Cyber-Readiness Checkliste

/in , , , , /von

Nach dem russischen Einmarsch in die Ukraine warnen sowohl das BSI, als auch westliche Partner und Hersteller eindringlich vor Angriffen russischer Cyberkrieger – und das auf kritische Infrastrukturen UND Wirtschaftsunternehmen.

Insbesondere ruft das BSI Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen.

In dieser Checkliste haben wir die wichtigsten Punkte zusammengestellt, die Sie berücksichtigen sollten. Sofern Sie nicht die Ressourcen haben, das in Eigenregie abzuwickeln, bieten wir Ihnen gerne professionelle Unterstützung unserer Experten an.

Cyber-Readiness Checkliste

  • Patchen: Stellen Sie sicher, dass alle Systeme vollständige Patches und Updates erhalten haben
  • Sicherheits-Datenbanken: Alle Ihre Sicherheits-Werkzeuge sollten aktuellste Daten nutzen
  • Backup: Erstellen Sie Offline-Backups aller kritischen Systeme (oder aktualisieren Sie bestehende Backups)
  • Phishing: Trainieren Sie Ihre Mitarbeiter mittels Cyber-Awareness-Trainings auf aktuelle Phishing-Bedrohungen
  • Threat-Hunting: Schauen Sie in Ihrem Netzwerk proaktiv nach bekannten Vorgehensweisen russischer Angreifer
  • Emulation: Testen Sie Ihre Verteidigung um sicherzustellen, dass die bekannten Vorgehensweisen russischer Angreifer entdeckt werden können
  • Response: Testen Sie Ihre Incident-Responses gegen angenommene Angriffe anhand echter Beispiele
  • Bleiben Sie up-to-date: Abonnieren Sie entsprechende Security-Feeds, um aktuell informiert zu bleiben

Was Sie im Detail unternehmen können:

