Server und System Härtungen

Server und System Härtungen

Server und System Härtungen

Meiner Meinung nach ist die größte Sicherheitslücke in modernen IT-Infrastrukturen (abseits des Faktors Mensch), schlecht bzw. nicht ausreichend konfigurierte Assets. Dabei ist es völlig unerheblich, ob stets aktuelle Software installiert wird. Das beste Patch-Management ist wertlos, wenn die zugrunde liegenden Systeme und Anwendungen nicht fachgerecht konfiguriert und nach internationalen Best Practices gehärtet worden sind.


Ein ordentlich gehärtetes System, kann die Systemsicherheit erheblich steigern, so weit, dass viele Angriffe ins Leere laufen bzw. überhaupt nicht mehr möglich sind. Ein nach internationalen „Best Practices“ konfiguriertes System erhöht auch die allgemeine Betriebssicherheit. Mit Betriebssicherheit ist gemeint, dass das System so optimiert wird, dass gängige Problemstellungen und Fehlerquellen verringert bzw. vermieden werden und teils auch das „Optimum“ an Leistung genutzt wird.


Nicht umsonst ist die „System Härtung“, auch "System Hardening" genannt, ein fester Bestandteil von Frameworks wie dem  CIS Critical Security Controls®, der ISO/IEC 27001:2022 und vielen anderen. Mehr und mehr Auftraggeber und Versicherungen erzwingen sogar entsprechende Maßnahmen. Als Nebeneffekt gewinnt eine IT-Abteilung durch eine systematische Härtung einen besonders tiefen Einblick in die „Innereien“ eines Systems.


Durch meine Tätigkeiten kann ich, mit den aktuellsten Daten (die ich durch lizenzierte Partnerschaften beziehe), einen Großteil aller IT-Assets bewerten und durch dieses Vorgehen eine „Baseline Security“, bei der jedes System einem „Standard“ folgt, realisieren. Manche Systeme haben mehrere hunderte Optimierungen nötig, hier biete ich für eine Vielzahl an Anpassungen, automatisierte Vorgänge wie z.B. GPO’s oder Skripte.


Auch wende ich nicht blind jede „Empfehlung“ an, sondern evaluiere diese „Empfehlungen“ anhand Ihrer jeweiligen Bedürfnisse.


Basierend auf meine Erfahrungen mit kritischen Assets und großen Infrastrukturen (besonders in Linux dominierten Umgebungen), kann ich sehr tiefgreifende Erfahrungswerte vorweisen und bei Einstellungen, die eine manuelle Interaktion erzwingen, fachgerecht unterstützen. 


Meine Methoden können in der Regel skaliert werden und ferner biete ich weitere Dienstleistungen an, ein einmal nach „Compliance“ konfiguriertes System dauerhaft zu überwachen und jegliche Abweichung zu melden.


Selbstverständlich unterstütze ich Sie auch bei der Erstellung einer entsprechenden Richtlinie und der Implementation von KPIs zur Messung der Wirksamkeit der Härtungsmaßnahmen. Bei Bedarf, kann ich Sie umfangreich unterstützen und Sie von meiner jahrelangen Erfahrung partizipieren lassen. Grundsätzlich gehört die System-Härtung mit zu den Zwangsvoraussetzungen, für eine realistische Risikobewertung Ihrer Assets. Schauen Sie sich bitte auch meine Services im Bereich des Schwachstellen Managements an, um ein umfassenderes Bild zu erhalten.

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Fehler beim Namen nennen, Dinge genau unter die Lupe nehmen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

Vorarbeiten

Jedes Service-Paket bedarf eine Bestandsaufnahme, Aufstellung der Teams, die Berücksichtigung der Erwartungen, Klärung von rechtlichen Aspekten (z. B. darf ein System überprüft werden, dass von einer dritten Partei verwaltet wird, AV-Vertrag und NDA) und der technischen Einrichtung der Zugänge.

Die eingesetzte Software

CIS SecureSuit Membership Logo

Grundsätzlich kommen Experten-Tools, die international mit zu den besten ihrer Art gehören, zum Einsatz. Diese Fachanwendungen haben oft Dienstleister als Zielgruppe und sind häufig so hochpreisig, dass dessen Beschaffung für einzelne Unternehmen oft zu kostspielig ist. Als seriöser Unternehmer sind alle Fachanwendungen legal erworben und passend lizenziert. Gray-Hat IT-Security Consulting Stephan H. Wenderlich, ist ein aktives CIS SecureSuite® Mitglied.


Meine verwendete Software bietet immer die aktuellsten Datenstände und die aktuellsten Vergleichsdaten. Eine konstante Weiterbildung zu den komplexen Anwendungen, ist selbstverständlich. Zur Bewertung der jeweiligen Systeme benötige ich einen Netzwerkzugang (via VPN) und auch erhöhte Rechte innerhalb dieser Systeme. Nach einer Bewertung, rate ich die Zugänge zu deaktivieren und nur bei einer nötigen Verwendung wieder zu aktivieren.

Gray-Hat IT-Security Consulting Stephan H. Wenderlich, empfiehlt die Verwendung von CIS Benchmarks™ zur System-Härtung.

Was sind CIS-Benchmarks™?


