Anstatt sich bei der Endpunktsicherheit auf Ihren bevorzugten EDR- oder Antiviren-Anbieter zu verlassen, sollten Sie sich überlegen, was Ihr Sicherheitsteam für die Endpunktsicherheit implementieren kann und sollte.
Bei der Endgerätesicherheit geht es nicht um Produkte, Lösungen oder Anbieter. Wie bei allem anderen in der Welt der Cybersicherheit geht es unserer Meinung nach um die solide Umsetzung solider Architekturprinzipien, die verschiedene Risiken berücksichtigen.
Sie können kommerzielle oder kostenlose und Open-Source-Tools verwenden. Da wir keine Werbung für einen Sicherheitsanbieter machen, konzentriert sich dieser Artikel ausschließlich auf freie und Open-Source-Lösungen.
1. Endpunkt-Verteidigung
1.1. Anti-Malware
- Für Linux verwenden Sie ClamAV: eine Open-Source-Antivirus-Engine zur Erkennung von Trojanern, Viren und anderer bösartiger Software. Alternativ können Sie auch die kostenlose Version von Sophos für Linux verwenden.
- Für Windows verwenden Sie Windows Defender: eine integrierte Antivirenlösung, die Echtzeitschutz vor Malware bietet.
- Schritte (ClamAV):
- ClamAV herunterladen: https://www.clamav.net/
- Installieren und konfigurieren Sie ClamAV gemäß der Dokumentation: https://docs.clamav.net/
- Planen Sie regelmäßige Scans und Signatur-Updates.
- Schritte (Windows Defender):
- Öffnen Sie die Windows-Sicherheitsanwendung.
- Klicken Sie auf “Viren- und Bedrohungsschutz” und stellen Sie sicher, dass der Echtzeitschutz aktiviert ist.
- Planen Sie regelmäßige Scans und Signatur-Updates.
Jeder, der sich mit Google auskennt, braucht im Durchschnitt 15 Minuten bis eine Stunde, um die meisten Antivirenlösungen zu umgehen, weshalb Sie sich bei Ihrer Verteidigungsstrategie nicht allein darauf verlassen sollten. Wenn es einem Hacker gelingt, bösartigen Code auf Ihren Endpunkten auszuführen, müssen Sie in der Lage sein, dies mit anderen Mitteln zu erkennen, von denen einige in diesem Artikel näher beschrieben werden. Ein wichtiger Punkt, den es zu erkennen gilt: die Ausführung von PowerShell-Skripten oder VB-Skripten oder unbekannten, neuen Binärdateien auf einem Ihrer Endpunkte.
1.2. Host-Firewall
Das Ziel einer Firewall ist es, zu verhindern, dass andere Benutzer desselben Netzwerks unbefugt auf den Endpunkt zugreifen. Dies ist besonders wichtig, wenn Sie unterwegs sind, z. B. auf einem Flughafen, in einem Café oder an anderen öffentlichen Orten, wo jeder mit Ihnen dasselbe ungeschützte Netz nutzen könnte.
- Implementieren Sie eine hostbasierte Firewall mit iptables unter Linux oder Windows Firewall unter Windows.
- Schritte (Linux):
- Installieren Sie iptables:
sudo apt-get install iptables
- Konfigurieren Sie iptables-Regeln: https://help.ubuntu.com/community/IptablesHowTo/
- Regeln speichern und neu laden:
sudo netfilter-persistent save
- Installieren Sie iptables:
- Schritte (Windows):
- Öffnen Sie die Windows-Firewall-Einstellungen.
- Konfigurieren Sie eingehende und ausgehende Regeln: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/create-an-inbound-port-rule
1.3. HIPS (Host-basiertes Eindringungsschutzsystem)
-
- Verwenden Sie OSSEC, ein Open-Source-HIPS, das Einbruchserkennung, Protokollanalyse und mehr bietet.
- Als Closed-Source-Alternative können Sie Comodo Advanced Endpoint Protection verwenden (kostenlos für den persönlichen Gebrauch).