  • Patchen: Angreifer zielen häufig auf ungepatchte und verwundbare Systeme im Netzwerk ab. Darum sollte in erster Verteidigungslinie ein Patch-Management stehen und vollständig gepatchte Systeme gewährleisten.
    Bei Interesse an bestimmten Verwundbarkeiten, die in der Vergangenheit von russischen Angreifern genutzt werden, empfehlen wir einen Blick in diese CISA-Liste. Der bessere Ansatz bleibt jedoch, sich auf zügige Updates der Systeme zu fokussieren. Das trifft ebenfalls auf Air-Gap-Systeme zu, die in diesem Zuge direkt auch auf aktuelle Systemstände hin überprüft werden sollten. Denken Sie daran, dass Patchen nicht nur für Server und Arbeitsplatzrechner gilt, sondern insbesondere auch für Netzwerk-Infrastruktur und Security-Produkte.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Wir bieten im Rahmen unserer IT- und Security-Services sowohl Patch-Management-Lösungen, als auch Wartungsverträge für Ihre Netzwerke und Security-Lösungen an.
  • Sicherheits-Datenbanken: Unsere Partner G DATA, Fortinet und Cisco betreiben personell stark besetzte Research-Teams und nutzen Millionen von Sensoren im weltweiten Netz, um aktuellste Bedrohungen zu analysieren und Gegenmaßnahmen auszurollen. Sofern Sie einen laufenden Vertrag unterhalten, werden Sicherheitsupdates in kürzester Zeit auf Ihre Systeme aufgespielt.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Unsere Mitarbeiter weisen Sie proaktiv auf auslaufende Sicherheitsupdates hin und bieten rechtzeitig Verlängerungen an. Im Rahmen mit uns vereinbarter Serviceverträge spielen wir proaktiv Sicherheitsupdates der Hersteller ein und halten die Bedrohungslage im Auge. Für die eigentlichen Datenbanken greifen automatische Updates – nahezu in Echtzeit.
  • Backup: Viele Angriffe erfolgen in Form von Ransomware (Verschlüsselung Ihrer Daten und Lösegeldforderungen), oder Wiper-Malware (Ihre Daten werden unwiederbringlich gelöscht). Die beste Verteidigung gegen solche Schadsoftware sind aktuelle Backups. Dabei ist es von entscheidender Bedeutung, dass Backups offline verfügbar sind, denn Schadsoftware versucht oftmals speziell Backups im Netzwerk zu finden und unbrauchbar zu machen.
    Die aktuelle Bedrohungslage ist ein guter Zeitpunkt um zu prüfen, ob Backups wirklich vorhanden sind (und nicht nur auf dem Papier) und Wiederherstellungsmöglichkeiten mit Ihrem IT-Team zu testen.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Unsere Mitarbeiter erstellen gerne mit Ihnen ein passendes Backup-Konzept, oder prüfen Ihre bestehende Backup-Situation auf mögliche Verbesserungsmöglichkeiten. Im Rahmen unserer IT-Serviceverträge bieten wir Prüfungen der Backup-Durchführung und der Wiederherstellbarkeit aus Backup-Daten an.
  • Phishing: Phishing-Attacken sind immer noch das erfolgreichste Einfallstor für Angreifer in Ihr Unternehmen. Jetzt wäre ein guter Ansatz, mit Ihren Mitarbeitern ein Awareness-Training durchzuführen, um die Erkennung und richtige Reaktion auf verdächtige Mails zu fördern.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Über unseren deutschen Sicherheitspartner G DATA bieten wir Awareness-Trainings online an. Dabei können Ihre Mitarbeiter in kurzen Lektionen aktuelle Bedrohungen kennenlernen und erhalten nach absolvierter Lektion eine Anerkennung. Sie können über das Dashboard Erfolge sehen und erkennen auch, wo eventuell noch nachgeschult werden kann.
  • Threat-Hunting: Einbrüche in Netzwerke werden oftmals zu spät erkannt (>100 Tage Verweildauer sind keine Seltenheit) und Angreifer hatten bis dahin genug Zeit, Ihre Daten abzugreifen, Spyware zu installieren, oder auch ihr zerstörerisches Werk vorzubereiten. Eine frühzeitige Erkennung ist hier überlebenswichtig. Bedienen Sie sich bei der Erkennung der unter * angeführten Taktiken, Techniken und Vorgehensweisen bekannter russischer Akteure.
    Wie kann Oberberg-Online Ihnen dabei helfen? 
    Als Partner des deutschen Herstellers Cybersense bieten wir einen einfachen Weg der Früherkennung an. Advanced Deception bietet Ihnen eine Lösung nahezu ohne Fehlalarme und benötigt insbesondere keine Personalressourcen bei Ihnen. Die Lösung ist insbesondere auch für KRITIS-Unternehmen und öffentliche Verwaltung geeignet – aber selbstverständlich auch für Wirtschaftsunternehmen. Wer vorab Informationen haben mag, der wird hier und hier fündig.
  • Emulation: Die unten angeführten Taktiken, Techniken und Vorgehensweisen können natürlich auch verwendet werden um zu prüfen, ob Ihre Sicherheit-Infrastruktur in der Lage ist, diese zu erkennen. Diese Tests können Konfigurationsprobleme aufdecken, die Angreifern eine unbeobachtete Bewegung in Ihrem Netzwerk ermöglichen.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Wir haben langjährige Partnerschaften mit Sicherheitsunternehmen, die unabhängige Penetrationstests durchführen und vermitteln Ihnen gerne den für Sie passenden Kontakt.
  • Response: Eine schnelle und gut organisierte Vorgehensweise bei Sicherheitsvorfällen ist entscheidend, wenn ein entsprechender Vorfall entdeckt wird. Jetzt ist es an der Zeit, zurechtgelegte Vorgehensweisen im Ernstfall zu überprüfen. Dies beinhaltet sowohl Incident-Response, als auch Eisaster-Recovery und Business-Continuity.
    Wie kann Oberberg-Online Ihnen dabei helfen?
    Mit unserem Partner G DATA Advanced Analytics bieten wir Ihnen vertraglich abgesicherte Incident-Response-Retainer. Das beinhaltet sowohl garantierte Reaktionszeiten, als auch z.B. BSI-qualifizierte APT-Responder, die Ihnen zur Seite stehen.
  • Bleiben Sie up-to-date: Alle die hier angeführten Aktionen sind keine Einmalaufnahme, sondern Sicherheit ist immer ein Prozess. Ein Weg die aktuellsten Bedrohungen im Auge zu behalten, ist der regelmäßige Blick auf z.B. diese Listen:
    FortiGuard Threat SignalCisco Tools Vulnerability Reports, G DATA Security Blog

