Aufstellung Bedrohungszenarien

#1 Hallo,
in unserer Firma setzen wir als Standardbrowser den IE ein. Der Internetzugang erfolgt umfassend abgesichert (DMZ, Firewall, Virenschutz...).
Die Nutzung von Webseiten wird von einigen Fachabteilungen aber durchaus als geschäftsrelevant angesehen. Bei einem Hochsicherheitsproblems beim IE wäre daher bspw. die Sperrung des Internetzugangs nur eine schlechte Lösung. Auch ein im Notfall alternativ ausgerollter oder freigeschalteter anderer Browser hätte eine Menge Nachteile, dies steht im Moment nicht zur Debatte.
Stattdessen gibt es Überlegungen, aus Sicht des Browsers und der Browsersicherheit allgemeine Bedrohungsszenarien zu beschreiben und dafür individuelle Notfallpläne zu erstellen.

Hat jemand dazu Ideen oder bereits ähnliche Aufgabenstellungen und wäre zu einem Austausch bereit?

#2

Zitat

Hat jemand dazu Ideen oder bereits ähnliche Aufgabenstellungen und wäre zu einem Austausch bereit?

Naja wenn du denkst das Browser X auf Windows besser funktioniert als der IE, dann liegst zu allgemein falsch.
A) Wenn du MS Windows nutzt dann liegt es Nahe auch gleich den Browser zu benutzen.
B) Wenn du dem Browser nicht traust dann brauchst du auch gar nicht MS Windows zu nutzen.
C) Andere Browser haben ja auch Sicherheitslücken, der IE ist in den letzten Versionen viel besser geworden.

Das Problem liegt allein am OS, wenn du eine sichere Umgebung haben möchtest würde ich einfach das OS in einer VM laufen lassen und davon Snapshots erstellen.
Bedrohungszenarien bedeutet für mich das, dass System ausfällt und/oder von Malware unterwandert wird.
Mit einer Kapselung kann man da im schlimmsten Fall sehr schnell das Problem beseitigen...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Hallo Xeper/alle,
wir haben bereits mehrere Szenarien mit Alternativbrowsern betrachtet und verworfen. Genauso wie übrigens eine Lösung, im Bedrohungsfall mit Whitelists zu arbeiten. Insofern haben wir natürlich ein Grundvertrauen zum IE, aber das reicht vorausschauend nicht.

Hier geht es aber darum, Notfallpläne zu entwickeln, nach denen die einzelnen Beteiligten vorgehen können nach dem Beispiel:
wenn Bedrohung xy eintritt, dann müssen durch die jeweiligen Admins folgende Gruppenrichtlinien deaktiviert/aktiviert werden: g) h) i)
oder:
wenn Bedrohung ab eintritt, dann muss durch die jeweiligen Admins der komplette Internetzugang gesperrt werden und für die (vorher identifizierten) unternehmenskritischen Anwendungen in den entsprechenden Fachabteilungen Kiosk-PCs aufgestellt werden (oder die von Dir beschriebene VM-Lösung aktiviert werden, oder...)

So eine WENN - DANN - Betrachtung steht für uns an.

#4 Hm, ich blicke das Ganze immer noch nicht ganz. Vor allem nicht aus Sicht des Browsers. Aus meiner Sicht gibt es grundsätzlich nur zwei Szenarien:

1. Normalberieb: Prävention. Rechtevergabe etc. IE sollte hier ganz gute Dienste leisten.
2. Befall eines Teiles oder gar des gesamten Netzes: Isolation, ggf. Datenrettung, Neuinstallation. Ggf. temporärer Ersatz der betroffenen Hardware.

#5

Zitat

Hm, ich blicke das Ganze immer noch nicht ganz.

Dito glaub er will das wir jetzt alle möglichen Möglichkeiten auflisten, aber wenn man von n Möglichkeiten ausgeht (bei MS Windows ist so einiges Möglich) dann lohnt sich das nicht mehr.
Soviel Zeit hat niemand, daher bin ich eben auch immer für Isolation, MS Win ist besser in einer vbox aufgehoben - man könnte Shares für die einzelnen Benutzer auf einem Server machen der diese dann auf Malware (und zeugs) hin überprüft - auf die vbox instanzen müßten die User untereinander ja gar nicht drauf zugreifen.

