Ein Kommentar von Nathan Howe, ZPA Principal Architect bei Zscaler zur Schwachstelle in MS Windows Remote Desktop Services. [...]
Die jüngste Schwachstelle in Microsoft Windows Remote Desktop Services (CVE-2019-0708) stellt ein hohes Risiko für Unternehmen dar, da sie potenziell die remote Ausführung von Code ermöglicht. Die Gefahr wird dadurch unterstrichen, dass Microsoft rasch einen Fix für alle Windows-Plattformen bis zu Windows XP zur Verfügung gestellt hat. Um zu verhindern, dass sich diese Schwachstelle zum nächsten destruktiven Internet-Wurm entwickelt, tun Unternehmen gut daran, alle Geräte zu patchen.
Heute zählt das Reduzieren von Angriffsvektoren zu den Top-Sicherheitsprioritäten für Unternehmen. Remote ausführbare Schwachstellen, die Einfluss auf mit dem Internet verbundene Services nehmen können, sind ein Grund mehr, dass Organisation ihre Angriffsflächen im Internet überdenken. In der Realität sind viele Unternehmen davon noch weit entfernt, wie die Ergebnisse einer aktuellen Umfrage verdeutlichen.
Im State of Digital Transformation EMEA 2019 Report gaben 72 Prozent der Unternehmen an, dass die Mehrheit ihrer Mitarbeiter mobile Geräte für den Zugriff auf Anwendungen und Daten einsetzen, die in der Cloud oder im Rechenzentrum vorgehalten werden. Fast ein Drittel der Entscheidungsträger in England, Frankreich, Deutschland und Benelux (29 Prozent) antworteten darüber hinaus, dass das Remote Desktop Protocol (RDP) typischerweise eingesetzt wird, wenn Mitarbeiter von unterwegs aus auf Daten und Anwendungen zugreifen. Diese RDP-Dienste stehen online zur Verfügung und ermöglichen Mitarbeitern den schnellen Sprung auf das unternehmensweite Ökosystem. Da diese RDP-Services online verfügbar sind, liegt es allerdings in der Natur des Internets, dass sie für jeden sichtbar sind.
Mit SPD-Architektur Risiko minimieren
Ein Software-definierter Perimeter (SDP) kann dabei helfen, die dadurch entstehende Angriffsfläche zu reduzieren. Denn SDP wurde dafür entwickelt, dass der Zugriff auf Applikationen nicht einmal durch einen Drei-Wege-Handshake erlaubt wird, bevor ein User für die Berechtigung authentifiziert wurde. Ein solches Verfahren unterscheidet sich grundlegend von den herkömmlichen Modellen des Internetzugriffs, denn damit wird die echte Implementierung der geringsten Zugangsprivilegien umgesetzt.
Mit Hilfe des SDP-Modells können Unternehmen verhindern, dass ihre Dienste wie RDP, dem Internet ausgesetzt werden, und damit das Risiko reduzieren, das von Schwachstellen wie dem jüngsten Microsoft CVE ausgeht. Zscaler Private Access folgt dem SDP-Prinzip und unterstützt dementsprechend dabei die Wahrscheinlichkeit zu reduzieren, dass Angreifer ins Netzwerk eindringen können. Diese Lösung setzt auf outbound Connectivity, so dass niemals IP des Domain Space dem Internet ausgesetzt wird. Und wo kein inbound Pfad aus dem Internet offengelegt wird, besteht auch keine Verbindung oder Angriffsoberfläche.
In der jetzigen Situation wird einmal mehr deutlich, wie kritisch ein umfassendes Patch-Management angesichts dieser aktuellen Schwachstelle ist. Durch schnelles Patchen lässt sich das Risiko minimieren, dass Malware auf Geräte und damit in das Unternehmensnetz eingeschleust wird. Die SDP-Architektur empfiehlt sich darüber hinaus, um sich zukunftsorientiert auf diese Art Internet-basiertes Risiko einzustellen und dadurch zu verhindern, dass Teile der unternehmensweiten Infrastruktur dem öffentlichen Internet ausgesetzt sind. Denn Hacker können nicht angreifen, was nicht sichtbar ist. Eine entsprechende Sicherheitsarchitektur ermöglicht Organisationen den Schutz ihrer wichtigen Assets.Nathan Howe ist ZPA Principal Architect bei Zscaler.
* Nathan Howe ist ZPA Principal Architect bei Zscaler.
Be the first to comment