*Tactics, Techniques, and Procedures

For hunting for adversaries in your networks CISA recommends the following TTPs:

Tactic Technique Procedure
Reconnaissance [TA0043] Active Scanning: Vulnerability Scanning [T1595.002]
Russian state-sponsored APT (Advanced Persistent Threat) actors have performed large-scale scans to find vulnerable servers.
Phishing for Information [T1598] Russian state-sponsored APT actors have conducted spearphishing campaigns to gain credentials of target networks.
Resource Development [TA0042] Develop Capabilities: Malware [T1587.001] Russian state-sponsored APT actors have developed and deployed malware, including ICS-focused destructive malware.
Initial Access [TA0001] Exploit Public Facing Applications [T1190] Russian state-sponsored APT actors target publicly known vulnerabilities, as well as zero-days, in internet-facing systems to gain access to networks.
Supply Chain Compromise: Compromise Software Supply Chain [T1195.002] Russian state-sponsored APT actors have gained initial access to victim organizations by compromising trusted third-party software. Notable incidents include M.E.Doc accounting software and SolarWinds Orion.
Execution [TA0002] Command and Scripting Interpreter: PowerShell [T1059.003] and Windows Command Shell [T1059.003] Russian state-sponsored APT actors have used cmd.exe to execute commands on remote machines. They have also used PowerShell to create new tasks on remote machines, identify configuration settings, exfiltrate data, and execute other commands.
Persistence [TA0003] Valid Accounts [T1078] Russian state-sponsored APT actors have used credentials of existing accounts to maintain persistent, long-term access to compromised networks.
Credential Access [TA0006] Brute Force: Password Guessing [T1110.001] and Password Spraying [T1110.003] Russian state-sponsored APT actors have conducted brute-force password guessing and password spraying campaigns.
OS Credential Dumping: NTDS [T1003.003] Russian state-sponsored APT actors have exfiltrated credentials and exported copies of the Active Directory database ntds.dit.
Steal or Forge Kerberos Tickets: Kerberoasting [T1558.003] Russian state-sponsored APT actors have performed “Kerberoasting,” whereby they obtained the Ticket Granting Service (TGS) Tickets for Active Directory Service Principal Names (SPN) for offline cracking.
Credentials from Password Stores [T1555] Russian state-sponsored APT actors have used previously compromised account credentials to attempt to access Group Managed Service Account (gMSA) passwords.
Exploitation for Credential Access [T1212] Russian state-sponsored APT actors have exploited Windows Netlogon vulnerability CVE-2020-1472 to obtain access to Windows Active Directory servers.
Unsecured Credentials: Private Keys [T1552.004] Russian state-sponsored APT actors have obtained private encryption keys from the Active Directory Federation Services (ADFS) container to decrypt corresponding SAML (Security Assertion Markup Language) signing certificates.
Command and Control [TA0011] Proxy: Multi-hop Proxy [T1090.003] Russian state-sponsored APT actors have used virtual private servers (VPSs) to route traffic to targets. The actors often use VPSs with IP addresses in the home country of the victim to hide activity among legitimate user traffic.

 

 

 

Log4Shell – weltweite Bedrohung mit BSI-Alarmstufe rot

/in , , , , /von

Die unter CVE-2021-44228 veröffentlichte kritische Schwachstelle in einer Java-Bibliothek betrifft weltweit Systeme. Das BSI-Dokument dazu haben wir hier bereitgestellt.

Für unsere Hersteller-Partner haben wir bislang folgende Informationen zusammengetragen:

Cisco – CISCO Security Advisory

G DATA – Blog-Artikel zum Thema

Innovaphone – verwendet nahezu keine externe Software und ist nicht betroffen.

Fortinet – FortiGuard Labs haben bereits Updates eingespielt. Hier dann noch die Hinweise.

Apache – Kundensysteme sind – soweit von uns betrieben – abgesichert.

Weitere Informationen und auch Hilfestellung erhalten Sie gerne bei uns.

 

 

ZTNA – Zero Trust Network Access

/in , , /von

Zero Trust Network Access (ZTNA) bietet eine bessere Lösung für den Remote-Zugriff als VPN und bietet gleichzeitig eine Schutzschicht für Cloud-basierte Anwendungen.

Durch die Nutzung von FortiOS und FortiClient bietet ZTNA granulare Kontrolle über Anwendungen, unabhängig davon, wo sich der Benutzer oder die Anwendung befinden. Der ZNTA-Agent baut einen sicheren, automatischen Tunnel zu FortiOS auf, das dann eine Benutzerverifizierung und Geräteüberprüfung durchführt, bevor es den Benutzer mit Anwendungen verbindet, die sich in einem Rechenzentrum, einer öffentlichen Cloud oder einem SaaS-Dienst befinden.

Dieser Ansatz schützt die Anwendungen, indem er sie effektiv hinter einer Firewall platziert, da der gesamte Zugriff über das preisgekrönte, branchenführende FortiOS erfolgen muss.

 

Sprechen Sie mit uns über die Evolution des VPN in Forti OS 7.0 und Forti Client 7.0

Einfach per Mail an vertrieb@oberberg.net, oder telefonisch unter 02261 9155050.

 

O.NET managed Web Application Firewall

/in , , /von

Haben Sie den letzten Angriff auf Microsoft-Server noch vor Augen?

Vermutlich staatlich gelenkte, chinesische Hacker haben weltweit – und auch in Deutschland -Sicherheitslücken im Web-Zugriff auf Exchange-Server (Outlook Web Access) genutzt, um in Unternehmensnetze einzudringen. Viele unserer größeren Kunden waren durch den Einsatz einer eigenen Web-Application-Firewall geschützt.

Weitere Informationen dazu haben wir hier für Sie zusammengestellt.

Schützen Sie Ihre Web-Anwendungen mit unserer Hilfe und rufen Sie uns gerne für weitere Informationen dazu an unter 02261 9155050, oder schicken Sie eine E-Mail an vertrieb@oberberg.net

 

managed Sandbox für alle

/in , , /von

Eine eigene Sandbox ist für viele Unternehmen zu teuer. Dennoch ist sie eine wirkungsvolle Erweiterung der E-Mail-Security des Unternehmens und sollte in die Gefahrenabwehr einbezogen werden.

Um diese Lücke zu schliessen, bieten wir ab sofort für unsere Kunden eine Erweiterung unseres managed E-Mail-Filters um die Komponente Sandbox an – und das zu einem attraktiven Monatspreis.

Interesse, Ihre E-Mail-Security zu verbessern? Dann nichts wie diese Nummer gewählt und ein Angebot anfordern: 02261 9155050

Wie unsere Lösung funktioniert, haben wir hier dargestellt.

 

Was macht eigentlich eine Sandbox?

/in , /von

Den Begriff hat vermutlich jeder schon einmal gehört, aber was macht eigentlich eine Sandbox?

In unserem aktuellen Oberberg-Online Tech-Tipp zeigt Euch Bastian die Oberfläche der FortiSandbox und verrät Euch, wie diese Maschine für deutlich mehr Sicherheit in Eurem Netzwerk sorgen kann.

