Sicherheitshandbuch Windows 2000
Sicherheitsrisiken Analysieren und Identifizieren
Auf dieser Seite
ModulübersichtIn diesem Modul finden Sie ein Arbeitsbeispiel, das veranschaulicht, wie Sie mit Hilfe des Sicherheitsrisikomanagements (Security Risk Management Discipline - SRMD) Sicherheitsrisiken analysieren und identifizieren können. Das SRMD (das genauer in dem Modul "Einführung in das Sicherheitsrisikomanagement (SRMD - Security Risk Management Discipline)" dieses Leitfadens beschrieben wird) ist eine bewährte Methode zum Identifizieren und Beseitigen potenzieller Sicherheitsprobleme innerhalb einer Organisation. Als Beispielorganisation dient in diesem Modul "Contoso Inc.", ein Marketing- und Marktforschungsunternehmen mit zwei Hauptstandorten und einigen Tausend Mitarbeitern. In diesem Modul werden die potenziellen Sicherheitsprobleme innerhalb dieses Unternehmens identifiziert und bewertet. ZielsetzungThemenbereiche:
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Der Nutzen dieses ModulsDieses Modul soll Ihnen dabei helfen, die Informationen des Moduls "Einführung in das Sicherheitsrisikomanagement (SRMD - Security Risk Management Discipline)" zu verstehen und anzuwenden. Lesen Sie dieses Modul, um sich einen allgemeinen Überblick über die Verwendung von SRMD in einem gewöhnlichen Unternehmen zu verschaffen. Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:
EinleitungDas Sicherheitsrisikomanagement ist ein detaillierter Prozess, der dazu dient, die Bedrohungen und Sicherheitslücken zu ermitteln, die die größte potenzielle Auswirkung auf eine bestimmte Organisation haben. Da Unternehmen sehr unterschiedlicher Ansprüche an ihre Geschäftsprozesse stellen, kann man keine universal gültige Liste von Sicherheitslücken angeben, die in jeder Umgebung die gleichen Auswirkungen haben. Dieser Prozess wird in dem Modul "Einführung in das Sicherheitsrisikomanagement (SRMD - Security Risk Management Discipline)" ausführlich diskutiert. In diesem Modul wird dieser Prozess auf einen fiktiven Kunden angewendet. Den angemessenen Hintergrund für dieses Beispiel liefern detaillierte Informationen zur Zielumgebung. Am Ende des Moduls werden die spezifischen Risiken vollständig definiert, beschrieben und analysiert. Das SzenarioIm Mittelpunkt dieses Szenarios steht ein fiktives Marketing- und Marktforschungsunternehmen namens Contoso. Contoso hat zwei Niederlassungen: den Hauptsitz in Atlanta, Georgia und eine Niederlassung in Boston, Massachusetts. Contoso ist ein relativ großes Unternehmen mit einigen tausend Mitarbeitern, die einen Großteil ihrer Arbeit mit Hilfe von Computern erledigen. Contoso erzielte im letzten Jahr einen Umsatz von 829 Millionen Euro. Die Infrastruktur des Unternehmens wurde vollständig auf das Betriebssystem Microsoft Windows 2000 Server umgestellt, jedoch ist die Clientplattform nicht vereinheitlicht worden. Das Unternehmen nutzt derzeit eine Kombination folgender Betriebssysteme: Microsoft Windows 98 SR2, Microsoft Windows NT Workstation 4.0, Windows 2000 und Windows XP. AdministrationsmodellContoso hat die Administration in mehrere Abteilungen unterteilt, die sich auf bestimmte Technologien konzentrieren. Eine Administrationsgruppe ist für die Verwaltung der Domäne, einschließlich der Domänencontroller zuständig. Eine weitere Gruppe verwaltet die Infrastrukturdienste, wie Windows Internet Name Service (WINS) und Dynamic Host Configuration Protocol (DHCP) und Domain Name Systems (DNS) sowie die Datei- und Druckserver des Unternehmens. Eine dritte Gruppe ist mit der Administration der Webdienste auf den IIS-Servern betraut. IIS (Internet Information Services) ist eine Webserver-Software von Microsoft, die HTTP und FTP nutzt. Die Aufgaben der Administrationsgruppen sind in der folgenden Tabelle aufgeführt. Tabelle 1: Administratorengruppen von Contoso
InfrastrukturNetzwerkdesignContoso besitzt zwei Rechenzentren, die über zwei T1-Leitungen miteinander verbunden sind. In beiden Niederlassungen sorgen Mitarbeiter der Administration für die Bereitstellung der Netzwerkinfrastrukturdienste. Sämtliche Webserver befinden sich im Hauptrechenzentrum in Atlanta. In beiden Standorten sind die Server über 100-Mbit- und die Clients über 10-Mbit-Leitungen verbunden. Die Server stehen in einem eigenen Subnetz. Das gleiche gilt für die Clients. Alle Computer verfügen über eine Internetanbindung über den Standort Atlanta. Active Directory DesignDas Active Directory von Contoso besteht aus einer Gesamtstruktur mit einer leeren Stamm- und einer einzelnen, untergeordneten Domäne. Eine leere Stammdomäne besteht lediglich aus den Computerkonten für die Domänencontroller dieser Domäne und den voreingestellten Benutzerkonten. Eine leere Stammdomäne wird normalerweise angelegt, um später mehrere gleichberechtigte Unterdomänen anlegen zu können, die gleichmäßig über verschiedenen Standorte verteilt sind und von einer zentralen Gruppe verwaltet werden. Eine solche Stammdomäne bietet zwar keine zusätzliche Sicherheit, kann aber verhindern, dass sich unbeabsichtigte Fehler auf die Gesamtstruktur auswirken, da die Unternehmensadministratoren von den regionalen Domänenadministratoren getrennt werden. Contoso hat dieses Modell gewählt, weil eine Ausweitung der Tätigkeit in andere Länder erwartet wird. Die folgende Abbildung zeigt das Domänenmodell von Contoso. 
Abbildung 1
Das Microsoft Active Directory wurde in zwei Standorte unterteilt - Atlanta und Boston. Die Betriebsmasterfunktionen (FSMO - Flexible Single Master Operations) wurden auf Domänencontroller beider Standorte verteilt. In beiden Standorten kommen Domänencontroller mit Active-Directory-integriertem DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol) sowie Datei- und Druckserver zum Einsatz. Die WINS-Server (Windows Internet Naming System) stehen in Atlanta. Die meisten Server, die Internet-Informationsdienste (IIS) bereitstellen, stehen in Atlanta, mit Ausnahme einiger Abteilungs-Webserver in Boston. Contoso ist derzeit mit der Aufrüstung seines internen Netzwerks beschäftigt. Im Augenblick ist Contoso mit der Umstellung des internen Netzwerks auf eine Switch-basierte Topologie beschäftigt, so dass immer noch eine Reihe von Computern über Hubs vernetzt sind. 
