063: Mehr Sicherheit durch interne und externe Schwachstellen-Scans
Shownotes
In dieser Folge von Bluescreen Wissen geht es darum, wie wir unsere eigenen Systeme aktiv scannen und unsere eigenen Informationen durchforsten können. Zu diesem Zweck werden drei Systeme vorgestellt: Greenbone, Microsoft EASM und Spiderfoot.
Greenbone ist eine bekannte Sicherheitsdistribution, die seit Jahren in verschiedenen Distributionen wie Kali Linux enthalten ist. Mit Greenbone kann man seine Infrastruktur von außen und innen scannen. Es ist jedoch ressourcenintensiv und erfordert leistungsfähige Hardware. Als Alternative wird eine Cloud-Ressource angeboten, die zusammen mit Greenbone genutzt werden kann. Diese benötigt keine eigene Hardware und kann mit einem kostenlosen 14-tägigen Test ausprobiert werden. Während des Tests können bis zu 22 interne oder externe IP-Adressen gescannt werden, um einen ersten Überblick zu erhalten.
Microsoft EASM arbeitet mit einer so genannten Magic Discovery, um umfangreiche Informationen über ein Unternehmen im Internet zu sammeln. So können beispielsweise gefälschte Login-Seiten identifiziert werden. Microsoft bietet eine kostenlose 30-Tage-Testversion an.
Als Open-Source-Variante steht Spiderfoot zur Verfügung. Mit Spiderfoot können auch Scans durchgeführt werden, um Informationen und potentielle Schwachstellen zu identifizieren.
Shownotes:
Unser Security Quick Check: https://www.pegasus-gmbh.de/portfolio/pegasus-security-quick-check/
Greenbone als Managed Service: https://www.pegasus-gmbh.de/portfolio/schwachstellenscan/
Hier geht es zu unserem YouTube-Kanal: https://www.youtube.com/channel/UCkPnYr1V6hbAXjVnLf1_8tg
Über die folgenden Wege könnt ihr euch mit Alex vernetzen:
E-Mail: a.karls@pegasus-gmbh.de
LinkedIn: https://www.linkedin.com/in/alexander-karls-931685139/
Xing: https://www.xing.com/profile/Alexander_Karls/
Ihr habt eine Frage oder benötigt Unterstützung? Dann bucht Alex doch am besten gleich direkt für eine kostenlose Erst-Beratung: https://outlook.office365.com/owa/calendar/pegasusGmbH@pegasus-gmbh.de/bookings/s/JNgw3gpy60qxL3GTo69SvA2
Folgt uns auch auf unseren anderen Social Media Profilen: https://www.pegasus-gmbh.de/social-media/
Transkript anzeigen
00:00:00: Hallo zusammen und willkommen zurück bei Bluescreen Wissen. Wir haben uns in der letzten Folge über das Thema Open Source Intelligence unterhalten
00:00:16: und alles was ich da so erzählt habe, bezog sich ja in erster Linie auf passives Informationen
00:00:22: sammeln und beschaffen.
00:00:23: Was wir uns heute mal angucken wollen ist, wie kann ich denn zum Beispiel von außen her gehen und aktiv meine eigenen Systeme scannen, meine eigenen Informationen mal durchforsten und auch mal gucken, mal abseits von der eigenen Website, was gibt es denn sonst noch an Infos, was wissen denn Angreifer über mich möglicherweise bereits.
00:00:46: Und da will ich euch einfach mal ein paar Werkzeuge vorstellen, über ein paar Werkzeuge sprechen und mal die Idee vermitteln, wie man selber in die Situation sich versetzen kann, mal mit einem Blick von draußen auf die eigene Infrastruktur und auf das eigene Unternehmen zu gucken.
00:01:05: Ich werde heute über drei Systeme sprechen. Das erste, worüber wir heute reden werden,
00:01:11: ist aktives Schwachstellen-Scanning und Schwachstellen-Management von außen mit
00:01:16: Greenbone. Greenbone als Produkt haben wir auch schon ein paar mal im Webinar erwähnt.
00:01:22: Das zweite, was ich euch erzählen werde, ist Microsoft EASM, External Attack Surface
00:01:29: Monitoring und das dritte ist eine Open Source Lösung, das ist dann an der Stelle eben Spiderfoot.
