Die aktu­el­len pfSen­se® Schwach­stel­len zei­gen ein­mal mehr, wie wich­tig es ist, den Fokus auf die Attack Sur­face zu legen. Durch ein Update, kön­nen die pfSen­se® Schwach­stel­len zwar beho­ben wer­den, aber noch wich­ti­ger ist es, Maß­nah­men bezo­gen auf die Attack Sur­face zu set­zen, um Angriffs­punk­te zu mini­mie­ren bzw. ganz zu verhindern. 

Attack Sur­face bezieht sich auf die Gesamt­heit aller mög­li­chen Punk­te, an denen ein unbe­fug­ter Benut­zer auf ein Sys­tem zugrei­fen kann.

Dies umfasst ver­schie­de­ne Angriffs­vek­to­ren, über die ein Angrei­fer ver­su­chen kann, Daten ein­zu­ge­ben, zu extra­hie­ren, Gerä­te zu steu­ern oder kri­ti­sche Soft­ware in einer Umge­bung zu beeinflussen.

Je klei­ner die Angriffs­flä­che ist, des­to leich­ter ist sie zu schüt­zen. Orga­ni­sa­tio­nen soll­ten ihre Angriffs­flä­che stän­dig über­wa­chen, um poten­zi­el­le Bedro­hun­gen schnell zu erken­nen und zu blo­ckie­ren. Gleich­zei­tig ist es wich­tig, die Angriffs­flä­che zu mini­mie­ren, um das Risi­ko von erfolg­rei­chen Cyber­an­grif­fen zu redu­zie­ren. Die Angriffs­flä­che teilt sich in zwei Kate­go­rien auf:

  1. Digi­ta­le Angriffs­flä­che: Die­se umfasst alle Hard­ware- und Soft­ware­kom­po­nen­ten, die mit dem Netz­werk einer Orga­ni­sa­ti­on ver­bun­den sind. Dazu gehö­ren Anwen­dun­gen, Code, Ports, Ser­ver und Web­sites sowie soge­nann­te “Shadow IT”, bei der Benut­zer nicht auto­ri­sier­te Anwen­dun­gen oder Gerä­te ver­wen­den, ohne die IT-Abtei­lung einzubeziehen.
  1. Phy­si­sche Angriffs­flä­che: Hier­bei han­delt es sich um alle End­ge­rä­te, auf die ein Angrei­fer phy­si­schen Zugriff hat, wie Desk­top-Com­pu­ter, Fest­plat­ten, Lap­tops, Mobil­te­le­fo­ne und Uni­ver­sal Seri­al Bus (USB)-Laufwerke. Die phy­si­sche Angriffs­flä­che umfasst auch unsach­ge­mäß ent­sorg­te Hard­ware mit Benut­zer­da­ten und Zugangs­da­ten sowie Sicher­heits­lü­cken wie das Auf­schrei­ben von Pass­wör­tern auf Papier oder phy­si­sche Ein­brü­che1.

Um die Angriffs­flä­che (attack sur­face) zu mini­mie­ren, soll­ten Unter­neh­men Zugangs­kon­trol­len und Über­wa­chung an ihren phy­si­schen Stand­or­ten imple­men­tie­ren. Außer­dem ist es wich­tig, Not­fall­wie­der­her­stel­lungs­ver­fah­ren und ‑richt­li­ni­en zu tes­ten und umzusetzen.

Und ganz ent­schei­dend ist sich auf die digi­ta­le Angriffs­flä­che zu kon­zen­trie­ren. Hier gilt es ins­be­son­de­re den Zugang auf den GUI Web­dienst zu beschränken.

Die ADMIN GUI soll­te nie über das Inter­net erreich­bar sein. Man muß sich also im genau über­le­gen, wel­che Maß­nah­men zu set­zen sind, um das zu ver­mei­den. Das bedeu­tet: Ent­we­der befin­det sich die ADMIN GUI in einem eige­nen Netz­werk oder ist nur über VPN erreichbar.

Kon­kre­te Emp­feh­lun­gen bezo­gen auf pfSense®

  • Updates ein­spie­len
  • Ent­fer­nen von fol­gen­den Ver­zeich­nis­sen und Dateien: 
    • /usr/local/www/vendor/jquery-treegrid/test.html
    • /us­r/­lo­cal/ww­w/­ven­dor/­j­query-tree­gri­d/­tests
    • /usr/local/www/vendor/jquery-treegrid/index.html

Kon­kre­te Emp­feh­lun­gen bezo­gen auf Reduk­ti­on der Attack Surface:

  • Reduk­ti­on der übers Inter­net erreich­ba­re Diens­te, bes­ser die­se hin­ter einem VPN betreiben
  • Nut­zung von Web-Pro­xies vor kom­ple­xen Web-Applikationen
  • Voll­stän­di­ger Ver­zicht von admi­nis­tra­ti­ven Zugän­gen über das Internet
  • Nut­zung eines eige­nen Netz­werk­seg­men­tes z.B. über ein Management-VLAN
  • Nut­zung von Mul­ti-Fak­tor Authen­ti­sie­rung für Benut­zer- und Admin-Zugänge
  • Abon­nie­rung von Secu­ri­ty News­let­tern und CVE Mel­dun­gen der ein­ge­setz­ten Soft­ware und Hard­ware Lösungen

Resul­tat bei Umset­zung der Empfehlungen:

  • Deut­lich gerin­ge­re Angriffs­flä­che für Cyberangreifer
  • Erhöh­ten Schutz bei auf­tre­ten­den Schwach­stel­len, da die­se nicht mehr über das Inter­net aus­ge­nutzt wer­den können
  • Schutz vor Zero-Day-Angriffen
  • Schutz vor Phishing-Angriffen
  • Ver­rin­ge­rung des Risi­kos einer Cyber­at­ta­cke bzw. eines schwe­ren Sicherheitsvorfalls