Abstraktes Bild einer Frau, die auf Büchern sitzt und an einem Laptop studiert

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

SBA Research, profile picture
SBA Research

Das Dokument behandelt die Sicherheitsherausforderungen im Bereich des Remote-Zugriffs, einschließlich typischer Auditergebnisse in Bezug auf Technologien wie Multi-Faktor-Authentifizierung (MFA) und Netzwerksicherheit. Es betont die Notwendigkeit eines proaktiven Sicherheitshandbuchs, um Schwachstellen zu identifizieren und Systeme gegen Angriffe abzusichern. Abschließend werden wichtige Maßnahmen zur Verbesserung der Sicherheitslage und zur Gestaltung kontextbasierter Zugriffsregelungen empfohlen.

Technologie
Related topics:
IT Security Information Security
1 von 20
Downloaden Sie, um offline zu lesen
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 2 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Recording will end BEFORE the Q&A Session starts. Please be sure to turn off your video in your control panel.
Classification: Public 2 Remote Access – Top Security Challenges Part II: Typische Auditfindings im Bereich Technology
Classification: Public 3 Remote Access Security And why it should concern us… SBA Research gGmbH, 2020 The dark web contains RDP shops, online platforms selling remote desktop protocol (RDP) access to hacked machines, from which one can buy logins to computer systems to potentially cripple cities and bring down major companies. While researching underground hacker marketplaces, the McAfee Advanced Threat Research team has discovered that access linked to security and building automation systems of a major international airport could be bought for only US$10. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/
Classification: Public 4 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
Classification: Public 5 Technology Typische Auditfindings I Erfahrungen hinsichtlich zwei Faktor Authentifizierung: • Keine MFA • Keine Schulung der MitarbeiterInnen hinsichtlich MFA Backup Varianten. o Backup Codes, Master Secrets (seeds) am Handy oft nicht im Backup. o Portale zum Zurücksetzen/Umstellen auf alternative Varianten. • Not all MFA is equal*: o OTP (Phishing Proxy zielt auf alle User ab) vs. SMS (SIM Swapping nimmt einzelne in Fokus) vs. FIDO2 (beste Option, kein Phishing möglich**). SBA Research gGmbH, 2020 *siehe 12 Ways to Hack MFA RSA 2019: https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/12991/IDY-F02-12-Ways-to-Hack-2FA.pdf **siehe Blackhat 2016: Breaking FIDO: Are Exploits in There?: https://www.youtube.com/watch?v=J53Ya7E5HGQ
Classification: Public 6 Technology Typische Auditfindings II Erfahrungen hinsichtlich Netzwerksicherheit: • Schlecht(er)e Netzwerk Segmentierung bei Remote Access. o VPN: alle Clients im gleichen Netzwerksegment oder weniger granulare Einteilung nach Schutzbedarf im vgl. LAN. o Benutzer am Terminalserver haben größtmögliche Netzwerk Zugriffs- rechte weil unterschiedliche Rollen gleiche Konfiguration verwenden. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs. o Split Tunneling vs. „Always on“ VPN. o Filterung via Cloud Proxy, DNS Filterung oder lokal (e.g. Endpoint Protection Agent). SBA Research gGmbH, 2020