Snapshots gibts ja auch so wäre das ganze dann im laufenden Betrieb schnell gefixt zusätzlich wird dann nochmal von dem Host System ein Image erstellt (HDD Ausfall etc.).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 @gangren:
Wenn Du vom Schadfall ausgehst, hast Du natürlich Recht. Entweder es läuft normal oder der Schaden ist da, fertig.
Uns gehts aber darum, Schäden nach Möglichkeit erst gar nicht stattfinden zu lassen. Und da gibt es beim IE ja durchaus verschiedene Qualitäten und auch Aspekte von Anfälligkeiten/kritischen Lücken, auf die je nach Bedrohungsgrad unterschiedlich reagiert werden könnte.

#7

Zitat

Uns gehts aber darum, Schäden nach Möglichkeit erst gar nicht stattfinden zu lassen.

Eben und dafür gibt's Prevention, man muss das System halt gut einrichten (siehe meinen vorherigen Post).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 @xeper:
Hausintern haben wir den Auftrag, einige/viele/relevante Möglichkeiten aufzulisten, also muss ich mir die Zeit nehmen.
Meine Frage ging auch gar nicht dahin, ob Ihr (Forum) mir/uns die Aufstellung mal eben so zusammenstellen könnt. Dass dazu keiner Zeit hat, ist klar (mal abgesehen davon, dass das keine Art ist, sich neu in einem Forum anzumelden und sich von den Aktiven die Arbeit machen lassen).
Gefragt hatte ich in meinem ersten Post vielmehr, ob jemand so eine Übersicht schon mal erstellt hat und sich in diesem Fall austauschen würde.
Vielleicht mag es aber sowieso darauf hinauslaufen, dass egal welches Bedrohungsszenario man betrachtet, IMMER ein Umschalten auf eine VM-Lösung das sinnvollste Vorgehen ist. Und dann wäre eine Differenzierung der Bedrohungsszenarien eh hinfällig.

Vielen Dank übrigens erstmal für Eure Beiträge

#9

Zitat

Vielleicht mag es aber sowieso darauf hinauslaufen, dass egal welches Bedrohungsszenario man betrachtet, IMMER ein Umschalten auf eine VM-Lösung das sinnvollste Vorgehen ist. Und dann wäre eine Differenzierung der Bedrohungsszenarien eh hinfällig.

So ist es, weil du nicht alle möglichen Bedrohungszenarien bedenken kannst geschweige denn die die noch hinzu kommen werden.
Daher ist der Ansatz deiner Firma der falsche - es gibt nur die Möglichkeit vorausschauend zu agieren - zum Glück ist das heute einfacher als vor vielen Jahren.

Eine Virtualisierung zumindestens eines Betriebssystems zur gleichen Zeit ist heute auf fast allen neueren Computern gar kein Problem mehr, MS Windows eignet sich nicht als Host System.

Wenn du schon an dem Punkt bist wo du das OS flicken musst, dann ist es vorbei - daher muss man alles so einrichten das einem keine Ausfallzeit entsteht und die wichtigen Betriebsdaten (bestehend aus Kundendaten oder was auch immer) von den Arbeitsplätzen entkoppelt sind.

Das WENN a DANN b, ist gar nicht möglich - denn wenn A eintrifft dann ist es ja bereits zu Spät -
und in einer Fa. sollte man wirklich nicht irgendwelche kompromitieren Boxen anfangen zu flicken (das ist nur was für Privatmenschen + alle die die ganz viel Zeit haben).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 In der Vergangenheit wurde bei Sicherheitslücken im IE meist empfohlen das Scripting zu deaktivieren.

Es bietet es auch an den kompletten Webverkehr generell über einen Webfilter laufen zu lassen, der im "Normalbetrieb" auch die Seiten nach Skripten und Viren scannt, downloads können verhindert oder durch mehrere Virenscanner gescannt werden. Im Webfilter kann man dann auch eigene Whitelists zusammenstellen, auf denen das Skripting und Downloads dennoch laufen sollte.
Die andere Möglichkeit ist die Einstellung des IEs über Gruppenrichtlinien. Im Bedrohungsfall könnte man darüber die Sicherheitseinstellungen hochschrauben und auch da mit Whitelists arbeiten.

Im absoluten Notfall kann man eine ausgelagerte Lösung ausarbeiten, wie z.B. Surfen über Citrix, der Citrixserver wäre ausgelagert. Ist aber teuer und nicht allzu komfortabel.

Heißt:
Im Normalbetrieb würde man Webfilter und GPO relativ locker einstellen.
Im Gefahrbetrieb könnte man die Einstellungen dieser Komponenten hochschrauben.
Im Notfall könnte man über das ausgelagerte System arbeiten.

Das Problem besteht ja eher, die verschiedenen Gefahrpotentiale genau zu beschreiben. Wann ist Normalbetrieb? Wann Notfall? Sind es kritische Lücken? In welcher Form können die ausgenutzt werden?
Auf welche Quellen verlässt man sich da?

Je nach Größe des Betriebes und der IT Abteilung kann es nicht schaden generell schon restriktiv vorzugehen und nur auf angeforderten Seiten das Skripting zu erlauben.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11

Zitat

HeVTiG postete

Das Problem besteht ja eher, die verschiedenen Gefahrpotentiale genau zu beschreiben. Wann ist Normalbetrieb? Wann Notfall? Sind es kritische Lücken? In welcher Form können die ausgenutzt werden?
Auf welche Quellen verlässt man sich da?

Genau das sind die Fragestellungen, die wir versuchen zu betrachten bzw. zu untersuchen. Und die wir möglichst beantworten wollen.
Wobei ich den Notfall, also wenn schon was passiert ist, ausklammere, denn hier müssen die jeweiligen Spezialisten dann sicherlich individuell tätig werden.

Nein, uns geht es um eine differenzierte Betrachtung des von Dir sog. Gefahrbetriebs, wenn also eine Bedrohung bekannt wird, ein Schaden aber noch nicht eingetreten ist:
Bei welchen Bedrohungsszenarien reicht es, Javascript abzuklemmen oder eine andere IE-Parametrisierung zu verteilen (logisch per Gruppenrichtlinie). Wann dürfen wir nur noch IEs in gehärteten Umgebungen zulassen (, die dann ggf. extra bereitgestellt werden, ggf. unter Verwendung schlafender, vorbereiteter Citrix-Server). Wann müssen wir auf geprüfte Whitelists umstellen. Wann müssen wir den Internetzugang kappen und bspw. Kiosklösungen bereitstellen...

Hier ging es mir um einen Austausch mit Leuten, die sich evt. schon mit der Beantwortung dieser Fragestellungen beschäftigt haben. Mir ging es weniger darum, zu diskutieren, wie man sich vor Bedrohungen schützen kann.

Vielleicht hat jemand aber auch einen Tipp für ein anderes Forum, wo man sich darüber austauschen könnte.

#12 Ich verstehe was du meinst.
Allerdings bezweifle ich, dass du dazu viel finden wirst. Hier gibt es ja auch genügend Administratoren, die sich mit solchen Themen beschäftigen.
Letztendlich kommt es ja auf die Lücke an und woher man von dieser Lücke erfährt. Bei den IT- News wird ja auch immer eine Empfehlung ausgesprochen.

Wenn man sich daran hält weiß man auch welche Maßnahmen man treffen muss.

Wenn es eine Lücke im Skripting gibt schaltet man das generell aus und/oder kann es nur für vertrauenswürdige Seiten freischalten.

Wenn die bloße Benutzung des IEs ein Gefahrpotential beim freien Surfen aufweist, dann arbeitet man nur mit Whitelists oder schaltet auf ein Parallelsystem.

Wenn es Gefahren bei Active-X Komponenten gibt, dann deaktiviert man sie generell und/oder gibt sie nur auf auserwählten Seiten frei.

Da man nicht voraussagen kann, welche Lücken es in Zukunft geben wird, kann man eigentlich sich nur an o.g. halten und dürfte damit auch schon die meisten Fälle erschlagen. Wie gesagt: In den meisten Fällen wurde in der Vergangenheit empfohlen das Skripting zu deaktivieren. Dazu könnte man eine GPO vorbereiten.

Gibt es Lücken in anderen Plugins, wie z.B. Flashplayer, Java etc. dann hilft hier natürlich wieder das deaktivieren der jeweiligen Plugins oder das zentrale "rausfischen" dieser Plugins an einem Webfilter.

Heißt: In deinem Maßnahmenkatalog kannst du dich auf o.g. beziehen, und den Administratoren vorgeben, dass sie die Möglichkeiten restriktiv auslegen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#13 @HeVTiG: Vielen Dank für den Austausch, genau so habe ich es gemeint.