstieg in das Thema Schwachstellenscans. Der komplette Funktionsumfang inklusive fortlaufend aktualisierter Informationen zu den neuesten Sicherheitslücken ist aber nur mit der kommerziellen Variante nutzbar.
Netzwerkverkehr überwachen
IT-Verantwortliche sollten sich darüber im Klaren sein, dass es Angreifern früher oder später gelingen wird, sich Zugang zum Unternehmensnetz zu verschaffen. Um für dieses Szenario gewappnet zu sein, empfiehlt sich der Einsatz von NDR-Tools, die den Datenverkehr überwachen und Alarm schlagen, wenn zum Beispiel ungewöhnliche Verkehrsmuster auftreten.
Ein NDR-Anbieter ist Corelight mit einer Überwachungsplattform, die auf den Open-Source-Tools Zeek und Suricata basiert und die Corelight um eigene Technik ergänzt hat. Die Corelight UID ermöglicht schnelle plattformübergreifende Sicherheitsanalysen, um bislang nicht erkennbare Zusammenhänge aufzudecken. Im Test kam die virtuelle Corelight-Appliance zum Einsatz. In der Web-Konsole stehen zahlreiche vorgefertigte Pakete für die Überwachung des Datenverkehrs zur Verfügung, etwa um Netzwerkscans oder Log4j-Angriffe zu erkennen. Für verschlüsselten Datenverkehr hat Corelight Analysemechanismen entwickelt, die verdächtige Verhaltensweisen entdecken, ohne die Pakete zu entschlüsseln. Auch C2C-Aktivitäten (Command and Control) lassen sich mit der NDR-Lösung aufspüren.
Eine Alternative zur kommerziellen Version von Corelight bietet die Open-Source-Lösung Security Onion, für deren Einsatz fundierte Linux-Kenntnisse hilfreich sind. EDR-Lösungen schützen Endgeräte umfassend. Sie machen nicht nur Malware und Rootkits unschädlich, sondern erkennen auch verdächtige Dateioperationen oder ungewöhnliche Aktivitäten auf einem System. Dazu überwachen sie fortlaufend die Systemkonfiguration und relevante Logdateien. Der Administrator kann automatische Aktionen konfigurieren, die bei Alarmmeldungen eine E-Mail verschicken oder einen Skript-Workflow starten, zum Beispiel um eine suspekte IP-Adresse zu blockieren. Den größten Funktionsumfang bieten EDR-Tools, die einen Agenten auf den Endgeräten verwenden. Einige Lösungen sind zudem in der Lage, Netzkomponenten wie Switches oder Firewalls zu überwachen.
Den Test führten wir zum einen mit dem Open-Source-Tool Ossec durch. Zum anderen testeten wir die als kostenfreie und als kommerzielle Version erhältliche EDR-Lösung von Wazuh, die ebenfalls auf Os-sec basiert. Die Überwachungs- und Alarmierungsregeln richtet der Administrator in den Ossec-Konfigurationsdateien für den Server und die Agenten ein. Damit lässt sich zum Beispiel steuern, welche Event-Logs die Software ausliest und für welche Verzeichnisse sie die Dateiintegrität überwacht. Die Erstellung umfassender Regelwerke ist mit relativ hohem Aufwand verbunden. Die Wazuh-Konsole bietet hier mehrere grafische Oberflächen, sodass die Arbeiten etwas leichter von der Hand gehen als mit der Ossec-Standardkonsole.
- Werkzeugkasten für den Basisschutz
- Einfallstor Active Directory
Lesen Sie mehr zum Thema
