063: Mehr Sicherheit durch interne und externe Schwachstellen-Scans

00:00:00: Hallo zusammen und willkommen zurück bei Bluescreen Wissen. Wir haben uns in der letzten Folge über das Thema Open Source Intelligence unterhalten

00:00:16: und alles was ich da so erzählt habe, bezog sich ja in erster Linie auf passives Informationen

00:00:22: sammeln und beschaffen.

00:00:23: Was wir uns heute mal angucken wollen ist, wie kann ich denn zum Beispiel von außen her gehen und aktiv meine eigenen Systeme scannen, meine eigenen Informationen mal durchforsten und auch mal gucken, mal abseits von der eigenen Website, was gibt es denn sonst noch an Infos, was wissen denn Angreifer über mich möglicherweise bereits.

00:00:46: Und da will ich euch einfach mal ein paar Werkzeuge vorstellen, über ein paar Werkzeuge sprechen und mal die Idee vermitteln, wie man selber in die Situation sich versetzen kann, mal mit einem Blick von draußen auf die eigene Infrastruktur und auf das eigene Unternehmen zu gucken.

00:01:05: Ich werde heute über drei Systeme sprechen. Das erste, worüber wir heute reden werden,

00:01:11: ist aktives Schwachstellen-Scanning und Schwachstellen-Management von außen mit

00:01:16: Greenbone. Greenbone als Produkt haben wir auch schon ein paar mal im Webinar erwähnt.

00:01:22: Das zweite, was ich euch erzählen werde, ist Microsoft EASM, External Attack Surface

00:01:29: Monitoring und das dritte ist eine Open Source Lösung, das ist dann an der Stelle eben Spiderfoot.

00:01:35: Und auch hier werde ich euch ein bisschen was zu erzählen. Und wir fangen direkt an mit Greenbone.

00:01:40: Greenbone als Produkt ist eigentlich schon seit Jahren in so typischen Security-Distributionen

00:01:49: wie Kali Linux enthalten. Man kann mit Greenbone, wenn man möchte, seine eigene Infrastruktur von

00:01:55: außen aber auch von innen entsprechend scannen. Man kann sich mit Kali auch einen Key besorgen

00:02:01: für diese Community Edition und kann dann damit einfach einen Scan fahren.

00:02:06: Das Problem bei der Community Fassung ist aber, dass die komplette Workload,

00:02:11: die Ermittlung, das Abscannen von IP-Adressen, der Abgleich mit welchen möglichen Schwachstellen sind denn dahinter,

00:02:18: ziemlich ressourcenhungrig ist.

00:02:20: Also wenn ich so was im eigenen Unternehmen machen möchte von außen.

00:02:24: Dann empfiehlt es sich, wirklich starke Hardware zum Einsatz zu bringen.

00:02:27: Dann auch natürlich, ja, daran zu denken, dass man hier nichts übersieht, aber das gilt eigentlich für jedes der Tools, über die wir heute sprechen werden.

00:02:36: Und man muss dann halt auch entsprechend bewerten, was das System einem nachher entsprechend ausspuckt,

00:02:42: um halt sogenannte False Positives auch auszufiltern.

00:02:46: Kann man, wie gesagt, mit Kali ganz gut machen. Schöner geht's und eigentlich auch tatsächlich schneller geht's,

00:02:53: wenn man das Ganze mit einer Cloud-Ressource durchführt.

00:02:57: Und dafür haben wir,

00:02:59: zusammen mit Greenbone ein Produkt für unsere Kunden und Interessenten am Start,

00:03:04: was das Ganze eben aus der Cloud heraus durchführt.

00:03:07: Ihr habt keinen eigenen Aufwand, ihr müsst keine eigene Hardware stellen.

00:03:10: Der Scanner selbst läuft bei Greenbone.

00:03:14: Das Einzige, was ihr dafür braucht, ist ein Abonnement oder die Möglichkeit, die wir auch zur Verfügung stellen,

00:03:22: ihr könnt das Ganze auch in einem kostenlosen 14-Tage-Test mal für euch selber durchführen.

00:03:27: Und das ist vielleicht tatsächlich so für den ersten Anlauf eher das bessere Mittel der Wahl.

00:03:32: Mit dem 14-Tage-Test könnt ihr bis zu 22 IP-Adressen, die können intern oder extern sein, abscannen mit dem Tool

00:03:38: und damit euch einen ersten Überblick verschaffen.

00:03:41: Vom Ablauf her schaut das so aus, dass ihr bei uns euch registriert für die kostenlose Demo.