Abbildung 2
In der Abbildung sehen Sie die Verteilung der serverbasierten Dienste in der Organisation, jedoch nicht die tatsächliche Anzahl der Server. GeschäftsanforderungenWie bereits erwähnt, ist Contoso ein Marketing- und Marktforschungsunternehmen. Marketing beschäftigt sich mit der Planung und Überwachung von Aktivitäten zur Steuerung von Güter- und Dienstleistungstransfer vom Hersteller zum Verbraucher. Zu diesen Aktivitäten zählen Verpackung, Preisfindung, Vermarktung und die tatsächliche Distribution. Um die Bedürfnisse des Markts abschätzen zu können, müssen Marktforscher so viel wie möglich über ihre potenziellen Kunden in Erfahrung bringen. Contoso unterstützt Marktforscher beim Sammeln dieser Informationen. Der Großteil der Marketing-Informationen befindet sich auf den internen IIS-Servern von Contoso. Contosos Marktforscher nutzen diese Intranetserver als Basis für ihre Recherchen. Ein Teil der Informationen ist auch über Dateifreigaben verfügbar, aber die darin enthaltenen Informationen sind nur ein Bruchteil dessen, was auf den Intranetservern bereitgestellt wird. Contoso ist auf die Sicherheit seiner Daten angewiesen. Marketing und Marktforschung sind stark wettbewerbsorientierte Geschäftsfelder. In diesem Wettbewerb sind die Forschungsdaten häufig der entscheidende Wettbewerbsvorteil. Daher ist ein starker Fokus auf die Sicherheit unumstößlich und genießt höchste Priorität. Ein zusätzliches Projekt beschäftigt sich mit der Sicherheit der externen Anbindungen. Dieses Projekt spielt in diesem Leitfaden keine Rolle. Identifikation von SicherheitsrisikenDer erste Schritt in jedem Sicherheitsprojekt ist die Definition der Sicherheitsrisiken. Sicherheitsrisiken sind eine Mischung aus Ressourcen, Bedrohungen dieser Ressourcen und Sicherheitslücken, die ausgenutzt werden können. Eine Analogie zur Verdeutlichung dieser Beziehungen wäre ein Haus. Ein Haus ist eine Ressource, die einen Wert besitzt und geschützt werden sollte. Ein Einbrecher stellt eine Bedrohung dieser Ressource dar, weil er das Haus beschädigen und Gegenstände stehlen könnte. Die Fenster des Hauses sind eine erforderliche Eigenschaft (ein Feature); allerdings stellen geöffnete Fenster eine Sicherheitslücke dar, weil der Einbrecher durch ein geöffnetes Fenster in das Haus eindringen könnte. Dieses Beispiel beschreibt, wie eine Bedrohung eine Sicherheitslücke ausnutzt, um sich Zugang zu einer Ressource zu verschaffen. Um die Computerumgebung eines Unternehmens vollständig zu sichern, müssen Sie zunächst sämtliche Ressourcen identifizieren, und zwar einschließlich der Bedrohungen, denen sie ausgesetzt sind sowie deren Sicherheitslücken. Diese Bestandsaufnahme ermöglicht Ihnen eine Aufstellung der Sicherheitsrisiken, die dann analysiert und bewertet werden können. Identifikation von RessourcenRessourcen können verschiedene Formen annehmen. In diesem Modul wird nur ein Teil der Computerressourcen besprochen. In einigen Unternehmen kann es sehr leicht sein, die Ressourcen zu benennen, in anderen gestaltet sich dieser Prozess sehr schwierig. Es ist viel wichtiger die Funktionen der Server, die in Ihrer Umgebung eingesetzt werden, zu kennen, als die bloße Anzahl. Contoso ist beispielsweise ein Marktforschungsunternehmen, das in hohem Maße auf Webserver angewiesen ist, um den Mitarbeitern Zugriff auf Forschungsdaten zu ermöglichen. Daher könnte das Unternehmen die Wichtigkeit dieser Webserver höher bewerten, als die der Druckserver. Andererseits könnte Contoso aber auch festlegen, dass verschiedenen Webservern unterschiedliche Bedeutung zukommt. Weiterhin handelt es sich bei Ressourcen keineswegs nur um Hardware. In einer Computerumgebung gibt es auch andere Ressourcen, wie zum Beispiel Dienste zur Namensauflösung, die ein DNS-Server bereitstellt. Weitere Ressourcen könnten Benutzerkonten sein, z. B. Service- oder Administratorkonten. PrioritätenlisteDie Identifikation von Ressourcen ist ein qualitativer Prozess. Sie sollten jedoch die Auswirkungen auf die Geschäftsziele bei der Bewertung einzelner Server oder Servergruppe nicht außer Acht lassen. Dadurch lässt sich eine Ressourcenpriorität (AP - Asset Priority) für einzelne Server oder Servergruppen definieren. Folgende Faktoren sollten Sie hierbei berücksichtigen:
Eine Bewertung sämtlicher Unternehmensressourcen anhand der gleichen Skala kann sich als sehr schwierig erweisen. Es könnte sich daher als sinnvoll erweisen, Ressourcen nach ähnlichen Technologien zu gruppieren, um sie dann zu bewerten. Diese Methode erleichtert das Vergleichen des relativen Werts verschiedener Ressourcen in Ihrer Organisation anhand einer ähnlichen Skala. RessourcenbewertungWährend der Identifikation der Ressourcen sollten Sie jeder Ressource einen Wert (AV - Asset Value) zuordnen. Der AV repräsentiert den Geldwert einer Ressource. Dabei sollten Sie verschiedene Aspekte berücksichtigen, wie den physischen Wert, aber auch den Wert der auf der Ressource befindlichen Daten für das Unternehmen. Der physische Wert lässt sich relativ einfach bestimmen. Er ergibt sich aus folgenden Kosten:
Der Geschäftswert der Daten hingegen lässt sich unter Umständen schwieriger in Zahlen ausdrücken. Einerseits könnten Daten anhand ihrer Bedeutung hinsichtlich der finanziellen Ziele des Unternehmens bewertet werden, andererseits anhand des Werts für Außenstehende. Diese Werte sind normalerweise diskussionsbedürftig, können aber Rückschlüsse auf die relativen Auswirkungen eines Verlusts ähnlicher Daten auf ähnlichen Ressourcen zulassen. Häufig übersteigt der Wert der Daten den der Hardware bei weitem. Der indirekte Wert dieser Ressourcen lässt sich relativ schwer kalkulieren. Diese Summe sollte den Wert darstellen, den die Firma durch negative Publicity, Gerichtsverfahren oder Geschäftsaufgabe verliert, sollte diese Ressource gefährdet werden. Außerdem muss dieser Wert die Kosten für die Wiederbeschaffung oder Reparatur dieser Ressource enthalten. Schließlich müssen Sie berücksichtigen, welchen Wert Daten für Außenstehende haben könnten. Diese Summe lässt sich ähnlich wie der indirekte Geschäftswert schwer berechnen. Dieser Wert sollte widerspiegeln, welche Summe ein Außenstehender für die Daten zu zahlen bereit wäre. Der AV ist eine Summe in Euro, die Ihnen bei der Berechnung von Verlusterwartungen helfen soll. Der AV wird berechnet, indem Sie den physischen Wert sowie direkte und indirekte Geschäftswerte addieren. Außerdem sollten Sie den Wert für Außenstehende berücksichtigen. Wie bereits erwähnt, ist es sehr schwierig, diese Summe genau zu kalkulieren. Der physische Wert eines Computers stellt in der Regel nur einen Bruchteil des eigentlichen Werts dar. Der echte Wert ergibt sich eher aus der Funktionalität oder den Daten, die der Computer bereitstellt. Contosos RessourcenlisteDie Ressourcen einer Organisation müssen während der Sicherheitsrisikoanalyse identifiziert und bewertet werden, damit sie gemäß ihrem relativen Wert für das Unternehmen in den Sicherheitsrisikobericht aufgenommen werden können. Die Sicherheitsrisikoanalyse ist eine Methode zur Identifikation von Risiken und zur Bewertung möglicher Schäden, die Sicherheitsmaßnahmen rechtfertigen könnten. Contoso hat für die erste Projektphase mehrere Ressourcengruppen identifiziert. Eine dieser Gruppen ist die Windows 2000-Infrastruktur. Zu dieser Gruppe gehören Domänencontroller, Datei- und Druckserver, IIS- und Infrastrukturserver. Zu den Infrastrukturservern gehören DNS-, DHCP- und WINS-Dienste. Diese Server wurden anhand der oben aufgelisteten Kriterien bewertet. Dafür haben die verantwortlichen Teams (Domäne, Betrieb, Webdienste und andere Sicherheitsteams) eine AP-Bewertung für jede Servergruppe durchgeführt. Anhand einer Skala von 1 bis 10 wird die Wichtigkeit einer Ressource bewertet.
Es folgt die AP-Bewertung einiger Ressourcen von Contoso. Es handelt sich hierbei nicht um eine vollständige Liste. Tabelle 2: AP-Bewertung von Contoso
Weiterhin wurde für jeden Server eine Ressourcenbewertung (AV) durchgeführt (siehe folgende Tabelle). Einzelheiten zu diesen Werten entnehmen Sie bitte der Excel-Arbeitsmappe "JA0401.xls", die im Lieferumfang dieser Lösung enthalten ist. Tabelle 3: Ressourcenbewertung von Contoso