00:01:35: Und auch hier werde ich euch ein bisschen was zu erzählen. Und wir fangen direkt an mit Greenbone.
00:01:40: Greenbone als Produkt ist eigentlich schon seit Jahren in so typischen Security-Distributionen
00:01:49: wie Kali Linux enthalten. Man kann mit Greenbone, wenn man möchte, seine eigene Infrastruktur von
00:01:55: außen aber auch von innen entsprechend scannen. Man kann sich mit Kali auch einen Key besorgen
00:02:01: für diese Community Edition und kann dann damit einfach einen Scan fahren.
00:02:06: Das Problem bei der Community Fassung ist aber, dass die komplette Workload,
00:02:11: die Ermittlung, das Abscannen von IP-Adressen, der Abgleich mit welchen möglichen Schwachstellen sind denn dahinter,
00:02:18: ziemlich ressourcenhungrig ist.
00:02:20: Also wenn ich so was im eigenen Unternehmen machen möchte von außen.
00:02:24: Dann empfiehlt es sich, wirklich starke Hardware zum Einsatz zu bringen.
00:02:27: Dann auch natürlich, ja, daran zu denken, dass man hier nichts übersieht, aber das gilt eigentlich für jedes der Tools, über die wir heute sprechen werden.
00:02:36: Und man muss dann halt auch entsprechend bewerten, was das System einem nachher entsprechend ausspuckt,
00:02:42: um halt sogenannte False Positives auch auszufiltern.
00:02:46: Kann man, wie gesagt, mit Kali ganz gut machen. Schöner geht's und eigentlich auch tatsächlich schneller geht's,
00:02:53: wenn man das Ganze mit einer Cloud-Ressource durchführt.
00:02:57: Und dafür haben wir,
00:02:59: zusammen mit Greenbone ein Produkt für unsere Kunden und Interessenten am Start,
00:03:04: was das Ganze eben aus der Cloud heraus durchführt.
00:03:07: Ihr habt keinen eigenen Aufwand, ihr müsst keine eigene Hardware stellen.
00:03:10: Der Scanner selbst läuft bei Greenbone.
00:03:14: Das Einzige, was ihr dafür braucht, ist ein Abonnement oder die Möglichkeit, die wir auch zur Verfügung stellen,
00:03:22: ihr könnt das Ganze auch in einem kostenlosen 14-Tage-Test mal für euch selber durchführen.
00:03:27: Und das ist vielleicht tatsächlich so für den ersten Anlauf eher das bessere Mittel der Wahl.
00:03:32: Mit dem 14-Tage-Test könnt ihr bis zu 22 IP-Adressen, die können intern oder extern sein, abscannen mit dem Tool
00:03:38: und damit euch einen ersten Überblick verschaffen.
00:03:41: Vom Ablauf her schaut das so aus, dass ihr bei uns euch registriert für die kostenlose Demo.
00:03:47: Den Link und auch ein Video, was ich dazu schon gemacht habe,
00:03:50: findet ihr unten dann auch in den Show Notes.
00:03:52: Da richtet ihr euch euren Account ein.
00:03:55: Dann legt ihr als nächstes fest, welche IP-Adressen sollen denn gescannt werden.
00:04:00: Und da ist es ganz wichtig, wenn ihr jetzt hier öffentliche IP-Adressen verwendet,
00:04:05: die euch nicht selbst gehören, sondern wie in den meisten Fällen dem Provider.
00:04:09: Dass ihr hier auch entsprechend eine Dokumentation anlegt dafür,
00:04:13: vielleicht auch dem Provider Bescheid gebt, dass ihr hier so etwas jetzt tut,
00:04:17: oder bzw. und oder auch in euren Security-Systemen, die schon im Einsatz sind, entsprechend eine Regel anlegt, dass es hier nicht zu Alarmen kommt,
00:04:28: die dann sehr wahrscheinlich ausgelöst werden. Wenn das alles steht, dann legt ihr, wie gesagt,
00:04:33: die IP-Adressen an, die ihr gerne scannen möchtet. Ihr entscheidet euch, wie gescannt werden soll,
00:04:38: also nur TCP oder TCP und UDP oder nur UDP. Ihr legt dann auch fest, in welcher Port-Range
00:04:44: gescannt werden soll und wie hart der Angriff sein soll. Man kann in dieser Lösung einstellen,
00:04:50: ob das ein Angriff sein soll, der erst mal nur Fingerprinting sozusagen betreibt, um zu gucken,
00:04:56: was ist denn da, geht dann in die nächste Stufe über Fingerprinting und auch tatsächlich schon
00:05:02: versuchen eine Schwachstelle auszunutzen, bis hin zu Brute-Force-Angriffen, bis hin zu echten.