- Schritte (OSSEC):
- OSSEC herunterladen: https://www.ossec.net/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://documentation.wazuh.com/
- Schritte (Comodo AEP):
- Comodo AEP herunterladen: https://www.comodo.com/endpoint-protection/advanced-endpoint-protection.php
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://help.comodo.com/topic-399-1-783-10136-Introduction-to-Comodo-Advanced-Endpoint-Protection.html
1.4. Whitelisting von Anwendungen
Das Whitelisting von Anwendungen ist eine der effektivsten Methoden, um die Ausführung von bösartigem Code zu verhindern, sobald ein Hacker Ihr AV umgehen kann. Wie bereits erwähnt, erfordert die Umgehung einer AV-Lösung nur wenig Zeit und Ressourcen.
-
- Implementierung einer Whitelisting-Lösung für Anwendungen mit AppArmor unter Linux oder Windows AppLocker unter Windows.
- Schritte (Linux):
- Installieren Sie AppArmor:
sudo apt-get install apparmor
- Konfigurieren Sie Profile für zulässige Anwendungen: https://wiki.ubuntu.com/AppArmor/
- Installieren Sie AppArmor:
- Schritte (Windows):
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Konfigurieren Sie AppLocker-Regeln: https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview
2. Festplattenverschlüsselung
- Verwenden Sie unter Linux LUKS, um die Festplatte zu verschlüsseln.
- Für Windows verwenden Sie BitLocker, eine integrierte Festplattenverschlüsselungsfunktion, die in den Windows 10 Pro- und Enterprise-Editionen verfügbar ist, oder VeraCrypt als kostenlose Alternative für andere Windows-Editionen.
- Schritte (Linux):
- LUKS installieren:
sudo apt-get install cryptsetup
- Verschlüsseln Sie die Festplatte mit der Anleitung: https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system/
- LUKS installieren:
- Schritte (Windows, BitLocker):
- Stellen Sie sicher, dass Sie Windows 10 Pro oder Enterprise Edition haben.
- Öffnen Sie die Einstellungen für “BitLocker Drive Encryption”.
- Folgen Sie der Anleitung zur Aktivierung von BitLocker: https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838
- Schritte (Windows, VeraCrypt):
- VeraCrypt herunterladen: https://www.veracrypt.fr/en/Downloads.html
- Installieren und konfigurieren Sie VeraCrypt gemäß der Dokumentation: https:%27s%
Durch die Verwendung von LUKS für Linux und BitLocker oder VeraCrypt für Windows können Sie sicherstellen, dass Ihre Daten verschlüsselt und vor unbefugtem Zugriff geschützt sind.
3. Netzzugangskontrolle
- Verwenden Sie PacketFence für die Netzwerkzugangskontrolle und Gerätekonformität.
- Schritte:
- PacketFence herunterladen: https://packetfence.org/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://packetfence.org/documentation.html/
4. BYOD-Sicherheit – Einheitliches Endpunktmanagement
- Verwenden Sie WSO2 IoT Server für eine einheitliche Endpunktverwaltung.
- Schritte:
- WSO2 IoT Server herunterladen: https://wso2.com/iot/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://docs.wso2.com/display/IoTS320/
5. Fernzugriff/VPN
- Implementieren Sie OpenVPN für einen sicheren Fernzugriff.
- Schritte:
- OpenVPN herunterladen: https://openvpn.net/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://openvpn.net/community-resources/how-to/
6. Sichere Konfigurationsgrundlagen (Security Hardening)
- Für allgemeine Konfigurations-Baselines verwenden Sie CIS Benchmarks.
- Für Systeme, die den Standards des US-Verteidigungsministeriums (DoD) entsprechen müssen, verwenden Sie die Security Technical Implementation Guides (STIGs).
Die CIS-Benchmarks bieten einen umfassenden Satz an bewährten Sicherheitsverfahren und Konfigurationsrichtlinien für verschiedene Betriebssysteme, Software und Hardware. Sie werden vom Center for Internet Security (CIS) entwickelt und sind branchenübergreifend weit verbreitet.
STIGs hingegen werden von der Defense Information Systems Agency (DISA) für das Verteidigungsministerium entwickelt. Sie bieten Richtlinien zur Sicherheitshärtung von DoD-Systemen und sind speziell auf die Sicherheitsanforderungen des US-Militärs und anderer Regierungsorganisationen zugeschnitten. Die STIGs sind strenger und können zusätzliche Sicherheitsmaßnahmen beinhalten, die in den CIS-Benchmarks nicht enthalten sind.
