Zielgruppe: Admins, CISOs Schwerpunkt: organisatorisch & technisch Sprache: Deutsch Abstract: ********** An Hand von typischen Audit-Findings diskutieren wir entlang der „Dreifaltigkeit“ People – Processes – Technology die wichtigsten Sicherheitsaspekte zum Thema Remote Access und Telearbeit. Nachdem wir im ersten Termin bereits die Bereiche People und Processes behandelt haben, werden wir in diesem Talk auf den Bereich Technoloy eingehen und auch einen kurzen Ausblick auf einige fortgeschrittenere Ideen wie Zero Trust Architekturen geben. About the Speaker: ********************* Philipp Reisinger is consultant in the Information Security Management team. He received his master’s degree in “Information Security” at the St. Pölten University of Applied Sciences and is CISSP and CISA certified. His consulting activities are focused on the organizational aspects of information security such as: Information security management systems (ISMS), ISO27001 gap and business impact analyses, IT/IS audit, Information risk management and Security Awareness Günther Roat is consultant and team lead of the Information Security Management team at SBA Research. He is a Microsoft Certified Technology Specialist and received his degree in Business Informatics at the University of Applied Sciences Technikum Vienna. His consulting activities are focused on the organizational aspects of information security.

1. Classification: Public 1
Willkommen
zur SBA Live Academy
#bleibdaheim # remotelearning
Heute: Remote Access – Top Security Challenges – Teil 2
by Günther Roat, Philipp Reisinger
This talk will be recorded as soon as the presentation starts!
Recording will end BEFORE the Q&A Session starts.
Please be sure to turn off your video in your control panel.

2. Classification: Public 2
Remote Access – Top Security
Challenges
Part II: Typische Auditfindings im Bereich Technology

3. Classification: Public 3
Remote Access Security
And why it should concern us…
SBA Research gGmbH, 2020
The dark web contains RDP shops, online platforms selling remote
desktop protocol (RDP) access to hacked machines, from which one can
buy logins to computer systems to potentially cripple cities and bring down
major companies.
While researching underground hacker marketplaces, the McAfee Advanced
Threat Research team has discovered that access linked to security and
building automation systems of a major international airport could be
bought for only US$10.
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

4. Classification: Public 4
People – Processes – Technology
Die drei Säulen der Informationssicherheit
SBA Research gGmbH, 2020
People
ProcessesTechnology

5. Classification: Public 5
Technology
Typische Auditfindings I
Erfahrungen hinsichtlich zwei Faktor Authentifizierung:
• Keine MFA
• Keine Schulung der MitarbeiterInnen hinsichtlich MFA Backup Varianten.
o Backup Codes, Master Secrets (seeds) am Handy oft nicht im Backup.
o Portale zum Zurücksetzen/Umstellen auf alternative Varianten.
• Not all MFA is equal*:
o OTP (Phishing Proxy zielt auf alle User ab) vs. SMS (SIM Swapping nimmt
einzelne in Fokus) vs. FIDO2 (beste Option, kein Phishing möglich**).
SBA Research gGmbH, 2020
*siehe 12 Ways to Hack MFA RSA 2019: https://published-prd.lanyonevents.com/published/rsaus19/sessionsFiles/12991/IDY-F02-12-Ways-to-Hack-2FA.pdf
**siehe Blackhat 2016: Breaking FIDO: Are Exploits in There?: https://www.youtube.com/watch?v=J53Ya7E5HGQ

6. Classification: Public 6
Technology
Typische Auditfindings II
Erfahrungen hinsichtlich Netzwerksicherheit:
• Schlecht(er)e Netzwerk Segmentierung bei Remote Access.
o VPN: alle Clients im gleichen Netzwerksegment oder weniger granulare
Einteilung nach Schutzbedarf im vgl. LAN.
o Benutzer am Terminalserver haben größtmögliche Netzwerk Zugriffs-
rechte weil unterschiedliche Rollen gleiche Konfiguration verwenden.
• Keine Sichtbarkeit & Schutz des Client Internetverkehrs.
o Split Tunneling vs. „Always on“ VPN.
o Filterung via Cloud Proxy, DNS Filterung oder lokal (e.g. Endpoint
Protection Agent).
SBA Research gGmbH, 2020

