{"id":8367,"date":"2021-04-13T10:12:51","date_gmt":"2021-04-13T08:12:51","guid":{"rendered":"https:\/\/enginsight.com\/?p=8367"},"modified":"2023-04-18T13:22:04","modified_gmt":"2023-04-18T11:22:04","slug":"release-notes-3-0-0-13-04-2021","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/release-notes-3-0-0-13-04-2021\/","title":{"rendered":"Release Notes 3.0.0 \u2013 13.04.2021: Cyberattacken blockieren, Pentest Audit Reports uvw."},"content":{"rendered":"<p>Mit dem neuen Shield Modul entwickelt sich Enginsight vom<strong> integrierten und hostbasierten Intrusion Detection System (IDS)<\/strong> zum <strong><a href=\"https:\/\/enginsight.com\/de\/ids-ips\/\">Intrusion Prevention System (IPS)<\/a><\/strong> weiter. Shield bietet dar&#xFC;ber hinaus neue M&#xF6;glichkeiten eines flexiblen und hostbasierten Managements des Netzwerkverkehrs. Unser Update ist daher der n&#xE4;chste gro&#xDF;e Schritt, Enginsight zur zentralen Einheit f&#xFC;r Ihr IT-Security-Management zu entwickeln.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Das neue Shield-Modul<\/h2>\n\n\n\n<p>Mit dem Shield-Modul erhalten Sie ein Werkzeug, um hostbasiert und unabh&#xE4;ngig von Netzsegmenten den <strong>Netzwerkverkehr zu managen<\/strong>. Sie k&#xF6;nnen ganz einfach ein <strong>dynamisches Blocking detektierter Hackingattacken konfigurieren<\/strong> sowie manuell s&#xE4;mtliche denkbaren Regeln definieren. Nutzen Sie Shield, um sehr detaillierte Vorgaben f&#xFC;r einzelne Systeme oder Gruppen von Systemen festzulegen. So k&#xF6;nnen Sie mit Enginsight eine Zero Trust Umgebung realisieren oder eine <a href=\"https:\/\/enginsight.com\/de\/mikrosegmentierung\/\">Mikrosegmentierung <\/a>vornehmen.<\/p>\n\n\n\n<p>Mit Enginsight Shield er&#xF6;ffnen sich neue Perspektiven f&#xFC;r ein <strong><a href=\"https:\/\/enginsight.com\/de\/it-management\/\">flexibles Management Ihrer IT-Infrastruktur <\/a><\/strong>und der Abwehr von Hackingangriffen. Verhindern Sie die Ausbreitung von Cyberattacken, welche mit der Firewall die erste H&#xFC;rde &#xFC;berwunden und sich im internen Netz festgesetzt haben. Mit wenigen Klicks k&#xF6;nnen Sie daf&#xFC;r sorgen, dass betroffene Systeme automatisch im Netzwerk isoliert werden. Und zwar nicht erst an der Schwelle zum n&#xE4;chsten Netzwerksegment, sondern bereits innerhalb der einzelnen Subnetze.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wie f&#xFC;hren Sie Shield bei sich ein?<\/h3>\n\n\n\n<p>Mit dem Pulsar-Agent auf Ihren Servern und Clients haben Sie bereits die technische Basis f&#xFC;r das neue Feature in Ihre IT-Infrastruktur implementiert. Bevor Sie mit der Erstellung dynamischer und manueller Regelwerke beginnen, brauchen Sie lediglich die Shield-Funktionalit&#xE4;ten f&#xFC;r die gew&#xFC;nschten Hosts &#xFC;ber den Policy Manager zu aktivieren. Achten Sie zudem darauf, dass Sie Ihren Pulsar-Agent auf dem aktuellen Stand haben. F&#xFC;hren Sie ansonsten zun&#xE4;chst ein Update durch.<\/p>\n\n\n\n<p><strong><em>Achtung: Das aktuelle Pulsar-Agent Update f&#xFC;hrt zu kurzzeitiger Unterbrechung des Netzwerkverkehrs, da wir den Treiber zur Analyse des Netzwerkverkehrs erneuern. W&#xE4;hlen Sie den Zeitpunkt f&#xFC;r die Updates entsprechend aus, damit es zu keinen Komplikationen kommt. Auf &#xE4;lteren Systemen kann es gegebenenfalls zu einem Abbruch der Netzwerkverbindung kommen, der sich nur durch einen Neustart beheben l&#xE4;sst.<\/em><\/strong><\/p>\n\n\n\n<p><em>F&uuml;r den Einsatz von Shield unter Linux empfehlen wir eine Kernel-Version &gt;4.19.<\/em><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Dynamisches Regelwerk: Cyberattacken blockieren<\/h3>\n\n\n\n<p>Ein guter Startpunkt das Shield-Modul kennenzulernen, ist das Blocken detektierter Angriffe. Auf Grundlage der Analyse des Netzwerkverkehrs erkennt Enginsight f&#xFC;r Angriffsvektoren &#xFC;bliche Anomalien. Mit dem Shield Modul k&#xF6;nnen Sie diese nun einfach blockieren. So wird Enginsight zum Intrusion Prevention System (IPS).