CIS-Benchmarks™ sind Konfigurationsempfehlungen und wurden vom Center for Internet Security® (CIS®), eine gemeinnützige Organisation, entwickelt. Es ermöglicht Unternehmen, ihre Maßnahmen für Sicherheit und Compliance zu verbessern. Das Ziel dieser Initiative ist es, von einer Gemeinschaft von Cyber-Sicherheitsexperten entwickelte Basisstandards für die IT-Konfigurationen bzw. CIS-Benchmarks™ für IT- und Sicherheitslösungen zu erarbeiten, die in Unternehmen häufig eingesetzt werden.

Welche Vorteile haben die CIS-Benchmarks™


Unternehmen aller Art, die die CIS-Benchmarks™ umsetzen, können folgende Vorteile erzielen:

  • Absicherung von Systemen gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen.
  • Eine schnellere Behebung von Schwachstellen durch die Bereitstellung von Empfehlungen im Rahmen von Referenzwerten.
  • Langzeitvertrauen des Top-Managements und Bereitstellung von Budgets für die IT-Security Fachabteilungen.
  • Optimierte Sicherheitsstandards für Cloud-Umgebungen und Abwehr von Bedrohungen.
  • Gesteigertes Kundenvertrauen durch nachweisliche Einhaltung von branchenspezifischen Benchmarks.


Bewertung

Schritt für Schritt werden Server- und Client-Betriebssysteme (verschiedene Mac, Linux und Windows Varianten), sowie unterschiedliche Datenbanken, Browser, Server-Applikationen und Netzwerkgerätschaften untersucht.
In der Regel, voll automatisiert! In den Fällen, wo eine manuelle Interaktion nötig ist, werde ich Sie entsprechend unterstützten. Nach jeder durchgeführten Bewertung erhalten Sie zu dem jeweiligen System einen sehr detaillierten Report. Alle Ergebnisse werden anschließend mit Ihrem IT-Team und/oder der Geschäftsleitung besprochen, sowie direkt seriöse Handlungsempfehlungen erörtert, um bei der Beseitigung der gefundenen Missstände zu helfen. Mein intensives Praxis Wissen kennt die üblichen Fallstricke und die technischen Details sind mir in der Regel sehr bekannt!

Zu den Abhilfe-Maßnahmen können gehören:

  • Konfigurationsänderungen.
  • Die Anwendung geeigneter Patches..
  • Migrationen zu neuen oder alternativen Systemen.
  • Re-Design von System-Landschaften.
  • Die Einschränkung des Netzwerkzugriffs (z. B. durch Mikro-Segmentierung und Firewall-Regeln).
  • Eigene Entwicklungen von „akzeptablen Workarounds“.
  • Eigene Playbooks und Skripte, genau nach Ihren Bedürfnissen.

Unterschiedliche Pakete, für unterschiedliche Bedürfnisse.

Immer mit dem Anspruch auf eine langjährige Partnerschaft sind auch individuelle Lösungen möglich.

Jedes Paket hat die Option, ohne Aufschlag, auch werktags nach 18:00 Uhr bzw. am Wochenende durchgeführt zu werden.
Alle Pakete lassen sich auch individuell mit anderen Dienstleistungen kombinieren, z.B. mit dem Paket „Externer CISO“ oder „Schwachstellen Management.
Profitieren Sie von interessanten Rabatten.

SMALL MEDIUM LARGE EXTRA LARGE
(kleine Umgebungen bis ~50 Assets) (mittlere Umgebungen bis ~150 Assets) (größere Umgebung ~150-250 Assets) (custom)
Vorarbeiten* 2 PT (einmalig) 4 PT (einmalig) 5 PT (einmalig) Nach Aufwand
Experten-Tools (Lizenziert auf Gray-Hat IT-Security)
Zugriff auf echtes Experten-Wissen
Kein aggressives Up-Selling
Tätigkeit auch nach 18:00 Uhr und am Wochenende OHNE Aufpreis
Erkennung von Fehlkonfigurationen.**
Mit kundenspezifischen Profilen automatisierte durchgeführte Überprüfungen inkl. Reports*** 2 PT pro Monat 3 PT pro Monat 5 PT pro Monat Ab Paket Standard
Ergebnisse und Maßnahmen Empfehlungen besprechen*** 2 PT pro Monat 2 PT pro Monat 3 PT pro Monat Ab Paket Standard
Manuell durchgeführte Überprüfungen inkl. Reports Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag
Richtlinie zu System-Härtungen erstellen - Ab Paket Standard
Ergebnisse messen (Im Rahmen eines ISMS)****. - Ab Paket Standard
Mitarbeit bei der Härtungsumsetzung Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Nach Aufwand/gesonderter Auftrag Ab Paket Standard
Mindestvertragslaufzeit 6 Monate 6 Monate 12 Monate 12 Monate

*     Erstellung von eigener Dokumentation, Besprechung der Prozesse. Initiales Aufsetzen der Software auf Seiten von Gray-Hat IT-Security Consulting Stephan H. Wenderlich, inkl. Anlegung der Assets aus dem Inventar. Gemeinsame Einrichtung des VPN-Zugangs (z.B. via WireGuard oder IPSec). Kick-Off. Die technische Einrichtung von Zugängen auf Auftraggeber-Seite ist nicht inkludiert. Es wird ein vollständiges Asset-Inventar vorausgesetzt.
**   Soweit technisch unterstützt. Meine Anwendungen aktualisieren sich täglich.
*** Nicht genutzte Stunden/Personentage verfallen am Ende des Monats.

**** Das Asset-Inventar muss vollständig sein und alle Assets müssen in festen Intervallen überprüft werden. Idealerweise sollte auch das Monitoring involviert sein.

Kontaktieren Sie mich
Share by: