SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

1. Classification: Public 1 Willkommen zur SBA Live Academy #bleibdaheim # remotelearning Heute: Remote Access – Top Security Challenges – Teil 2 by Günther Roat, Philipp Reisinger This talk will be recorded as soon as the presentation starts! Recording will end BEFORE the Q&A Session starts. Please be sure to turn off your video in your control panel.

2. Classification: Public 2 Remote Access – Top Security Challenges Part II: Typische Auditfindings im Bereich Technology

3. Classification: Public 3 Remote Access Security And why it should concern us… SBA Research gGmbH, 2020 The dark web contains RDP shops, online platforms selling remote desktop protocol (RDP) access to hacked machines, from which one can buy logins to computer systems to potentially cripple cities and bring down major companies. While researching underground hacker marketplaces, the McAfee Advanced Threat Research team has discovered that access linked to security and building automation systems of a major international airport could be bought for only US$10. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

4. Classification: Public 4 People – Processes – Technology Die drei Säulen der Informationssicherheit SBA Research gGmbH, 2020 People ProcessesTechnology

5. Classification: Public 5 Technology Typische Auditfindings I Erfahrungen hinsichtlich zwei Faktor Authentifizierung: • Keine MFA • Keine Schulung der MitarbeiterInnen hinsichtlich MFA Backup Varianten. o Backup Codes, Master Secrets (seeds) am Handy oft nicht im Backup. o Portale zum Zurücksetzen/Umstellen auf alternative Varianten. • Not all MFA is equal*: o OTP (Phishing Proxy zielt auf alle User ab) vs. SMS (SIM Swapping nimmt einzelne in Fokus) vs. FIDO2 (beste Option, kein Phishing möglich**). SBA Research gGmbH, 2020 *siehe 12 Ways to Hack MFA RSA 2019: https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/12991/IDY-F02-12-Ways-to-Hack-2FA.pdf **siehe Blackhat 2016: Breaking FIDO: Are Exploits in There?: https://www.youtube.com/watch?v=J53Ya7E5HGQ

6. Classification: Public 6 Technology Typische Auditfindings II Erfahrungen hinsichtlich Netzwerksicherheit: • Schlecht(er)e Netzwerk Segmentierung bei Remote Access. o VPN: alle Clients im gleichen Netzwerksegment oder weniger granulare Einteilung nach Schutzbedarf im vgl. LAN. o Benutzer am Terminalserver haben größtmögliche Netzwerk Zugriffs- rechte weil unterschiedliche Rollen gleiche Konfiguration verwenden. • Keine Sichtbarkeit & Schutz des Client Internetverkehrs. o Split Tunneling vs. „Always on“ VPN. o Filterung via Cloud Proxy, DNS Filterung oder lokal (e.g. Endpoint Protection Agent). SBA Research gGmbH, 2020

7. Classification: Public 7 Technology Typische Auditfindings III Erfahrungen hinsichtlich Netzwerksicherheit: • Administrative Interfaces direkt aus dem Internet erreichbar. o Alternative: VPN bzw. SSH Port Forwarding zur Administration • Nutzung veralteter und unsicherer Protokolle (e.g. PPTP). o Gute Lösungen: OpenVPN, WireGuard, IPSEC, proprietäre Lösung, .. • Kein GeoIP Blocking am VPN Gateway. • Keine Maßnahmen gegen DDoS Angriffe*: o e.g. Volumetrisch, SSL Floods (Fokus auf SSL/TLS Ressourcen verbrauch), UDP Floods, TCP Blend (low volume attack to exhaust firewall state tables) • Einsatz von Modems (im Industrieumfeld). SBA Research gGmbH, 2020 *siehe https://blog.radware.com/security/ddos/2020/03/how-to-protect-your-vpn-lessons-from-a-ddos-attack-test/ https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/coronavirus-remote-access-threats/

