Welche Anbieter, Geräte und Programme gelten als sicher?
Moin zusammen,
wenn man sich die vielen Sicherheitslösungungen ansieht, erkenn man nicht, auf was man sich einlassen würde. Man muss ihnen „vertrauen“.
Firmen, wie Hornet Security, selbst Spacenet wirbt mit Sicherheit, Aplliances und Linux haben auch nicht wenige Sicherheitslücken, Windows ist sogar eine einzige Sicherheitslücke, angeblich immer besser. Pfsense, Opnsense, ich weiß nicht einmal wo ich suchen müsste...
Wenn man sich dann im Netz nach einer bestimmten Lösung umhört, sind deren Antworten schon mehr eine Glaubensfrage.
Ein Firewall Projekt warb mal: Mit xxxxx Installationen bis heute ungeknackt. Das war der einzige Satz mit einer konkreten Information, wenn man ihr glauben darf, zumindest findet man auch da kein Veto.
Gibt es so eine Art Ansammlung von Vorfällen, wo mal was passiert ist? Wo recherchiert ihr nach solchen Themen?
Danke Euch in Voraus and keep rockin
Der Mike
wenn man sich die vielen Sicherheitslösungungen ansieht, erkenn man nicht, auf was man sich einlassen würde. Man muss ihnen „vertrauen“.
Firmen, wie Hornet Security, selbst Spacenet wirbt mit Sicherheit, Aplliances und Linux haben auch nicht wenige Sicherheitslücken, Windows ist sogar eine einzige Sicherheitslücke, angeblich immer besser. Pfsense, Opnsense, ich weiß nicht einmal wo ich suchen müsste...
Wenn man sich dann im Netz nach einer bestimmten Lösung umhört, sind deren Antworten schon mehr eine Glaubensfrage.
Ein Firewall Projekt warb mal: Mit xxxxx Installationen bis heute ungeknackt. Das war der einzige Satz mit einer konkreten Information, wenn man ihr glauben darf, zumindest findet man auch da kein Veto.
Gibt es so eine Art Ansammlung von Vorfällen, wo mal was passiert ist? Wo recherchiert ihr nach solchen Themen?
Danke Euch in Voraus and keep rockin
Der Mike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504813
Url: https://administrator.de/contentid/504813
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
100 % Sicherheit gibt es nicht.
Es gibt mehrere Hersteller die mit Slogans "wir wurde novh nie gehackt" werben... Naja, entweder wissen sie es nicht oder die sind so selten das es noch keiner versucht hat.
Wenn dir Sicherheit wichtig ist dann wirst du um ein mehrstufiges Security Konzept nicht herum kommen.
Quellen zu Sicherheitsproblemen gibt es tausende ... aber wie Seriös die nun wieder sind...
Mann kann z.B. über Flexera all möglichen Sicherheitsmeldungen beobachten...
brammer
100 % Sicherheit gibt es nicht.
Es gibt mehrere Hersteller die mit Slogans "wir wurde novh nie gehackt" werben... Naja, entweder wissen sie es nicht oder die sind so selten das es noch keiner versucht hat.
Wenn dir Sicherheit wichtig ist dann wirst du um ein mehrstufiges Security Konzept nicht herum kommen.
Quellen zu Sicherheitsproblemen gibt es tausende ... aber wie Seriös die nun wieder sind...
Mann kann z.B. über Flexera all möglichen Sicherheitsmeldungen beobachten...
brammer
Guten Morgen Mike,
grundsätzlich ist es doch immer eine Glaubensfrage, selbst wenn du ein Haus baust und einen Baudienstleister erfragst findest du mit einer gewissen Sicherheit immer einen, bei dem was schief lief. Das muss nichtmal am Baudienstleister liegen, sondern kann bspw auch an schlechter Kommunikation, zeitlichen Interferenzen, oder nicht geäußerter Vorstellungen (oder, man wusste selbst noch nicht, was man wollte) liegen.
