Hallo zusammen,
in letzter Zeit gibt es ja wieder verstärkt Ransomware-Attacken, in einigen Fällen wurden (laut persönlichen Kontakten) auch die vCSAs angegriffen.
Er gab und wird sicher wieder Verwundbarkeiten geben, aber selbst wenn nicht und die Patchstände von vCSA / ESXi aktuell sind, besteht nach Übernahme eines Active Directorys ein unbegrenzter Zugriff über administrative Accounts.
Netzwerktechnische Sicherheitsmaßnahmen werden so ausgehebelt. Was macht ihr, um eure vCSA abzusichern?
Grüße
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
vCSA absichern (speziell vor Ransomware-Attacken)
-
DeepThought
- Member
- Beiträge: 53
- Registriert: 24.09.2010, 23:47
Re: vCSA absichern (speziell vor Ransomware-Attacken)
Klassische Ransomware-Attacken laufen zunächst über einen einzelnen Einstiegspunkt. In den meisten Fällen sind das "Bomb Phishing"- (non-targeted) oder "Spear Phishing"-Angriffe (targeted), die einen einzelnen PC betreffen und auf diesem zunächst einmal Persistenz mit den Rechten des Benutzers herstellen. In selteneren Fällen können auch Lücken in (aus dem Internet erreichbaren) Appliances oder Serversoftware als Einstiegspunkte dienen.
Anschließend bewegen sich die Angreifer im Netz von Gerät zu Gerät (lateral movement) und versuchen auf allen Plattformen, die Rechte zu erhöhen (privilege escalation). Ziel ist möglichst Domänen-Admin-Zugriff oder lokale Admin/root-Rechte.
Mit den erhöhten Rechten werden alle Systeme unter Kontrolle gebracht, die Daten exfiltriert und aus den Finanzdaten die Lösegeldforderung berechnet. Dann erfolgt die eigentliche Erpressung.
Wo siehst du jetzt in diesem Ablauf die vCSA als besonders brisant an? Einstieg? Ist Eure vCSA aus dem Internet erreichbar? Lateral Movement? Privilege escalation? Exfiltration?
Anschließend bewegen sich die Angreifer im Netz von Gerät zu Gerät (lateral movement) und versuchen auf allen Plattformen, die Rechte zu erhöhen (privilege escalation). Ziel ist möglichst Domänen-Admin-Zugriff oder lokale Admin/root-Rechte.
Mit den erhöhten Rechten werden alle Systeme unter Kontrolle gebracht, die Daten exfiltriert und aus den Finanzdaten die Lösegeldforderung berechnet. Dann erfolgt die eigentliche Erpressung.
Wo siehst du jetzt in diesem Ablauf die vCSA als besonders brisant an? Einstieg? Ist Eure vCSA aus dem Internet erreichbar? Lateral Movement? Privilege escalation? Exfiltration?
-
DeepThought
- Member
- Beiträge: 53
- Registriert: 24.09.2010, 23:47
Re: vCSA absichern (speziell vor Ransomware-Attacken)
~thc hat geschrieben:Klassische Ransomware-Attacken laufen zunächst über einen einzelnen Einstiegspunkt. In den meisten Fällen sind das "Bomb Phishing"- (non-targeted) oder "Spear Phishing"-Angriffe (targeted), die einen einzelnen PC betreffen und auf diesem zunächst einmal Persistenz mit den Rechten des Benutzers herstellen. In selteneren Fällen können auch Lücken in (aus dem Internet erreichbaren) Appliances oder Serversoftware als Einstiegspunkte dienen.
Anschließend bewegen sich die Angreifer im Netz von Gerät zu Gerät (lateral movement) und versuchen auf allen Plattformen, die Rechte zu erhöhen (privilege escalation). Ziel ist möglichst Domänen-Admin-Zugriff oder lokale Admin/root-Rechte.
Mit den erhöhten Rechten werden alle Systeme unter Kontrolle gebracht, die Daten exfiltriert und aus den Finanzdaten die Lösegeldforderung berechnet. Dann erfolgt die eigentliche Erpressung.
Wo siehst du jetzt in diesem Ablauf die vCSA als besonders brisant an? Einstieg? Ist Eure vCSA aus dem Internet erreichbar? Lateral Movement? Privilege escalation? Exfiltration?
Danke dir zunächst. Die vCSA ist nicht aus dem Internet erreichbar. Ich gehe davon aus, das ein Ransomware-Angriff früher oder später unvermeidlich ist und das AD kompromitiert werden wird.
Daher will ich zumindest die vCSA bestmöglich absichern, da über sie alle Security-Maßnahmen der anderen Teams auf Netzwerk- und Server-Seite ausgehebelt werden.
Die Frage ist, wie sichere ich die vCSA ab, wenn der Domänen-Admin "fällt".