Classification: Public 7 Technology Typische Auditfindings III Erfahrungen hinsichtlich Netzwerksicherheit: • Administrative Interfaces direkt aus dem Internet erreichbar. o Alternative: VPN bzw. SSH Port Forwarding zur Administration • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). o Gute Lösungen: OpenVPN, WireGuard, IPSEC, proprietäre Lösung, .. • Kein GeoIP Blocking am VPN Gateway. • Keine Maßnahmen gegen DDoS Angriffe*: o e.g. Volumetrisch, SSL Floods (Fokus auf SSL/TLS Ressourcen verbrauch), UDP Floods, TCP Blend (low volume attack to exhaust firewall state tables) • Einsatz von Modems (im Industrieumfeld). SBA Research gGmbH, 2020 *siehe https://blog.radware.com/security/ddos/2020/03/how-to-protect-your-vpn-lessons-from-a-ddos-attack-test/ https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/coronavirus-remote-access-threats/
Classification: Public 8 Technology Typische Auditfindings IV Mangelnde Sichtbarkeit in das Sicherheitsniveaus des Clients. • Was will ich wissen bzw. was ist meine Minimum Security Baseline? o Patch-Status, AV aktiv & aktuell, Zeit seit letztem AV Scan, Host Firewall aktiv, keine kritischen Vulnerabilities etc. o Fortgeschritten: Remote Health Attestation • Gibt es private Geräte im Unternehmens VPN? • Umgang mit Geräten von Wartungstechnikern und Dienstleistern? SBA Research gGmbH, 2020
Classification: Public 9 Technology Typische Auditfindings V • Mangelhafte Prüfung der Serverauthentizität: o RDP bspw. mit selbstsignierten Zertifikaten konfiguriert. o MitarbeiterInnen werden zum „ok“ klicken trainiert (MITM Risiko). • Keine mutual Authentication (Zertifikatprüfung) / kein MFA: Alternative Möglichkeiten: o Gerätezertifikate als zweiter Faktor akzeptabel* -> Zertifikate idealerweise geschützt im TPM. o RDP: MFA mittels RDP Gateway in DMZ + Radius o Citrix Netscaler Gateway: Client Certificate Authentication o Cisco ASA AnyConnect: Double Authentication with Certificate Validation • Mangelhafte Verschlüsselung: o SSL/TLS VPN Konfiguration unterstützt schwache Cipher Suites. o RDP Security Layer „Negotiate“(Anfällig Protocol Downgrade Angriffe**). SBA Research gGmbH, 2020 * Unterschiedliche Meinungen siehe: https://securitybytes.io/certificate-based-authentication-5390eb28871f **Siehe: https://www.cyberpunk.rs/seth-rdp-mitm-attack-tool
Classification: Public 10 Technology Typische Auditfindings VI RDP direkt im Internet erreichbar & mangelndes RDP Hardening. • Shodan Feb. 2019: ca. 2,5 Mio RDP Endpoints erreichbar.* Beispiele für bessere Absicherung: • Zugriff über RDP Gateway, VPN o.ä. zu bevorzugen (+ MFA). • NLA (Network Level Authentication) → ideal über Kerberos. • Security Layer: TLS1.0 & Encryption Level: min. High (128 Bit) • RDP Zugriff nur für User/Admins mit Bedarf. • RDP Gateway (HTTPS Tunnel): Connection Authorization Policy (CAP) & Resource Authorization Policy (RAP) . • Optional: Administration via Restricted Admin Mode für Support und Help Desk. • Optional: Administration via Remote Credential Guard. SBA Research gGmbH, 2020 * https://thebackroomtech.com/2019/03/11/defending-against-remote-desktop-protocol-attacks/
Classification: Public 11 Technology Typische Auditfindings VII Terminalserver/VDI mit unterschiedlicher Architektur: • Geteilte VMs (viele User) vs. dedizierte VMs (spez. Benutzer). • persistent vs. non-persistent. Mangelndes Hardening gegen Application Jailbreaking*: • Application White-/Blacklisting: Applocker o.ä. verwenden. • Cmd Shell, Task Mgr, Explorer etc. oft bedacht, aber nicht z.B. Powershell ISE. • Kiosk Mode entkommen mit div. Shortcuts od. Help Keys, oder IE „save as“. • Keine Passwörter in Setup-Scripts des Golden Image. SBA Research gGmbH, 2020 *siehe https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/system-hardening-for-xenapp-and-xendesktop.pdf