Grundsätzlich ist es bei IT-Sicherheitsfragen noch komplexer, da man diese auch korrekt einrichten muss, wobei korrekt nicht immer dem Statement des Anbieters entsprechen muss und zu dem natürlich auch dem Betriebszweck.
Daher wirst du aus oben genanntem Statement (Sicherheitslücke vs Sicherheitslücke sehe ich keinen Unterschied zwischen Windows und Linux als Grundsystem - an beidem arbeiten Menschen und an beidem arbeiten Entwickler von Microsoft) keinen sinnvollen Schluss ziehen können. Das Open an der Source hat sich durch Dinge wie Heartbleed als Trugschluss und ggf. sogar Fanal entwickelt, das macht Windows nicht besser, aber lässt es auch relativ gesehen nicht schlechter dastehen.
Wichtiger ist die Kombination aus eigenem (auch: eingekauften) Wissen und der passenden Software. Ich habe bereits einige Kunden in div. Konstellationen gesehen, in denen klar ersichtlich war, dass diese nur verkaufen, aber nichts korrekt einrichten konnten. Das Faktum war dann eine Firewall mit einem Any-Any nach aussen. Da kannst du eine dreifache Firewallkaskade aufbauen, es hilft nichts. Ebenfalls hatte ich schon Kunden (Systemhäuser) bedient, die sich zwar sicher waren, was diese dem Kunden verkaufen wollten, aber gefühlt noch nie mehr als das Loginpanel bedient haben.
Um hiermit abzuschließen, wenn du die Ansammlung der Vorfälle suchst, findest du sicher eine ganze Menge, bringt dir aber nichts, weil IT-Sec immer Anbieter + Einrichtung ist. Natürlich gibt es auch schlechte Anbieter von Security-Lösungen, aber ich denke, die sortierst du schon aus.
Unser Ansatz bei der Bewertung ist daher: Anzahl der kritischen Bugs, Allgemeingültigkeit (siehe Heartbleed, darauf saß dann jede Linuxfirewall auf) und Geschwindigkeit der Behebung in Relation zum Markt.
Viele Grüße,
Christian
certifiedit.net
grundsätzlich ist es doch immer eine Glaubensfrage, selbst wenn du ein Haus baust und einen Baudienstleister erfragst findest du mit einer gewissen Sicherheit immer einen, bei dem was schief lief. Das muss nichtmal am Baudienstleister liegen, sondern kann bspw auch an schlechter Kommunikation, zeitlichen Interferenzen, oder nicht geäußerter Vorstellungen (oder, man wusste selbst noch nicht, was man wollte) liegen.
Grundsätzlich ist es bei IT-Sicherheitsfragen noch komplexer, da man diese auch korrekt einrichten muss, wobei korrekt nicht immer dem Statement des Anbieters entsprechen muss und zu dem natürlich auch dem Betriebszweck.
Daher wirst du aus oben genanntem Statement (Sicherheitslücke vs Sicherheitslücke sehe ich keinen Unterschied zwischen Windows und Linux als Grundsystem - an beidem arbeiten Menschen und an beidem arbeiten Entwickler von Microsoft) keinen sinnvollen Schluss ziehen können. Das Open an der Source hat sich durch Dinge wie Heartbleed als Trugschluss und ggf. sogar Fanal entwickelt, das macht Windows nicht besser, aber lässt es auch relativ gesehen nicht schlechter dastehen.
Wichtiger ist die Kombination aus eigenem (auch: eingekauften) Wissen und der passenden Software. Ich habe bereits einige Kunden in div. Konstellationen gesehen, in denen klar ersichtlich war, dass diese nur verkaufen, aber nichts korrekt einrichten konnten. Das Faktum war dann eine Firewall mit einem Any-Any nach aussen. Da kannst du eine dreifache Firewallkaskade aufbauen, es hilft nichts. Ebenfalls hatte ich schon Kunden (Systemhäuser) bedient, die sich zwar sicher waren, was diese dem Kunden verkaufen wollten, aber gefühlt noch nie mehr als das Loginpanel bedient haben.
