Gut, die überwiegende Mehrheit eurer Belegschaft arbeitet jetzt also von zu Hause. Die Verwaltung aller dieser eingehenden VPN-Verbindungen steht natürlich an erster Stelle, aber wie sieht‘s mit anderen Schwachstellen aus, die ihr überwachen solltet?
Über die ständig zunehmende Anzahl eingehender VPN-Verbindungen hinaus können Unternehmen mit einer Zunahme der Nutzung von Software zur Zusammenarbeit auf SaaS-Basis rechnen, wie Slack, Dropbox, G Suite und Trello. Neben der Implementierung strenger Richtlinien für Anwendungen, die auf Unternehmens-Laptops installiert werden können, sollte auch ständiges Monitoring auf die damit einhergehenden Schwachstellen auf eurer Agenda stehen. Wir sehen immer wieder Angreifer mit der Fähigkeit, Exploit Code innerhalb eines Tages nach dem Bekanntwerden einer Schwachstelle zu schreiben.
Hier einige der Dinge, auf die ihr achten sollten:
Schwachstellen-Scans von Anbietern wie Nessus und Qualys sind wichtig, um die Angriffsfläche des Netzwerks zu verstehen. Scans müssen außerdem mit den neuesten Aktualisierungen ausgeführt werden. Wenn die Scans mit den richtigen Prüfungen ausgeführt werden, seht ihr sowohl die Scanergebnisse als auch die VPN-Schwachstellen. Splunk Security Essentials (SSE) verfügt über eine hervorragende Beispielsuche, die das Durchsuchen von CVEs (Common Vulnerabilities and Exposures, eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen) ermöglicht. Wenn ihr in SEE eine Suche mit allen Einstellungen und Schwachstellen durchführt, findet ihr ein Beispiel namens "Ransomware Vulnerabilities".
Mit einem Klick in die rechte obere Ecke könnt ihr den SPL-Modus auf „Live-Data“ umschalten, und sehen, wie sich die SPL in den unten dargestellten Code ändert:
Von dort aus könnt ihr die gesuchte CVEs eingeben, während neue Schwachstellen veröffentlicht und gescannt werden.
Wenn ihr Splunk Enterprise Security bereits einsetzen, wisst ihr wahrscheinlich schon, dass das Security Research-Team von Splunk in der Enterprise Security Use Case-Bibliothek 63 Analyseberichte veröffentlicht hat.
Nehmt euch eine Minute und schaut euch den Analysebericht unten zu den Spectre- und Meltdown-Schwachstellen an.
Wir müssen uns nicht zwangsläufig auf die CVEs zu den Schwachstellen Spectre und Meltdown konzentrieren, sondern vielmehr den entsprechenden SPL-Code im Beispiel betrachten. Dieses SPL-Beispiel verwendet tstats und ist recht einfach, so dass ihr den SPL-Code leicht ändern könnt, um auf der Grundlage eurer Datenquellen auf nvd.nist.gov nach Schwachstellen zu suchen, die euch am meisten interessieren. Da wir tstats verwenden, müssen die Daten CIM-konform (Common Information Model) sein und die Datenmodelle müssen über die passenden TAs (Technology Add-Ons) verfügen sowie mit den richtigen Daten aufgefüllt werden.
Im Beispiel (oben) zielt die Suche auf Systeme ab, die anfällig für Spectrum und Meltdown sind, sowie auf Systeme, die für den entsprechenden Windows-Patch bereit sind. Die erforderlichen Datenquellen liefern hier EDR-Tools (Endpoint Detection and Response) und Schwachstellen-Scanner wie Qualys und Nessus.
Hier findet ihr weitere praktische Tipps zum Schutz eures Unternehmens im neuen „Work-From-Home“-Zeitalter.
Vielen Dank an alle Mitwirkenden an diesem Blogbeitrag, Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Securing a New Way of Working: You Gotta Love the CVEs (17. März 2020).
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.