Auszeichnung als Fortinet SMB-Partner

/in , /von

Wir freuen uns über die Auszeichnung unseres Security-Partners Fortinet.

Damit dokumentieren wir, dass wir der passende Ansprechpartner in Sachen IT- und OT-Security für den Mittelstand sind.

Gerade während des Lockdowns und verstärkter Arbeit im Home-Office ist es wichtig, Unternehmensdaten und -Zugänge zu schützen, denn vielfach sind die privaten Büros Einfallstor für Angriffe. Sprechen Sie mit uns über sichere VPN-Strukturen, 2-Faktor-Authentifizierung, Mail-Security (denn das ist noch mit mehr als 90% der erste Angriffsvektor) und vieles mehr.

Wir freuen uns, Ihnen mit unserer Expertise für den Bedarf im Mittelstand zu helfen.

Ihr Anruf genügt unter 02261 9155050. Alternativ gerne auch eine E-Mail an vertrieb@oberberg.net

 

 

 

Fortinet Trade-Up Aktion 2020

/in , , /von

Seit fast zwei Jahrzehnten beweist Fortinet mit der Produktreihe FortiGate, wie sicher technisches Equipment für kleine und mittelständische Unternehmen sein kann. Die Maschinen schützen Kundennetzwerke vor modernen Cyberbedrohungen, bieten Secure SD-WAN-Optionen und auch den Schutz der kundeneigenen OT-Welt. Und das mit einer einfachen, erschwinglichen und leicht zu implementierenden Lösung.

Für die „Brot und Butter“-Baureihen bieten wir interessante Trade-Up-Möglichkeiten an:

  • Von der FortiGate 30D/E -> auf die neue FortiGate 40F
  • Von der FortiGate 60D/E -> auf die neue FortiGate 60F
  • Von der FortiGate 100D/E -> auf die neue FortiGate 100F

Alle neuen Modelle kommen als Bundle mit 36 Monaten UTM-Subscription.

Sprechen Sie uns auf die Aktions-Bundles an.

Bastian Breidenbach
Bastian Breidenbach

breidenbach@oberberg.net

Daniel Wenzlau
02261 9155054
wenzlau@oberberg.net
Jörg Wegner
02261 9155052
wegner@oberberg.net

 

UPDATE: Die Notebook-Alternative für das Home-Office

/in , , , , /von

Wir haben sie, die Notebook-Alternative für das Home-Office.

 

UPDATE 26.03.2020:

Fragen Sie uns nach aktuellen restlichen Verfügbarkeiten für Business-Notebooks. Kleine Chargen sind aktuell verfügbar.

 

Aktuell haben viele Unternehmen und öffentliche Auftraggeber Probleme, ihr Personal mit Notebooks auszustatten. Damit steht die gewünschte Verlagerung ins Home-Office nicht zur Verfügung. Die Liefersituation ist aktuell bei einer Verfügbarkeit gegen Null Stück.

Benötigen Sie aktuell Geräte, um Ihre Mitarbeiter während der Corona-Welle ins Home-Office zu verlegen? Dann sprechen Sie mit uns über die preislich attraktive Alternative für Ihr Haus.

Daniel Wenzlau
02261 9155054
wenzlau@oberberg.net
DSC_2012 klein
Frank Erlinghagen
02261 9155055
erlinghagen@oberberg.net
DSC_2022 klein
Jörg Wegner
02261 9155052
wegner@oberberg.net

UPDATE – Corona-Tipps für Unternehmen

/in , , , , /von

In Zeiten, in denen viele Unternehmen und Mitarbeiter verunsichert sind, oder über Notfallpläne im Falle einer Quarantäne nachdenken, haben wir ein paar Corona-Tipps für Unternehmen zusammengestellt, die das dezentrale Arbeiten vereinfachen und sicher gestalten:

UPDATE 26.03.2020:

Unser Partner G DATA stellt drei kostenfreie Trainings zum Thema „Sicher arbeiten im Home-Office“ bereit. Eine Registrierung ist hier erforderlich.