00:03:47: Den Link und auch ein Video, was ich dazu schon gemacht habe,

00:03:50: findet ihr unten dann auch in den Show Notes.

00:03:52: Da richtet ihr euch euren Account ein.

00:03:55: Dann legt ihr als nächstes fest, welche IP-Adressen sollen denn gescannt werden.

00:04:00: Und da ist es ganz wichtig, wenn ihr jetzt hier öffentliche IP-Adressen verwendet,

00:04:05: die euch nicht selbst gehören, sondern wie in den meisten Fällen dem Provider.

00:04:09: Dass ihr hier auch entsprechend eine Dokumentation anlegt dafür,

00:04:13: vielleicht auch dem Provider Bescheid gebt, dass ihr hier so etwas jetzt tut,

00:04:17: oder bzw. und oder auch in euren Security-Systemen, die schon im Einsatz sind, entsprechend eine Regel anlegt, dass es hier nicht zu Alarmen kommt,

00:04:28: die dann sehr wahrscheinlich ausgelöst werden. Wenn das alles steht, dann legt ihr, wie gesagt,

00:04:33: die IP-Adressen an, die ihr gerne scannen möchtet. Ihr entscheidet euch, wie gescannt werden soll,

00:04:38: also nur TCP oder TCP und UDP oder nur UDP. Ihr legt dann auch fest, in welcher Port-Range

00:04:44: gescannt werden soll und wie hart der Angriff sein soll. Man kann in dieser Lösung einstellen,

00:04:50: ob das ein Angriff sein soll, der erst mal nur Fingerprinting sozusagen betreibt, um zu gucken,

00:04:56: was ist denn da, geht dann in die nächste Stufe über Fingerprinting und auch tatsächlich schon

00:05:02: versuchen eine Schwachstelle auszunutzen, bis hin zu Brute-Force-Angriffen, bis hin zu echten.

00:05:07: Angriffen, die dann aber auch sehr wahrscheinlich zu einem Ausfall des Systems führen können.

00:05:12: Und dann ist das Einzige, was ihr noch tun müsst, diesen Scan anzuwerfen und in diesem Scanner dann entsprechend, wenn der dann fertig ist, das Ergebnis auszuwerten.

00:05:22: Ihr werdet hier eine Menge Informationen bekommen, ihr werdet hier auch eine Menge an Tipps und Hinweisen schon bekommen, wie man das Ganze lösen kann.

00:05:30: Das System von Greenbone ist angelehnt an die Informationen, die auch in den typischen CVE-Portalen entsprechend drin sind.

00:05:38: Sind. Das heißt, ihr könnt auch sehen welcher CVE zu der möglicherweise

00:05:42: gefundenen Schwachstelle dort hinterlegt ist. Ihr könnt euch dann da auch noch

00:05:45: mal aufschlauen. Ja, und alles in Anführungszeichen, was dann noch zu tun ist, ist wirklich durchzugehen und diese Schwachstellen

00:05:52: entsprechend anzugehen. Sei es jetzt durch Updates, die installiert werden oder

00:05:57: sei es dadurch, dass man einfach in der Firewall zum Beispiel Ports zumacht, die

00:06:01: nicht unbedingt benötigt werden oder oder oder. Also da kriegt ihr eine Menge.

00:06:05: Informationen und Werkzeuge an die Hand, um euch einfach sicherer aufzustellen.

00:06:10: Ist eine ganz tolle Möglichkeit. Das Ganze gibt es natürlich auch als kostenpflichtiges Langzeitarbonement. Da macht es dann tatsächlich Sinn, dass man

00:06:18: nicht nur einmal so einen Scan durchführt und dann seine Probleme löst, sondern dann längerfristig denkt, um halt permanent auch das auf dem Schirm

00:06:27: zu haben, indem ich zum Beispiel täglich einen Scan laufen lasse. Ist da vielleicht

00:06:31: eine neue Schwachstelle auf meinen Systemen da, die ich bis jetzt noch gar nicht gesehen habe,

00:06:35: oder wurde vielleicht ein neues System in Betrieb genommen, was jetzt auch von außen

00:06:41: erreichbar ist, was ich vielleicht ebenfalls gar nicht mitbekommen habe. Das gibt es in vielen

00:06:45: Firmen, dass dann irgendein Dienstleister kommt und was einrichtet und auf einmal haben wir ein

00:06:50: zusätzliches System, was nach außen kommuniziert auf einem Port, wenn es nur Port Forwarding ist,

00:06:55: zur öffentlichen IP-Adresse oder, wenn man eine größere IP-Range hat, vielleicht auch auf einer

00:07:00: neuen öffentlichen IP-Adresse, die aber,

00:07:05: zu meinem eigenen Pool gehört. Also definitiv eine coole Möglichkeit, um sich einen ersten Überblick zu verschaffen und

00:07:09: tatsächlich ein Werkzeug, was wir sehr häufig auch bei unseren Kunden zum Einsatz bringen.