Ressourcenprioritäten (AP)und Ressourcenwerte (AV)Die Bewertung von Unternehmensressourcen kann auf viele verschiedene Arten erfolgen. Im Folgenden werden die Bewertungskriterien für Contoso erläutert. Weiterhin werden die Entscheidungen besprochen, die in diesem Szenario gefällt wurden. Ihr Szenario kann sich von dem hier vorgestellten unterscheiden und andere Bewertungsmaßstäbe verwenden. Diese Werte sind sehr subjektiv und dienen lediglich dazu, einen Überblick über die Bewertungsprozesse in der einzigartigen Umgebung von Contoso zu geben. Domänencontroller der Stammdomäne Obwohl diese Domänencontroller integraler Bestandteil der Infrastruktur sind, enthalten sie wenige Daten, die nicht leicht wiederherzustellen wären. Aus Gründen der Redundanz hat Contoso mehrere Domänencontroller in der Stammdomäne implementiert. Sie haben keinen direkten Geschäftswert für das Unternehmen, sind aber ein mächtiger Faktor in der Infrastruktur. Aus diesen Gründen erhalten die Computer eine AP von 8. Zwar werden auf den Domänencontrollern nur wenige Daten bereitgestellt, jedoch könnte eine Einschränkung dieser Server dafür sorgen, dass Anwendern Informationen nur begrenzt zur Verfügung stehen. Aus diesen Überlegungen ergibt sich eine Bewertung der Daten in Höhe von 10.000 Euro. Mit dem Wert der Hardware addiert sich der AV der Domänencontroller auf 28.000 Euro. Diese Zahlen beziehen sich auf einen einzigen Domänencontroller und nicht auf die Ressourcenpriorität aller Domänendienste. Die Domänen- und Unternehmensadministratoren wurden separat bewertet, um die jeweiligen Risiken zu berechnen. Contoso hätte zudem auch die Priorität und den Wert des gesamten Domänendiensts einschätzen können, um Risiken miteinzubeziehen, die die Funktionalität der gesamten Domäne beeinträchtigen. Dies wurde als unangemessen für dieses Projekt bewertet. Konten der Unternehmensorganisatoren Die Konten in der Gruppe der Organisations-Administratoren sind die wichtigsten des gesamten Unternehmens. Ein Unternehmensadministrator kann sich Zugang zu jedem Computer der Gesamtstruktur verschaffen. Diese Konten sollten nur verwendet werden, wenn es zwingend erforderlich ist, und am stärksten abgesichert werden. Aufgrund ihrer entscheidenden Bedeutung für die Sicherheit des Unternehmens wurden diese Konten mit einer AP von 10 bewertet. Der Verlust dieser Konten wäre für ein unternehmen katastrophal. Der Wert der Konten in der Unternehmensadministratorgruppe ist nicht zu überschätzen. Er entspricht dem Wert sämtlicher Daten in der Gesamtstruktur des Unternehmens. Deswegen wurden sie entsprechend des Gesamtumsatzes des Unternehmens aus dem letzten Fiskaljahr bewertet: 829 Millionen Euro. Die Unternehmensadministratorengruppe sollte so geschützt werden, als ob das gesamte Unternehmen von ihrer Sicherheit abhängt. Domänencontroller der Unterdomäne Diese Domänencontroller stellen kritische Benutzerinformationen bereit, einschließlich ihrer Kennwörter. Ein Verlust oder die Kompromittierung dieser Daten könnte schwer wiegende Auswirkungen auf das Unternehmen haben. Contoso stellt diverse Domänencontroller in allen Standorten bereit, um einen einzelnen Ausfall kompensieren zu können. Daher ist die Wiederherstellung eines einzelnen Domänencontrollers sehr einfach. Das Zusammenspiel dieser Faktoren sorgte für eine AP von 8 für diese Computer. Die von den Domänencontrollern bereitgestellten Daten wurden auf 50.000 Euro beziffert. Diese Schätzung basiert auf dem Wert der Benutzerinformationen, wie E-Mail-Adresse und Telefonnummern der Angestellten, für Außenstehende. Zusammen mit dem Wert der Hardware ergibt sich für diese Domänencontroller ein AV von 68.000 Euro. Wie auch bei den Domänencontrollern der Stammdomäne, werden hier keine Angaben zum Verlust der Domänendienste gemacht. Die Schätzung beziffert lediglich Daten und Funktionen eines einzelnen Domänencontrollers. Konten der Domänen-Administratoren Northamerica Contoso verfügt über eine Unterdomäne namens "Northamerica". Hier wird ein Großteil der Ressourcen von Contoso verwaltet, einschließlich Server, Daten und Konten. In dieser Domäne gibt es zwar weniger Konten als in der Unternehmensadministratorgruppe, aber die Northamerica Domänen-Administratoren verfügen erhebliche Rechte und Privilegien. Da den Domänen-Administratoren die vollständige Kontrolle aller Ressourcen der Domäne übertragen wird, wird diesen Konten eine AP von 10 zugewiesen. Wie bereits im Falle der Organisations-Administratoren hängen sämtliche Ressourcen des Unternehmens von der Integrität dieser Konten ab. Wie bereits erwähnt, sind die Konten der Domänenadministratorgruppe von immensem Wert. Daher werden auch die Domänen-Administratoren mit einem AV, der dem Gesamtumsatz des Unternehmens im vergangenen Fiskaljahr entspricht, beziffert. Konten der Domänen-Administratoren Northamerica Die Domänenadministratorkonten sind nicht die einzigen Konten von Interesse in einem Unternehmen. Benutzerkonten besitzen zwar nicht die gleichen Privilegien wie die der Domänen-Administratoren, stellen aber auch einen möglichen Einstiegspunkt für Angreifer dar. Stabilität und Integrität von Benutzerkonten ist eine der Hauptaufgaben von Active Directory. Den Benutzerkonten wurde dementsprechend ein AP von 5 zugeordnet. Der physische Wert eines Benutzerkontos ist gering. Die Wiederherstellung eines Kontos benötigt einigen administrativen Aufwand und ist in der Regel mit einem zeitweiligen Funktionalitätsverlust verbunden. Dennoch ist die Bewertung dieser Art von Ressource sehr schwierig. Anhand der Kosten für die Wiederherstellung des Kontos und dem geschätzten Produktionsausfall wird der AV auf 1.000 Euro beziffert. DNS der Stammdomäne Die DNS-Server der Stammdomäne stellen umfangreiche Funktionalitäten bereit, können aber sehr leicht wiederhergestellt werden. Die Daten auf diesen Servern haben in der Regel keinen großen Wert für Außenstehende, und die Auswirkungen eines Datenverlusts wären gering. Eine Manipulation dieser Server könnte aber dafür sorgen, dass Anwender umgeleitet werden und keinen Zugriff mehr auf ihre Daten erhalten. Daher wurde eine AP von 4 festgelegt. Ein DNS-Server speichert keine Geschäftsdaten. Sie stellen aber Funktionen für den Zugriff auf Geschäftsdaten bereit. Ausgehend von einer Schätzung, wie lange eine Wiederherstellung eines solchen Servers dauert, und wie hoch der damit verbundene Produktionsausfall ist, wurde der Wert der DNS-Dienste in der Stammdomäne auf 30.000 Euro geschätzt. Der AV beläuft sich damit auf 48.000 Euro. Obwohl Contoso Active-Directory-integriertes DNS einsetzt, wurde die Entscheidung gefällt, diese Dienste getrennt zu bewerten. DNS der Unterdomäne Die DNS-Server der Unterdomäne beinhalten Informationen über alle Server, Clients und einige Netzwerkdienste der Unterdomäne. Diese könnten für Außenstehende durchaus interessant sein. Diese Server beeinflussen den Profit des Unternehmens nicht direkt, allerdings ist ihr Wert für die reibungslose Funktionalität des Netzwerks erheblich. Weil die Daten dennoch leicht wiederherzustellen sind, wurde den DNS-Servern eine AP von 5 zugesprochen. Wie auch in der Stammdomäne speichern die DNS-Server der Unterdomäne keine Geschäftsdaten. Sie stellen aber Funktionen für den Zugriff auf Geschäftsdaten bereit. Ausgehend von einer Schätzung, wie lange eine Wiederherstellung eines solchen Servers dauert, und wie hoch der damit verbundene Produktionsausfall ist, wurde der Wert der DNS-Dienste in der Stammdomäne auf 30.000 Euro geschätzt. Der AV beläuft sich damit auf 48.000 Euro. Obwohl Contoso Active-Dirctory-integriertes DNS einsetzt, wurde die Entscheidung gefällt, diese Dienste getrennt zu bewerten. WINS-Server WINS-Server speichern Informationen, die denen von DNS-Servern ähneln. Allerdings ist der Nutzen von WINS-Servern für ältere Clients (Windows 98 und Windows NT 4.0 Workstation) im Netzwerk beschränkt. Weil sich auch diese Daten leicht wiederherstellen lassen, erhalten die WINS-Server eine AP von 3. Ein WINS-Server speichert keine Geschäftsdaten. Ein WINS-Server speichert lediglich die NetBIOS-Namen von Computern im Netzwerk. Ein Ausfall eines WINS-Servers könnte zu Produktionsverlust führen, weil ältere Clients ihre Ressourcen nicht mehr erreichen; diesem Umstand wird aber durch eine redundante Absicherung der Server entgegengewirkt. Daher ergibt sich ein AV von 18.000 Euro für einen WINS-Server. Beachten Sie bitte, dass in dieser Bewertung der Wert der WINS-Dienste für das Unternehmen nicht enthalten ist. Lediglich der Wert eines einzelnen WINS-Servers. DHCP-Server DHCP-Server speichern kaum Informationen, die für Dritte von Belang sein könnten. Diese Server lassen sich leicht wiederherstellen und erwirtschaften keinen direkten Profit. Daher wurden ihnen eine AP von 1 zugewiesen. Ein DHCP-Server speichert lediglich Informationen zu Computern und deren IP-Adressen sowie Angaben zum DHCP-Bereich. Er speichert keine Informationen, die einen direkten Geschäftswert darstellen könnten. Er sorgt allerdings für wichtige Funktionalitäten. Contoso stellt mehrere DHCP-Server nach der 80-20-Regel bereit, so dass der Ausfall eines Servers problemlos kompensiert werden kann. Dadurch richtet der Ausfall eines einzelnen Servers weniger Schaden an. Daher wird der AV eines einzelnen DHPC-Server auf 18.000 Euro geschätzt. Beachten Sie bitte, dass in dieser Bewertung der Wert der DHCP-Dienste für das Unternehmen nicht enthalten ist. Lediglich der Wert eines einzelnen DHCP-Servers. Datei- und Druckserver Die Datei- und Druckserver speichern einen Großteil des geistigen Eigentums des Unternehmens. Dem Ausfall dieser Computer wird ein hoher Geldbetrag beigemessen, sowohl für das eigene Unternehmen als auch für Mitbewerber. Eine Wiederherstellung der Daten könnte sich als extrem aufwändig erweisen. Daher wurden den Datei- und Druckserver von Contoso eine AP von 8 zugewiesen. Der Wert der Daten auf einem solchen Server wurde auf durchschnittlich 200.000 Euro geschätzt. Diese Bewertung basiert auf dem Profit, den das Unternehmen mit diesen Daten erzielt sowie einer Schätzung der Entwicklungskosten. Forschungswebserver Die Forschungswebserver stellen den Benutzern einen Großteil der Marktforschungsdaten von Contoso bereit. Diese Daten sind der vorrangige Wettbewerbsvorteil des Unternehmens. Daher wurde für die Forschungswebserver eine AP von 10 festgelegt. Der Wert der Daten auf jedem dieser Server wurde auf 450.000 Euro geschätzt. Diese Bewertung basiert abermals auf dem Profit, den das Unternehmen mit diesen Daten erzielt sowie einer Schätzung der Entwicklungskosten. Weiterhin wird der Wert dieser Daten für Mitbewerber auf 80.000 Euro geschätzt. Zusammen mit den Hardwarekosten ergibt sich ein AV von 596.000 Euro für jeden Forschungswebserver. Abteilungswebserver Die Abteilungswebserver enthalten Daten zu aktuellen und zukünftigen Projekten, die jedoch keinen direkten Geschäftswert darstellen. Diese Server werden vorrangig zur Kommunikation verwendet. Daher wurde für die Abteilungswebserver eine AP von 6 festgesetzt. Der Wert der Daten auf jedem dieser Server wurde anhand der bereits erwähnten Kriterien auf 50.000 Euro festgelegt. Wie bereits erwähnt, basiert diese Bewertung auf dem Profit, den das Unternehmen mit diesen Daten erzielt, sowie einer Schätzung der Entwicklungskosten. Unter Berücksichtung der Hardwarekosten ergibt sich ein AV von 82.000 Euro pro Server. ISS-Server Human Resources Diese Webserver greifen auf ein HR-System zu und stellen die dort gespeicherten Daten bereit. Sie sind leicht wiederherzustellen und speichern kaum kritische Geschäftsdaten. Da sie aber in der Entwicklung sehr teuer waren, wurde ihnen eine AP von 7 zugewiesen. Der Wert der Geschäftsdaten auf diesen Servern wurde auf 100.000 Euro geschätzt. Auf diesen Servern sind große Mengen an persönlichen Daten und internen Unternehmensinformationen gespeichert, deren Wert für externe Unternehmen geschätzt wurde. Hinzu kommen 200.000 Euro für die Kosten möglicher Rechtsstreits und Werbekampagnen, die ein negatives Bild in der Öffentlichkeit zurechtrücken sollen, das sich aus der unerwünschten Veröffentlichung dieser Daten ergeben könnten. Zusammen mit den Hardwarekosten ergibt sich ein AV von 332.000 Euro für diese Server. Bedrohungen identifizierenNach der Identifikation und Bewertung der Ressourcen, die in Contosos Sicherheitsprojekt berücksichtigt werden müssen, muss im nächsten Schritt festgestellt werden, vor welchen Bedrohungen die Ressourcen zu schützen sind. Es gibt verschiedene Arten von Bedrohungen, von denen jede ein anderes Risiko darstellt. Es gibt zahllose Bedrohungen für die Ressourcen eines Unternehmens. Diese werden ausführlich im Modul "Definition der Sicherheitslandschaft " diskutiert. Kurz gesagt können Bedrohungen in folgende drei Kategorien unterteilt werden: natürliche, mechanische und menschliche. Bedrohungen bei ContosoContoso hat im Rahmen seines Projekts zur Sicherung von Windows 2000 entschieden, dass nur böswillige Angriffe berücksichtigt werden sollen. Die Fortbildungsrichtlinien und Geschäftsverfahren helfen, Bedrohungen durch Fehlbedienung zu minimieren. Netzwerkdesign und Systemanforderungen verringern die Gefahr mechanischer Bedrohungen. Zusätzlich hat Contoso durchdachte Eindämmungspläne für den Fall einer Naturkatastrophe entwickelt. Indem Sie die Anzahl der Bedrohungen im Rahmen des Sicherheitsprojekts verringern, können Sie ein fundiertes Verständnis für die Angriffsflächen in Ihrer Umgebung sowie den Umfang der Sicherheitsrichtlinien und -verfahren entwickeln. Allerdings beinhaltet die Definition dieses Umfangs möglicherweise weitere Projekte, um sämtliche Bedrohungen zu berücksichtigen. Analyse der Sicherheitsrisiken - Bedrohungswahrscheinlichkeit Ein wichtiger Bestandteil der Risikoanalyse ist das Bestimmen der Wahrscheinlichkeiten bestimmter Bedrohungen. Wenn Sie Risikoberichte für Ihr Unternehmen erstellen, erleichtern diese Wahrscheinlichkeiten die Festlegung, wie kritisch einzelne Risiken sind. Contoso hat die Bedrohungswahrscheinlichkeit (Threat probability - TP) als die Wahrscheinlichkeit des Eintretens einer bestimmten Bedrohung definiert. Contoso hat die Wahrscheinlichkeit, mit der eine hochrangige Bedrohung auftritt, auf einer Skala von 0 - 1,0 bewertet. In diesem Bewertungssystem besitzt eine Bedrohung von 0,1 eine sehr geringe Wahrscheinlichkeit, während eine 1,0 bedeutet, dass diese Bedrohung definitiv in Erscheinung treten wird (siehe untenstehende Tabelle). Tabelle 4: Bedrohungswahrscheinlichkeiten bei Contoso
Die Bewertung der Wahrscheinlichkeit erfolgte anhand der Studie "Computer Crime and Security Survey" aus dem Jahr 2002 und Contosos eigenen Erfahrungen aus dem letzten Jahr. Diese Liste beinhaltet nur einen Teil der identifizierten Bedrohungen, zeigt aber, wie man eine solche Liste anhand von Erfahrungen, Umwelteinflüssen, Geographie und Branche erstellen kann. SicherheitsbewertungSie sollten wie bei allen IT-Projekten mit einer Bestandsaufnahme der bestehenden Umgebung beginnen. Dazu sollte Sie sämtliche Richtlinien und Verfahren bewerten sowie den Einsatz von Technologien in der Umgebung und im Netzwerk, auf Anwendungs- und Datenebene. Die Sicherheitsbewertung kann viele Ziele verfolgen, so dass es viele Kategorien gibt, wie diese erreicht werden können. Hierzu zählen:
Derartige Dienste werden von einer Reihe von Microsoft-Partnern angeboten. Eine Aufstellung der von Microsoft lizenzierten Partner finden Sie unter: http://www.microsoft.com/germany/aktionen/partnerfinden/solutionfinder/default.mspx (englischsprachig). Die drei Sicherheitsbewertungskategorien werden im Folgenden ausführlich beschrieben. Operative BewertungSicherheit beginnt mit klar definierten Richtlinien. Der erste Schritt zur Sicherung Ihres Unternehmens umfasst eine gründliche Analyse der dokumentierten Richtlinien. Eine operative Bewertung kann zu einer detaillierten Aufschlüsselung der verwendeten Technologien führen. Zum Teil beinhaltet die operative Bewertung die Nutzung hochrangiger Technologie. Ziel einer operativen Analyse ist die Identifikation des Sicherheitsstatus und der operativen Verfügbarkeit Ihrer Organisation. Gleichermaßen sollten sich Empfehlungen für die Verbesserung der Sicherheit sowie die Verringerung der Betriebskosten (TCO - Total Cost of Ownership) für Ihr Unternehmen ergeben. Simulation von EindringversuchenMit Hilfe solcher Simulationen können Sie herausfinden, wie sich nicht autorisierte Personen Zugang zu Ihrem Unternehmen verschaffen können. Dies könnte Folgendes beinhalten:
