ACSC führt Essential Eight Zero-Level-Cyber-Reife ein und richtet die Levels an Tradecraft aus

Bild: Getty Images

Das Australian Cyber ​​Security Centre (ACSC) hat seinen Essential Eight-Implementierungsleitfaden aktualisiert, der nun alle Essential Eight-Strategien als wesentlich betrachtet.

„Das Essential Eight Maturity Model priorisiert nun die Implementierung aller acht Minderungsstrategien als Paket aufgrund ihres komplementären Charakters und Fokus auf verschiedene Cyber-Bedrohungen“, sagte der ACSC.

„Organisationen sollten einen Reifegrad in allen acht Minderungsstrategien vollständig erreichen, bevor sie einen höheren Reifegrad erreichen.“

Der ACSC gibt nun an, dass sich das Reifegradmodell auf „Windows-basierte mit dem Internet verbundene Netzwerke“ konzentriert, und obwohl es auf andere Umgebungen angewendet werden könnte, könnten andere „Minderungsstrategien angemessener“ sein.

Im Vergleich zu seiner letzten Version fügt das Reifegradmodell einen neuen Reifegrad Null hinzu, der als Umgebungen mit Schwächen definiert ist, die Warenangriffe in Level eins nicht verhindern können, und die Levels sind auf das Cyber-Handelshandwerk und die verwendeten Taktiken ausgerichtet.

„Abhängig von den Gesamtfähigkeiten eines Gegners können sie unterschiedliche Handelsfertigkeiten für verschiedene Operationen gegen unterschiedliche Ziele aufweisen. Beispielsweise kann ein Gegner, der fortgeschrittene Handelsfertigkeiten beherrscht, diese gegen ein Ziel einsetzen, während er grundlegende Handelsfertigkeiten gegen ein anderes einsetzt“, heißt es in dem Leitfaden.

„Als solche sollten Organisationen überlegen, welches Maß an Handelsfertigkeit und Zielausrichtung sie anstreben, anstatt welche Gegner zu entschärfen.“

Zu den Angriffen auf Reifegrad eins gehören solche, die öffentlich verfügbare Angriffe in einer Spray-and-Pray-Manier verwenden, um jedes mögliche Opfer zu gewinnen, während Angriffe auf Reifegrad zwei mehr Zeit in ein Ziel und Werkzeuge investieren.

„Diese Gegner werden wahrscheinlich bekannte Handwerkskunst einsetzen, um besser zu versuchen, die von einem Ziel implementierten Sicherheitskontrollen zu umgehen und der Entdeckung zu entgehen“, sagt der Leitfaden.

„Dazu gehört das aktive Angreifen von Anmeldeinformationen mithilfe von Phishing und der Einsatz von technischen und Social-Engineering-Techniken, um eine schwache Multi-Faktor-Authentifizierung zu umgehen.“

Auf der höchsten Stufe, Reifegrad drei, sind die Angriffe nicht so sehr auf öffentliche Exploits angewiesen, bewegen sich lateral durch Netzwerke, sobald der Zugriff erlangt wurde, und können Aufgaben wie den Diebstahl von Authentifizierungstoken übernehmen. Der Leitfaden warnt davor, dass selbst der beste Cyberschutz möglicherweise nicht ausreicht.

„Reifegrad drei wird Gegner nicht aufhalten, die bereit und in der Lage sind, genügend Zeit, Geld und Mühe zu investieren, um ein Ziel zu kompromittieren“, heißt es.

„Als solche müssen Organisationen noch die übrigen Minderungsstrategien aus den Strategies to Mitigate Cyber ​​Security Incidents und dem Information Security Manual der australischen Regierung berücksichtigen.“

Graben in den Ebenen

Während der Leitfaden die gleichen Gesamtüberschriften wie seine vorherige Iteration hat, haben sich viele Details geändert und sind präziser geworden, während auch verschiedene Zeitrahmenempfehlungen reduziert wurden.