- Schritte (CIS-Benchmarks):
- CIS-Benchmarks herunterladen: https://www.cisecurity.org/cis-benchmarks/
- Befolgen Sie die Richtlinien für Ihr spezifisches Betriebssystem: https://workbench.cisecurity.org/
- Schritte (STIGs):
- Zugang zu DISA STIGs: https://public.cyber.mil/stigs/
- Laden Sie die entsprechende STIG für Ihr System oder Ihre Anwendung herunter.
- Befolgen Sie die STIG-Richtlinien zur Konfiguration und Absicherung Ihres Systems.
7. Überprüfung der Einhaltung der Bauvorschriften
- Verwenden Sie OpenSCAP für die automatische Überprüfung der Einhaltung der Vorschriften.
- Schritte:
- OpenSCAP herunterladen: https://www.open-scap.org/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://www.open-scap.org/documentation/
8. Protokollierung und Überwachung
- Implementierung von ELK Stack (Elasticsearch, Logstash, Kibana) für zentralisierte Protokollierung und Überwachung.
- Schritte:
- ELK Stack herunterladen: https://www.elastic.co/downloads/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://www.elastic.co/guide/index.html/
9. Prozessschutz
-
- Verwenden Sie Linux-Sicherheitsmodule (LSM) wie SELinux oder AppArmor unter Linux und die Datenausführungsverhinderung (DEP) von Microsoft unter Windows, um den Prozessspeicher vor bösartigen Aktionen anderer Programme zu schützen.
- Schritte (Linux, SELinux):
- Installieren Sie SELinux:
sudo apt-get install selinux
- Konfigurieren Sie SELinux-Richtlinien: https://wiki.debian.org/SELinux/Setup
- Installieren Sie SELinux:
- Schritte (Windows, DEP):
- Öffnen Sie die Systemeigenschaften.
- Aktivieren Sie DEP für wichtige Windows-Programme und -Dienste: https://docs.microsoft.com/en-us/windows/win32/memory/data-execution-prevention
10. Sandboxing
- Implementieren Sie Firejail für Sandboxing-Anwendungen unter Linux.
- Schritte:
- Herunterladen von Firejail: https://firejail.wordpress.com/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://firejail.wordpress.com/documentation-2/
- Für Windows:
Sandboxie
Sandboxie ist eine beliebte Sandboxing-Lösung für Windows, mit der Sie Anwendungen in einer sicheren und isolierten Umgebung ausführen können. Dies kann Malware, Sicherheitsbedrohungen und unerwünschte Änderungen an Ihrem System verhindern.
- Schritte (Sandboxie):
- Sandboxie herunterladen: https://www.sandboxie.com/
- Installieren Sie Sandboxie gemäß der Installationsanleitung: https://www.sandboxie.com/InstallHelp
- Führen Sie Anwendungen innerhalb von Sandboxie aus, indem Sie mit der rechten Maustaste auf die Anwendung klicken und “Run Sandboxed” wählen oder die Sandboxie Control-Schnittstelle verwenden.
Windows-Sandkasten
Windows Sandbox ist eine integrierte Funktion, die in den Editionen Windows 10 Pro und Enterprise verfügbar ist. Es bietet eine leichtgewichtige virtuelle Umgebung, in der nicht vertrauenswürdige Anwendungen sicher ausgeführt werden können, ohne das Hostsystem zu beeinträchtigen.
- Schritte (Windows Sandbox):
- Stellen Sie sicher, dass Sie Windows 10 Pro oder Enterprise Edition haben.
- Aktivieren Sie die Windows-Sandbox, indem Sie die Anleitung befolgen: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview
- Starten Sie Windows Sandbox über das Startmenü und führen Sie Anwendungen in der isolierten Umgebung aus.
Diese Anwendungs-Sandboxing-Lösungen für Windows bieten eine zusätzliche Sicherheitsebene, indem sie potenziell unsichere Programme von Ihrem Hauptsystem isolieren.
11. Speicherschutz
- Verwenden Sie PaX/Grsecurity für erweiterten Speicherschutz unter Linux.