00:07:15: Wenn wir das Security-Scanning für euch machen sollen, dann bekommt ihr von uns ganz automatisch bei der Beauftragung

00:07:21: auch ein Dokument mit, eine sogenannte Attack Permission. Da

00:07:25: genehmigt ihr uns den Zugriff auf diese IP-Adressen, ihr genehmigt uns, dass wir

00:07:30: das auch tun dürfen, weil anders als bei dem Thema Open-Source-Intelligence ist

00:07:35: es hier so, dass das aktive Ausspähen von Informationen tatsächlich schon in

00:07:40: den Bereich der Strafbarkeit fallen kann. Das heißt, wenn wir das ohne

00:07:44: Beauftragung und ohne Genehmigung von euch tun, könnte das unter Umständen bereits justiziabel sein.

00:07:50: Gut, das zweite Tool, was ich angesprochen hatte vorhin schon und auch angeteasert hatte, ist Microsoft EASM.

00:07:57: EASM steht für External Attack Surface Monitoring und das Tool geht nochmal einen ganz großen Schritt weiter.

00:08:05: Bei Greenbone muss ich wissen, welche IP-Adressen ich denn habe, um die dann zu scannen und

00:08:10: bei Microsoft EASM funktioniert das Ganze mit einer sogenannten Magic Discovery.

00:08:16: Ich hinterlege hier nicht zwangsläufig meine öffentlichen IP-Adressen, kann ich zwar tun,

00:08:22: aber muss ich nicht, sondern ich gebe zum Beispiel nur die Domain des Unternehmens an,

00:08:26: jetzt in unserem Fall pegasus-gmbh.de.

00:08:29: Und dann fängt dieses Tool an, alle möglichen Informationsquellen im Internet anzuzapfen.

00:08:35: Das heißt, der geht dann her und guckt erstmal auf die Domain, guckt sich die DNS-Einträge

00:08:40: an, guckt sich die IP-Range an, sucht dann aber in weiteren Quellen, wo wird denn zum

00:08:45: die Pegasus GmbH.de als Domain benutzt und öffentlich kommuniziert. Also in

00:08:49: unserem Fall zum Beispiel bei LinkedIn, bei Facebook, bei X und so weiter und

00:08:53: so fort. Und daraus gibt es dann wieder neue Informationen. Das Tool sammelt E-Mail-Adressen, das Tool sammelt

00:09:00: Telefonnummern, das Tool sammelt Zertifikatsinformationen, Herausgeber von Zertifikaten und und und und und und erstellt dann ein wahnsinnig großes

00:09:08: Portfolio an Informationen inklusive möglicher Risiken. Und so kann man zum

00:09:15: Beispiel auch herausfinden, wenn jemand eine manipulierte oder gefakte Login-Seite erstellt hat.

00:09:22: Ihr erinnert euch vielleicht, wir hatten letztes Jahr darüber gesprochen, das Thema Evil Jinx bzw. Evil Proxy.

00:09:28: Irgendjemand baut eine Microsoft 365 Login-Page nach, die sieht dann vielleicht so aus, wie

00:09:33: die von eurem eigenen Unternehmen.

00:09:34: Ziel ist es aber dabei, den Token nach der Anmeldung, auch wenn die Anmeldung mit MFA

00:09:39: erfolgt, entsprechend zu klauen.

00:09:41: Und auch sowas würde Microsoft eASM an dieser Stelle tatsächlich finden.

00:09:45: Das heißt, der wird danach eine große Sammlung haben, wo auch dann irgendwo

00:09:50: fremde und externe Quellen auftauchen, die so tun, als ob sie zu eurem Unternehmen gehören. Das Ganze kann man kostenfrei testen, 30 Tage lang bei

00:10:00: Microsoft. Wenn ihr da Fragen dazu habt, dann meldet euch gerne bei mir.

00:10:03: Falls ihr das selber ausprobieren wollt, im Microsoft Azure Portal gibt es eASM

00:10:09: als eigenes Produkt. Da könnt ihr einfach mal euch registrieren, ihr könnt das ganze einrichten für einen 30-Tage-Test.

