Den Netzwerkrand stärken:Five Eyes-Agenturen beraten Unternehmen beim Schutz kritischer Geräte

Angesichts der Zunahme von Angriffen auf Edge-Geräte, die ein weiteres Eindringen von Angreifern in Unternehmensnetzwerke ermöglichen, ist es an der Zeit, dass alle ihre Sicherheitsmaßnahmen verstärken, sagen die Agenturen der Five Eyes-Allianz

Die nationalen Geheimdienste von fünf Ländern haben Unternehmen in einer Reihe von Dokumenten Ratschläge gegeben, wie sie Spione mit ihren eigenen Mitteln besiegen können. Sie sollen ihnen dabei helfen, Netzwerk-Edge-Geräte und -Appliances wie Firewalls, Router, VPN-Gateways (Virtual Private Networks), Internet-of-Things-Geräte (IoT), mit dem Internet verbundene Server und mit dem Internet verbundene OT-Systeme (Operational Technology) vor Cyberangriffen zu schützen.

Die Five Eyes-Allianz vereint die Geheimdienste Australiens, Kanadas, Neuseelands, Großbritanniens und der USA. Die verschiedenen Behörden haben die Herausforderung, den Netzwerk-Edge zu sichern, jeweils aus einem anderen Blickwinkel angegangen und ihre Berichte am Dienstag veröffentlicht.

„Ausländische Angreifer nutzen routinemäßig Softwareschwachstellen in Netzwerk-Edge-Geräten aus, um kritische Infrastrukturnetzwerke und -systeme zu infiltrieren. Der Schaden kann teuer, zeitaufwändig und für Organisationen des öffentlichen und privaten Sektors katastrophal für den Ruf sein“, sagte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) in ihrer Einleitung zu den Leitlinien. „Diese Leitliniendokumente beschreiben detailliert verschiedene Überlegungen und Strategien für ein sichereres und widerstandsfähigeres Netzwerk sowohl vor als auch nach einer Kompromittierung.“

Die neuen Dokumente ergänzen die US-Richtlinien, die Herstellern dabei helfen, Geräte zu bauen, die vom Design her sicher sind. Das Canadian Centre for Cyber Security (CCCS) war federführend bei „Security Considerations for Edge Devices“, das nicht nur eine detaillierte To-Do-Liste für die Unternehmens-IT bereitstellt, sondern auch einen Link zu spezifischen Leitlinien zur Sicherheit für Remote-Mitarbeiter und Organisationen mit „Bring Your Own Device“-Modellen (BYOD) sowie Anleitungen für Hersteller von Edge-Geräten enthält.

Ein gelöstes Problem

In einem nicht ganz so subtilen Seitenhieb auf Hersteller von Produkten mit schlecht gesicherten Netzwerkverwaltungsschnittstellen (NMIs) heißt es außerdem:„Es ist für Anbieter möglich, ihre Produkte zu härten, damit sie auch dann sicher bleiben, wenn NMIs dem Internet ausgesetzt sind. Das ist ein gelöstes Problem, und Kunden sollten von den Anbietern verlangen, dass sie ihre Geräte härten, um NMIs zu sichern.“

Die vom britischen National Cyber Security Centre (NCSC-UK) geleiteten Digital Forensics Monitoring Specifications for Products of Network Devices and Applications konzentrieren sich auf Mindestanforderungen für forensische Sichtbarkeit. Darin wird detailliert beschrieben, was protokolliert werden soll, wie die Protokolle gespeichert und gesichert werden sollen und welche Anforderungen für die forensische Datenerfassung im Falle eines Vorfalls gelten.

„Durch die Einhaltung der in diesem Leitfaden dargelegten Mindestmaße an Beobachtbarkeit und digitaler Forensik sind Gerätehersteller und ihre Kunden besser in der Lage, böswillige Aktivitäten gegen ihre Lösungen zu erkennen und zu identifizieren“, hieß es. „Gerätehersteller sollten es auch nutzen, um eine Basislinie von Standardfunktionen zu erstellen, die in die Architektur von Netzwerkgeräten und -anwendungen einbezogen werden, um forensische Analysen für Netzwerkverteidiger zu erleichtern.“

Australien übernahm bei zwei Dokumenten die Führung:Mitigation Strategies for Edge Devices:Executive Guidance und Mitigation Strategies for Edge Devices:Practitioner Guidance. Diese Leitfäden, die vom Australian Cyber Security Centre (ASD’s ACSC) des Australian Signals Directorate geleitet werden, bieten eine Zusammenfassung von Risikominderungsstrategien und Best Practices zur effektiven Sicherung, Abhärtung und Verwaltung von Edge-Geräten sowie technische Details zu sieben Risikominderungsstrategien, die das Personal in den Bereichen Betrieb, Beschaffung und Cybersicherheit implementieren muss, um das Risiko für Edge-Geräte zu reduzieren.