Classification: Public 12 Advanced Topics SBA Research gGmbH, 2020
Classification: Public 13 “Advanced Topics” Cloud Access Security Broker (CASB) • Software oder Dienste, die sich zwischen der On-Premise-Infrastruktur einer Organisation und dem Netzwerk eines Cloud-Anbieters befinden • Primäre Einsatzzwecke: o Sicherheitsrichtlinien in Cloud Diensten durchsetzen (DLP). o Riskantes Nutzerverhalten oder Account Kompromittierung erkennen (UEBA). o Shadow IT Discovery (Nutzung Cloud Apps). • Durchsetzen von Richtlinien: o Authentifizierung & Autorisierung o Verschlüsselung & Tokenisierung o Protokollierung & Alarmierung o Malwareerkennung SBA Research gGmbH, 2020
Classification: Public 14 “Advanced Topics” Zero Trust Architekturen • Zero Trust beschreibt ein Paradigma bei dem initial keinem User oder Gerät vertraut wird bzw. keine impliziten Annahmen über Assets getroffen werden. • Die Identität des Benutzers, der Zustand des Geräts, Kontext der Verbindung, verwendeten Anwendungen, die Sensibilität der ange- forderten Daten (u.v.m.) werden mit einer Zugriffs-Policy abgeglichen. SBA Research gGmbH, 2020 *siehe NIST SP 800-207 2nd Draft: https://csrc.nist.gov/publications/detail/sp/800-207/draft
Classification: Public 15 “Advanced Topics” Zero Trust Architekturen • Bekanntes Beispiel: Google Beyondcorp. … began as an internal Google initiative to enable every employee to work from untrusted networks without the use of a VPN. It is used by most Googlers every day, to provide user- and device-based authentication and authorization for Google's core infrastructure. SBA Research gGmbH, 2020 siehe BeyondCorp - Design to Deployment at Google: https://storage.googleapis.com/pub-tools-public-publication-data/pdf/44860.pdf
Classification: Public 16 “Advanced Topics” A Short Outlook… • Device Health Checks/Health Attestation o Health Attestation: https://docs.microsoft.com/en-us/windows/security/threat- protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices o MS Conditional Access: https://docs.microsoft.com/en-us/azure/active-directory/conditional- access/overview und https://docs.microsoft.com/en-us/windows/security/identity- protection/vpn/vpn-conditional-access • Missbrauch von Remote Admin Tools durch Angreifer o siehe e.g. Mitre ATT&CK: https://attack.mitre.org/techniques/T1076/, https://attack.mitre.org/techniques/T1219/ und https://attack.mitre.org/techniques/T1028/ • Privileged Access Management und Jump Hosts zur Administration (nach Verbindungsaufbau mit VPN, für Interne & insb. Externe) SBA Research gGmbH, 2020
Classification: Public 17 Unsere 3 Key Take-Aways 1. Basisabsicherung umsetzen. 2. Sichtbarkeit am Remote Client erhöhen. 3. Mittelfristig kontextbasierte Zugriffsregelungen konzeptionieren. SBA Research gGmbH, 2020
Classification: Public 18 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org SBA Research gGmbH, 2020
Classification: Public 19 #bleibdaheim #remotelearning Coming up @ SBA Live Academy 8 April, 13.00 Uhr, live: „Cloud Security Zertifizierungen und Gütesiegel “ by „Günther Roat“ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/ SBA Research gGmbH, 2020
Classification: Public 20 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org