7. Classification: Public 7
Technology
Typische Auditfindings III
Erfahrungen hinsichtlich Netzwerksicherheit:
• Administrative Interfaces direkt aus dem Internet erreichbar.
o Alternative: VPN bzw. SSH Port Forwarding zur Administration
• Nutzung veralteter und unsicherer Protokolle (e.g. PPTP).
o Gute Lösungen: OpenVPN, WireGuard, IPSEC, proprietäre Lösung, ..
• Kein GeoIP Blocking am VPN Gateway.
• Keine Maßnahmen gegen DDoS Angriffe*:
o e.g. Volumetrisch, SSL Floods (Fokus auf SSL/TLS Ressourcen verbrauch),
UDP Floods, TCP Blend (low volume attack to exhaust firewall state tables)
• Einsatz von Modems (im Industrieumfeld).
SBA Research gGmbH, 2020
*siehe https://blog.radware.com/security/ddos/2020/03/how-to-protect-your-vpn-lessons-from-a-ddos-attack-test/
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/coronavirus-remote-access-threats/

8. Classification: Public 8
Technology
Typische Auditfindings IV
Mangelnde Sichtbarkeit in das Sicherheitsniveaus des Clients.
• Was will ich wissen bzw. was ist meine Minimum Security Baseline?
o Patch-Status, AV aktiv & aktuell, Zeit seit letztem AV Scan, Host Firewall
aktiv, keine kritischen Vulnerabilities etc.
o Fortgeschritten: Remote Health Attestation
• Gibt es private Geräte im Unternehmens VPN?
• Umgang mit Geräten von Wartungstechnikern und Dienstleistern?
SBA Research gGmbH, 2020

9. Classification: Public 9
Technology
Typische Auditfindings V
• Mangelhafte Prüfung der Serverauthentizität:
o RDP bspw. mit selbstsignierten Zertifikaten konfiguriert.
o MitarbeiterInnen werden zum „ok“ klicken trainiert (MITM Risiko).
• Keine mutual Authentication (Zertifikatprüfung) / kein MFA:
Alternative Möglichkeiten:
o Gerätezertifikate als zweiter Faktor akzeptabel*
-> Zertifikate idealerweise geschützt im TPM.
o RDP: MFA mittels RDP Gateway in DMZ + Radius
o Citrix Netscaler Gateway: Client Certificate Authentication
o Cisco ASA AnyConnect: Double Authentication with Certificate Validation
• Mangelhafte Verschlüsselung:
o SSL/TLS VPN Konfiguration unterstützt schwache Cipher Suites.
o RDP Security Layer „Negotiate“(Anfällig Protocol Downgrade Angriffe**).
SBA Research gGmbH, 2020
* Unterschiedliche Meinungen siehe: https://securitybytes.io/certificate-based-authentication-5390eb28871f
**Siehe: https://www.cyberpunk.rs/seth-rdp-mitm-attack-tool

10. Classification: Public 10
Technology
Typische Auditfindings VI
RDP direkt im Internet erreichbar & mangelndes RDP Hardening.
• Shodan Feb. 2019: ca. 2,5 Mio RDP Endpoints erreichbar.*
Beispiele für bessere Absicherung:
• Zugriff über RDP Gateway, VPN o.ä. zu bevorzugen (+ MFA).
• NLA (Network Level Authentication) → ideal über Kerberos.
• Security Layer: TLS1.0 & Encryption Level: min. High (128 Bit)
• RDP Zugriff nur für User/Admins mit Bedarf.
• RDP Gateway (HTTPS Tunnel): Connection Authorization Policy (CAP) & Resource
Authorization Policy (RAP) .
• Optional: Administration via Restricted Admin Mode für Support und Help Desk.
• Optional: Administration via Remote Credential Guard.
SBA Research gGmbH, 2020
* https://thebackroomtech.com/2019/03/11/defending-against-remote-desktop-protocol-attacks/

11. Classification: Public 11
Technology
Typische Auditfindings VII
Terminalserver/VDI mit unterschiedlicher Architektur:
• Geteilte VMs (viele User) vs. dedizierte VMs (spez. Benutzer).
• persistent vs. non-persistent.
Mangelndes Hardening gegen Application Jailbreaking*:
• Application White-/Blacklisting: Applocker o.ä. verwenden.
• Cmd Shell, Task Mgr, Explorer etc. oft bedacht, aber nicht z.B. Powershell ISE.
• Kiosk Mode entkommen mit div. Shortcuts od. Help Keys, oder IE „save as“.
• Keine Passwörter in Setup-Scripts des Golden Image.
SBA Research gGmbH, 2020
*siehe https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/system-hardening-for-xenapp-and-xendesktop.pdf

