Foto: dotshock - shutterstock.com
Dass in einigen Monaten der Support für Windows Server 2008 und 2008 R2 ausläuft, wissen Hacker so gut wie CIOs. Ein Webcast der Computerwoche am zeigt, was IT-Chefs jetzt tun müssen. Der Schwerpunkt liegt auf "End of Support"-Systemen (EOS). Timo Wege, Senior Technical Consultant bei Trend Micro, spricht über den Schutz von Workloads und Daten sowie über das risikoarme Verlängern der Lebensdauer von Legacy-Systemen. Fachjournalist Sven Hansel von der Computerwoche moderiert den Webcast.
"Mit dem Verlust des Supports sind Kunden einem größeren Sicherheitsrisiko ausgesetzt, denn es gibt keine Sicherheitsupdates mehr", stellt Wege klar. Er hält es für möglich, dass Microsoft im Fall globaler Bedrohungen einen Patch nachschiebt, so wie etwa bei Wanna Cry. "Das ist aber nicht die Regel", warnt der Experte. Und ein Blick auf die Zahlen zeigt, dass es im laufenden Jahr bisher 229 Vulnerabilities für den Server 2008 gab, 86 davon müssen mit einem CVSS Score von 9-10 als sehr kritisch gelten.
"Es gibt immer wieder Schwachstellen, für die es keine Workarounds gibt", so Wege weiter. Ohne Patch steht man dann schlecht da. Doch wie steht es um die Situation der Zuschauer? Sind sie schon einmal angegriffen worden? Das erfragt Moderator Hansel in einer Spontan-Umfrage. Nein, versichert eine satte Mehrheit von 81 Prozent. "Aber merkt das überhaupt jedes Unternehmen?", wendet sich Hansel an Wege. Der muss fast ein wenig schmunzeln: "In meiner Praxis als Berater erfahre ich immer wieder, dass Unternehmen gar nicht mitkriegen, wenn ihr Rechenzentrum infiziert wird!"
Zielgerichtete Angriffe über die Lieferkette
Angriffe auf Rechenzentren folgen zwei populären Schemata: entweder das typische Spear Fishing, das klassisch Emailbasiert abläuft, oder sogenannte "Supply Chain"-Angriffe. "Das sind zielgerichtete Angriffe, bei denen ein Hacker über die Lieferkette geht. Er greift zum Beispiel einen der Service Dienstleister an und kommt so durch die Hintertür rein", erklärt Wege. Ziel ist hier der Server, und nicht mehr der Client. "Welcher Angriff mich trifft, hängt vom Geschäftsmodell des Angreifers ab", so der Experte weiter. Manchmal will sich der Kriminelle erstmal umschauen, um beispielsweise Geschäftsprozesse zu manipulieren. So geben sich manche Hacker als Geschäftsführer aus und veranlassen Geldanweisungen.
Zu den Verteidigungsmaßnahmen: "Server verteidigt man anders als Clients", betont Wege. Man muss mit Grundprinzipien an die Sache herangehen. Netzwerkdesign und -konfiguration spielen eine Rolle. Regelmäßige Patches sind wichtig. Einen besonderen Pain Point stellt dateilose (Fileless) Malware dar. Diese braucht keine Datei auf der Festplatte, sondern hier werden Services benutzt. Schadcode wird direkt in den Prozess injiziert. Der Schutz muss "so nah wie möglich an der Maschine sein", betont Wege. Stichworte sind hier Segmentierung, Web Reputations-Maßnhamen, IPS, und Firewall.
Während der Laufzeit geht es um IOA Verhaltensanalysen, Integrity Monitoring und Exploit Schutz. "Wenn es doch zu Manipulationen gekommen ist, kann man auch während der Exfiltration noch ansetzen", führt Wege aus. "Eingehende Verschlüsselungsanfragen zum Beispiel können über das Netzwerk identifiziert und abgewehrt werden." Das heißt: Schutz muss immer mehrlagig sein.
Als vier Bestandteile von Trend Micro Deep Security nennt er Image Scanning, Network Security, System Security und Malware Prevention. Eine Sache ist ihm besonders wichtig, nämlich das Virtuelle Patching. Es spielt sich auf vier Ebenen ab: Stateful-Firewall, Regeln zur Abwehr von Exploits (bekannte gefährliche Daten werden gestoppt), Regeln für Schwachstellen (bekannte Schwachstellen werden abgeschirmt) und intelligente Regeln (unbekannte Schwachstellen werden abgeschirmt und spezifische Anwendungen geschützt). Ziel ist, aus dem ursprünglichen Datenverkehr einen gefilterten Datenverkehr zu machen.
Vorsorge und Nachsorge
Fazit: IT-Entscheider müssen Vorsorge treffen, also Schwachstellen abschirmen (konkret: Dienste abschalten, Systeme härten, Virtual Patching) und Systeme segmentieren (Host Firewall, Netz-Segmente). Außerdem müssen sie die Nachsorge definieren (Notfallplanung, umfassende Sichtbarkeit schaffen Log/Event Überwachung, Endpoint Detecktion & Response, System-Monitoring).
Doch welche Server stehen eigentlich in den Unternehmen der Webcast-Zuschauer? Eine weitere Umfrage zeigt: Win 2008/2008 R liegt mit 41 Prozent der Nennungen vorn. Es folgt Win 2016 mit 23 Prozent vor Win 2013 mit neun Prozent. Ebenfalls neun Prozent arbeiten mit Open Source, 14 Prozent sind in die Cloud migriert. Zahlen, die Timo Wege erwartet hat. "Das Thema Absichern von Legacy-Plattformen ist uns nicht neu", schließt er.