Um hiermit abzuschließen, wenn du die Ansammlung der Vorfälle suchst, findest du sicher eine ganze Menge, bringt dir aber nichts, weil IT-Sec immer Anbieter + Einrichtung ist. Natürlich gibt es auch schlechte Anbieter von Security-Lösungen, aber ich denke, die sortierst du schon aus.
Unser Ansatz bei der Bewertung ist daher: Anzahl der kritischen Bugs, Allgemeingültigkeit (siehe Heartbleed, darauf saß dann jede Linuxfirewall auf) und Geschwindigkeit der Behebung in Relation zum Markt.
Viele Grüße,
Christian
certifiedit.net
Moin,
Jeder und keiner.
Sicherheit erhält man nicht indem man sich einfach eine Box kauft und hinstellt. Genauso könntest Du fragen, welche Haustür ist sicher.
Sicherheit ist ein Prozeß, in dem die möglichen Risiken, Angriffe, Verluste und Gegenmaßnahmen gegeneinander abgewogen werden müssen und dann ein Kompromiss gefunden werden muß, das die Verluste minimiert.
Es ist nicht sinnvoll eine Hochsicherheitstür an eine Holzbaracke zu schrauben, genauso wie eine Saloonschwenktür am Safe sinnvoll ist.
Also: Definiere gegen was Du Dich absichern willst, welche Werte abgesichert werden sollen und dann kann man über die Werkzeuge reden, die dafür geeignet sind
lks
Jeder und keiner.
Sicherheit erhält man nicht indem man sich einfach eine Box kauft und hinstellt. Genauso könntest Du fragen, welche Haustür ist sicher.
Sicherheit ist ein Prozeß, in dem die möglichen Risiken, Angriffe, Verluste und Gegenmaßnahmen gegeneinander abgewogen werden müssen und dann ein Kompromiss gefunden werden muß, das die Verluste minimiert.
Es ist nicht sinnvoll eine Hochsicherheitstür an eine Holzbaracke zu schrauben, genauso wie eine Saloonschwenktür am Safe sinnvoll ist.
Also: Definiere gegen was Du Dich absichern willst, welche Werte abgesichert werden sollen und dann kann man über die Werkzeuge reden, die dafür geeignet sind
lks
Hallo,
Überlick kann man sich zum Beispiel hier beschaffen:
https://www.cvedetails.com/
https://www.flexera.de/
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomwa ...
https://cve.mitre.org/cve/search_cve_list.html
brammer
Überlick kann man sich zum Beispiel hier beschaffen:
https://www.cvedetails.com/
https://www.flexera.de/
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomwa ...
https://cve.mitre.org/cve/search_cve_list.html
brammer
Zitat von @NordicMike:
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer. Boss: Dafür jährlich 1500 Euro auszugeben steht in keiner Relation zur Wahrscheinlichkeit, dass etwas passiert. Es wird um 50 Clients gehen.
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer. Boss: Dafür jährlich 1500 Euro auszugeben steht in keiner Relation zur Wahrscheinlichkeit, dass etwas passiert. Es wird um 50 Clients gehen.
- Greift ihr von "außerhalb" zu oder von innen?
- VPN oder "direkt aus Internet"?
- steht der Exhange in eurer DMZ oder beim Hoster?
ImeEndeffekt will ejder von euch einfach eine Box hinstellen, ohne daß klar ist, was genau erreicht werden soll und wogegen Ihr euch schützen wollt.
Das ist natürlich eine Abwägungssache. Ich weiß auch, dass mit modSecurity niemand diese Funktion die nächsten 10 Jahre pflegen wird, außer mal mit einem apt-get upgrade.
Dafür gibt es die crontab.