<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch.png\"><img fetchpriority=\"high\" decoding=\"async\" width=\"827\" height=\"1024\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-827x1024.png\" alt=\"\" class=\"wp-image-8368\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-827x1024.png 827w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-242x300.png 242w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-768x951.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-1241x1536.png 1241w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Dynamisch-1654x2048.png 1654w\" sizes=\"(max-width: 827px) 100vw, 827px\"\/><\/a><figcaption class=\"wp-element-caption\">Mit wenigen Klicks legen Sie fest, auf welchen Host das dynamische Blocking von Cyberattacken aktiv sein soll. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/figcaption><\/figure>\n\n\n\n<p>Erstellen Sie ein dynamisches Regelwerk und definieren Sie &#xFC;ber Tags oder f&#xFC;r einzelne Hosts, dass die Regel angewandt werden soll. Im Anschluss k&#xF6;nnen Sie Kategorien w&#xE4;hlen, f&#xFC;r die das Blocking aktiv sein soll.<\/p>\n\n\n\n<p>Ihnen steht zur Auswahl:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>PortScan: <\/strong>Mit Portscans werden IT-Systeme von au&#xDF;en untersucht. Sie stellen oft die erste Instanz eines Eindringversuchs dar und k&#xF6;nnen insbesondere im internen Netz auf einen erfolgreichen Angriff hindeuten.\n<ul class=\"wp-block-list\">\n<li>TCP<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Bruteforce:<\/strong> Durch das massenhafte Ausprobieren von Nutzer-\/Passwortkombinationen wird versucht, die Authentifizierung auszuhebeln.\n<ul class=\"wp-block-list\">\n<li>SSH<\/li>\n\n\n\n<li>MySQL<\/li>\n\n\n\n<li>MongoDB<\/li>\n\n\n\n<li>HTTP Basic Authentication<\/li>\n\n\n\n<li>FTP<\/li>\n\n\n\n<li>RDP<\/li>\n\n\n\n<li>VNC<\/li>\n\n\n\n<li>SMB<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Flooding:<\/strong> Mit massenhaft versendeten Datenpaketen und Anfragen sollen IT-Systeme lahmgelegt werden.\n<ul class=\"wp-block-list\">\n<li>SYN-Flooding<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Spoofing: <\/strong>Die Verschleierung der eigenen Identit&#xE4;t dient dazu, Authentifizierungs- und Identifikationsverfahren zu untergraben.\n<ul class=\"wp-block-list\">\n<li>ARP-Spoofing<\/li>\n\n\n\n<li>DNS-Spoofing<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>SSL\/TLS:<\/strong> Der Scan aller verf&#xFC;gbaren SSL\/TLS-Protokolle und Chiffren dient dazu, Schwachstellen zu erkennen, um sie im Anschluss auszunutzen.\n<ul class=\"wp-block-list\">\n<li>SSL\/TLS Cipher Enumeration<\/li>\n\n\n\n<li>SSL\/TLS Protocol Scan<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Web:<\/strong> Webbasierte Attacken versuchen durch die Manipulation der Webanwendung Schadsoftware zu platzieren, Nutzer zu t&#xE4;uschen oder an sensible Daten zu gelangen.\n<ul class=\"wp-block-list\">\n<li>SQL Injection<\/li>\n\n\n\n<li>Path Traversal<\/li>\n\n\n\n<li>Remote Code Execution<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>F&#xFC;r falsch positive Ergebnisse anf&#xE4;llige Angriffsvektoren haben wir bereits entfernt, um die Funktionalit&#xE4;t Ihrer IT-Infrastruktur nicht zu gef&#xE4;hrden. Wir empfehlen daher, das Blocking f&#xFC;r alle Kategorien zu aktivieren.<\/p>\n\n\n\n<p>Als Blocking-Aktion steht Ihnen das Verwerfen (Drop) sowie Ablehnen (Reject) der Netzwerkpakete zur Auswahl. F&#xFC;r das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Manuelles Regelwerk<\/h3>\n\n\n\n<p>Mit manuellen Regelwerken k&#xF6;nnen Sie abh&#xE4;ngig von IP, Protokoll und Port definieren, ob Shield Netzwerkverkehr blockieren oder erlauben soll. Die Anwendungsszenarien, die Ihnen dadurch er&#xF6;ffnet werden, sind vielf&#xE4;ltig und stark abh&#xE4;ngig von der Konzeption Ihrer IT-Umgebung. Die M&#xF6;glichkeiten sind enorm.