00:05:07: Angriffen, die dann aber auch sehr wahrscheinlich zu einem Ausfall des Systems führen können.
00:05:12: Und dann ist das Einzige, was ihr noch tun müsst, diesen Scan anzuwerfen und in diesem Scanner dann entsprechend, wenn der dann fertig ist, das Ergebnis auszuwerten.
00:05:22: Ihr werdet hier eine Menge Informationen bekommen, ihr werdet hier auch eine Menge an Tipps und Hinweisen schon bekommen, wie man das Ganze lösen kann.
00:05:30: Das System von Greenbone ist angelehnt an die Informationen, die auch in den typischen CVE-Portalen entsprechend drin sind.
00:05:38: Sind. Das heißt, ihr könnt auch sehen welcher CVE zu der möglicherweise
00:05:42: gefundenen Schwachstelle dort hinterlegt ist. Ihr könnt euch dann da auch noch
00:05:45: mal aufschlauen. Ja, und alles in Anführungszeichen, was dann noch zu tun ist, ist wirklich durchzugehen und diese Schwachstellen
00:05:52: entsprechend anzugehen. Sei es jetzt durch Updates, die installiert werden oder
00:05:57: sei es dadurch, dass man einfach in der Firewall zum Beispiel Ports zumacht, die
00:06:01: nicht unbedingt benötigt werden oder oder oder. Also da kriegt ihr eine Menge.
00:06:05: Informationen und Werkzeuge an die Hand, um euch einfach sicherer aufzustellen.
00:06:10: Ist eine ganz tolle Möglichkeit. Das Ganze gibt es natürlich auch als kostenpflichtiges Langzeitarbonement. Da macht es dann tatsächlich Sinn, dass man
00:06:18: nicht nur einmal so einen Scan durchführt und dann seine Probleme löst, sondern dann längerfristig denkt, um halt permanent auch das auf dem Schirm
00:06:27: zu haben, indem ich zum Beispiel täglich einen Scan laufen lasse. Ist da vielleicht
00:06:31: eine neue Schwachstelle auf meinen Systemen da, die ich bis jetzt noch gar nicht gesehen habe,
00:06:35: oder wurde vielleicht ein neues System in Betrieb genommen, was jetzt auch von außen
00:06:41: erreichbar ist, was ich vielleicht ebenfalls gar nicht mitbekommen habe. Das gibt es in vielen
00:06:45: Firmen, dass dann irgendein Dienstleister kommt und was einrichtet und auf einmal haben wir ein
00:06:50: zusätzliches System, was nach außen kommuniziert auf einem Port, wenn es nur Port Forwarding ist,
00:06:55: zur öffentlichen IP-Adresse oder, wenn man eine größere IP-Range hat, vielleicht auch auf einer
00:07:00: neuen öffentlichen IP-Adresse, die aber,
00:07:05: zu meinem eigenen Pool gehört. Also definitiv eine coole Möglichkeit, um sich einen ersten Überblick zu verschaffen und
00:07:09: tatsächlich ein Werkzeug, was wir sehr häufig auch bei unseren Kunden zum Einsatz bringen.
00:07:15: Wenn wir das Security-Scanning für euch machen sollen, dann bekommt ihr von uns ganz automatisch bei der Beauftragung
00:07:21: auch ein Dokument mit, eine sogenannte Attack Permission. Da
00:07:25: genehmigt ihr uns den Zugriff auf diese IP-Adressen, ihr genehmigt uns, dass wir
00:07:30: das auch tun dürfen, weil anders als bei dem Thema Open-Source-Intelligence ist
00:07:35: es hier so, dass das aktive Ausspähen von Informationen tatsächlich schon in
00:07:40: den Bereich der Strafbarkeit fallen kann. Das heißt, wenn wir das ohne
00:07:44: Beauftragung und ohne Genehmigung von euch tun, könnte das unter Umständen bereits justiziabel sein.