Besonders hervorzuheben für Stufe drei ist die ständige Empfehlung einer zentralisierten Protokollierung über alle Systeme hinweg, um sicherzustellen, dass Protokolle nicht geändert werden können und dass sie im Falle eines Cyber-Vorfalls verwendet werden.

Unter Anwendungskontrolle verlangt Reifegrad eins, dass die „Ausführung von ausführbaren Dateien, Softwarebibliotheken, Skripten, Installern, kompiliertem HTML, HTML-Anwendungen und Applets der Systemsteuerung“ auf Arbeitsstationen innerhalb von Benutzerprofilen und temporären Ordnern verhindert wird. Auf der nächsten Ebene wird dies auf mit dem Internet verbundene Server ausgeweitet und die ausführbaren Dateien auf die weiße Liste gesetzt. Auf Stufe drei umfassen die Einschränkungen alle Server sowie das Whitelisting von Treibern, die Verwendung der Sperrregeln von Microsoft und die Validierung der Whitelist.

Für das Patchen von Anwendungen verkürzen die Empfehlungen der Stufe eins das Patchen von Apps auf mit dem Internet verbundenen Servern jetzt auf zwei Wochen oder 48 Stunden, wenn ein Exploit vorhanden ist – für Workstation-Software beträgt die Frist einen Monat. Das ACSC empfiehlt außerdem die tägliche Verwendung von Schwachstellen-Scannern auf mit dem Internet verbundenen Servern und ansonsten alle zwei Wochen.

„Internetseitige Dienste, Office-Produktivitätssuiten, Webbrowser und deren Erweiterungen, E-Mail-Clients, PDF-Software, Adobe Flash Player und Sicherheitsprodukte, die von den Anbietern nicht mehr unterstützt werden, werden entfernt“, heißt es in der Empfehlung der ersten Stufe.

Auf Stufe zwei sinkt die Frist für das Patchen der Workstation-App auf zwei Wochen, während alle anderen Updates eine Frist von einem Monat haben. Auch auf Stufe zwei sollte das Scannen auf Schwachstellen mindestens wöchentlich auf Arbeitsstationen und vierzehntägig für alle anderen Teile des Netzwerks erfolgen. Auf der höchsten Ebene wird jede nicht unterstützte Anwendung entfernt und das Patchen von Workstations wird auf 48 Stunden verkürzt, wenn ein Exploit vorhanden ist.

Siehe auch: Die Geschichte der geflügelten Ninja-Cyberaffen ist absolut falsch: Ehemaliger NCSC-Chef

Das Patchen für Betriebssysteme hat die gleichen Zeitpläne und Empfehlungen wie das Scannen auf Schwachstellen, wobei auf Ebene drei enthalten ist, dass nur die neueste oder unmittelbar vorherige Version eines unterstützten Betriebssystems verwendet wird.

Der ACSC hat außerdem empfohlen, Makros für Benutzer ohne Business Case zu deaktivieren, Makros in heruntergeladenen Dateien zu blockieren, Antivirus-Lösungen Makros zu scannen und die Makrosicherheit nicht von Benutzern ändern zu lassen. Stufe zwei sieht Makros, die von Win32-API-Aufrufen blockiert werden, und versuchte Marco-Ausführungen werden protokolliert. Für Ebene drei müssen Makros in einer Sandbox oder an einem vertrauenswürdigen Ort ausgeführt und von vertrauenswürdigen Herausgebern validiert und digital signiert werden, die eine Liste belegen, die mindestens jährlich überprüft wird.

Unter Anwendungshärtung sowie den Empfehlungen von 2017 zum Blockieren von Werbung und Java in Browsern fügt der ACSC hinzu, dass Benutzer keine Sicherheitseinstellungen ändern und IE 11 keine Inhalte aus dem Netz verarbeiten kann. Stufe zwei sieht vor, dass Office- und PDF-Software daran gehindert werden, untergeordnete Prozesse zu erstellen, während sie auch daran gehindert werden, ausführbare Dateien zu erstellen, Code in andere Prozesse einzufügen oder OLE-Pakete zu aktivieren. Alle blockierten PowerShell-Skriptausführungen müssen protokolliert werden, und die Sicherheitseinstellungen der Office- und PDF-Software können nicht geändert werden.