12. Classification: Public 12
Advanced Topics
SBA Research gGmbH, 2020

13. Classification: Public 13
“Advanced Topics”
Cloud Access Security Broker (CASB)
• Software oder Dienste, die sich zwischen der On-Premise-Infrastruktur einer
Organisation und dem Netzwerk eines Cloud-Anbieters befinden
• Primäre Einsatzzwecke:
o Sicherheitsrichtlinien in Cloud Diensten durchsetzen (DLP).
o Riskantes Nutzerverhalten oder Account Kompromittierung erkennen (UEBA).
o Shadow IT Discovery (Nutzung Cloud Apps).
• Durchsetzen von Richtlinien:
o Authentifizierung & Autorisierung
o Verschlüsselung & Tokenisierung
o Protokollierung & Alarmierung
o Malwareerkennung
SBA Research gGmbH, 2020

14. Classification: Public 14
“Advanced Topics”
Zero Trust Architekturen
• Zero Trust beschreibt ein Paradigma bei dem initial keinem User oder
Gerät vertraut wird bzw. keine impliziten Annahmen über Assets
getroffen werden.
• Die Identität des Benutzers, der Zustand des Geräts, Kontext der
Verbindung, verwendeten Anwendungen, die Sensibilität der ange-
forderten Daten (u.v.m.) werden mit einer Zugriffs-Policy abgeglichen.
SBA Research gGmbH, 2020
*siehe NIST SP 800-207 2nd Draft: https://csrc.nist.gov/publications/detail/sp/800-207/draft

15. Classification: Public 15
“Advanced Topics”
Zero Trust Architekturen
• Bekanntes Beispiel: Google Beyondcorp.
… began as an internal Google initiative to enable every employee to work
from untrusted networks without the use of a VPN. It is used by most
Googlers every day, to provide user- and device-based authentication and
authorization for Google's core infrastructure.
SBA Research gGmbH, 2020
siehe BeyondCorp - Design to Deployment at Google:
https://storage.googleapis.com/pub-tools-public-publication-data/pdf/44860.pdf

16. Classification: Public 16
“Advanced Topics”
A Short Outlook…
• Device Health Checks/Health Attestation
o Health Attestation: https://docs.microsoft.com/en-us/windows/security/threat-
protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices
o MS Conditional Access: https://docs.microsoft.com/en-us/azure/active-directory/conditional-
access/overview und https://docs.microsoft.com/en-us/windows/security/identity-
protection/vpn/vpn-conditional-access
• Missbrauch von Remote Admin Tools durch Angreifer
o siehe e.g. Mitre ATT&CK: https://attack.mitre.org/techniques/T1076/,
https://attack.mitre.org/techniques/T1219/ und https://attack.mitre.org/techniques/T1028/
• Privileged Access Management und Jump Hosts zur Administration (nach
Verbindungsaufbau mit VPN, für Interne & insb. Externe)
SBA Research gGmbH, 2020

17. Classification: Public 17
Unsere 3 Key Take-Aways
1. Basisabsicherung umsetzen.
2. Sichtbarkeit am Remote Client erhöhen.
3. Mittelfristig kontextbasierte Zugriffsregelungen
konzeptionieren.
SBA Research gGmbH, 2020

18. Classification: Public 18
Professional Services
Penetration Testing
Architecture Reviews
Security Audit
Security Trainings
Incident Response Readiness
ISMS & ISO 27001 Consulting
Forschung & Beratung unter einem Dach
Applied Research
Industrial Security | IIoT Security |
Mathematics for Security Research |
Machine Learning | Blockchain | Network
Security | Sustainable Software Systems |
Usable Security
SBA Research
Wissenstransfer
SBA Live Academy | sec4dev | Trainings |
Events | Lehre | sbaPRIME
Kontaktieren Sie uns: anfragen@sba-research.org
SBA Research gGmbH, 2020

19. Classification: Public 19
#bleibdaheim #remotelearning
Coming up @ SBA Live Academy
8 April, 13.00 Uhr, live:
„Cloud Security Zertifizierungen
und Gütesiegel “
by „Günther Roat“
Treten Sie unserer MeetUp Gruppe bei!
https://www.meetup.com/Security-Meetup-by-SBA-
Research/
SBA Research gGmbH, 2020

20. Classification: Public 20
Günther Roat
SBA Research gGmbH
Floragasse 7, 1040 Vienna
groat@sba-research.org
SBA Research gGmbH, 2020
Philipp Reisinger
SBA Research gGmbH
Floragasse 7, 1040 Vienna
preisinger@sba-research.org