00:07:50: Gut, das zweite Tool, was ich angesprochen hatte vorhin schon und auch angeteasert hatte, ist Microsoft EASM.
00:07:57: EASM steht für External Attack Surface Monitoring und das Tool geht nochmal einen ganz großen Schritt weiter.
00:08:05: Bei Greenbone muss ich wissen, welche IP-Adressen ich denn habe, um die dann zu scannen und
00:08:10: bei Microsoft EASM funktioniert das Ganze mit einer sogenannten Magic Discovery.
00:08:16: Ich hinterlege hier nicht zwangsläufig meine öffentlichen IP-Adressen, kann ich zwar tun,
00:08:22: aber muss ich nicht, sondern ich gebe zum Beispiel nur die Domain des Unternehmens an,
00:08:26: jetzt in unserem Fall pegasus-gmbh.de.
00:08:29: Und dann fängt dieses Tool an, alle möglichen Informationsquellen im Internet anzuzapfen.
00:08:35: Das heißt, der geht dann her und guckt erstmal auf die Domain, guckt sich die DNS-Einträge
00:08:40: an, guckt sich die IP-Range an, sucht dann aber in weiteren Quellen, wo wird denn zum
00:08:45: die Pegasus GmbH.de als Domain benutzt und öffentlich kommuniziert. Also in
00:08:49: unserem Fall zum Beispiel bei LinkedIn, bei Facebook, bei X und so weiter und
00:08:53: so fort. Und daraus gibt es dann wieder neue Informationen. Das Tool sammelt E-Mail-Adressen, das Tool sammelt
00:09:00: Telefonnummern, das Tool sammelt Zertifikatsinformationen, Herausgeber von Zertifikaten und und und und und und erstellt dann ein wahnsinnig großes
00:09:08: Portfolio an Informationen inklusive möglicher Risiken. Und so kann man zum
00:09:15: Beispiel auch herausfinden, wenn jemand eine manipulierte oder gefakte Login-Seite erstellt hat.
00:09:22: Ihr erinnert euch vielleicht, wir hatten letztes Jahr darüber gesprochen, das Thema Evil Jinx bzw. Evil Proxy.
00:09:28: Irgendjemand baut eine Microsoft 365 Login-Page nach, die sieht dann vielleicht so aus, wie
00:09:33: die von eurem eigenen Unternehmen.
00:09:34: Ziel ist es aber dabei, den Token nach der Anmeldung, auch wenn die Anmeldung mit MFA
00:09:39: erfolgt, entsprechend zu klauen.
00:09:41: Und auch sowas würde Microsoft eASM an dieser Stelle tatsächlich finden.
00:09:45: Das heißt, der wird danach eine große Sammlung haben, wo auch dann irgendwo
00:09:50: fremde und externe Quellen auftauchen, die so tun, als ob sie zu eurem Unternehmen gehören. Das Ganze kann man kostenfrei testen, 30 Tage lang bei
00:10:00: Microsoft. Wenn ihr da Fragen dazu habt, dann meldet euch gerne bei mir.
00:10:03: Falls ihr das selber ausprobieren wollt, im Microsoft Azure Portal gibt es eASM
00:10:09: als eigenes Produkt. Da könnt ihr einfach mal euch registrieren, ihr könnt das ganze einrichten für einen 30-Tage-Test.
00:10:17: Wie gesagt, ihr müsst nicht wirklich viele Infos angeben, wenn ihr die Domain einfach nur angebt und vielleicht, wenn ihr möchtet, noch eure öffentlichen IPs,
00:10:24: dann wird dieses Tool von selber anfangen, Informationen zu sammeln und nach einiger Zeit, und wir reden jetzt hier nicht von Stunden, sondern eher vielleicht von Tagen,
00:10:33: weil das dauert tatsächlich eine Zeit lang, bis das alles gefunden hat, werdet ihr hier entsprechend einen Bericht finden und mit dem solltet ihr euch dann ebenfalls beschäftigen.