Weitere ähnliche Inhalte

PDF
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Research
 
PDF
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Research
 
PDF
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
PDF
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Research
 
PDF
Webinar: Cyberangriff - Frontbericht
A. Baggenstos & Co. AG
 
PDF
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
PDF
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
PDF
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Research
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
SBA Research
 
Webinar: Cyberangriff - Frontbericht
A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 

Mehr von SBA Research (20)

PDF
CyberResilienceAct_sec4devDialogues2025pdf
SBA Research
 
PDF
SBATop10 Vulnerabilities_sec4devDialogues2025
SBA Research
 
PDF
Passkeys & 2FA/MFA_sec4dev_Dialogues2025
SBA Research
 
PDF
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
SBA Research
 
PDF
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Research
 
PDF
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
SBA Research
 
PDF
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Research
 
PDF
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Research
 
PDF
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Research
 
PDF
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
SBA Research
 
PPTX
Secure development on Kubernetes by Andreas Falk
SBA Research
 
PDF
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Research
 
PDF
SBA Live Academy, What the heck is secure computing
SBA Research
 
PDF
Tools & techniques, building a dev secops culture at mozilla sba live a...
SBA Research
 
PDF
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
SBA Research
 
PDF
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Research
 
PDF
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Research
 
PDF
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Research
 
PDF
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Research
 
PDF
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Research
 
CyberResilienceAct_sec4devDialogues2025pdf
SBA Research
 
SBATop10 Vulnerabilities_sec4devDialogues2025
SBA Research
 
Passkeys & 2FA/MFA_sec4dev_Dialogues2025
SBA Research
 
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
SBA Research
 
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
SBA Research
 
Secure development on Kubernetes by Andreas Falk
SBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Research
 
Tools & techniques, building a dev secops culture at mozilla sba live a...
SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Research
 