Diese Tests sind nützlich, um die Beachtung zu erhöhen, die eine Organisation Sicherheitsrichtlinien widmet. Eine wesentliche Überlegung bei Penetration Tests besteht darin, eine vertrauenswürdige externe Person für die Durchführung der Tests zu finden. Es ist sehr wichtig, dass Sie eine schriftliche Genehmigung einholen, bevor Sie Tests durchführen. In den meisten Unternehmen stellen solche unautorisierten Aktionen einen Kündigungsgrund dar. Bewertung der SicherheitslückenDie Bewertung der Sicherheitslücken ist die logische Fortführung der Penetration Tests. Bei dieser Bewertung wird versucht, alle möglichen Einstiegspunkte in die Organisation aufzuspüren. Innerhalb der Organisation versucht ein Projektteam, weitere Schwächen von Ressourcen zu identifizieren. Zum Durchführen solcher Tests werden administrative Rechte auf allen Computern benötigt. Daher werden diese Test normalerweise von einer unternehmensinternen Person durchgeführt. Eine Sicherheitslücke ist eine Schwachstelle in einem Informationssystem oder in dessen Komponenten (zum Beispiel Sicherheitsverfahren im System, Hardwaredesign, interne Steuerelemente und so weiter), die zur Manipulation der Daten ausgenutzt werden kann. Normalerweise ist eine Sicherheitslücke auf die momentane Konfiguration einer Ressource zurückzuführen. Nach einer Änderung der Konfiguration sollte die Bewertung erneut erfolgen, damit der Sicherheitsstatus des aktualisierten Systems verifiziert werden kann. Sicherheitslücken können durch Schwächen im vertieften Verteidigungsmodell verursacht werden. Dieses Modell liefert Ihnen eine Strategie, wie Sie Ressourcen vor externen und internen Bedrohungen schützen können. Die vertiefte Verteidigung (auch vertiefte Sicherheit oder vielschichtige Sicherheit genannt) ist ein militärischer Begriff für verschiedene Ebenen, an denen Sicherheits- und Gegenmaßnahmen in einer Sicherheitsumgebung ohne einen einzelnen Ausfallpunkt (Single Point of Failure) implementiert werden können. Das Modell beinhaltet die Benennung von möglichen Problemen mit Personen, Prozessen und Technologien und greift auf diese Bewertungsstrategie zurück. Das Scannen nach Sicherheitslücken erfolgt mit Hilfe von Tools oder manuell. Ein automatisiertes Scannen identifiziert alle Computer und Komponenten im Netzwerk. Nachdem mögliche Ziele ermittelt wurden, werden weitere Tests durchgeführt, um mögliche Sicherheitslücken der Ressourcen zu bestimmen. Manuelles Scannen kann die gefundenen Informationen vertiefen, bzw. potenzielle Sicherheitslückenaufspüren, die in den automatisierten Verfahren übersehen wurden. Durch manuelles Scannen kann man tiefergehende Informationen der Zielumgebung erhalten. Manuelles Scannen kann zudem potenzielle Sicherheitslücken aufspüren, die beim automatisierten Verfahren übersehen wurden. Überprüfen der EindringlingserkennungBei dieser Überprüfung werden die Ergebnisse der anderen Tests kombiniert, um sicherzustellen, dass die Verfahren zur Eindringlingserkennung funktionieren. Das Unternehmen, das diese Überprüfung durchführt, greift dabei zum besseren Verständnis der Sicherheitsrichtlinien Ihres Unternehmens auf die Ergebnisse der operativen Bewertung zurück. Die Ergebnisse der Penetration Tests vermitteln einen Überblick über die Bereiche, in denen das Unternehmen Bedrohungen ausgesetzt ist. Die Bewertung der Sicherheitslücken zeigt die Probleme auf, die derzeit im Unternehmen existieren. Nach der Auswertung dieser Informationen kann ein externes Unternehmen versuchen, von außen in Ihre Organisation einzudringen. Der wesentliche Unterschied zur Bewertung der Sicherheitslücken besteht darin, dass dieses Eindringen ohne administrative Berechtigungen erfolgt. Sollte das Verfahren erfolgreich durchgeführt werden, muss das Zielunternehmen die Eindringlingserkennung neu bewerten. Sollte das Eindringen erfolgreich sein, wiederholt die Testergruppe das Verfahren innerhalb der Organisation, um festzustellen, welche Informationen sie sammeln können, ohne dass Administratoren oder das Eindringlingerkennungssystem dies bemerken. Die Überprüfung der Eindringlingserkennung stellt den umfassendsten Test dar und sollte nur von vertrauenswürdigen Unternehmen ausgeführt werden. Ein solcher Test bedarf einer schriftlichen Genehmigung durch den Unternehmensvorstand. Auch sollten vor der Durchführung eines solchen Tests mögliche Auswirkungen so umfangreich wie möglich analysiert werden. Tools zur Bewertung von SicherheitslückenFür einige Unternehmen empfiehlt sich unter Umständen die Anschaffung eines Tools zur Bewertung von Sicherheitslücken anstelle der Beauftragung eines externen Unternehmens. Beide Methoden haben Ihre Vor- und Nachteile. Eine Analyse durch Außenstehende ist in der Regel von unschätzbarem Wert. Allerdings ist diese Methode auch sehr kostspielig. Sollten Sie sich für den Einsatz eines Tools entscheiden, achten Sie darauf, dass es möglichst viele der im Folgenden aufgelisteten Funktionen bietet. Datenbankanbindung Das Tool sollte in der Lage sein, auf verschiedene Quellen für Listen mit Sicherheitslücken zuzugreifen. Hierzu zählen beispielsweise die Microsoft Security Bulletins, die CVEDatenbank (Common Vulnerabilities and Exposures) das CERT Coordination Center oder BugTraq. Aktualisierung Das Tool sollte seine Testergebnisse automatisch aktualisieren können. Die Liste der Sicherheitslücken, nach denen ein Tool sucht, ist nur so gut, wie sein aktueller Stand. Ein Tool das manuell aktualisiert werden muss, erhöht die Wahrscheinlichkeit, dass ein Administrator nicht alle Möglichkeiten prüft. Anpassen Das Tool sollte angepasst werden können. jede Umgebung ist anders. In einigen Unternehmen werden bestimmte Sicherheitslücken in Kauf genommen, weil Sie aufgrund der Konfiguration des Netzwerks keine wirkliche Bedrohung darstellen. Das Tool sollte für derartige Sicherheitslücken keine Warnmeldungen produzieren. Außerdem muss die Möglichkeit bestehen, nach Sicherheitslücken zu suchen, die in anderen Umgebungen normalerweise nicht auftreten. Netzwerksicherheit Das Tool sollte die Netzwerksicherheit prüfen. Diese Tests sollten Portscans umfassen, die Rückschlüsse auf nicht korrekt abgesicherte Dienste erlauben. Computersicherheit Das Tool sollte das Betriebssystem eines Computers auf seine Sicherheit überprüfen können. Dies beinhaltet die Überprüfung des Systems auf überflüssige Dienste, Konten, unnötigen Zubehör, die umfangreiche Absicherung der Registrierung und notwendige (und nur solche) Benutzerberechtigungen. Es sollte sicherstellen, das korrekte Zugriffssteuerungslisten (Access Control Lists - ACL) auf Ereignisprotokolle angewendet werden, das Berechtigungen in der Registrierung angemessen verschärft wurden und das nur die erforderlichen Benutzerrechte erteilt wurden. Anwendungssicherheit Die Sicherheit von Anwendungen sollte das Tool ebenfalls überprüfen können. Hierzu zählen Grundeinstellungen von Betriebssystemen, Domänen und Domänencontrollern sowie Webservern. Insbesondere beim Einsatz von IIS in Ihrem Unternehmen müssen die Einstellungen der IIS-Metabase, in der Informationen zu Konfigurationseinstellungen des IIS-Servers enthalten sind, gespeichert werden. Auch sollte das Tool prüfen, ob das Verzeichnis inetpub auf einen anderen Datenträger verschoben wurde, und ob das Lockdown-Tool und der URLScan ausgeführt wurden. Datensicherheit Auch die Überprüfung der Datensicherheit sollte vom Tool übernommen werden. Zur Datensicherheit zählen Systemdateien und deren Absicherung, installierte Service Packs und Hotfixes, ACLs und Freigabeberechtigungen. Hotfixes sind kumulative Pakete, die aus einer Datei oder mehreren Dateien besteht, um einen Fehler in einem Produkt zu beseitigen. Hotfixes berücksichtigen bestimmte Kundensituationen und dürfen ohne schriftliche Zustimmung von Microsoft nicht außerhalb der Kundenorganisation verbreitet werden. Sicherheits-Hotfixes hingegen sollten sofort auf allen Servern, die die vorausgesetzten Kriterien erfüllen, installiert werden. Sie bedürfen für eine Weitergabe keiner schriftlichen Genehmigung. Prioritätensetzung Schließlich sollte das Tool bei einer Einteilung nach Prioritäten helfen. Das Microsoft Security Response Center identifiziert zum Beispiel Patches anhand der Sicherheitslücken, die sie behandeln, und weist ihnen eine Wertung zu. Dieses Center ist ein Geschäftsbereich von Microsoft, der sich mit der Beseitigung von Sicherheitslücken in Microsoft Produkten beschäftigt. Diese Wertungen schließen kritische, wichtige, unkritische und geringe Sicherheitslücken ein. Zwar sind diese Wertungen sehr allgemein, dennoch können sie bei der Prioritätensetzung behilflich sein. So lässt sich feststellen, welche Patches dringend installiert