00:10:42: Also auch das ist tatsächlich eine Art von Checkliste, eine Art von Werkzeug, um zu sehen,
00:10:47: was teilt man denn vielleicht auch unabsichtlich nach außen, um dann eben diesen Angriffsvektor,
00:10:53: den auch Angreifer natürlich benutzen, entsprechend kleiner zu machen.
00:10:57: Auch das ist ein sehr, sehr gutes Werkzeug, was wir bei unseren Kunden sehr häufig platzieren,
00:11:03: hat einfach den Vorteil, es scannt regelmäßig und ähnlich wie bei Greenbone, habt ihr danach
00:11:08: Einfach einen permanenten Überblick über die möglichen Risiken und Schwachstellen,
00:11:13: die vielleicht entsprechend für euer Unternehmen zum Tragen kommen könnten.
00:11:17: Ja, und das Dritte, was ich gerade schon angesprochen hatte, ist dann die Open Source Variante von
00:11:25: dem, was Microsoft mit eASM auch tut, und zwar ist das Spiderfoot.
00:11:30: Spiderfoot steckt in Kali Linux zum Beispiel mit drin und mit Spiderfoot könnt ihr hergehen
00:11:35: und könnt euch dann auf eurer eigenen Hardware einen Scan einrichten.
00:11:40: Der dann ebenfalls nach Open Source Intelligence Informationen sucht.
00:11:46: Der wird dann aktiv alle möglichen Quellen entsprechend durchforsten und euch am Ende dann ein Dossier aufbereiten, wo ihr sehen könnt,
00:11:55: wo habt ihr denn überall Informationen, wo habt ihr denn vielleicht auch unbewusst Informationen verteilt und so weiter und so fort.
00:12:02: Ist wie gesagt Open Source. Es ist kostenlos.
00:12:05: Ihr könnt euch, wenn ihr jetzt kein Kali habt, das Ganze auch auf eurem eigenen Linux entsprechend mit einstellen.
00:12:11: Kompilieren und dort laufen lassen. Aber ähnlich wie es mit der Community Version von Greenbone
00:12:17: ausschaut, es ist leistungshungrig und es ist langsam. Also wer möchte, kann sich das natürlich
00:12:22: gerne anschauen. Werde ich auch unten in die Shownotes mit verlinken. Und wer dann sagt,
00:12:27: das ist ja eigentlich ganz nett, aber ich hätte gerne den Cloud-Effekt, dann gibt es an der Stelle
00:12:32: auch gute Nachrichten. Es gibt Spiderfoot auch als Cloud-Scanner, allerdings dann halt nicht
00:12:37: kostenlos. Da muss man dann ein kostenpflichtiges Abo dafür abschließen und dann kann man das
00:12:41: ebenfalls benutzen, um mal von außen zu gucken, was verteile ich denn, was verbreite ich nach außen,
00:12:47: welche Informationen findet man denn zu meinem Unternehmen im Internet. Ja, und das soll es
00:12:52: tatsächlich für diese Folge heute schon wieder gewesen sein. Wir haben darüber gesprochen,
00:12:57: welche Möglichkeiten es gibt, von außen zu gucken aufs eigene Unternehmen und dann entsprechend auch
00:13:03: einen Maßnahmenkatalog zu generieren, mit dem man sich dann beschäftigen sollte. Ja,
00:13:07: Und in der nächsten Folge werden wir dann mal die von Außensicht verlassen und begeben uns mal ins.
00:13:13: Unternehmen rein und gucken mal mit welchen Werkzeugen man sich da entsprechend noch
00:13:17: Informationen beschaffen kann. Ich hoffe ihr konntet ein bisschen was mitnehmen. Wenn ihr
00:13:21: Fragen habt, wie immer, ihr findet meine E-Mail-Adresse und den Terminbuchungs-Link
00:13:25: zu meinem Profil unten in den Show Notes. Nutzt die Gelegenheit, probiert das Ganze mal aus,
00:13:29: meldet euch gerne bei mir und ansonsten wünsche ich euch noch einen wunderschönen Tag und bis zum
00:13:34: nächsten Mal. Macht's gut. Ciao!
00:13:41: Music.
Neuer Kommentar