Autostarts überwachen
Unter Autostarts erhalten Sie eine Übersicht über Software, die bei einem Systemneustart Ihres Servers oder Clients automatisch gestartet wird. Sie können Autostarts auch direkt aus unserer Plattform heraus löschen. Klicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.
Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und können daher in der Liste auftauchen.
Neue Autostarts, insbesondere bei Servern, sollten immer auf ihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer Autostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart hinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre überwachten Server.
Damit sie die neue Funktion nutzen können, müssen Sie den Pulsar-Agent auf Ihren Hosts auf die aktuelle Version updaten.
Services: Systemrelevanz festlegen
Auf Servern und Clients, die mittels Pulsar-Agent überwacht werden, ermittelt Enginsight die laufenden und gestoppten Services. Ein Service (oder auch Dienst genannt) ist ein Programm, das beim Start des Computers in der Regel automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen, und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z. B. mit der Installation neuer Software.
Sollte ein Service unbemerkt gestoppt werden, kann dies sowohl Funktionalität als auch Sicherheit Systems massiv beeinflussen. Nicht jeder Service, der gestoppt wird, ist jedoch als problematisch einzustufen. Deshalb können Sie jetzt in der Enginsight Plattform manuell festlegen, welche Services systemrelevant sind. Standardmäßig werden alle Services als systemrelevant angenommen und eine entsprechende Warnung in der Sidebar sowie der Hostübersicht angezeigt, wenn sie gestoppt werden.
Wählen Sie jedoch die Option systemrelevant ab, wird keine Warnung mehr ausgegeben, sollte der Service gestoppt worden sein. Prüfen Sie daher Ihre (gestoppten) Services auf die Systemrelevanz und erhalten Sie künftig keine ungerechtfertigten Warnungen mehr.
Verbindungen: Alarm auf neue geöffnete Ports
Seit Version 2.4.0 können Sie mit Enginsight die geöffneten Ports Ihrer Server und Clients anzeigen lassen. Jetzt können Sie sich auch alarmieren lassen, wenn neue Ports aufgehen. So können Sie unmittelbar prüfen, ob der entsprechende Port tatsächlich geöffnet sein muss. Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.
Bei einem Webserver sind beispielsweise prinzipiell Port 80 und 433 (http und https) offen, die beide nicht anfällig für Hackerattacken sind. Geht ein weiterer Port auf, z. B. Port 22 (ssh), kann ein Angreifer versuchen sich mit einer Bruteforce-Attacke auf dem Server einzuloggen. Dadurch sinkt das Sicherheitsniveau des Servers massiv.
Wir empfehlen daher, via Tag den neuen Alarm für sich neu geöffnete Ports auf alle Ihre überwachten Server zu schalten.
Netzwerkaktivitäten: Neue Angriffsszenarien
Das durchdachte Featureset von Enginsight umfasst eine Überwachung des Netzwerkverkehrs mittels Deep Packet Inspection. Das verhindert, dass Cyberkriminelle unbemerkt Ihre IT-Systeme angreifen. Mit der Version 2.5.0 haben wir die Erkennung von Angriffen um zwei Szenarien erweitert.
VNC Bruteforce
Virtual Network Computing (VNC) ist ein Remote-Protokoll, das genutzt wird, um den Bildschirminhalt eines entfernten Rechners auf einem lokalen Bildschirm anzuzeigen und zu steuern. Diese umfassende Möglichkeit macht es zu einem beliebten Mittel von Hackern.
Mit Brute-Force-Attacken versuchen Angreifer durch massenhaftes, automatisches Ausprobieren von Benutzer- und Passwortkombinationen in das System einzudringen. Seit Version 2.4.0 unterstützt Enginsight bereits die Erkennung von Brute-Force-Angriffen auf das Remote-Protokoll RDP. Der Erkennungsumfang wurde nun auf VNC ausgeweitet.
Enginsight erkennt Bruteforce-Attacken auf folgende Systeme:
- SSH
- SQL- und NoSQL Datenbanken
- FTP
- RDP
- VNC
UDP Port Scan
Mit einem Port Scan versuchen Angreifer herauszufinden, welche Ports auf einem System geöffnet sind. Dafür senden Sie Datenpakete an die IP-Adresse des Ziels und wechseln dabei immer wieder den angesteuerten Port. Dadurch sammelt der Angreifer Informationen über die Systeme, wie verwendete Services und Betriebssystem, die er für weitere Schritte der Attacke benötigt.
Nicht jeder Port Scan ist illegitim und hängt mit einer Cyberattacke zusammen. Bei der Suche nach verfügbaren Druckern führen PCs beispielsweise einen legitimen Port Scan durch. Legitime Port Scans beschränken sich jedoch auf bestimmte Standard Ports, während illegitime Port Scans massenhaft Ports ansteuern. Erkennt der Agent ein solches illegitimes Verhalten, schlägt er Alarm.
Während Enginsight bisher bereits illegitime Port Scans mit dem geläufigen Transportprotokoll Transmission Control Protocol (TCP) erkannte, ist die Erkennung nun auf das User Datagram Protocol (UDP) ausgeweitet worden.
Manueller Refresh des Softwareinventars
Enginsight überprüft die auf Servern und Clients installierte Software alle 60 Minuten. Mit dem neuen „Aktualisieren“-Button lässt sich das Softwareinventar nun auch manuell auf den aktuellen Stand bringen.
Software-Erkennung verbessert
Bei 32-Bit und 64-Bit-Systemen unterscheiden sich die Pfade der installierten Software. Dies führte in wenigen Fällen dazu, dass die Softwareerkennung des Pulsar-Agent nicht richtig funktionierte. Mit der aktuellen Version des Agents haben wir dieses Problem behoben und die Erkennung installierter Software funktioniert jetzt zuverlässig.
Achten Sie darauf, immer die aktuelle Version des Agents auf Ihren Hosts installiert zu haben, damit alle (neuen) Funktionen wie gewünscht funktionieren. Unter Hosts → Übersicht → Agents aktualisieren können Sie den Agent auf allen Ihren Hosts auf einmal auf die neuste Version updaten.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com