Ich kann aber auch nicht argumentieren, dass das Risiko mit dem oder anderem Produkt höher oder niedriger ist, was wieder auf eine Glaubenssache hinaus läuft. Sehr esoterisch das ganze Thema
Sicherheit ist immer esoterisch.
Fragt euch, was kann ein Angreifer anstellen, wenn Ihr die Kiste nicht davor habt. Müßt Ihr euch gegen eigenen Mitarbeiter schützen oder nur gegen externe? Was kostet es Euch, wenn jand den Exchange übernimmt?
ggf. kann ein hosted-Exchange "billiger" sein, wenn der Hoster für die Sicherheit sorgt.
Im Endeffekt gelten nur 2 Regeln:
1. Boss hat immer recht.
2. Fall Boss mal falsch liegt, gilt automatisch Regel 1.
lks
Hallo
@NordicMike
schau mal hier
https://www.flexera.com/products/operations/software-vulnerability-resea ...
brammer
@NordicMike
schau mal hier
https://www.flexera.com/products/operations/software-vulnerability-resea ...
brammer
Mail mit Emotet und fertig
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
Zitat von @StefanKittel:
Mail mit Emotet und fertig
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
Mail mit Emotet und fertig
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/A ...
Dagegen hift weder WAF ode midSecurity. Das sin "nut" http-reverse proxies.
Da braucht mur einer likal in Outliok seine Mails abzurufen. und schon "is es put."
lks
Zitat von @NordicMike:
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer. Boss: Dafür jährlich 1500 Euro auszugeben steht in keiner Relation zur Wahrscheinlichkeit, dass etwas passiert. Es wird um 50 Clients gehen.
Das ist natürlich eine Abwägungssache. Ich weiß auch, dass mit modSecurity niemand diese Funktion die nächsten 10 Jahre pflegen wird, außer mal mit einem apt-get upgrade. Ich kann aber auch nicht argumentieren, dass das Risiko mit dem oder anderem Produkt höher oder niedriger ist, was wieder auf eine Glaubenssache hinaus läuft. Sehr esoterisch das ganze Thema
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer. Boss: Dafür jährlich 1500 Euro auszugeben steht in keiner Relation zur Wahrscheinlichkeit, dass etwas passiert. Es wird um 50 Clients gehen.
Das ist natürlich eine Abwägungssache. Ich weiß auch, dass mit modSecurity niemand diese Funktion die nächsten 10 Jahre pflegen wird, außer mal mit einem apt-get upgrade. Ich kann aber auch nicht argumentieren, dass das Risiko mit dem oder anderem Produkt höher oder niedriger ist, was wieder auf eine Glaubenssache hinaus läuft. Sehr esoterisch das ganze Thema
@boss: Preis < oder > Aufwand bei Eintritt * Eintrittswahrscheinlichkeit.
Thyssen (glaub ich) macht gerade drei Fertigungen in den USA für gut einen Monat dicht und verliert damit jede Woche 2-5 Millionen. Preis für ordentliche IT-Sicherheit? - Selbst bei einer Mio an Aufwand: Günstig. (Das sind nur die bezifferbaren kosten durch den Ausfall, den Wiederaufbau der Infrastruktur dürfte ungeplant auch nochmals einiges kosten.).
Die Sophos aber nur per Exchange zu Verargumentieren ist aber etwas ehrabschneidend. ;)
und @lks: Hosted Exchange kann, wenn der Anbieter nicht oder nur scheinbar auf die Sicherheit schaut auch wesentlich teurer sein...und wenn man dann raus will...
Zitat von @certifiedit.net:
Thyssen (glaub ich) macht gerade drei Fertigungen in den USA für gut einen Monat dicht und verliert damit jede Woche 2-5 Millionen. Preis für ordentliche IT-Sicherheit? - Selbst bei einer Mio an Aufwand: Günstig. (Das sind nur die bezifferbaren kosten durch den Ausfall, den Wiederaufbau der Infrastruktur dürfte ungeplant auch nochmals einiges kosten.).