- Schritte:
- PaX/Grsecurity herunterladen: https://grsecurity.net/
- Folgen Sie der Anleitung, um Patches anzuwenden und zu konfigurieren: https://en.wikibooks.org/wiki/Grsecurity/
12. Sicherheitsüberwachung: Erkennung von bösartigem oder anomalem Verhalten
- Implementierung von Wazuh zur Sicherheitsüberwachung und Erkennung von Eindringlingen.
- Schritte:
- Wazuh herunterladen: https://wazuh.com/
- Installieren und konfigurieren Sie gemäß der Dokumentation: https://documentation.wazuh.com/
13. Jagd auf Bedrohungen
Threat Hunting ist ein proaktiver Ansatz zur Erkennung und Eindämmung von Cyber-Bedrohungen in Ihrer Umgebung. Dabei werden verschiedene Tools, Techniken und Erkenntnisse eingesetzt, um nach Anzeichen für eine Kompromittierung oder böswillige Aktivitäten zu suchen, die sich den herkömmlichen Sicherheitsmaßnahmen entzogen haben könnten.
Velociraptor ist ein Open-Source-Tool für die Sichtbarkeit von Endpunkten, das für die Suche nach Bedrohungen, die digitale Forensik und die Reaktion auf Vorfälle entwickelt wurde. Es ermöglicht Sicherheitsteams, Endpunktdaten zu sammeln und zu analysieren, Bedrohungen schnell zu erkennen und zu beseitigen.
- Schritte (Velociraptor):
- Velociraptor herunterladen: https://www.velocidex.com/
- Installieren und konfigurieren Sie Velociraptor gemäß der Dokumentation: https://docs.velociraptor.app/
- Stellen Sie Velociraptor-Agenten an Endpunkten bereit.
- Verwenden Sie die Velociraptor-Weboberfläche oder die API, um Endpunktdaten abzufragen, benutzerdefinierte Suchläufe zu erstellen und die Ergebnisse zu analysieren.
Neben Velociraptor gibt es weitere Tools und Plattformen für die Bedrohungsjagd, die Sie zur Verbesserung Ihrer Sicherheitslage einsetzen können:
TheHive
TheHive ist eine Open-Source-Plattform für die Reaktion auf Sicherheitsvorfälle (Security Incident Response Platform, SIRP), die die Suche nach Bedrohungen, die Verwaltung von Vorfällen und die Zusammenarbeit von Sicherheitsteams erleichtert.
- Schritte (TheHive):
- TheHive herunterladen: https://github.com/TheHive-Project/TheHive
- Installieren und konfigurieren Sie TheHive gemäß der Dokumentation: https://github.com/TheHive-Project/TheHiveDocs
- Integrieren Sie TheHive in Ihre bestehenden Sicherheitstools und -plattformen.
- Verwenden Sie die Weboberfläche von TheHive, um Vorfälle zu verwalten, Daten zu analysieren und mit Ihrem Team zusammenzuarbeiten.
YARA
YARA ist ein Open-Source-Tool zur Erstellung benutzerdefinierter Regeln für die Identifizierung und Klassifizierung von Malware auf der Grundlage von Text- oder Binärmustern. Es ist ein vielseitiges und leistungsstarkes Tool für die Suche nach Bedrohungen und die Analyse von Malware.
- Schritte (YARA):
- YARA herunterladen: https://github.com/VirusTotal/yara
- Installieren und konfigurieren Sie YARA entsprechend der Dokumentation: https://yara.readthedocs.io/en/stable/
- Erstellen Sie benutzerdefinierte YARA-Regeln zur Identifizierung von Bedrohungen, die speziell für Ihre Umgebung gelten.
- Verwenden Sie YARA, um Dateien, Speicher oder Netzwerkverkehr auf Übereinstimmungen mit Ihren benutzerdefinierten Regeln zu überprüfen.
Sie können diese Schritt-für-Schritt-Anleitung nutzen und mit Hilfe der bereitgestellten Open-Source-Tools eine umfassende Sicherheitsstrategie für Endgeräte erstellen.
Denken Sie daran, die gesamte Software auf dem neuesten Stand zu halten und Ihre Umgebung kontinuierlich auf Bedrohungen zu überwachen, um ein Höchstmaß an Schutz zu gewährleisten.
Wenn Sie die Unterstützung eines Expertenteams benötigen, ist Kloudwerk für Sie da!