Die Sorge vor einer Infektion mit dem Corona-Virus wächst und immer mehr Unternehmen lassen ihre Mitarbeiter von zu Hause arbeiten. Häufig nutzen sie dafür ihren privaten PC – ein offenes Tor für Cyberkriminelle, die es auf ihre Firmendaten abgesehen haben.

Dafür stellt G DATA kostenfreie 180-Tage-Lizenzen der G DATA Internet Security für Windows und Mac für Home-Office-User zur Verfügung. Fragen Sie uns nach Ihrer 180-Tage-Lizenz für Ihre Mitarbeiter im Home-Office.

 

Mit unserem Partner Fortinet ermöglichen wir sichere Verbindungen vom Home-Office in das Unternehmensnetz.

Dabei wird auf dem Notebook des Mitarbeiters der FortiClient als VPN-Software installiert und mit der zentralen FortiGate Firewall des Unternehmens verbunden. Je nach Rechtezuweisung kann der Mitarbeiter damit von zu Hause auf alle ihm erlaubten Ressourcen im Unternehmen zugreifen und somit arbeiten, als wäre er vor Ort. Für gesteigerte Sicherheit sorgt dabei die optionale 2-Faktor-Authentifizierung mittels FortiToken Mobile. Hier wird über eine App auf dem Smartphone des Mitarbeiters ein Einmal-Passwort erzeugt, dass nur für kurze Zeit gültig ist und somit ein hohes Maß an Sicherheit bietet.

Die passenden mobilen Endgeräte stellen wir mit unserem Partner Fujitsu zur Verfügung. Wie in einem aktuellen Fall gezeigt, sind wir momentan auch kurzfristig noch lieferfähig. Dabei stehen neben der Kaufoption auch Leasing, oder Hardware-as-a-Service als Optionen bereit.

Kommunikation ist jedoch im Normalfall nicht nur auf E-Mails beschränkt, sondern ein vollwertiger mobiler Arbeitsplatz umfasst auch Telefonie, Video, Instant Messaging, Präsenzinformationen u.v.m.
Hierbei unterstützen wir Sie mit unseren Partnern Cisco und Innovaphone.

Dabei ist es egal, ob Sie eine Cloud-Telefonanlage bevorzugen, oder ob Sie Ihre Mitarbeiter an die eigene Anlage im Unternehmen anbinden möchten. Wir haben die passende Lösung, damit auch Ihre mobilen Nutzer, oder Mitarbeiter im Home-Office als ganz normale Teilnehmer Ihrer Anlage auftreten – mit offizieller Firmenrufnummer und interner Durchwahl.

Wenn es darüber hinaus gehend um standortübergreifende Zusammenarbeit geht, ist Cisco Webex eine hervorragende Wahl. Durch die Präsenz in vielen Ländern der Welt ist Cisco Webex eine hervorragende Lösung zur Zusammenarbeit.

 

Webex kann als Plattform von den allermeisten Endgeräten aus genutzt werden, egal ob Desktop, Notebook, Tablet, oder Smartphone.

AKTUELLE AKTION: Unser Partner Cisco stellt eine zeitlich unbefristete Einzellizenz kostenfrei zur Verfügung.

Bei darüber hinausgehenden Anforderungen kann die Webex-Lösung natürlich auch um Videokonferenzsysteme, oder Smartboards erweitert werden.

Für die Notfallprävention in Sachen Corona, aber auch für ganz einfach mehr Flexibilität und zukunftsfähigeres Arbeiten, bieten wir die unterschiedlichsten Möglichkeiten für Unternehmenskunden an.

Sprechen Sie mit uns und lassen Sie uns gemeinsam das passende Konzept für Ihr Business erarbeiten.

 

Daniel Wenzlau
02261 9155054
wenzlau@oberberg.net
Dirk Zurawski
02261 9155051
zurawski@oberberg.net
DSC_2012 klein
Frank Erlinghagen
02261 9155055
erlinghagen@oberberg.net