werden müssen. Input aus der Risikoanalyse.Jede Sicherheitslücke muss anhand verschiedener Kriterien bewertet werden. Bei der Beurteilung des Sicherheitsbedarfs Ihres Unternehmens müssen alle bestehenden Sicherheitslücken in Hinblick auf potenzielle Bedrohungen berücksichtigt werden. Diese Beurteilung beinhaltet das Erstellen eines Risikoberichts für jede denkbare Kombination aus Angreifer, Sicherheitslücke und Ressource. Dies mag sich nach sehr viel Arbeit anhören, trägt aber erheblich zur Erkennung aller Probleme bei, die im Rahmen des Sicherheitsprojekts in Ihrem Unternehmen behandelt werden müssen. Risikoberichte In einem Sicherheitsbericht müssen alle Möglichkeiten und ihre Folgen separat behandelt werden. Sollte eine Bedingung mehrere Folgen nach sich ziehen, sollten diese in eigenen Berichten diskutiert werden. Jeder Risikobericht sollte eine Bedingung und deren Folge beinhalten. Der Bericht sollte, wie bereits im Modul "Definition der Sicherheitslandschaft " vorgestellt, folgende Form haben: WENN ein Angreifer ein Werkzeug, eine Technik oder eine Methode verwendet, um eine Sicherheitslücke auszunutzen, DANN kann dies den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit einer Ressource zur Folge haben. Schwere des Angriffs (CF - Criticality Factor) CF misst das Ausmaß eines Schadens an einer Ressource, der durch das Ausnutzen einer Sicherheitslücke entsteht. Es gibt möglicherweise mehrere Wege, um eine Sicherheitslücke in einem Angriff auszunutzen. Jeder Angriff kann unterschiedliche Auswirkungen auf den Zielcomputer haben. Daher bedarf es noch weiterer Forschung, um die mögliche Ausnutzung jeder einzelnen Sicherheitslücke bewerten zu können. Der CF sollte anhand einer Skala von 1 bis 10 gemessen werden. Hierbei bedeutet 1 geringe Auswirkungen durch einen Angriff und 10 große, irreparable Schäden. Aufwand (E - Effort) E beschreibt die Fähigkeiten und Kenntnisse, die Angreifer für das Ausnutzen einer Lücke beherrschen müssen. Diese Bewertung erfolgt anhand der Komplexität eines Angriffs. Es gibt eine große Bandbreite böswilliger Angreifer. Sie rangiert von so genannten "Script-Kiddies", die in der Regel keine fundierten Kenntnisse über Hintergründe und Funktionalitäten eines Angriffs haben (sondern lediglich ein Angriffswerkzeug kennen), bis hin zu echten "Crackern", die über umfangreiche Kenntnisse in punkto Sicherheit verfügen, um Sicherheitsmaßnahmen überwinden zu können. Unter einem "Cracker" versteht man eine Person, die Sicherheitsmaßnahmen überwindet und sich so unbefugten Zugriff auf ein Computersystem verschafft. Der Aufwand sollte mit der gleichen Skala bewertet werden wie der CF. Von 1 bis 10, wobei 1 sehr wenige Fähigkeiten und Kenntnisse erfordert, während bei 10 das Fachwissen eines Programmierers von Sicherheitsprogrammen notwendig ist. Verwundbarkeit (VF- Vulnerabilty Factor) Der VF misst die Anfälligkeit für eine bestimmte Form des Angriffs. Bewerten Sie die Sicherheitslücken anhand des "Vulnerability Factors" (VF) auf einer Skala von 1 (niedrig) bis 10 (hoch). Hierbei müssen Sie entscheiden, wie groß die Gefahr einer Sicherheitslücke für eine Ressource ist. Liste der Sicherheitslücken von ContosoContoso hat ein Tool zur Bewertung von Sicherheitslücken auf seinem Netzwerk eingesetzt, um die Hauptprobleme der Konfiguration zu identifizieren. Das Tool erstellte eine umfangreiche, nach den Prioritäten gering, mittel, hoch kategorisierte Liste der Sicherheitslücken. Contoso hat daraufhin entschieden, Risiken der Kategorien hoch und mittel sofort zu bearbeiten. Viele der Sicherheitslücken können zu größeren Gruppen zusammengefasst werden. Diese Gruppierungen werden zusammen mit spezifischen Sicherheitslücken im Folgenden erörtert. Zudem werden die Sicherheitslücken auf Schwere des Angriffs (CF), Aufwand (E) und Verwundbarkeit (VF) bewertet. Pufferüberlauf Der Sicherheitslücken-Scanner hat festgestellt, dass zahlreiche Server in Contosos Umgebung für Pufferüberläufe im Zusammenhang mit IIS anfällig sind. Ein Pufferüberlauf wird häufig von Angreifern ausgenutzt, um sich Zugang zu einem System zu verschaffen. Insbesondere hat das Tool den ungepatchten ida/idq-Pufferüberlauf, den der Code-Red-Wurm ausnutzt, identifiziert. Ein Wurm ist ein selbstreplizierendes Programm, das extrem viel Speicherplatzverschlingt und damit Computer zum Absturz bringt. Risikobericht WENN ein Angreifer den Code-Red-Wurm einsetzt, um die ida/idq-Sicherheitslücke auszunutzen, DANN führen Verlust von Integrität und Verfügbarkeit der Forschungswebserver zu erhöhtem Netzwerkverkehr. Ähnliche Risikoberichte sollten für jede gefährdete Ressource und damit auch für die Webserver der anderen Abteilungen erstellt werden. Schwere des Angriffs Der Code-Red-Wurm wurde erstmals am 17. Juli 2001 entdeckt. Der Wurm hat sich mit unglaublicher Geschwindigkeit über das Internet verbreitet und dabei in 14 Stunden beinah 360.000 Server infiziert. Währenddessen hat er Webserver lahm gelegt und immensen, zusätzlichen Netzwerkverkehr verursacht, der zahlreiche Unternehmensnetzwerke verstopfte. Aufgrund der möglichen Auswirkungen auf das Netzwerk hat das Sicherheitsteam von Contoso Code Red einen CF von 9 für alle Webserver gegeben. Aufwand Code Red war scheinbar sehr schwierig zu programmieren. Der ida/idq-Überlauf ist eine besonders komplexe Sicherheitslücke, die ursprünglich nur sehr schwer ausgenutzt werden konnte. Der Code-Red-Wurm verbreitet sich rasend schnell. Allerdings tut er dies ohne Zutun von außen, so dass so gut wie keine Fähigkeiten für einen Angriff mit Code Red erforderlich sind. Daher wird der Aufwand, um Code Red für einen Angriff zu verwenden mit 1 bewertet. Verwundbarkeit Immer wieder stellt Contoso Infektionen mit Code Red in beiden Serverstandorten fest. Häufig werden die Server schon beim Aufbau infiziert, bevor sie vollständig gepatcht werden können. Deswegen stellt der Pufferüberlauf eine der größten Sorgen für Contoso dar. Da Code Rede weiterhin Server im Unternehmen infiziert, sind die Server während des Aufbaus sehr anfällig für den Wurm. Daher versucht das Sicherheitsteam so schnell wie möglich zu patchen. Vor diesem Hintergrund wird den Webservern ein VF von 8 zugewiesen. NetBIOS-Abfragen Der Scanner hat ermittelt, dass alle Geräte für NetBIOS-Abfragen anfällig sind. NetBIOS verwendet eine Standardfreigabe (IPC) für die Kommunikation der Systeme untereinander. Standardmäßig kann sich jeder auf diese Freigabe verbinden - ohne Benutzernamen und Kennwort. Zwar erhält man bei einer solchen Verbindung keinen Zugriff auf Dateien oder Steuerungsprozesse, jedoch lassen sich zahlreiche Systeminformationen auslesen. Ein Angreifer kann sich mit Hilfe einer Null-Sitzung (eine Verbindung ohne Benutzernamen und Kennwort) auf die IPC$-Freigabe verbinden, um dort mit einem der weit verbreiteten Tools beispielsweise folgende Informationen auszulesen:
Hierbei handelt es sich lediglich um eine Auswahl an Informationen, die leicht auszulesen sind. Sie vermitteln jedoch einen Überblick über die Art der Informationen, die anonym ausgelesen werden können. Risikobericht WENN ein Angreifer ein Tool zur NetBIOS-Abfrage unter Verwendung von Null-Sitzungen einsetzt, DANN kann der Verlust der Vertraulichkeit eines Domänencontrollers in Northamerica dazu führen, dass ein unbefugter Benutzer Zugriff auf Kontoinformationen erhält. Ein ähnlicher Bericht sollte auch für die Domänencontroller der Stammdomäne erstellt werden. Schwere des Angriffs Die NetBIOS-Abfrage über Null-Sitzungen kann zu einem schwerwiegenden Verlust der Sicherheit führen. Sollte der derartige Zugriff auf Systeminformationen nicht verhindert werden können, setzt sich das Unternehmen einem großen Risiko aus, da der Angreifer Zugriff auf eine Reihe von Kontonamen erhält. Dies ist immerhin schon die Hälfte der Benutzername- /Kennwort-Kombination. Aufgrund dieser möglichen Auswirkungen hat Contoso einen CF von 6 für alle Domänencontroller festgelegt. Contoso verwendet keine speziellen Konten auf Mitgliedsservern, allerdings könnte ein Risikobericht erstellt werden, weil sich auf diesen Servern zahlreiche Freigaben befinden, die abgefragt werden könnten. Contoso hat dies nicht als große Bedrohung angesehen, hätte aber den CF für Mitgliedsserver auf 3 gesetzt. Aufwand Der mit der Abfrage von NetBIOS-Informationen verbundene Aufwand ist ziemlich gering. Im Internet finden sich zahlreiche, frei verfügbare Tools, die diese Inforationen automatisch abfragen, sobald eine Null-Sitzung hergestellt wurde. Contoso hat den Aufwand für diese Angriffsmöglichkeit mit 2 bewertet. Verwundbarkeit In der Umgebung gibt es derzeit keine Gegenmaßnahmen, die eine NetBIOS-Abfrage unterbinden könnten. Daher ist der VF für alle Server 10. SNMP-Abfragen Der Scanner bemängelte, dass SNMP (Simple Network Management Protocol) auf allen Computern unter Verwendung des "Public"-Strings aktiviert war. Contoso setzt SNMP auf den Servern für die Ereignisberichterstattung ein. Das Unternehmen tat dies immer unter Verwendung des "Public"-Strings und war deswegen überrascht zu erfahren, dass SNMP zusätzlich zur Hardware-Überwachung auch zur Rückgabe von anderen Informationen über die Server verwendet werden kann, zum Beispiel:
Risikobericht WENN ein Angreifer ein Tool zur SNMP-Abfrage unter Verwendung des "Public"-Strings einsetzt, DANN kann der Verlust der Vertraulichkeit eines Domänencontrollers in Northamerica dazu führen, dass ein unbefugter Benutzer Zugriff auf Kontoinformationen erhält. Ein ähnlicher Bericht sollte auch für die Domänencontroller der Stammdomäne erstellt werden. Schwere des Angriffs Eine SNMP-Abfrage kann eine Vielzahl an Informationen hervorbringen und ist demzufolge sehr gefährlich, insbesondere wenn dem "Public"-String Schreibrechte auf dem Server eingeräumt werden. Aufgrund dieser Konfiguration hat Contoso einen CF von 6 festgelegt. Für den Fall, dass Contoso dem "Public"-String Schreibrechte eingeräumt hätte, müsste ein separater Risikobericht formuliert werden. Aufwand SNMP-Abfragen können mit einer Vielzahl im Internet frei erhältlicher Tools durchgeführt werden. Deshalb wird der Aufwand mit 2 bewertet. Verwundbarkeit Contoso hat SNMP auf den meisten Servern unter Verwendung des Public -Strings aktiviert. Daher ist das Unternehmen in diesem Punkt sehr anfällig. Dies führt zu einem VF von 10. DNS-Abfragen Die Analyse hat ergeben, dass der Zonentransfer auf den DNS-Servern nicht eingeschränkt wurde. Ohne diese Einschränkung ist es einem Angreifer ein Leichtes, Informationen auf einem DNS-Server auszulesen. Contoso verwendet Active-Dirctory-integriertes DNS. Im DNS werden demzufolge zahlreiche Informationen zur Domäne, einschließlich Servernamen, IP-Adressen, Netzwerkdienste und Server, die spezielle Dienste wie den globalen Katalog oder Domänencontrollerfunktionalität bereitstellen. Risikobericht WENN ein Angreifer nslookup verwendet, um Zonentransfers auszulesen, DANN kann ein Verlust der Vertraulichkeit der DNS-Server von Northamerica zur Server- und Dienstidentifikation führen. Ein ähnlicher Bericht sollte für die DNS-Server der Stammdomäne erstellt werden. Schwere des Angriffs Eine DNS-Abfrage kann eine Vielzahl an Informationen über Dienste und Computer ergeben, jedoch keine Angaben zu Benutzern oder kritischen Unternehmensdaten. Daher wird der CF auf 2 gesetzt. Aufwand DNS-Abfragen können mit Tools aus dem Lieferumfang der meisten Betriebssysteme durchgeführt werden. Deshalb wird der Aufwand mit 1 bewertet. Verwundbarkeit Da Contoso keinen eingeschränkten Zonentransfer verwendet, wurde der VF für DNS-Abfragen auf 7 festgelegt. Schwache Kennwörter Das von Contoso verwendete Analysetool besitzt eine Funktion für lexikalische Kennwortprüfungen, um Benutzerkonten auf zu einfache Kennwörter zu testen. Weiterhin prüft es die Kennwort-Hashwerte in der SAM-Datenbank auf leere oder mehrfach verwendete Kennwörter. Wird ein Kennwort mehrfach verwendet, so könnte ein Angreifer zu dem Schluss kommen, dass es sich um ein Standardkennwort bei der Kontoerstellung handelt. Zwar sind die Informationen in der SAM-Datenbank verschlüsselt, doch auch ohne den Versuch zu unternehmen, ein Kennwort zu knacken, lassen sich leere oder mehrfach verwendete Kennwörter leicht identifizieren. Da Contoso keine Kontosperrungs-Richtlinie verwendet, kann ein Angreifer beliebig oft versuchen, ein Kennwort zu erraten. Die lexikalische Kennwortprüfung des Analysetools ergab weiterhin, dass viele Kennwörter aus Einträgen in Wörterbüchern bestehen, die es in wenigen Augenblicken erraten hatte. Risikobericht WENN ein Angreifer mit Hilfe einer "Brute-Force"-Methode die Abwesenheit von Kennwortrichtlinien ausnutzt, DANN kann ein Verlust der Integrität und Vertraulichkeit der Konten der Organisations-Admins dazu führen, dass ein unbefugter Zugriff auf das Unternehmensnetzwerk erhält. Ähnliche Berichte sollten für die Konten der Domänen-Admins und der Benutzer erstellt werden. Schwere des Angriffs Schwache Kennwörter sind der Schrecken jedes Systemadministrators. Sie ermöglichen Angreifern den einfachen Zugriff auf die Benutzername-/Kennwort-Kombination. Daher hat Contoso einen CF von 10 zugewiesen. Aufwand Schwache Kennwörter können mit unzähligen, im Internet frei erhältlichen Tools erraten werden. Deshalb wird der Aufwand mit 2 bewertet. Verwundbarkeit Contoso hat keine Kennwortrichtlinien implementiert, und überwacht auch keine fehlgeschlagenen Anmeldeversuche. Deswegen wird der VF mit 10 bewertet. Unverschlüsselter SMB-Verkehr Das Analysetool hat festgestellt, dass bei Contoso der SMB-Verkehr (Server Message Blocks) mit den Standardeinstellungen erfolgt. Standardmäßig schickt der Windows NT-LAN Manager den NTLM-Hash niemals über das Netzwerk. Jedoch gibt es Tools, so genannte Sniffer, die den Netzwerkverkehr überwachen und mit einer "Brute-Force"-Methode den LM-Hashwert ermitteln könnten. Danach können die Hashwerte mit Hilfe zahlreicher Tools in Klartextkennwörter übersetzt werden. Risikobericht WENN ein Angreifer einen SMB-Sniffer verwendet, um unverschlüsselten SMB-Verkehr zu überwachen, DANN kann ein Verlust der Integrität und Vertraulichkeit der Konten der Organisations-Admins dazu führen, dass ein unbefugter Zugriff auf das Unternehmensnetzwerk erhält. Ähnliche Berichte sollten für die Konten der Domänen-Admins und der Benutzer erstellt werden. Schwere des Angriffs Ein Angreifer kann sich unter Verwendung geknackter Kennwörter Zugriff zu Daten und Diensten im Netzwerk verschaffen, auf die er nicht über eine Null-Sitzung zugreifen kann. Daher hat Contoso einen CF von 10 zugewiesen. Aufwand Es gibt verschiedene Tools, die für eine solche Überwachung geeignet sind. Allerdings muss der gesamte Netzwerkverkehr überwacht werden. Dies gestaltet sich in einem geswitchten Netzwerk relativ schwierig. Da Contoso den Umstieg auf ein geswitchtes Netzwerk plant, wurde der Aufwand mit 5 bewertet. Verwundbarkeit Da Contoso keine Kennwortrichtlinien implementiert hat, können eine Vielzahl von kurzen Kennwörtern schnell erraten werden. Daher hat das Sicherheitsteam den VF auf 10 gesetzt. Unzureichende Überwachung Auf zahlreichen Servern waren die Überwachungseinstellungen zur Erkennung möglicher Angriffe unzureichend. Zum Beispiel war die Einstellung "Anmeldeversuche überwachen" nicht gesetzt, so dass "Brute-Force"-Angriffe nicht erkannt werden. Risikobericht WENN ein Angreifer die Überwachung mit Hilfe eines Tools ausschaltet, DANN kann ein Verlust der Integrität eines Domänencontrollers in Northamerica dazu führen, dass der Angreifer unbemerkt Zugriff auf das Remote-System erhält. Ähnliche Berichte sollten für alle Domänencontroller in Northamerica, alle Webserver, die DHCP-Server, die WINS-Server und die Datei- und Druckserver erstellt werden. Schwere des Angriffs Ein Angreifer kann mit einem Tool wie auditpool schlechte Überwachungsrichtlinien umgehen. Mit auditpol kann der Angreifer die gesamte Überwachung ausschalten. Contoso hat den CF für diese Sicherheitslücke auf 3 festgelegt, weil zunächst keine Daten kompromittiert werden. Allerdings wird so die Untersuchung unerwarteter Angriffe behindert. Aufwand Der Aufwand, der mit dem Einsatz von auditpol verbunden ist, beinhaltet, dass der Angreifer das Tool auf dem System mit administrativen Berechtigungen ausführt. Das Tool ist sich einfach auszuführen, aber da administrative Berechtigungen erforderlich sind, wurde für diese Sicherheitslücke ein Wert von 4 veranschlagt. Verwundbarkeit Da Contoso keine Überwachungsrichtlinien implementiert hat und derzeit keine Sicherheitsereignisse überwacht, hat das Sicherheitsteam einen VF von 9 veranschlagt. DoS-Angriffe Ein DoS-Angriff (Denial of Service) führt dazu, dass Benutzer nicht auf benötigte Ressourcen zugreifen können. Es