Welche Anbieter, Geräte und Programme gelten als sicher?

Guten Morgen Mike,

grundsätzlich ist es doch immer eine Glaubensfrage, selbst wenn du ein Haus baust und einen Baudienstleister erfragst findest du mit einer gewissen Sicherheit immer einen, bei dem was schief lief. Das muss nichtmal am Baudienstleister liegen, sondern kann bspw auch an schlechter Kommunikation, zeitlichen Interferenzen, oder nicht geäußerter Vorstellungen (oder, man wusste selbst noch nicht, was man wollte) liegen.

Grundsätzlich ist es bei IT-Sicherheitsfragen noch komplexer, da man diese auch korrekt einrichten muss, wobei korrekt nicht immer dem Statement des Anbieters entsprechen muss und zu dem natürlich auch dem Betriebszweck.

Daher wirst du aus oben genanntem Statement (Sicherheitslücke vs Sicherheitslücke sehe ich keinen Unterschied zwischen Windows und Linux als Grundsystem - an beidem arbeiten Menschen und an beidem arbeiten Entwickler von Microsoft) keinen sinnvollen Schluss ziehen können. Das Open an der Source hat sich durch Dinge wie Heartbleed als Trugschluss und ggf. sogar Fanal entwickelt, das macht Windows nicht besser, aber lässt es auch relativ gesehen nicht schlechter dastehen.

Wichtiger ist die Kombination aus eigenem (auch: eingekauften) Wissen und der passenden Software. Ich habe bereits einige Kunden in div. Konstellationen gesehen, in denen klar ersichtlich war, dass diese nur verkaufen, aber nichts korrekt einrichten konnten. Das Faktum war dann eine Firewall mit einem Any-Any nach aussen. Da kannst du eine dreifache Firewallkaskade aufbauen, es hilft nichts. Ebenfalls hatte ich schon Kunden (Systemhäuser) bedient, die sich zwar sicher waren, was diese dem Kunden verkaufen wollten, aber gefühlt noch nie mehr als das Loginpanel bedient haben.

Um hiermit abzuschließen, wenn du die Ansammlung der Vorfälle suchst, findest du sicher eine ganze Menge, bringt dir aber nichts, weil IT-Sec immer Anbieter + Einrichtung ist. Natürlich gibt es auch schlechte Anbieter von Security-Lösungen, aber ich denke, die sortierst du schon aus.

Unser Ansatz bei der Bewertung ist daher: Anzahl der kritischen Bugs, Allgemeingültigkeit (siehe Heartbleed, darauf saß dann jede Linuxfirewall auf) und Geschwindigkeit der Behebung in Relation zum Markt.

Viele Grüße,

Christian
certifiedit.net

Moin,

Jeder und keiner.

Sicherheit erhält man nicht indem man sich einfach eine Box kauft und hinstellt. Genauso könntest Du fragen, welche Haustür ist sicher.

Sicherheit ist ein Prozeß, in dem die möglichen Risiken, Angriffe, Verluste und Gegenmaßnahmen gegeneinander abgewogen werden müssen und dann ein Kompromiss gefunden werden muß, das die Verluste minimiert.

Es ist nicht sinnvoll eine Hochsicherheitstür an eine Holzbaracke zu schrauben, genauso wie eine Saloonschwenktür am Safe sinnvoll ist.

Also: Definiere gegen was Du Dich absichern willst, welche Werte abgesichert werden sollen und dann kann man über die Werkzeuge reden, die dafür geeignet sind


lks

Hallo,

Überlick kann man sich zum Beispiel hier beschaffen:

https://www.cvedetails.com/
https://www.flexera.de/
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomwa ...
https://cve.mitre.org/cve/search_cve_list.html

brammer

• Greift ihr von "außerhalb" zu oder von innen?
• VPN oder "direkt aus Internet"?
• steht der Exhange in eurer DMZ oder beim Hoster?

usw.

ImeEndeffekt will ejder von euch einfach eine Box hinstellen, ohne daß klar ist, was genau erreicht werden soll und wogegen Ihr euch schützen wollt.



Dafür gibt es die crontab.


Sicherheit ist immer esoterisch.

Fragt euch, was kann ein Angreifer anstellen, wenn Ihr die Kiste nicht davor habt. Müßt Ihr euch gegen eigenen Mitarbeiter schützen oder nur gegen externe? Was kostet es Euch, wenn jand den Exchange übernimmt?

ggf. kann ein hosted-Exchange "billiger" sein, wenn der Hoster für die Sicherheit sorgt.

