Der Trend zu hybriden Arbeitsumgebungen zwingt Unternehmen dazu, sich Gedanken darüber zu machen, wie sie ihre Organisationen vor der zunehmenden Nutzung von “Bring your own device”-Endgeräten (BYOD) und anderen neuen Geräten schützen können. Wie IT-Verantwortliche wissen, ist dies keine geringe Herausforderung. Der Aufstieg der Telearbeiter stellt eine der größten Veränderungen in der gesamten Cybersicherheitslandschaft dar, die wir je erlebt haben. Und all diese neuen, dezentralen Geräte stellen ein einzigartiges Risiko für Ihre Kunden dar. Im Durchschnitt ist die Wahrscheinlichkeit, dass unentdeckte BYOD-Endgeräte Teil einer Cyberverletzung sind, um 71 % höher. Wir wissen natürlich, warum das so ist. Wenn Sicherheits- und IT-Teams keinen vollständigen Einblick in die Geräte eines Netzwerks haben, sind sie kaum in der Lage, die richtigen Sicherheitseinstellungen und -konfigurationen festzulegen, Updates auszuführen und Sicherheitslückenin Betriebssystemen und Software zu schließen. Unentdeckte Geräte stellen eine Bedrohung dar, der sich jeder IT-Experte bewusst sein sollte. In diesem Artikel erörtern wir gängige Methoden, um unentdeckte und nicht verwaltete Geräte aufzuspüren, sie zu sichern und Richtlinien einzuführen, die ,Bedrohung minimieren.
Welche Risiken bergen nicht verwaltete Endgeräte?
BYOD und externe Mitarbeiter sind keine neuen Phänomene. MSPs verwalten sie schon seit vielen Jahren, da in Unternehmensnetzwerken ständig neue Geräte hinzukommen, die sich der Kontrolle der IT-Abteilung entziehen. Die Entwicklung hin zu Mobilität und IoT hat zu einer Vielzahl unüberschaubarer Endpunkte geführt, die ein eindeutiges Sicherheitsrisiko darstellen. Intelligente Beleuchtung, Bluetooth-Tastaturen, Smart-TVs, Überwachungskameras, Drucker, Netzwerk-Switches und Router sind allesamt vernetzte Geräte, die oft keine integrierte Sicherheit aufweisen. Wenn Bedrohungsakteure ein Netzwerk auf Schwachstellen untersuchen, bieten diese Geräte einen leicht ausnutzbaren toten Winkel.
Was ist ein “unverwaltetes Gerät”?
Nicht verwaltete Geräte können als IP-verbundene Geräte definiert werden, auf denen kein Agent oder keine Konfigurationslösung installiert ist und die nicht durch einen Endpunkt-Agenten abgesichert werden In dieser Forrester-Umfrage gaben 69 % der Befragten an, dass die Hälfte oder mehr der Geräte in ihren Netzwerken entweder nicht verwaltete Geräte oder IoT-Geräte sind, die nicht in ihrem Blickfeld liegen. Darüber hinaus gaben 26 % an, dass sie dreimal so viele nicht verwaltete Geräte wie verwaltete Geräte in ihren Netzwerken haben. Die Studie zeigte auch, dass 79 % der Sicherheitsexperten in Unternehmen sehr bis extrem besorgt über die Gerätesicherheit sind
So erkennen Sie nicht verwaltete Geräte im Netzwerk
Es gibt einen Grund, warum so viele Geräte in diesen Netzwerken verloren gehen: Es ist nicht einfach, nicht verwaltete Geräte zu finden. Ein MSP kann Active Directory nicht einfach auffordern, ein nicht verwaltetes Gerät anzuzeigen. Es ist zwar möglich, AD-Daten und Netzwerkverwaltungssoftware manuell abzugleichen, aber das ist eine zeitaufwändige und fehleranfällige Methode. Was die meisten MSPs brauchen, ist eine Lösung, die Daten automatisch korreliert und dedupliziert, um das Problem auf dem schnellsten Weg zu beheben.
Arten von Daten, die bei der Suche nach nicht verwalteten Geräten benötigt werden
Für eine typische manuelle Suche nach nicht verwalteten Geräten benötigen Sie die folgenden Datenquellen:
- Netz-/Infrastrukturdaten: Einblick in alle Geräte innerhalb einer Umgebung durch Zugriff auf die Netzwerkinfrastruktur
- Verzeichnisdienste: Dienste wie Active Directory oder Azure AD, die Benutzer und Geräte authentifizieren
- Lösungen für die Endpunktverwaltung: Dienste wie SCCM und Jamf Pro
Verwendung von Microsoft Defender zur Erkennung nicht verwalteter Geräte
Microsoft hat Microsoft Defender for Endpoint um die Möglichkeit erweitert, nicht verwaltete Endpunkte und Netzwerkgeräte zu erkennen und zu schützen. Da es sich um eine integrierte Funktion handelt, ist in kompatiblen IT-Umgebungen keine Hardware- oder Softwarebereitstellung erforderlich. Sobald Netzwerkgeräte mit dieser Methode entdeckt werden, erhalten IT-Administratoren die neuesten Sicherheitsempfehlungen und Schwachstellen zu diesen Geräten. Entdeckte Endpunkte können in Microsoft Defender für Endpunkte integriert werden. Native Microsoft-Lösungen haben offensichtliche Einschränkungen. Die meisten MSPs benötigen eine Lösung, die betriebssystem- und technologieunabhängig ist und jedes Gerät in jeder Umgebung erkennen kann.