Anzeige

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

  • 1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 2 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Recording will end BEFORE the Q&A Session starts. Please be sure to turn off your video in your control panel.
  • 2. Classification: Public 2 Remote Access – Top Security Challenges Part II: Typische Auditfindings im Bereich Technology
  • 3. Classification: Public 3 Remote Access Security And why it should concern us… SBA Research gGmbH, 2020 The dark web contains RDP shops, online platforms selling remote desktop protocol (RDP) access to hacked machines, from which one can buy logins to computer systems to potentially cripple cities and bring down major companies. While researching underground hacker marketplaces, the McAfee Advanced Threat Research team has discovered that access linked to security and building automation systems of a major international airport could be bought for only US$10. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/
  • 4. Classification: Public 4 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology
  • 5. Classification: Public 5 Technology Typische Auditfindings I Erfahrungen hinsichtlich zwei Faktor Authentifizierung: • Keine MFA • Keine Schulung der MitarbeiterInnen hinsichtlich MFA Backup Varianten. o Backup Codes, Master Secrets (seeds) am Handy oft nicht im Backup. o Portale zum Zurücksetzen/Umstellen auf alternative Varianten. • Not all MFA is equal*: o OTP (Phishing Proxy zielt auf alle User ab) vs. SMS (SIM Swapping nimmt einzelne in Fokus) vs. FIDO2 (beste Option, kein Phishing möglich**). SBA Research gGmbH, 2020 *siehe 12 Ways to Hack MFA RSA 2019: https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/12991/IDY-F02-12-Ways-to-Hack-2FA.pdf **siehe Blackhat 2016: Breaking FIDO: Are Exploits in There?: https://www.youtube.com/watch?v=J53Ya7E5HGQ
  • 6. Classification: Public 6 Technology Typische Auditfindings II Erfahrungen hinsichtlich Netzwerksicherheit: • Schlecht(er)e Netzwerk Segmentierung bei Remote Access. o VPN: alle Clients im gleichen Netzwerksegment oder weniger granulare Einteilung nach Schutzbedarf im vgl. LAN. o Benutzer am Terminalserver haben größtmögliche Netzwerk Zugriffs- rechte weil unterschiedliche Rollen gleiche Konfiguration verwenden. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs. o Split Tunneling vs. „Always on“ VPN. o Filterung via Cloud Proxy, DNS Filterung oder lokal (e.g. Endpoint Protection Agent). SBA Research gGmbH, 2020
  • 7. Classification: Public 7 Technology Typische Auditfindings III Erfahrungen hinsichtlich Netzwerksicherheit: • Administrative Interfaces direkt aus dem Internet erreichbar. o Alternative: VPN bzw. SSH Port Forwarding zur Administration • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). o Gute Lösungen: OpenVPN, WireGuard, IPSEC, proprietäre Lösung, .. • Kein GeoIP Blocking am VPN Gateway. • Keine Maßnahmen gegen DDoS Angriffe*: o e.g. Volumetrisch, SSL Floods (Fokus auf SSL/TLS Ressourcen verbrauch), UDP Floods, TCP Blend (low volume attack to exhaust firewall state tables) • Einsatz von Modems (im Industrieumfeld). SBA Research gGmbH, 2020 *siehe https://blog.radware.com/security/ddos/2020/03/how-to-protect-your-vpn-lessons-from-a-ddos-attack-test/ https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/coronavirus-remote-access-threats/
  • 8. Classification: Public 8 Technology Typische Auditfindings IV Mangelnde Sichtbarkeit in das Sicherheitsniveaus des Clients. • Was will ich wissen bzw. was ist meine Minimum Security Baseline? o Patch-Status, AV aktiv & aktuell, Zeit seit letztem AV Scan, Host Firewall aktiv, keine kritischen Vulnerabilities etc. o Fortgeschritten: Remote Health Attestation • Gibt es private Geräte im Unternehmens VPN? • Umgang mit Geräten von Wartungstechnikern und Dienstleistern? SBA Research gGmbH, 2020
  • 9. Classification: Public 9 Technology Typische Auditfindings V • Mangelhafte Prüfung der Serverauthentizität: o RDP bspw. mit selbstsignierten Zertifikaten konfiguriert. o MitarbeiterInnen werden zum „ok“ klicken trainiert (MITM Risiko). • Keine mutual Authentication (Zertifikatprüfung) / kein MFA: Alternative Möglichkeiten: o Gerätezertifikate als zweiter Faktor akzeptabel* -> Zertifikate idealerweise geschützt im TPM. o RDP: MFA mittels RDP Gateway in DMZ + Radius o Citrix Netscaler Gateway: Client Certificate Authentication o Cisco ASA AnyConnect: Double Authentication with Certificate Validation • Mangelhafte Verschlüsselung: o SSL/TLS VPN Konfiguration unterstützt schwache Cipher Suites. o RDP Security Layer „Negotiate“(Anfällig Protocol Downgrade Angriffe**). SBA Research gGmbH, 2020 * Unterschiedliche Meinungen siehe: https://securitybytes.io/certificate-based-authentication-5390eb28871f **Siehe: https://www.cyberpunk.rs/seth-rdp-mitm-attack-tool
  • 10. Classification: Public 10 Technology Typische Auditfindings VI RDP direkt im Internet erreichbar & mangelndes RDP Hardening. • Shodan Feb. 2019: ca. 2,5 Mio RDP Endpoints erreichbar.* Beispiele für bessere Absicherung: • Zugriff über RDP Gateway, VPN o.ä. zu bevorzugen (+ MFA). • NLA (Network Level Authentication) → ideal über Kerberos. • Security Layer: TLS1.0 & Encryption Level: min. High (128 Bit) • RDP Zugriff nur für User/Admins mit Bedarf. • RDP Gateway (HTTPS Tunnel): Connection Authorization Policy (CAP) & Resource Authorization Policy (RAP) . • Optional: Administration via Restricted Admin Mode für Support und Help Desk. • Optional: Administration via Remote Credential Guard. SBA Research gGmbH, 2020 * https://thebackroomtech.com/2019/03/11/defending-against-remote-desktop-protocol-attacks/
  • 11. Classification: Public 11 Technology Typische Auditfindings VII Terminalserver/VDI mit unterschiedlicher Architektur: • Geteilte VMs (viele User) vs. dedizierte VMs (spez. Benutzer). • persistent vs. non-persistent. Mangelndes Hardening gegen Application Jailbreaking*: • Application White-/Blacklisting: Applocker o.ä. verwenden. • Cmd Shell, Task Mgr, Explorer etc. oft bedacht, aber nicht z.B. Powershell ISE. • Kiosk Mode entkommen mit div. Shortcuts od. Help Keys, oder IE „save as“. • Keine Passwörter in Setup-Scripts des Golden Image. SBA Research gGmbH, 2020 *siehe https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/system-hardening-for-xenapp-and-xendesktop.pdf
  • 12. Classification: Public 12 Advanced Topics SBA Research gGmbH, 2020
  • 13. Classification: Public 13 “Advanced Topics” Cloud Access Security Broker (CASB) • Software oder Dienste, die sich zwischen der On-Premise-Infrastruktur einer Organisation und dem Netzwerk eines Cloud-Anbieters befinden • Primäre Einsatzzwecke: o Sicherheitsrichtlinien in Cloud Diensten durchsetzen (DLP). o Riskantes Nutzerverhalten oder Account Kompromittierung erkennen (UEBA). o Shadow IT Discovery (Nutzung Cloud Apps). • Durchsetzen von Richtlinien: o Authentifizierung & Autorisierung o Verschlüsselung & Tokenisierung o Protokollierung & Alarmierung o Malwareerkennung SBA Research gGmbH, 2020
  • 14. Classification: Public 14 “Advanced Topics” Zero Trust Architekturen • Zero Trust beschreibt ein Paradigma bei dem initial keinem User oder Gerät vertraut wird bzw. keine impliziten Annahmen über Assets getroffen werden. • Die Identität des Benutzers, der Zustand des Geräts, Kontext der Verbindung, verwendeten Anwendungen, die Sensibilität der ange- forderten Daten (u.v.m.) werden mit einer Zugriffs-Policy abgeglichen. SBA Research gGmbH, 2020 *siehe NIST SP 800-207 2nd Draft: https://csrc.nist.gov/publications/detail/sp/800-207/draft
  • 15. Classification: Public 15 “Advanced Topics” Zero Trust Architekturen • Bekanntes Beispiel: Google Beyondcorp. … began as an internal Google initiative to enable every employee to work from untrusted networks without the use of a VPN. It is used by most Googlers every day, to provide user- and device-based authentication and authorization for Google's core infrastructure. SBA Research gGmbH, 2020 siehe BeyondCorp - Design to Deployment at Google: https://storage.googleapis.com/pub-tools-public-publication-data/pdf/44860.pdf
  • 16. Classification: Public 16 “Advanced Topics” A Short Outlook… • Device Health Checks/Health Attestation o Health Attestation: https://docs.microsoft.com/en-us/windows/security/threat- protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices o MS Conditional Access: https://docs.microsoft.com/en-us/azure/active-directory/conditional- access/overview und https://docs.microsoft.com/en-us/windows/security/identity- protection/vpn/vpn-conditional-access • Missbrauch von Remote Admin Tools durch Angreifer o siehe e.g. Mitre ATT&CK: https://attack.mitre.org/techniques/T1076/, https://attack.mitre.org/techniques/T1219/ und https://attack.mitre.org/techniques/T1028/ • Privileged Access Management und Jump Hosts zur Administration (nach Verbindungsaufbau mit VPN, für Interne & insb. Externe) SBA Research gGmbH, 2020
  • 17. Classification: Public 17 Unsere 3 Key Take-Aways 1. Basisabsicherung umsetzen. 2. Sichtbarkeit am Remote Client erhöhen. 3. Mittelfristig kontextbasierte Zugriffsregelungen konzeptionieren. SBA Research gGmbH, 2020
  • 18. Classification: Public 18 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: [email protected] SBA Research gGmbH, 2020
  • 19. Classification: Public 19 #bleibdaheim #remotelearning Coming up @ SBA Live Academy 8 April, 13.00 Uhr, live: „Cloud Security Zertifizierungen und Gütesiegel “ by „Günther Roat“ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/ SBA Research gGmbH, 2020
  • 20. Classification: Public 20 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna [email protected] SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna [email protected]