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk.png\"><img decoding=\"async\" width=\"1024\" height=\"670\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-1024x670.png\" alt=\"\" class=\"wp-image-8374\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-1024x670.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-300x196.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-768x503.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-1536x1006.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Regelwerk-2048x1341.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\">Definieren Sie s&#xE4;mtliche denkbaren manuellen Regelwerke. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/figcaption><\/figure>\n\n\n\n<p>Damit ein manuelles Regelwerk wirksam wird, m&#xFC;ssen Sie mit Zuordnungen die dazugeh&#xF6;rigen Hosts bestimmen. Dabei k&#xF6;nnen Sie entweder Hosts und Regeln direkt miteinander verkn&#xFC;pfen oder mit Tags arbeiten. Wir empfehlen Ihnen grunds&#xE4;tzlich mit Tags zu arbeiten, um die Flexibilit&#xE4;t zu erh&#xF6;hen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen.png\"><img decoding=\"async\" width=\"1024\" height=\"580\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-1024x580.png\" alt=\"\" class=\"wp-image-8372\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-1024x580.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-300x170.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-768x435.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-1536x869.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Manuell_Zuordnungen-2048x1159.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\">Mit Zuordnungen legen Sie fest, auf welchen Host die Regelwerke aktiv sein sollen. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/figcaption><\/figure>\n\n\n\n<p>In vielen F&#xE4;llen ist es ein sinnvolles Vorgehen, zun&#xE4;chst<strong> Netzwerkverkehr zu blockieren<\/strong> und im Anschluss mit <strong>Whitelisten bestimmten Netzwerkverkehr freizugeben.<\/strong> Regelwerke, die Netzwerkverkehr akzeptieren, &#xFC;berschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen. Sollten mehrere Blocking-Regeln gleichzeitig greifen, entscheidet die von Ihnen zugeteilte Priorit&#xE4;t, welche Regel aktiv wird und Sie in den Logs angezeigt bekommen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Beispiel: Systeme isolieren<\/strong><\/h3>\n\n\n\n<p>Um ein System im Netzwerk zu isolieren, erstellen Sie ein manuelles Regelwerk f&#xFC;r den gew&#xFC;nschten Host. Aktivieren Sie ein bidirektionales Blocking und geben Sie als Ziel die gesamte IP-Range der Systeme an, von denen der Host isoliert werden soll. Anschlie&#xDF;end verkn&#xFC;pfen Sie das Regelwerk via Zuordnung mit dem gew&#xFC;nschten Host.<\/p>\n\n\n\n<p>Sie k&#xF6;nnen auch den gegenteiligen Weg gehen: Verbieten Sie via Tag allen anderen Hosts mit dem zu isolierenden System zu kommunizieren. In der Regel ist der erste Weg zu empfehlen. Sollten Sie aber auf dem zu isolierenden System beispielsweise keinen Pulsar-Agent installieren k&#xF6;nnen, bietet diese Alternative eine M&#xF6;glichkeit, dennoch Enginsight Shield einzusetzen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Beispiel: Whitelisten erstellen<\/strong><\/h3>\n\n\n\n<p>Mit Whitelisten k&#xF6;nnen Sie via Shield isolierten Systemen bestimmten Netzwerkverkehr erlauben. Zum Beispiel zu <strong>ausgew&#xE4;hlten IP-Adressen f&#xFC;r einzelne Protokolle und Ports<\/strong>. Haben Sie etwa einen Server, den Sie nicht patchen k&#xF6;nnen, der aber dennoch eine wichtige Funktion &#xFC;bernimmt, k&#xF6;nnen Sie so das Risiko minimieren. Erlauben Sie dem entsprechenden Asset lediglich mit einzelnen IPs, mit dem ben&#xF6;tigten Protokoll und auf den entsprechenden Ports zu kommunizieren.<\/p>\n\n\n\n<p>Mit Regelwerken, die Netzwerkverkehr akzeptieren, k&#xF6;nnen Sie auch sicherstellen, dass Security-Software nicht vom dynamischen Blocking behindert wird. So sollten Sie beispielsweise dem Enginsight Hacktor stets eine Whitelist zuordnen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Shield Logs: &#xDC;bersicht aller Blocking-Aktivit&#xE4;ten<\/h3>\n\n\n\n<p>Ob Shield aktiv geworden ist, k&#xF6;nnen Sie in den Logs nachvollziehen. Hier sehen sie aufgelistet, welche Netzwerkverbindung aufgrund welchen Regelwerks geblockt wurde. Direkt aus den Logs heraus k&#xF6;nnen Sie Ausnahmen definieren, damit die entsprechende Verbindung in Zukunft akzeptiert wird. Klicken Sie dazu auf den Ausnahme-Button.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"580\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-1024x580.png\" alt=\"\" class=\"wp-image-8376\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-1024x580.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-300x170.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-768x435.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-1536x869.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Shield_Logs-2048x1159.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\">In den Logs sehen Sie, ob Shield aktiv wurde. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Validit&#xE4;ts-Ampel: Volle Transparenz bei CVE-Scans<\/h2>\n\n\n\n<p>Mit Enginsight k&#xF6;nnen Sie Ihre IT aus drei Perspektiven einem <a href=\"https:\/\/enginsight.com\/de\/blog\/umfassende-cve-scans-aus-drei-perspektiven-durchfuehren\/\">CVE-Scan unterziehen<\/a>: Der Pulsar-Agent scannt Ihre Server und Clients von innen, mit dem Hacktor k&#xF6;nnen Sie netzwerkbasiert gesamte Netzwerke untersuchen und mit dem Observer Webanwendungen von au&#xDF;en &#xFC;berwachen.<\/p>\n\n\n\n<p>Um die Sicherheitsl&#xFC;cken zu validieren, bezieht Enginsight Meta-Daten in die Analyse ein. So schaffen wir es, die Rate an False Positives zu minimieren. Je mehr Meta-Informationen Enginsight zur Verf&#xFC;gung stehen, desto valider wird das Ergebnis. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"579\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-1024x579.png\" alt=\"\" class=\"wp-image-8389\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-1024x579.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-300x170.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-768x434.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-1536x869.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Host-1-2048x1158.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\"><em>CVEs auf Hosts identifizieren und beheben<\/em><\/figcaption><\/figure>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"579\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-1024x579.png\" alt=\"\" class=\"wp-image-8391\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-1024x579.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-300x170.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-768x434.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-1536x869.png 1536w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/CVE_Validitaet_Endpunkt-1-2048x1158.png 2048w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\"><em>Die Validit&#xE4;t bei Endpunkten variiert. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/em><\/figcaption><\/figure>\n\n\n\n<p>In der Benutzeroberfl&#xE4;che verdeutlichen wir die Validit&#xE4;t mit einer Ampel:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>gr&#xFC;n: hohe Validit&#xE4;t<\/li>\n\n\n\n<li>gelb: mittlere Validit&#xE4;t<\/li>\n\n\n\n<li>rot: geringe Validit&#xE4;t<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Zwei Beispiele<\/h3>\n\n\n\n<ol class=\"wp-block-list\" type=\"1\">\n<li>Die Sicherheitsl&#xFC;cke eines Content Management Systems l&#xE4;sst sich sehr viel einfacher validieren als eine CVE einer Programmiersprache. Ob die CVE der Programmiersprache wirksam wird, h&#xE4;ngt von vielen Faktoren ab, insbesondere der genauen Version des Betriebssystems. Eine Sicherheitsl&#xFC;cke eines CMS wird in der Regel immer wirksam.<\/li>\n\n\n\n<li>L&#xE4;sst sich f&#xFC;r Hacktor oder Observer das Betriebssystem herausfinden, ist das eine wichtige Information und die Validit&#xE4;t profitiert davon bereits deutlich. K&#xF6;nnen die Softwarekomponenten dar&#xFC;ber hinaus die konkrete Version detektieren, hat die Validit&#xE4;t ein hohes Level erreicht.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Validit&#xE4;t, Risikoscore und Dringlichkeit<\/h3>\n\n\n\n<p>Die Validit&#xE4;t der Sicherheitsl&#xFC;cke beeinflusst den Risikoscore, den Enginsight vergibt. Vom Risikoscore h&#xE4;ngt die Dringlichkeit (low, medium, high, ciritical) ab, mit der die Sicherheitsl&#xFC;cke versehen wird. Grundlage des Risikoscores ist der CVSS-Score, den wir modifizieren und mit der Validit&#xE4;t verrechnen.<\/p>\n\n\n\n<p>Vernachl&#xE4;ssigen Sie nicht grunds&#xE4;tzlich Sicherheitsl&#xFC;cken mit geringer Validit&#xE4;t. Sie k&#xF6;nnen f&#xFC;r den sicheren Betrieb dennoch sehr kritisch sein. &#xDC;berpr&#xFC;fen Sie insbesondere Schwachstellen mit hohem CVSS-Score manuell. Nutzen Sie daf&#xFC;r die verlinkten Informationen in der NIST-Datenbank.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Virtual Desktop Infrastructure (VDI) &#xFC;berwachen<\/h2>\n\n\n\n<p>Virtual Desktop Infrastructures (VDI) erlauben eine Virtualisierung der Desktop-Umgebung im Unternehmensnetzwerk. Ein zentraler Server stellt den PC-Service bereit, der von den Clients abgerufen wird. W&#xE4;hrend die Bedienung lokal auf dem Client erfolgt, wird die Software auf dem Server ausgef&#xFC;hrt.<\/p>\n\n\n\n<p>Mit Enginsight 3.0.0 haben wir die &#xDC;berwachung von VDI-Umgebungen realisiert. So k&#xF6;nnen Sie die Benutzer der VDI-Infrastruktur als Client Hosts hinzuf&#xFC;gen und dauerhaft &#xFC;berwachen. Die einzelnen Benutzer werden in der Host-&#xDC;bersicht angezeigt, wie Sie es von anderen Servern und Clients auch gew&#xF6;hnt sind. So erm&#xF6;glichen Enginsight auch in VDI-Umgebungen eine vollst&#xE4;ndige Live-&#xDC;berwachung, unter anderem ein dezentrales und hostbasiertes Intrusion Detection System (IDS).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pentest: Audit Reports automatisch per E-Mail versenden<\/h2>\n\n\n\n<p>In der Vorlage f&#xFC;r Penetrationstests steht Ihnen die Option zu Verf&#xFC;gung, eine wiederkehrende Durchf&#xFC;hrung zu definieren. Legen Sie beispielsweise fest, dass der automatisierte Pentest von Enginsight einmal w&#xF6;chentlich oder zum Anfang des Monats durchgef&#xFC;hrt wird. So erhalten Sie vergleichbare Ergebnisse zur Entwicklung Ihres Sicherheitsniveaus.<\/p>\n\n\n\n<p>Die Ergebnisse der Pentests k&#xF6;nnen Sie sich jetzt automatisch als PDF-Bericht per E-Mail zusenden lassen. Aktivieren Sie die entsprechende Option und legen Sie fest, welche Teammitglieder eine E-Mail erhalten sollen. Wir empfehlen, die sensiblen Daten stets verschl&#xFC;sselt und mit einem Passwort gesch&#xFC;tzt zu versenden. Vergeben Sie daher in der Enginsight Plattform ein sicheres Passwort.<\/p>\n\n\n\n<p>F&#xFC;r IT-Dienstleister, die Enginsight als Managed Service anbieten, optimiert die neue M&#xF6;glichkeit erneut den Prozess der Kundenbetreuung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Tags in der Host-&#xDC;bersicht bearbeiten<\/h2>\n\n\n\n<p>Tags sind eine wichtige Funktion in Enginsight, um Assets zu gruppieren und effektiv zu managen. Sie k&#xF6;nnen Tags beispielsweise nutzen, um Alarme und Plugins zuzuordnen sowie im Policy Manager Einstellungen zu verwalten. Au&#xDF;erdem, um im neuen Shield-Modul manuelle und dynamische Blocking-Regeln zuzuordnen.