„Das Australian Cyber Security Centre (ACSC) des Australian Signals Directorate (ASD) hat einen besorgniserregenden Anstieg der Anzahl von Vorfällen im Zusammenhang mit der Kompromittierung von Edge-Geräten festgestellt“, heißt es in der Anleitung für Praktiker. „Edge-Geräte sind dem Internet ausgesetzt, in der Regel schwer zu überwachen und auf andere Ressourcen im Netzwerk zuzugreifen, was einen attraktiven Einstiegspunkt und ein attraktives Ziel für böswillige Akteure darstellt.“

Das von CISA erstellte Abschlussdokument ist eine Aktualisierung eines Leitfadens zu Secure-by-Design-Grundsätzen für Hersteller aus dem Jahr 2023 mit Links zu Ressourcen zur Umsetzung.

„Produkte, die nach den Secure-by-Design-Prinzipien entwickelt wurden, stellen die Sicherheit der Kunden als zentrale Geschäftsanforderung in den Vordergrund und behandeln sie nicht nur als technisches Feature“, heißt es auf der Einführungsseite. „Während der Entwurfsphase des Entwicklungslebenszyklus eines Produkts sollten Unternehmen Secure by Design-Prinzipien implementieren, um die Anzahl ausnutzbarer Schwachstellen erheblich zu verringern, bevor sie sie für eine breite Nutzung oder Nutzung auf den Markt bringen. Produkte sollten sofort einsatzbereit sein und über zusätzliche Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA), Protokollierung und Single Sign-On (SSO) verfügen, die ohne zusätzliche Kosten verfügbar sind.“

Eine große Sache … wenn die Gerätehersteller sich daran halten

Besonders Frank Dickson, Group Vice President für Sicherheit und Vertrauen bei IDC, begeistert die Leitlinien für Hersteller. „Das ist eine super große Sache“, sagte er. „Es ist zu Recht enorm, insbesondere wenn Gerätehersteller kapitulieren und diese Anforderungen erfüllen.“

„Diese Geräte sind geschäftskritisch“, fügte er hinzu. „Und einige dieser Geräte weisen eine lächerliche Anfälligkeit hinsichtlich der Datenmenge auf, die durch sie fließt.“ Dennoch, so bemerkte er, bieten viele keinen Einblick in die Vorgänge im Inneren, sodass Kunden nicht beurteilen können, ob der Hersteller bei der Aktualisierung der Firmware gute Arbeit leistet und proaktiv vorgeht.

Auch Katell Thielemann, angesehene VP-Analystin bei Gartner, ist mit der Prognose zufrieden, weist jedoch darauf hin, dass es sich lediglich um einen Anfang handele.

„Die Empfehlungen sind insofern positiv, als sie zeigen, dass die Five Eyes-Community zusammenarbeitet, um Best Practices hervorzubringen“, sagte sie. Und sie „erinnern die Community weiterhin daran, dass alles, was mit dem Internet verbunden ist, standardmäßig offengelegt und ein potenzielles Ziel ist.“

OT ist nicht IT

Sie ist jedoch nicht der Meinung, dass es für die Community hilfreich ist, mit dem Internet verbundene Firewalls, Router, IoT-Geräte und OT-Systeme in einem Ratgeber zusammenzufassen, und „es bedeutet auch nicht, sie ‚Edge-Geräte‘ zu nennen, weil davon ausgegangen wird, dass die Unternehmens-IT das Zentrum des Universums ist und der ‚Edge‘ da draußen ist.“

„Das mag zwar für Firewalls, Router und VPN-Gateways gelten, aber nicht für OT-Systeme“, fuhr sie fort. „Bei diesen OT-Systemen handelt es sich um Cyber-Physical Systems (CPS), die die Wertschöpfungsproduktion und geschäftskritische Umgebungen unterstützen. Sie sind nicht der Rand; sie sind der Kern des Betriebs.“

Viele seien mit dem Internet verbunden, um den Betrieb und die Wartung aus der Ferne zu unterstützen, bemerkte sie. Daher „sollte das Ziel darin bestehen, Ratschläge für den sicheren Fernzugriff auf diese Systeme zu geben, und der Ton der Ratschläge sollte auf die Produktionsrealität ausgerichtet sein, in der IT-Sicherheitstools und -prozesse nicht immer eine gute Idee sind.“

Auch Dickson hält die Leitlinien für einen guten ersten Schritt, fügte jedoch hinzu:„Wenn wir die Protokollierung und Sichtbarkeit für die digitale Forensik zulassen, wäre es auch schön, wenn es ein Problem gäbe, dass wir tatsächlich in der Lage wären, auf diesem Gerät Abhilfe zu schaffen, eine Art Verbot.“

„Es ist seit einiger Zeit ein massives Problem“, sagte er. „Die Tatsache, dass es eine große, koordinierte Aktion in den verschiedenen Five Eyes-Ländern gibt, ist äußerst bedeutsam. Sie ist stark, sie ist laut, sie ist angemessen, das sind alles gute Dinge. Ehrlich gesagt war ich so beeindruckt, dass sie das angekündigt hatten, dass ich nur gesagt habe:‚Gott sei Dank, wir befassen uns endlich mit diesem Problem.‘

„Alles, was wir tun müssen, ist, dass ein paar wirklich große Organisationen [die Leitlinien] als Voraussetzung für den Kauf einiger dieser Edge-Geräte in der Zukunft umsetzen, und [das Problem] wird gelöst sein.“

ABONNIEREN SIE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.