Was tun, wenn eine Sicherheitsschwachstelle auftritt?

Jamf kann Ihnen dabei helfen, Sicherheitsschwachstellen in der Zukunft zu beheben — und sie zu stoppen, bevor sie zu Exploits werden. Erfahren Sie im Blog, wie das geht.

December 7 2022 Von

Hannah Hamilton

Daniel Weber

Ganz gleich, wie sorgfältig Sie Ihre Software aktualisieren, Ihre Geräte auf Compliance trimmen oder Ihre Netzwerke abriegeln, es wird immer eine Schwachstelle in der Sicherheit geben. Nehmen Sie das Problem des Root-Zugriffs unter macOS High Sierra 2017 als Beispiel. Vier Dinge wurden verstärkt:

  1. Kein Betriebssystem ist vor Herausforderungen in Sachen Sicherheit gefeit
  2. Die Anbieter*innen von Betriebssystemen und/oder Software müssen Sicherheitslücken schnell schließen und Aktualisierungen herausgeben.
  3. Die Geräteverwaltung und insbesondere das Patch-Management sind nicht mehr nur nice-to-haves.
  4. Community-Foren wie Jamf Nation und Slack bieten sofortige und wertvolle Einblicke in die Lösung von Problemen

Die Sicherheitslücke in High Sierra erlaubte einem Benutzer/einer Benutzerin oder Angreifer*in den Zugriff auf einen Mac mit Standardeinstellungen ohne Passwort, sofern der Angreifer/die Angreiferin physischen Zugriff auf das Gerät hatte. Dieses Problem ließ auch zu, dass Standard-Benutzer*innen, die bereits an einem Gerät angemeldet waren, erweiterte Rechte in den Systemeinstellungen, Zugriff über ein Skript und vor allem im Anmeldefenster erhielten.

Innerhalb von 24 Stunden veröffentlichte Apple ein Sicherheitsupdate für High Sierra (HT208315) und verteilte das Update an alle betroffenen Computer, wobei die Geräte automatisch aktualisiert wurden.

In diesem Fall hat Apple innerhalb von 24 Stunden reagiert, was jedoch je nach Komplexität der Schwachstelle und Standort Ihres Systems nicht immer möglich ist. Organisationen können Maßnahmen zur Behebung von Sicherheitsschwachstellen ergreifen, sowohl bevor ein globales iOS Update eingespielt wird, als auch wenn manuelle Eingriffe zur Behebung des Problems erforderlich sind.

Reaktion auf Schwachstellen in der Sicherheit

Der Leitfaden des NIST für den Umgang mit Sicherheitsvorfällen listet diese vier Phasen des Lebenszyklus der Reaktion auf Sicherheitsvorfälle auf:

Vorbereitung

In dieser Phase wird oft die Grundlage dafür gelegt, wie Ihre Reaktion auf einen Vorfall ablaufen wird. Wenn Sie über festgelegte Verfahren verfügen, können Sie die Suche nach Ressourcen und Maßnahmen begrenzen, während Ihre Unternehmensdaten aktiv gefährdet sind. In dieser Phase sollte Ihr Unternehmen sicherstellen, dass es über das richtige Personal für die Bewältigung von Vorfällen verfügt, einschließlich Mitarbeiter*innen mit technischen Kenntnissen in den Bereichen Netzwerke, Serververwaltung, Sicherheit usw. Das Management sollte auch darauf vorbereitet sein, die Reaktion zu koordinieren und mit den relevanten Interessengruppen in Verbindung zu treten. Die Teams sollten ein gutes Verständnis von Cyberangriffen und Angriffsstrukturen, einen guten Kommunikationsplan und eine Reaktionsstrategie haben.

Erkennung und Analyse

Der Schlüssel zur Erkennung von Bedrohungen liegt im Verständnis der Grundaktivität Ihres Netzwerks. Benchmarking Frameworks wie CIS Benchmarks bieten einen Leitfaden für die Konfiguration Ihres Systems. Mit SIEM-Software (Security Information and Event Management) wird Ihr Netzwerk überwacht und Sie werden bei verdächtigen Aktivitäten gewarnt. Die ausgegebenen Protokolle geben einen Einblick in die Aktivitäten Ihres Netzwerks und ermöglichen es Ihnen, Anomalien zu erkennen.

Sobald ein Vorfall gefunden wurde, sollte das Vorfallsreaktionsteam ihn anhand eines vordefinierten Prozesses analysieren und validieren. Bei dieser Analyse sollten Umfang, Ursprung und Methode des Vorfalls ermittelt werden. Dieses Verfahren sollte gut dokumentiert werden, damit die nächsten Schritte bekannt sind.

Eindämmung, Ausrottung und Wiederherstellung

Die Vorfälle müssen eingedämmt und gleichzeitig Beweise gesichert werden, die dazu beitragen, die Quelle und die Methode des Angriffs zu identifizieren. Wenn beispielsweise ein Gerät über das Netzwerk angegriffen wird, kann es vom Netzwerk isoliert werden, aber für weitere Analysen in Betrieb bleiben. Im Idealfall können Informationen über den Ursprung des Angriffs gesammelt werden.

Nachdem die Bedrohung eingedämmt wurde, sollte sie entschärft werden, sei es durch die Entfernung von Malware, die Deaktivierung von Konten, in die eingedrungen wurde, die Behebung von Sicherheitslücken oder die Wiederherstellung von Systemen aus sauberen Backups.