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"264\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht-1024x264.png\" alt=\"\" class=\"wp-image-8382\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht-1024x264.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht-300x77.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht-768x198.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/2021\/04\/Tags_Host-Uebersicht.png 1461w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><figcaption class=\"wp-element-caption\">Bearbeiten Sie die Tags direkt in der Host-&#xDC;bersicht. (Zum Vergr&#xF6;&#xDF;ern anklicken)<\/figcaption><\/figure>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p>Um die richtigen Tags schneller den entsprechenden Hosts zuzuordnen, k&#xF6;nnen Sie die Tags jetzt direkt in der Host-&#xDC;bersicht bearbeiten. Klicken Sie dazu einfach auf das Bearbeiten-Icon hinter den Tags.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hacktor: SMB Checks, SNMP Discovery RDP Bruteforce hinzugef&#xFC;gt<\/h2>\n\n\n\n<p>Weiter ausgebaut haben wir den Funktionsumfang unseres<a href=\"https:\/\/enginsight.com\/de\/pentest\/\"> automatisierten Pentests<\/a>. Die Pentest-Komponente Hacktor beherrscht jetzt weitere Services in der Bruteforce- wie Discovery-Phase<\/p>\n\n\n\n<p><strong>Server Message Block (SMB): <\/strong>SMB ist ein Protokoll zur Freigabe von Daten in Netzwerken. Hacktor &#xFC;berpr&#xFC;ft SMB mit einer Bruteforce-Attacke auf eine sichere Authentifizierung die Konfigurationen in der Service Discovery-Phase. Es wird Netbios-SSN und Microsoft-DS unterst&#xFC;tzt. &#xA0;Netbios-SSN wird momentan lediglich f&#xFC;r Linux und nicht f&#xFC;r Windows unterst&#xFC;tzt.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Bruteforce<\/td><td>F&#xFC;r SMB werden eine oder mehrere unsichere Benutzer-Passwort-Kombinationen verwendet oder ein Gastzugriff ist m&#xF6;glich.<\/td><\/tr><tr><td>Vorhandene Open Network Shares<\/td><td>Es existiert eine Freigabe, die nicht unter die Standard-Freigaben f&#xE4;llt.<\/td><\/tr><tr><td>Erlaubt Gastzugriff<\/td><td>Bei fehlerhaftem Login wird automatisch ein Gastzugriff erteilt, der m&#xF6;glicherweise Zugriffsrechte besitzt.<\/td><\/tr><tr><td>Erlaubt Lesezugriff<\/td><td>Ein Lesezugriff auf freigegebene Ordner ist via SMB m&#xF6;glich.<\/td><\/tr><tr><td>Erlaubt Schreibzugriff<\/td><td>Ein Schreibzugriff auf freigegebene Ordner, die nicht standardm&#xE4;&#xDF;ig eingestellt sind, ist via SMB m&#xF6;glich.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p><strong>Simple Network Management Protocol (SNMP):<\/strong> SNMP erlaubt eine zentrale &#xDC;berwachung und Steuerung von Elementen im Netzwerk. In der Discovery-Phase wird SNMP v1 und v2 jetzt auf Authentifizierung und Privilegien &#xFC;berpr&#xFC;ft. SNMPv3 wird demn&#xE4;chst verf&#xFC;gbar sein.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Verwendet gew&#xF6;hnlichen Community String<\/td><td>F&#xFC;r SNMP werden eine oder mehrere Community Strings zur Nutzerauthentifizierung verwendet, die h&#xE4;ufig verwendet werden und daher besonders unsicher sind.<\/td><\/tr><tr><td>Erlaubt Lesezugriff<\/td><td>Ein Lesezugriff auf Object Identifier (OID) ist via SNMP m&#xF6;glich.<\/td><\/tr><tr><td>Erlaubt Schreibzugriff<\/td><td>Ein Schreibzugriff auf Object Identifier (OID) ist via SNMP m&#xF6;glich.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>RDP Bruteforce:<\/strong> Das Remote Desktop Protocol ist ein Netzwerkprotokoll von Microsoft f&#xFC;r den Fernzugriff auf Computer. Hacktor &#xFC;berpr&#xFC;ft nun auch RDP auf sichere Kombinationen von Benutzern und Passw&#xF6;rtern.