Re: vCSA absichern (speziell vor Ransomware-Attacken)
Ich würde annehmen, dass das nicht möglich ist.
Re: vCSA absichern (speziell vor Ransomware-Attacken)
~thc hat geschrieben:Ich würde annehmen, dass das nicht möglich ist.
Yeap,
es sei denn das vcsa etc. sind in einer eigenen Domäne unterwegs die noch einmal extra gehärtet ist.
Gruß
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: vCSA absichern (speziell vor Ransomware-Attacken)
Da eine VCSA seine eigene Domäne hat die Frage ob man nicht bei dieser bleibt und die Anbindung ans Windows AD unterlaesst. Ansonsten braucht halt vCenter Berechtigungsrollen welche entsprechend wenig Schadenspotential haben, sprich man meldet sich zwar mit AD Credentials an aber hat dann eine Rolle welche zb. keine Rechte hat VMs zu loeschen.
Wie deployen z.b die Backup Infrastruktur aktuell ohne AD Anbindung. Des weiteren haben wir hier schon immer 2 oder mehr Accounts welche unterschiedliche Rechte haben.
Wer aber mal bei Penetrationstests zugucken durfte oder hinterher bei der Besprechung dabei sein durfte der merkt das man da vorher zig Baustellen schliessen muss.
Gruss
Joerg
Wie deployen z.b die Backup Infrastruktur aktuell ohne AD Anbindung. Des weiteren haben wir hier schon immer 2 oder mehr Accounts welche unterschiedliche Rechte haben.
Wer aber mal bei Penetrationstests zugucken durfte oder hinterher bei der Besprechung dabei sein durfte der merkt das man da vorher zig Baustellen schliessen muss.
Gruss
Joerg
Re: vCSA absichern (speziell vor Ransomware-Attacken)
irix hat geschrieben:Da eine VCSA seine eigene Domäne hat die Frage ob man nicht bei dieser bleibt und die Anbindung ans Windows AD unterlaesst. Ansonsten braucht halt vCenter Berechtigungsrollen welche entsprechend wenig Schadenspotential haben, sprich man meldet sich zwar mit AD Credentials an aber hat dann eine Rolle welche zb. keine Rechte hat VMs zu loeschen.
Wie deployen z.b die Backup Infrastruktur aktuell ohne AD Anbindung. Des weiteren haben wir hier schon immer 2 oder mehr Accounts welche unterschiedliche Rechte haben.
Wer aber mal bei Penetrationstests zugucken durfte oder hinterher bei der Besprechung dabei sein durfte der merkt das man da vorher zig Baustellen schliessen muss.
Gruss
Joerg
Yeap,
das macht nie Spaß wenn einem die Resultate präsentiert werden.
Zeigt immer wieder wie kaputt IT eigentlich ist.
Gruß
-
DeepThought
- Member
- Beiträge: 53
- Registriert: 24.09.2010, 23:47
Re: vCSA absichern (speziell vor Ransomware-Attacken)
rprengel hat geschrieben:irix hat geschrieben:Da eine VCSA seine eigene Domäne hat die Frage ob man nicht bei dieser bleibt und die Anbindung ans Windows AD unterlaesst. Ansonsten braucht halt vCenter Berechtigungsrollen welche entsprechend wenig Schadenspotential haben, sprich man meldet sich zwar mit AD Credentials an aber hat dann eine Rolle welche zb. keine Rechte hat VMs zu loeschen.
Wie deployen z.b die Backup Infrastruktur aktuell ohne AD Anbindung. Des weiteren haben wir hier schon immer 2 oder mehr Accounts welche unterschiedliche Rechte haben.
Wer aber mal bei Penetrationstests zugucken durfte oder hinterher bei der Besprechung dabei sein durfte der merkt das man da vorher zig Baustellen schliessen muss.
Gruss
Joerg
Yeap,
das macht nie Spaß wenn einem die Resultate präsentiert werden.
Zeigt immer wieder wie kaputt IT eigentlich ist.
Gruß
Danke euch. Es wird wohl auf ein eigenes Netz für die vCSA + ESXi-Hosts hinter einer Firewall mit Jump-Host hinauslaufen. Ob mit Bastion forest oder ganz ohne AD-Integration steht noch nicht fest. Das Backup wird auch entsprechend verlagert, auch hier ist noch nicht klar ob Backup und vSphere-Systeme in ein Netz gesteckt werden oder in getrennte Netze. 100% trennen lässt es sich ja nicht, da eine Kommunikation zwischen Backup-Server und den vSphere-Systemen nötig ist.
Die IT ist echt kaputt, eigentlich Zeit zum Umschulen.
Zurück zu „vCenter / VMware VirtualCenter“
Wer ist online?
Mitglieder in diesem Forum: Google [Bot] und 15 Gäste