Merry HACKED-MAS

Published by IT-Native on

Feiertage oder Urlaubszeiten werden gerne von Cyberkriminellen genutzt, um Firmen anzugreifen. Der Grund ist einfach: Entweder ist gar niemand im Dienst oder nur ein reduziertes IT Team. Damit lässt sich das Netzwerk in Ruhe ausspähen oder auch gleich verschlüsseln.

Mit den aktuellen Lücken in „Log4j“ oder im Microsoft Umfeld befürchten viele Experten Angriffe über die Weihnachtsfeiertage.

Es sind nur mehr wenige Tage bis Weihnachten – darum haben wir ein paar einfache Tipps zusammengestellt, die sich noch umsetzen lassen um das Risiko zu reduzieren.

Achtung: Das sind Last-Minute Maßnahmen und kein Ersatz für ein gutes IT-Security Konzept!

Security Onion - Hunt

Backups prüfen

  • Sind alle Backups gelaufen in den letzten Tagen?
    Prüft dazu eure Backup-Logs oder Monitoring-Systeme
  • Ist eine aktuelle Offline-/Offsite Version verfügbar?
    Mittlerweile werden Backups auch von den Angreifern verschlüsselt.
    Eine Offline Version kann bei der Wiederherstellung helfen.
  • Wenn es möglich ist, versucht auch einen Server testweise wieder komplett herzustellen.
    Das ist ein guter Test ob das Backup wirklich funktioniert
    (Backup ist wichtig, aber ohne funktionierendes Restore leider nutzlos)

Patchen

Es sind noch einige Tage bis Weihnachten – wenn ihr heute noch patcht, könnt ihr Probleme noch beheben, die unter Umständen durch die Patches verursacht werden.
Wenn die Zeit schon zu kurz ist, am Besten in dieser Reihenfolge patchen:

  • Exponierte Systeme (die aus dem Internet erreichbar sind)
  • Wichtige & kritische interne Systeme
  • Alle anderen Server
  • Alles andere

Monitoring / Logging und SIEM prüfen


Prüft alle Systeme, die die Gesundheit oder Security eurer IT überwachen. IT-Monitoring System, Logmanagement Tools, Virenscanner oder SIEM Systeme

  • Funktionieren die Systeme (überhaupt noch)?
    Manchmal laufen Disken im falschen Moment voll, Agents liefern keine Daten oder es gehören False-Positives bereinigt um den aktuellen Status zu sehen
  • Wurdet ihr vielleicht schon kompromittiert?
    ( zB Log4j / Log4Shell wird gerade sehr intensiv genutzt )

    Bitte meldet alle Vorkommnisse dem Cert.at

SIEM Dashboard

Virenscanner & Signaturen updaten

Virenscanner sollten immer aktiv sein und auch die Signaturen müssen aktuell gehalten werden. Virenscanner mit veralteten Signaturen verlieren ihre Wirkung.

Es gibt noch andere Systeme die Signaturen verwenden – etwa Spamfilter oder moderne Firewalls. Achtet auch hier auf aktuelle Signaturen.

Shutdown

Ein sehr simpler Tipp:
Schaltet alle Geräte aus, die über die Feiertage nicht genutzt werden.
Selbst ein kompromittiertes System kann im ausgeschalteten Zustand keinen Schaden anrichten.
Clients & Testserver sind dafür etwa Kandidaten.

Diese Maßnahmen ersetzen kein umfassendes Security-Konzept, sondern sind nur Last-Minute Maßnahmen für alle, die bis jetzt “keine Zeit hatten” sich zB um Log4j & Co zu kümmern.

Wenn ihr Unterstützung bei der Umsetzung oder beim Aufbau eines IT-Security Konzeptes benötigt kontaktiert uns einfach. zB.: über office@it-native.com/dev

Unterstützung erhaltet ihr auch beim cert.at (+43 1 5056416 78) oder bei der Cybersercurity Hotline der WKO

Categories: Cybersecurity