Internet Explorer 11, NET Framework 3.5 und niedriger und PowerShell 2.0 werden auf Stufe drei deaktiviert oder entfernt. PowerShell könnte auch so konfiguriert werden, dass es den eingeschränkten Sprachmodus verwendet, erklärt ACSC.

Siehe auch: Australiens Gewirr von Gesetzen zur elektronischen Überwachung muss entwirrt werden

In Bezug auf die Einschränkung von Administratorrechten sagt der Leitfaden jetzt, dass privilegierte Konten, mit Ausnahme von privilegierten Dienstkonten, am Zugriff auf das Internet gehindert und nur in einer privilegierten Umgebung ausgeführt werden sollten, die keine unprivilegierte Anmeldung zulässt. Auf Ebene zwei wird der Zugriff auf privilegierte Systeme nach einem Jahr deaktiviert, sofern er nicht erneut autorisiert wird, und nach 45 Tagen Inaktivität entfernt. Der ACSC fügte hinzu, dass privilegierte Umgebungen nicht auf unprivilegierten Systemen visualisiert werden können, Administratoraktivitäten Sprungserver verwenden sollten, die Verwendung und Änderungen an privilegierten Konten protokolliert werden sollten und Anmeldeinformationen eindeutig und verwaltet werden sollten.

Auf Stufe drei wird die Ausnahme für privilegierte Dienstkonten entfernt, Just-in-Time-Verwaltung wird verwendet, der Zugriff auf Berechtigungen ist auf das beschränkt, was Benutzer benötigen, und Windows Defender Credential Guard und Windows Defender Remote Credential Guard werden verwendet.

Multi-Faktor-Authentifizierung (MFA) wird für Dienste von Drittanbietern empfohlen, die die Daten einer Organisation verwenden, und auf den mit dem Internet verbundenen Servern einer Entität. Dies erhöht sich auf die Empfehlung von MFA für privilegierte Benutzer und die Protokollierung aller MFA-Interaktionen auf Ebene zwei; für Stufe drei wird es erweitert, um „wichtige Datenspeicher“ einzuschließen und sicherzustellen, dass MFA „verifier impersonation resistent“ ist.

In Bezug auf Backups wird die frühere monatliche Empfehlung zugunsten einer „koordinierten und belastbaren Art und Weise in Übereinstimmung mit den Anforderungen der Geschäftskontinuität“ fallen gelassen, und Zeitrahmen für das Testen der Wiederherstellung aus Backups und das Aufbewahren von Backup-Daten werden gestrichen. Als Empfehlung wurde hinzugefügt, sicherzustellen, dass nicht privilegierte Benutzer nur Lesezugriff auf ihre eigenen Backups haben. Auf Ebene zwei wird der Nur-Lese-Zugriff auf privilegierte Benutzer ausgedehnt, und auf Ebene drei können nur Backup-Administratoren Backups lesen, und nur “Backup-Break-Glass-Konten” sind in der Lage, Backups zu ändern oder zu löschen.

Verwandte Berichterstattung

  • Die australische Regierung versucht, Essential Eight zu einem wesentlichen Bestandteil zu machen
  • Tech-Giganten sagen, dass staatliche Cyber-Unterstützung einfach mehr Probleme verursachen würde
  • Das ACSC-Scannen ermöglicht Commonwealth-Einheiten, nicht gehackt zu werden
  • Australischer Telekommunikationssektor, der einem vorgeschriebenen Sicherheitsstandard auf den Grund geht
  • Services Australia hat dem ACSC in den Jahren 2019-20 20 Sicherheitsvorfälle gemeldet

Leave a Comment