Im Endeffekt gelten nur 2 Regeln:

1. Boss hat immer recht.
2. Fall Boss mal falsch liegt, gilt automatisch Regel 1.

lks

Hallo

@NordicMike

schau mal hier

https://www.flexera.com/products/operations/software-vulnerability-resea ...

brammer

Mail mit Emotet und fertig
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...

Dagegen hift weder WAF ode midSecurity. Das sin "nut" http-reverse proxies.

Da braucht mur einer likal in Outliok seine Mails abzurufen. und schon "is es put."

lks

@boss: Preis < oder > Aufwand bei Eintritt * Eintrittswahrscheinlichkeit.

Thyssen (glaub ich) macht gerade drei Fertigungen in den USA für gut einen Monat dicht und verliert damit jede Woche 2-5 Millionen. Preis für ordentliche IT-Sicherheit? - Selbst bei einer Mio an Aufwand: Günstig. (Das sind nur die bezifferbaren kosten durch den Ausfall, den Wiederaufbau der Infrastruktur dürfte ungeplant auch nochmals einiges kosten.).

Die Sophos aber nur per Exchange zu Verargumentieren ist aber etwas ehrabschneidend. ;)

und @lks: Hosted Exchange kann, wenn der Anbieter nicht oder nur scheinbar auf die Sicherheit schaut auch wesentlich teurer sein...und wenn man dann raus will...

Nicht Thyssen... es war Rheinmetall...
https://www.heise.de/newsticker/meldung/Malware-legt-Rheinmetall-Produkt ...

brammer

Der eine macht Rohre, der andere macht Rohre. Wat solls. Fakt: Große Firma, die eigentlich mit Sicherheit umgehen sollte, weil Sie selber an Angriff & Verteidigung basteln...

Hallo,

Aussagen wie "Sophos WAF ist sicherer" können doch auch kaum jemanden überzeugen, oder? Jedenfalls nicht für sich genommen. Dazu müsste man die relevanten Aspekte ausführen, etwa dass Sophos WAF auf modSecurity basiert, aber laut Sophos irgendwie "gehärtet" sein soll, was auch immer das bedeutet. Außerdem ist die Administrierbarkeit vielleicht besser bei einer kommerziell gepflegten Lösung mit GUI etc. Entscheidend bei einer WAF ist aber der Regelsatz. Gibt es da was von Sophos mit dazu? Wenn nicht, fährt man nicht besser mit freier Software und investiert in einen kommerziellen Rule-Feed? Aber sind die kommerziellen Feeds tatsächlich besser als die freien? Auch dazu findet man sicher Abdeckungsstatistiken.
So würde ungefähr eine qualifizierte Diskussion über die konzeptionelle Sicherheit bzw. den Nutzen der Produkte aussehen, und im Idealfall kommt das alles in deinen Evaluierungsbericht (in einem Umfeld, wo noch Zeit für sowas bleibt).

Wenn Du die Lösung dann gefunden hast, musst Du nochmals einen Schritt zurück gehen und eine sichere Implementierung planen. Sowohl mit Sophos als auch mit anderen Lösungen hast Du ja immer eine ganze Appliance, die unterschiedlichste Software vereint. Da kannst Du zu jeder enthaltenen Einzelkomponente in Vulnerability-Datenbanken recherchieren, um einen ersten Eindruck zu gewinnen. Eine Recherche nach "Sophos WAF" führt da eher nicht weiter. Auch OPN/pfSense sind ja Bündel von Software. Die Art der Vulnerabilies spielt natürlich auch eine Rolle.
Ein Kunde z.B. möchte von mir, dass auf jedem unserer Linux-Server Anti-Virus läuft, und schlägt ClamAV vor. Wird nicht passieren, der Grund ist u.a. die Vulnerability-Historie.

Nun ist schon so eine erste Recherche äußerst mühsam und vor allem lässt sie sich nicht über die ganze Betriebsdauer der zahlreichen Produkte im Unternehmen aufrecht erhalten. Deine Frage zielt daher im Ergebnis auf ein Vulnerability-Management ab, das man mit einer entsprechenden Scanning-Lösung automatisiert. D.h. du hast einen Scanner, der im Netzwerk Dienste und Software erfasst und mit einem Vulnerability-Feed abgleicht. Da gibt es Nessus, OpenVAS, Qualys und viele andere. Es stellen sich die gleichen Fragen wie oben: Welche Abdeckung habe ich mit den jeweiligen Feeds, also wie viel der Nessus-Vulnerability-Informationen bekomme ich z.B. mit OpenVAS für lau, womit kommen die Admins besser klar (d.h. beseitigen Schwachstellen in kürzerer Zeit) etc.

Grüße
Richard