8. Classification: Public 8 Technology Typische Auditfindings IV Mangelnde Sichtbarkeit in das Sicherheitsniveaus des Clients. • Was will ich wissen bzw. was ist meine Minimum Security Baseline? o Patch-Status, AV aktiv & aktuell, Zeit seit letztem AV Scan, Host Firewall aktiv, keine kritischen Vulnerabilities etc. o Fortgeschritten: Remote Health Attestation • Gibt es private Geräte im Unternehmens VPN? • Umgang mit Geräten von Wartungstechnikern und Dienstleistern? SBA Research gGmbH, 2020

9. Classification: Public 9 Technology Typische Auditfindings V • Mangelhafte Prüfung der Serverauthentizität: o RDP bspw. mit selbstsignierten Zertifikaten konfiguriert. o MitarbeiterInnen werden zum „ok“ klicken trainiert (MITM Risiko). • Keine mutual Authentication (Zertifikatprüfung) / kein MFA: Alternative Möglichkeiten: o Gerätezertifikate als zweiter Faktor akzeptabel* -> Zertifikate idealerweise geschützt im TPM. o RDP: MFA mittels RDP Gateway in DMZ + Radius o Citrix Netscaler Gateway: Client Certificate Authentication o Cisco ASA AnyConnect: Double Authentication with Certificate Validation • Mangelhafte Verschlüsselung: o SSL/TLS VPN Konfiguration unterstützt schwache Cipher Suites. o RDP Security Layer „Negotiate“(Anfällig Protocol Downgrade Angriffe**). SBA Research gGmbH, 2020 * Unterschiedliche Meinungen siehe: https://securitybytes.io/certificate-based-authentication-5390eb28871f **Siehe: https://www.cyberpunk.rs/seth-rdp-mitm-attack-tool

10. Classification: Public 10 Technology Typische Auditfindings VI RDP direkt im Internet erreichbar & mangelndes RDP Hardening. • Shodan Feb. 2019: ca. 2,5 Mio RDP Endpoints erreichbar.* Beispiele für bessere Absicherung: • Zugriff über RDP Gateway, VPN o.ä. zu bevorzugen (+ MFA). • NLA (Network Level Authentication) → ideal über Kerberos. • Security Layer: TLS1.0 & Encryption Level: min. High (128 Bit) • RDP Zugriff nur für User/Admins mit Bedarf. • RDP Gateway (HTTPS Tunnel): Connection Authorization Policy (CAP) & Resource Authorization Policy (RAP) . • Optional: Administration via Restricted Admin Mode für Support und Help Desk. • Optional: Administration via Remote Credential Guard. SBA Research gGmbH, 2020 * https://thebackroomtech.com/2019/03/11/defending-against-remote-desktop-protocol-attacks/

11. Classification: Public 11 Technology Typische Auditfindings VII Terminalserver/VDI mit unterschiedlicher Architektur: • Geteilte VMs (viele User) vs. dedizierte VMs (spez. Benutzer). • persistent vs. non-persistent. Mangelndes Hardening gegen Application Jailbreaking*: • Application White-/Blacklisting: Applocker o.ä. verwenden. • Cmd Shell, Task Mgr, Explorer etc. oft bedacht, aber nicht z.B. Powershell ISE. • Kiosk Mode entkommen mit div. Shortcuts od. Help Keys, oder IE „save as“. • Keine Passwörter in Setup-Scripts des Golden Image. SBA Research gGmbH, 2020 *siehe https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/system-hardening-for-xenapp-and-xendesktop.pdf

12. Classification: Public 12 Advanced Topics SBA Research gGmbH, 2020

13. Classification: Public 13 “Advanced Topics” Cloud Access Security Broker (CASB) • Software oder Dienste, die sich zwischen der On-Premise-Infrastruktur einer Organisation und dem Netzwerk eines Cloud-Anbieters befinden • Primäre Einsatzzwecke: o Sicherheitsrichtlinien in Cloud Diensten durchsetzen (DLP). o Riskantes Nutzerverhalten oder Account Kompromittierung erkennen (UEBA). o Shadow IT Discovery (Nutzung Cloud Apps). • Durchsetzen von Richtlinien: o Authentifizierung & Autorisierung o Verschlüsselung & Tokenisierung o Protokollierung & Alarmierung o Malwareerkennung SBA Research gGmbH, 2020

14. Classification: Public 14 “Advanced Topics” Zero Trust Architekturen • Zero Trust beschreibt ein Paradigma bei dem initial keinem User oder Gerät vertraut wird bzw. keine impliziten Annahmen über Assets getroffen werden. • Die Identität des Benutzers, der Zustand des Geräts, Kontext der Verbindung, verwendeten Anwendungen, die Sensibilität der ange- forderten Daten (u.v.m.) werden mit einer Zugriffs-Policy abgeglichen. SBA Research gGmbH, 2020 *siehe NIST SP 800-207 2nd Draft: https://csrc.nist.gov/publications/detail/sp/800-207/draft

15. Classification: Public 15 “Advanced Topics” Zero Trust Architekturen • Bekanntes Beispiel: Google Beyondcorp. … began as an internal Google initiative to enable every employee to work from untrusted networks without the use of a VPN. It is used by most Googlers every day, to provide user- and device-based authentication and authorization for Google's core infrastructure. SBA Research gGmbH, 2020 siehe BeyondCorp - Design to Deployment at Google: https://storage.googleapis.com/pub-tools-public-publication-data/pdf/44860.pdf

16. Classification: Public 16 “Advanced Topics” A Short Outlook… • Device Health Checks/Health Attestation o Health Attestation: https://docs.microsoft.com/en-us/windows/security/threat- protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices o MS Conditional Access: https://docs.microsoft.com/en-us/azure/active-directory/conditional- access/overview und https://docs.microsoft.com/en-us/windows/security/identity- protection/vpn/vpn-conditional-access • Missbrauch von Remote Admin Tools durch Angreifer o siehe e.g. Mitre ATT&CK: https://attack.mitre.org/techniques/T1076/, https://attack.mitre.org/techniques/T1219/ und https://attack.mitre.org/techniques/T1028/ • Privileged Access Management und Jump Hosts zur Administration (nach Verbindungsaufbau mit VPN, für Interne & insb. Externe) SBA Research gGmbH, 2020

17. Classification: Public 17 Unsere 3 Key Take-Aways 1. Basisabsicherung umsetzen. 2. Sichtbarkeit am Remote Client erhöhen. 3. Mittelfristig kontextbasierte Zugriffsregelungen konzeptionieren. SBA Research gGmbH, 2020

18. Classification: Public 18 Professional Services Penetration Testing Architecture Reviews Security Audit Security Trainings Incident Response Readiness ISMS & ISO 27001 Consulting Forschung & Beratung unter einem Dach Applied Research Industrial Security | IIoT Security | Mathematics for Security Research | Machine Learning | Blockchain | Network Security | Sustainable Software Systems | Usable Security SBA Research Wissenstransfer SBA Live Academy | sec4dev | Trainings | Events | Lehre | sbaPRIME Kontaktieren Sie uns: anfragen@sba-research.org SBA Research gGmbH, 2020

19. Classification: Public 19 #bleibdaheim #remotelearning Coming up @ SBA Live Academy 8 April, 13.00 Uhr, live: „Cloud Security Zertifizierungen und Gütesiegel “ by „Günther Roat“ Treten Sie unserer MeetUp Gruppe bei! https://www.meetup.com/Security-Meetup-by-SBA- Research/ SBA Research gGmbH, 2020

20. Classification: Public 20 Günther Roat SBA Research gGmbH Floragasse 7, 1040 Vienna groat@sba-research.org SBA Research gGmbH, 2020 Philipp Reisinger SBA Research gGmbH Floragasse 7, 1040 Vienna preisinger@sba-research.org

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

Recommended

More Related Content

Similar to SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger

Similar to SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger(20)

More from SBA Research

More from SBA Research(20)

SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther Roat and Philipp Reisinger