<\/p>\n\n\n\n<p>Eine Auflistung aller Checks, die Hacktor durchf&#xFC;hrt, finden Sie in der <a href=\"https:\/\/enginsight.com\/docs\/technische-details\/funktionsumfang-pentest\">Dokumentation.<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Alarm auf Anmeldeversuche spezifizieren<\/h2>\n\n\n\n<p>Die Analyse der Log-Dateien des Pulsar-Agents auf Ihren Servern und Clients erm&#xF6;glicht es Ihnen fehlgeschlagene und erfolgreiche Anmeldeversuche zu &#xFC;berwachen. Erstens erhalten Sie unter Systemevents eine &#xDC;bersicht aller Login-Versuche. Zweitens k&#xF6;nnen Sie einen Alarm schalten.<\/p>\n\n\n\n<p>Wann ein Alarm ausgel&#xF6;st werden soll, k&#xF6;nnen Sie jetzt genauer spezifizieren. Geben Sie einen Grenzwert ein, ab dem der Alarm ausgel&#xF6;st werden soll, zum Beispiel mehr als f&#xFC;nf Versuche in f&#xFC;nf Minuten. Der Alarm wird dann erst ausgel&#xF6;st, wenn in dem entsprechenden Zeitraum die angegebene Anzahl an Logins &#xFC;berschritten wurde.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Ausnahmeliste f&#xFC;r Festplatten<\/h2>\n\n\n\n<p>Die in Enginsight 2.17.0 eingef&#xFC;hrten Ausnahmelisten beim Monitoring der Server und Clients haben wir erweitert. Nun lassen sich auch Festplatten aus der &#xDC;berwachung ausschlie&#xDF;en. Nutzen Sie die Option, um die korrekte Benachrichtigung bei neu erkannten Datentr&#xE4;gern sicherzustellen.<\/p>\n\n\n\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Advanced Hardening des Pulsar-Agent<\/h2>\n\n\n\n<p>Die Softwarekonzeption von Enginsight folgt h&#xF6;chsten Sicherheitsstandards. In einem Audit unserer API hat uns das der T&#xDC;V S&#xFC;d im vergangenen Jahr <a href=\"https:\/\/enginsight.com\/de\/blog\/tuev-sued-bestaetigt-enginsight-secured-by-design\/\">best&#xE4;tigt.<\/a> In Ausnahmef&#xE4;llen kann es jedoch sinnvoll sein, das Security-Level des Pulsar-Agents zu erh&#xF6;hen, indem bestimmte Funktionen grunds&#xE4;tzlich deaktiviert werden.<\/p>\n\n\n\n<p>Die Ausf&#xFC;hrung von Plugins haben wir bereits standardm&#xE4;&#xDF;ig deaktiviert. Sie muss vor der Nutzung im UI aktiviert werden. Unabh&#xE4;ngig von der Benutzeroberfl&#xE4;che k&#xF6;nnen Sie die Ausf&#xFC;hrung aber auch in den Einstellungen der lokalen Konfigurationsdatei des Pulsar-Agents deaktivieren. Plugins lassen sich dann nicht mehr &#xFC;ber die Enginsight-Applikation aktiveren. Seien Sie daher vorsichtig mit dieser Option. Eine Anleitung finden Sie in der <a href=\"https:\/\/enginsight.com\/docs\/bedienung\/plattform\/hosts-agent-pulsar\/pulsar-agent#advanced-hardening\">Dokumentation.<\/a><\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-background wp-element-button\" href=\"https:\/\/enginsight.com\/de\/securityaudit\/\" style=\"background-color:#e91e63\"><strong>Security Audit &#x2013; Schwachstellen mit Enginsight finden und schlie&#xDF;en<\/strong><\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Shield Modul: Dynamisches Blocking von Hackingattacken, Manuelle Regelwerke f&#xFC;r Netzwerkverkehr definieren | CVE-Scans: Validit&#xE4;ts-Ampel | VDI &#xFC;berwachen | Audit Reports automatisch per Mail versenden | Neue Hacktor Checks<\/p>\n","protected":false},"author":8,"featured_media":8385,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[51],"tags":[],"class_list":["post-8367","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-release-notes"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/8367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=8367"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/8367\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/8385"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=8367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=8367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=8367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}