Verwendung von NinjaOne zur Erkennung von nicht verwalteten Endpunkten
NinjaOne macht es einfach, sicherzustellen, dass alle Endpunkte durch die automatische Erkennung und Bereitstellung von Assets mit Microsoft Active Directory vollständig verwaltet werden. Regelmäßige Scans können geplant werden, um nicht verwaltete Geräte zu identifizieren und einen Verwaltungsagenten nahtlos auf dem Gerät einzusetzen. SNMP-fähige Geräte können auch leicht von der integrierten Netzwerküberwachungssonde erkannt werden. Alle Anlagen können automatisch gruppiert und nach gesammelten Datenpunkten durchsucht werden, was das Auffinden und Verwalten einer Anlage unglaublich schnell und einfach macht. Mit flexiblen benutzerdefinierten Feldern können Sie fast alle Daten eines Endgeräts für die Geräteklassifizierung und -verwaltung erfassen.
Wie man nicht verwaltete Endpunkte vom Netzwerk fernhält
In einer perfekten Welt sollte das Auffinden und Verwalten nicht autorisierter Geräte nicht notwendig sein. Sie wissen nur zu gut, dass in realen Betriebsnetzen immer wieder neue Geräte den Weg ins Netz finden werden. MSPs und ihre Kunden können Maßnahmen ergreifen, um die Anzahl nicht autorisierter und nicht verwalteter Geräte im Netzwerk zu reduzieren und um herauszufinden, wer für diese Geräte verantwortlich ist. Laut der CISA-FAQ zur Zugangsverwaltung können die folgenden Maßnahmen ergriffen werden, um die Anzahl der nicht autorisierten und nicht verwalteten Geräte im Netzwerk zu reduzieren:
- Die Richtlinie kann vorschreiben, dass Administratoren neue Geräte in den gewünschten Zustand versetzen müssen, bevor sie sie hinzufügen. Häufig schließen Systemadministratoren neue Geräte an, patchen und konfigurieren sie dann im Produktionsnetz. Dies bietet ein Zeitfenster, in dem die Geräte kompromittiert werden können.Darüber hinaus werden die Geräte oft dem Netzwerk hinzugefügt, bevor sie in Active Directory (oder einer anderen Datenquelle für den gewünschten Status) erfasst werden. Wenn Administratoren dafür sorgen, dass der gewünschte Status immer auf dem neuesten Stand ist (d. h. vor dem Erscheinen des Geräts bearbeitet wird), verringert sich die Zahl der Risikobedingungen im Hardware Asset Management.
- Durch die Protokollierung kann nachvollzogen werden, wann nicht autorisierte und nicht verwaltete Geräte mit dem Netzwerk verbunden sind, womit sie verbunden sind und wer sich bei ihnen angemeldet hat. Anhand all dieser Daten kann ermittelt werden, wer die Geräte angeschlossen hat. Ist die Person erst einmal gefunden, kann man ihr mitteilen, was erwartet wird, um die Entstehung dieser Risikobedingungen zu verhindern.
- Die Mitarbeiter müssen geschult werden. Es sollte Konsequenzen für Personen geben, die häufig unbefugte Geräte anschließen und dies nach einer entsprechenden Warnung tun. Mit solchen Maßnahmen lassen sich zwar nicht alle nicht autorisierten und nicht verwalteten Geräte beseitigen, aber die Häufigkeit ihres Auftretens kann durch diese Maßnahmen verringert werden, was ein positiver Schritt ist.
Herausforderungen bei nicht verwalteten Geräten
Nicht verwaltete Geräte stellen zwar ein inhärentes Sicherheitsrisiko dar, aber es gibt mehrere Faktoren, die die Gefahr beeinflussen können. IT-Anbieter und Unternehmen sollten sich dieser Herausforderungen und Bedrohungsmultiplikatoren bewusst sein:
Versäumnis, Risikobewertungen durchzuführen
Wie für das übrige Netzwerk ist es auch für nicht verwaltete Geräte unerlässlich, Risikobewertungen durchzuführen. Gibt es bekannte Schwachstellen oder Konfigurationsprobleme? Dies kann schwierig sein, wenn man keinen Agenten auf dem Gerät installieren kann. Ein flexibles (und technikunabhängiges) Tool zur Geräteerkennung und ein Agent können daher sehr hilfreich sein.
Von Natur aus riskante Geräte
Bestimmte Geräte sind mit schwerwiegenden Problemen behaftet, gegen die man sich nur schwer schützen kann. Peer-to-Peer ist bekanntermaßen schwer abzusichern, und Untersuchungen haben gezeigt, dass solche Geräte selbst durch eine Firewall hindurch über das Internet erreichbar sind, weil sie so konfiguriert sind, dass sie ständig nach Möglichkeiten suchen, sich mit einem globalen gemeinsamen Netzwerk zu verbinden. Es ist wichtig, IoT-Tools und -Hardware zu bewerten, um potenzielle Risiken aufzudecken und P2P-Exploits zu vermeiden. Sie sollten auch die Firmware-Update-Politik des Geräts untersuchen und diese Geräte (wie immer) auf dem neuesten Stand halten.
Standardkonfigurationen/Fehlkonfigurationen
Konfigurationsprobleme haben zu zahlreichen Datenschutzverletzungen geführt. Weithin bekannte Standardkonfigurationen können Cyberkriminellen den Schlüssel zu Ihrem Netzwerk in die Hand geben. Einfache Schritte wie das Ändern oder Löschen des Standard-Administrator-Logins für Ihre Überwachungskameras können viel bewirken. Passwörter und Anmeldedaten sollten sorgfältig verwaltet werden, und es sollte auf undokumentierte Backdoor-Konten geachtet werden. Fehlkonfigurationen sind ein weiteres großes Problem. Abgesehen von Fehlern bei der Zugriffskontrolle lassen Benutzer oft nicht benötigte Funktionen wie Universal Plug and Play (UPnP) eingeschaltet oder öffnen versehentlich Ports, die als Zugangspunkte für Angreifer dienen können.
Fehlende Netzsegmentierung
Die Einrichtung einer Firewall zwischen jedem Gerät und dem Internet kann Hacker daran hindern, das Netzwerk zu umgehen. IT-Fachleute sollten nicht verwaltete Geräte in eigene Netzwerksegmente einsortieren, getrennt von den Unternehmensgeräten und dem Gastnetzwerk. Dadurch wird verhindert, dass Bedrohungsakteure ein nicht verwaltetes Gerät als Einstiegspunkt nutzen und sich dann seitlich bewegen, um Daten zu exfiltrieren oder Malware zu installieren. Es gibt Möglichkeiten, die Netzsegmentierung zu umgehen, aber diese Maßnahme ist es wert, weiterverfolgt zu werden.
Schlechte Vermögensverwaltung
Jede Liste von Best Practices für die Cybersicherheit – einschließlich des NIST Cybersecurity Framework – wird Ihnen sagen, dass die Identifizierung aller Geräte in Ihrem Netzwerk eine Grundvoraussetzung für die Sicherheit ist. Es reicht nicht aus, Ihr Netzwerk nach physisch angeschlossenen Geräten zu durchsuchen. Auch Geräte, die sich über Wi-Fi und Bluetooth verbinden, müssen verwaltet werden.
Fehlen einer kontinuierlichen Überwachung
Die meisten nicht verwalteten Geräte sind schwieriger zu scannen als herkömmliche Computer, die an ein Netzwerk angeschlossen sind. Daher ist es umso wichtiger, ihre Nutzung bzw. ihr Verhalten zu überwachen und nach verdächtigen Dingen zu suchen. Aus diesem Grund spielen Protokollerfassung, maschinelles Lernen und SIEM/SOC eine wichtige Rolle im modernen Cybersicherheits-Stack.
Partnerschaft mit NinjaOne
Vollständige Transparenz ist entscheidend für eine effektive Verwaltung. NinjaOne hilft MSPs, ihr Geschäft effizient und sicher zu verwalten. Tausende von Anwendern verlassen sich auf unsere hochmoderne RMM-Plattform, um die Komplexität des modernen IT-Managements zu bewältigen. Sie sind noch kein Ninja-Partner? Wir möchten Sie dabei unterstützen, Ihren Managed Services-Betrieb zu optimieren! Besuchen Sie unseren Blog mit MSP-Ressourcen und hilfreichen Leitfäden, melden Sie sich für Bento an, um wichtige Anleitungen in Ihren Posteingang zu erhalten, und nehmen Sie an unseren Live-Chats teil, um mit Channel-Experten persönlich zu diskutieren. Wenn Sie bereit sind, ein NinjaOne Partner zu werden, vereinbaren Sie eine Demo oder starten Sie Ihre 14-tägige Testversion, um zu sehen, warum bereits über 10.000 Kunden Ninja als ihren Partner für sicheres Remote Management gewählt haben.