existieren viele Varianten von DoS-Angriffen, wobei Angriffe auf IIS-Server und den TCP/IP-Stack eines Computers zu den gebräuchlichsten zählen. Das Analysetool hat verschiedene Veränderungen an der Konfiguration der Computer vorgeschlagen, die sie vor TCP/IP-basierten DoS-Angriffen schützen können. Risikobericht WENN ein Angreifer einen DoS-Angriff durchführt, DANN kann der Verlust der Verfügbarkeit eines Domänencontrollers der Stammdomäne einen Produktionsausfall zur Folge haben. Ähnliche Berichte sollten für alle Domänencontroller in Northamerica, alle Webserver, die DHCP-Server, die WINS-Server und die Datei- und Druckserver erstellt werden. Schwere des Angriffs Ein DoS-Angriff auf den TCP/IP-Stack bringt das gesamte System zum erliegen. Daher hat Contoso einem solchen Angriff einen CF von 8 zugewiesen. Aufwand Es gibt zahlreiche, einfach zu verwendende Tools, die solche Angriffe durchführen können. Der Aufwand wurde daher mit 1 bewertet. Verwundbarkeit Contoso hat bislang keine Maßnahmen gegen einen solchen Angriff implementiert, so dass der VF auf 9 festgelegt wurde. "IIS Directory Traversal" Das Analysetool hat ermittelt, dass die IIS-Server für ein "Directory Traversal" anfällig sind. Dadurch wird ist es einem Angreifer möglich, den Inhalt der Webserver zu lesen und in vielen Fällen sogar zu verändern. Risikobericht WENN ein Angreifer mit Hilfe einer Doppel-Dekodierung URL-Kanonisierungen ausnutzt, DANN kann ein Verlust der Integrität und Vertraulichkeit der Forschungswebserver dazu führen, dass der Angreifer den Inhalt der Webserver lesen und Befehle auf diesen ausführen kann. Ähnliche Berichte müssen für die Abteilungs- und die HR-Webserver erstellt werden. Schwere des Angriffs Das "IIS Directory Traversal" ist extrem gefährlich, da es einem Angreifer ermöglicht, Systembefehle auf einem Webserver auszuführen. Zwar schränkt Version 5 von IIS den Kontext auf das IUSR-Konto ein, doch besteht immer noch eine ernstzunehmende Bedrohung. Deshalb hat Contoso einen CF von 7 festgelegt. Aufwand Der erforderliche Aufwand, um diese Sicherheitslücke auszunutzen, ist minimal. "Directory Traversal" kann mit Hilfe zahlreicher Tools, oder, am einfachsten, mit einem Webbrowser ausgenutzt werden. Daher wird der Aufwand mit 1 bewertet. Verwundbarkeit Contoso setzt eine Vielzahl von Servern ein, die nicht über die neuesten Patches verfügen und auch nicht nach den vorgeschlagenen Methoden konfiguriert wurden. Daher wurde der VF mit 9 bewertet. Analyse und PrioritätensetzungAnalyseNach einer Reihe von Bewertungen, können nun die Sicherheitsrisiken für Contoso analysiert und in eine Rangfolge gesetzt werden. Dabei hat es sich als hilfreich erwiesen, die gesammelten Informationen in einer Tabelle zu konsolidieren. Einen Teil der Risikoanalyse von Contoso finden Sie in der nachstehenden Tabelle. Tabelle 5: Zusammenfassung der Risikobewertung
BedrohungsfrequenzDie Bedrohungsfrequenz (TF - Threat Frequency Level) misst die erwartete Häufigkeit eines Angriffs, das Schadenspotenzial und den geschätzten Aufwand, der für den Angriff erforderlich ist. TF = TP (Bedrohungswahrscheinlichkeit) * RF (Risikofaktor). RF = CF (Schwere des Angriffs)/ E (Aufwand) AuswirkungsfaktorDer Auswirkungsfaktor (IF - Impact Factor) beschreibt das Verlustpotenzial. IF = VF (Verwundbarkeit) * AP (Ressourcenpriorität) GefährdungsfaktorDer Gefährdungsfaktor (EF - Exposure Factor) dient dazu herauszufinden, welche Risiken zuerst behandelt werden sollen. EF = TF (Bedrohungsfrequenz) * IF (Impact Factor) Risikoanalyse für ContosoIdentifizierte Top-RisikenDie Top-Risiken, die bei der Sicherheitsrisikoanalyse identifiziert wurden, sind in der unten stehenden Tabelle zusammengefasst. Der Gefährdungsfaktor (EF) wurde mit folgender Formel errechnet: EF = ((TF - IF) / 1.000) EF = ((TF - IF) / 1.000) EF = ((TF - IF) / 1.000) Daraus ergibt sich folgende Grundformel: EF = (((TP - C / E) - (VF - AP)) / 1.000) Tabelle 6: Top-Risiken bei Contoso
Tools zur quantitativen AnalyseDie Identifikation und Bewertung der Top-Risiken sind häufig nur der erste Schritt in der Risikoanalyse. Im nächsten Schritt werden vorbeugende oder eindämmende Maßnahmen für die einzelnen Risiken bestimmt. Die Implementierung erweist sich hierbei häufig als deutlich schwieriger. Um eventuelle Kosten für Sicherheitsmaßnahmen rechtfertigen zu können, sind oftmals weitere Informationen nötig. Folgende Verfahren helfen Ihnen bei der Bestimmung des Werts einer Maßnahme. VerlusterwartungDie Verlusterwartung (SLE - Single Loss Expectancy) heftet ein Preisschild an ein bestimmtes System. Die Verlusterwartung stellt nur einen Teil des Risikos dar: die erwarteten Auswirkungen, finanziell oder anderweitig, einer bestimmten Bedrohung. Der SL wird berechnet, indem der EF mit dem AV (Ressourcenwert) multipliziert wird. Der SLE für die Infektion eines Forschungswebservers mit Code Red wird also folgendermaßen berechnet: SLE = 0,432 X 596.000 Euro = 257.472 Euro. Jährliche Quote des AuftretensDie jährliche Quote des Auftretens (ARO - Annual Rate of Occurence) ist die Wahrscheinlichkeit, mit der eine Bedrohung innerhalb eines Jahres auftaucht. Eine Bedrohung, die einmal in zehn Jahren auftritt, hat eine ARO von 0,1, während eine Bedrohung, die im Laufe eines Jahres 50 Mal auftritt, eine ARO von 50 erhält. Die Bandbreite dieses Werts reicht von 0 (die Bedrohung tritt nicht auf) bis zu einem Wert, der von der Art und Menge der Bedrohungen abhängt. In großen Unternehmen können bestimmte Bedrohungen im Laufe eines Jahres mehrere Tausend Mal auftreten, was zu einer sehr hohen ARO führt. Bei Contoso hat Code Red immer wieder Server infiziert, insgesamt 25 von 50 Servern im letzten Jahr, das entspricht 50 Prozent beziehungsweise einem Faktor von 0,5. Jährliche VerlusterwartungDie jährliche Verlusterwartung (ALE) errechnet man, indem man die Verlusterwartung (SLE) mit der jährlichen Quote des Auftretens (ARO) multipliziert. Um Risiken effektiv identifizieren zu und das Budget planen zu können, erweist es sich die Verluste aufs Jahr zu berechnen. Der ALE zum Beispiel für Code Red, der einen ARO von 0,5 mal pro Jahr hat, beeinträchtigt die Webserver von Contoso mit einem SLE von 257.472 Euro und beträgt damit 128.736 Euro. Wenn man die erwartete Bedrohungsfrequenz (TF) in die Gleichung mit einbezieht, erhält man die genaue Schadenssumme. Wert der SicherheitsmaßnahmenWenn sich die Kosten für eine Sicherheitsmaßnahme und die jährlichen Wartungskosten abschätzen lassen, kann der Wert der Maßnahme beziffert werden. Dieses Verfahren bildet die Grundlage für eine kosteneffiziente Analyse der Risikoreduzierungsmaßnahmen. Den Wert der Sicherheitsmaßnahme errechnen Sie, indem Sie die Anschaffungs- und Wartungskosten von der ALE der entsprechenden Ressource subtrahieren. Wenn wir für unser Beispiel den Anschaffungspreis für eine Gegenmaßnahme mit 20.000 Euro festlegen und die jährlichen Wartungskosten auf 1.000 Euro beziffern, ergibt sich daraus ein Wert für die Gegenmaßnahme von 107.736 Euro (128.736 Euro - 21.000 Euro). Zusammenfassung:In diesem Modul wurde die Sicherheitsrisikomanagement-Disziplin (SRMD) auf ein gängiges Kundenszenario angewendet. Alle Informationen basieren auf echten Daten. Dennoch wurde nur ein Bruchteil der für eine Sicherheitsrisikoanalyse benötigten Informationen berücksichtigt. Eine vollständige Auflistung aller Risikoanalyse-Tabellen für alle Risikoberichte wäre viel zu umfangreich. Deshalb wurden relevante Beispiele ausgewählt, um ein besseres Verständnis für die involvierten Prozesse zu schaffen. SRMD ist einer von vielen Wegen, Risiken zu bewerten und zu kategorisieren. Mit Hilfe der gewonnenen Informationen können Sie bestehende Richtlinien in Ihrem Unternehmen verbessern, oder aber den Grundstein für zukünftige Standards legen. Die Richtlinien in diesem Modell wurden dazu verwendet, eine Liste mit Risiken zu erstellen, die mit bestimmten Maßnahmen bekämpft werden können. Nach dem Erstellen der Liste gilt es nun die Prozesse zu identifizieren, mit denen man die gefundenen Sicherheitslücken stopfen kann. Verwandte ThemenDas folgende Werk ist eine hervorragende Referenz zum Thema Sicherheitslücken von Windows 2000: Hacking Exposed Windows 2000: Network Security Secrets & Solutions von Joel Scambray und Stuart McClure (McGraw-Hill Professional Publishing, ISBN: 0072192623)
|
In diesem Beitrag
|