Thyssen (glaub ich) macht gerade drei Fertigungen in den USA für gut einen Monat dicht und verliert damit jede Woche 2-5 Millionen. Preis für ordentliche IT-Sicherheit? - Selbst bei einer Mio an Aufwand: Günstig. (Das sind nur die bezifferbaren kosten durch den Ausfall, den Wiederaufbau der Infrastruktur dürfte ungeplant auch nochmals einiges kosten.).
Nicht Thyssen... es war Rheinmetall...
https://www.heise.de/newsticker/meldung/Malware-legt-Rheinmetall-Produkt ...
brammer
Zitat von @NordicMike:
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer.
@lks
Aktuell heißt die Definition:
Ich möchte meinem Boss vorschlagen eine zusätzliche Sicherheit vor dem (zum Test installierten) Exchange Server hinzubauen. Mein Boss: modSecurity, fertig. Ich: Sophos WAF ist sicherer.
Hallo,
Aussagen wie "Sophos WAF ist sicherer" können doch auch kaum jemanden überzeugen, oder? Jedenfalls nicht für sich genommen. Dazu müsste man die relevanten Aspekte ausführen, etwa dass Sophos WAF auf modSecurity basiert, aber laut Sophos irgendwie "gehärtet" sein soll, was auch immer das bedeutet. Außerdem ist die Administrierbarkeit vielleicht besser bei einer kommerziell gepflegten Lösung mit GUI etc. Entscheidend bei einer WAF ist aber der Regelsatz. Gibt es da was von Sophos mit dazu? Wenn nicht, fährt man nicht besser mit freier Software und investiert in einen kommerziellen Rule-Feed? Aber sind die kommerziellen Feeds tatsächlich besser als die freien? Auch dazu findet man sicher Abdeckungsstatistiken.
So würde ungefähr eine qualifizierte Diskussion über die konzeptionelle Sicherheit bzw. den Nutzen der Produkte aussehen, und im Idealfall kommt das alles in deinen Evaluierungsbericht (in einem Umfeld, wo noch Zeit für sowas bleibt).
Wenn Du die Lösung dann gefunden hast, musst Du nochmals einen Schritt zurück gehen und eine sichere Implementierung planen. Sowohl mit Sophos als auch mit anderen Lösungen hast Du ja immer eine ganze Appliance, die unterschiedlichste Software vereint. Da kannst Du zu jeder enthaltenen Einzelkomponente in Vulnerability-Datenbanken recherchieren, um einen ersten Eindruck zu gewinnen. Eine Recherche nach "Sophos WAF" führt da eher nicht weiter. Auch OPN/pfSense sind ja Bündel von Software. Die Art der Vulnerabilies spielt natürlich auch eine Rolle.
Ein Kunde z.B. möchte von mir, dass auf jedem unserer Linux-Server Anti-Virus läuft, und schlägt ClamAV vor. Wird nicht passieren, der Grund ist u.a. die Vulnerability-Historie.
Nun ist schon so eine erste Recherche äußerst mühsam und vor allem lässt sie sich nicht über die ganze Betriebsdauer der zahlreichen Produkte im Unternehmen aufrecht erhalten. Deine Frage zielt daher im Ergebnis auf ein Vulnerability-Management ab, das man mit einer entsprechenden Scanning-Lösung automatisiert. D.h. du hast einen Scanner, der im Netzwerk Dienste und Software erfasst und mit einem Vulnerability-Feed abgleicht. Da gibt es Nessus, OpenVAS, Qualys und viele andere. Es stellen sich die gleichen Fragen wie oben: Welche Abdeckung habe ich mit den jeweiligen Feeds, also wie viel der Nessus-Vulnerability-Informationen bekomme ich z.B. mit OpenVAS für lau, womit kommen die Admins besser klar (d.h. beseitigen Schwachstellen in kürzerer Zeit) etc.
Grüße
Richard