Aktivitäten nach einem Vorfall

Sobald ein Vorfall behoben ist, sollte sich Ihr Unternehmen die Zeit nehmen, zu analysieren, wie der Vorfall gehandhabt wurde, um den Prozess in Zukunft zu verbessern. Je nachdem, wie der Vorfall zustande gekommen ist, sollten die Teams Richtlinien und Verfahren entwickeln, um Schwachstellen zu verhindern oder zu entdecken, bevor sie sich zu aktiven Angriffen entwickeln. Dazu könnten Investitionen in ein SIEM oder zusätzliche Schulungen für Mitarbeiter gehören, die Einführung oder Ausweitung von Verfahren zur Bedrohungsjagd oder die Erweiterung des Umfangs bereits bestehender Risikobewertungen.

MDM: Proaktiv, nicht reaktiv

Mit einer MDM-Lösung (Mobile Device Management) haben Administratoren die Möglichkeit, Workarounds auf ihre Geräte before zu übertragen, wenn der Entwickler eine Schwachstelle behoben hat. Wenn beispielsweise eine Anwendung in Ihrem Self-Service-Katalog ein potenzielles Problem anzeigt, können Sie den Benutzer*innen den Zugriff auf die Anwendung schnell verweigern, bis das Problem behoben ist. Auf einem verwalteten Mac verwendet ein MDM wie Jamf Pro zusätzlich zum MDM eine Binärdatei, die Ihnen die folgenden Möglichkeiten bietet:

  1. Die Möglichkeit, Skripte zu schreiben und sie über Richtlinien zu verteilen, um Zwischeneinstellungen/Fixes zu beheben, während Sie auf eine Lösung von einem Softwareanbieter warten.
  2. Patch-Benachrichtigungen, um zu erfahren, wenn ein Patch eines Drittanbieters veröffentlicht wird.
  3. Patch-Richtlinien zur automatischen Verteilung des Patches auf die Computer, die ihn benötigen, um eine schnelle Korrektur zu ermöglichen.
  4. Die Möglichkeit eines Upgrades oder einer Aktualisierung (wenn ein Betriebssystem oder Softwareanbieter ein Update oder Upgrade herausgibt). Unabhängig davon, ob das Patchen kritischer Software über ein robustes Binärprogramm oder einen optimierten MDM-Befehl erfolgt, können Anbieter wie Jamf die IT-Abteilung in die Lage versetzen, wichtige Updates sofort an alle Endbenutzer*innen zu verteilen und Sicherheitslücken zu schließen, bevor ein System gefährdet wird.

Eine MDM-Lösung gibt Ihnen die Möglichkeit, auf neu entdeckte Schwachstellen in Systemen zu reagieren. Ein MDM in Verbindung mit Endpunktsicherheit und einer Identitäts- und Zugriffsmanagementlösung (IAM) wie Jamf Connect verbessert Ihre Sicherheitslage, indem es als proactive. Im Folgenden finden Sie einige Funktionen, die diese Kombination bietet, um Ihre Geräte zu sichern, bevor es zu einem Zwischenfall kommt:

  • Identitätsmanagement: Die Verwendung von SSO mit den Anmeldedaten des Cloud-Identitätsanbieters rationalisiert den Benutzerauthentifizierungsprozess und verringert die Wahrscheinlichkeit, dass Anmeldedaten kompromittiert werden.
  • Zero Trust-Netzwerkzugriff (ZTNA): ZTNA schränkt den Zugang zu Unternehmensressourcen kompromisslos ein, wenn der Benutzer/die Benutzerin seine Identität nicht erfolgreich nachweisen kann.
  • Endpunkt-Sicherheit: Benutzergeräte werden ständig und unauffällig auf Malware überwacht, um sie schneller zu erkennen.
  • Analyse: Die Überwachung von Endgeräten auf Malware ermöglicht auch Verhaltensanalysen, um zu verhindern, dass Schwachstellen zu Exploits werden.
  • Inhaltsfilterung: Durch die Beschränkung des Zugriffs auf riskante Websites wird Malware gestoppt, bevor sie überhaupt auf dem Radar des Benutzers/der Benutzerin erscheint.
  • Sichtbarkeit und Einhaltung von Vorschriften: MDMs geben Ihnen die Möglichkeit, Ihre Geräte mit den neuesten Sicherheits-Patches und Betriebssystemen auf dem neuesten Stand zu halten und sie so konform und sicher wie möglich zu machen.

Apple lieferte eine zeitnahe Antwort und die Administrator*innen konnten ihre Arbeit in Echtzeit verfolgen. Und obwohl Apple schnell reagierte, würden viele Unternehmen lieber nicht auf einen anderen Anbieter/eine andere Anieterin warten, um wichtige Sicherheitslücken zu schließen. Dank Communities wie Jamf Nation und Slack verfügen IT-Administrator*innen oft über das Wissen und - mit der Jamf-Plattform - über die vollständige Fähigkeit, Workarounds und die neuesten Patches schnell bereitzustellen, sobald sie vom Entwickler/von der Entwicklerin veröffentlicht werden.

Jamf optimiert Ihr Verfahren zur Reaktion auf Vorfälle.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.