00:10:17: Wie gesagt, ihr müsst nicht wirklich viele Infos angeben, wenn ihr die Domain einfach nur angebt und vielleicht, wenn ihr möchtet, noch eure öffentlichen IPs,

00:10:24: dann wird dieses Tool von selber anfangen, Informationen zu sammeln und nach einiger Zeit, und wir reden jetzt hier nicht von Stunden, sondern eher vielleicht von Tagen,

00:10:33: weil das dauert tatsächlich eine Zeit lang, bis das alles gefunden hat, werdet ihr hier entsprechend einen Bericht finden und mit dem solltet ihr euch dann ebenfalls beschäftigen.

00:10:42: Also auch das ist tatsächlich eine Art von Checkliste, eine Art von Werkzeug, um zu sehen,

00:10:47: was teilt man denn vielleicht auch unabsichtlich nach außen, um dann eben diesen Angriffsvektor,

00:10:53: den auch Angreifer natürlich benutzen, entsprechend kleiner zu machen.

00:10:57: Auch das ist ein sehr, sehr gutes Werkzeug, was wir bei unseren Kunden sehr häufig platzieren,

00:11:03: hat einfach den Vorteil, es scannt regelmäßig und ähnlich wie bei Greenbone, habt ihr danach

00:11:08: Einfach einen permanenten Überblick über die möglichen Risiken und Schwachstellen,

00:11:13: die vielleicht entsprechend für euer Unternehmen zum Tragen kommen könnten.

00:11:17: Ja, und das Dritte, was ich gerade schon angesprochen hatte, ist dann die Open Source Variante von

00:11:25: dem, was Microsoft mit eASM auch tut, und zwar ist das Spiderfoot.

00:11:30: Spiderfoot steckt in Kali Linux zum Beispiel mit drin und mit Spiderfoot könnt ihr hergehen

00:11:35: und könnt euch dann auf eurer eigenen Hardware einen Scan einrichten.

00:11:40: Der dann ebenfalls nach Open Source Intelligence Informationen sucht.

00:11:46: Der wird dann aktiv alle möglichen Quellen entsprechend durchforsten und euch am Ende dann ein Dossier aufbereiten, wo ihr sehen könnt,

00:11:55: wo habt ihr denn überall Informationen, wo habt ihr denn vielleicht auch unbewusst Informationen verteilt und so weiter und so fort.

00:12:02: Ist wie gesagt Open Source. Es ist kostenlos.

00:12:05: Ihr könnt euch, wenn ihr jetzt kein Kali habt, das Ganze auch auf eurem eigenen Linux entsprechend mit einstellen.

00:12:11: Kompilieren und dort laufen lassen. Aber ähnlich wie es mit der Community Version von Greenbone

00:12:17: ausschaut, es ist leistungshungrig und es ist langsam. Also wer möchte, kann sich das natürlich

00:12:22: gerne anschauen. Werde ich auch unten in die Shownotes mit verlinken. Und wer dann sagt,

00:12:27: das ist ja eigentlich ganz nett, aber ich hätte gerne den Cloud-Effekt, dann gibt es an der Stelle

00:12:32: auch gute Nachrichten. Es gibt Spiderfoot auch als Cloud-Scanner, allerdings dann halt nicht

00:12:37: kostenlos. Da muss man dann ein kostenpflichtiges Abo dafür abschließen und dann kann man das

00:12:41: ebenfalls benutzen, um mal von außen zu gucken, was verteile ich denn, was verbreite ich nach außen,

00:12:47: welche Informationen findet man denn zu meinem Unternehmen im Internet. Ja, und das soll es

00:12:52: tatsächlich für diese Folge heute schon wieder gewesen sein. Wir haben darüber gesprochen,

00:12:57: welche Möglichkeiten es gibt, von außen zu gucken aufs eigene Unternehmen und dann entsprechend auch

00:13:03: einen Maßnahmenkatalog zu generieren, mit dem man sich dann beschäftigen sollte. Ja,

00:13:07: Und in der nächsten Folge werden wir dann mal die von Außensicht verlassen und begeben uns mal ins.

00:13:13: Unternehmen rein und gucken mal mit welchen Werkzeugen man sich da entsprechend noch

00:13:17: Informationen beschaffen kann. Ich hoffe ihr konntet ein bisschen was mitnehmen. Wenn ihr

00:13:21: Fragen habt, wie immer, ihr findet meine E-Mail-Adresse und den Terminbuchungs-Link

00:13:25: zu meinem Profil unten in den Show Notes. Nutzt die Gelegenheit, probiert das Ganze mal aus,

00:13:29: meldet euch gerne bei mir und ansonsten wünsche ich euch noch einen wunderschönen Tag und bis zum

00:13:34: nächsten Mal. Macht's gut. Ciao!

00:13:41: Music.