Wie man RMM-Software mit einer Firewall absichert

Mit Lösungen für die Fernüberwachung und -verwaltung (Remote Monitoring and Management, RMM) sind Managed Service Provider in der Lage, Netzwerk- und Geräteanomalien frühzeitig zu erkennen und Systeme proaktiv zu überwachen. Diese Tools werden für berechtigte Zwecke eingesetzt – und dabei von Cyberkriminellen immer wieder in böser Absicht missbraucht. Bei den sogenannten „Living-off-the-Land“ (LotL)-Angriffen nutzen Hacker genau solche in der Systemumgebung bereits vorhandenen und bekannten Anwendungen, um ihre Aktivitäten zu verschleiern. Der Einsatz eigener, bösartiger Dateien, Codes oder Skripte ist dann meist gar nicht erforderlich.

Gerade in den letzten Jahren haben Kriminelle verstärkt auf diese Werkzeuge zurückgegriffen, um Sicherheitsvorkehrungen zu umgehen und sich permanenten Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Laut aktuellem Bericht rücken insbesondere kleine und mittelständische Unternehmen zunehmend in den Fokus entsprechender Angriffe. Bei 65 Prozent der Sicherheitsvorfälle wurden RMM-Lösungen von Hackern genutzt, um sich unbefugt Zugriff auf die Systeme ihrer Opfer zu verschaffen. Diese Daten zeigen, dass Handlungsbedarf besteht und neue Wege gefunden werden müssen, um Anwendungen zur Fernüberwachung und -verwaltung stichhaltig abzusichern.

Vier netzwerkbasierte Maßnahmen zur Absicherung von RMM-Lösungen

Die US-amerikanische Bundesbehörde CISA hat im vergangenen Jahr einen Leitfaden für RMM-Sicherheit herausgegeben, der die Implementierung netzwerkbasierter Sicherheitskontrollen als eine der wichtigsten Empfehlungen auflistet. Im Folgenden einige Tipps, wie eine ausgereifte Firewall-Lösung verlässlich zum Schutz der RMM-Anwendung beiträgt:

• Segmentierung des Netzwerks: Per Firewall können IT-Verantwortliche das Netzwerk segmentieren, um laterale Bewegungen zu minimieren und den Zugriff auf Geräte, Daten und Anwendungen einzuschränken. Auf diese Weise lässt sich gleichzeitig auch der Datenverkehr zwischen Subnetzen kontrollieren. Durch Implementierung von Zugriffskontrolllisten (Access Control List – ACL) kann der Zugang zu bestimmten Ressourcen genehmigt oder verweigert werden.
• Blockieren von RMM-Ports und -Protokollen: Mit einer Firewall kann das IT-Team nicht zuletzt Regeln erstellen, um unerwünschten Datenverkehr von einzelnen Ports und Protokollen, auf die die RMM-Tools zugreifen, zu blockieren. So wird eine rechtmäßige Nutzung im Zuge von Remote Monitoring und Management gewährleistet und das Risiko eines böswilligen Eindringens minimiert. Eine Firewall schützt das Netzwerk vor unbefugtem Zugriff indem sie verhindert, dass Hacker Schwachstellen in RMM-Lösungen ausnutzen und auf Netzwerk, Daten und Kundeninformationen zugreifen.
• Einsatz von RMM-Lösungen innerhalb des Netzwerks: Mit sicheren Fernzugriffslösungen, wie z.B. VPN, lässt sich eine geschützte Verbindung zu einem bestimmten Teilnetz innerhalb des lokalen Netzwerks herzustellen. RMM-Software sollte so konfiguriert sein, dass sie sich nur mit Geräten innerhalb dieses Subnetzes verbindet.
• Nutzung einer Firewall in der eigenen „Public Cloud“-UmgebungAuf diese Weise können IT-Teams den HTTP-Verkehr filtern bzw. überwachen und Angriffe wie SQL-Injection und andere Bedrohungen erkennen und abwehren.

Selbst wenn von RMM-Anwendungen ein gewisses Risiko ausgeht: Die Vorteile, die diese Lösungen für das Security Management bringen, überwiegen. Damit der Mehrwert maximal ausgespielt werden kann, gilt es jedoch, einschlägige Präventivmaßnahmen wie die Implementierung einer Firewall zu ergreifen. Zudem ist es immer ratsam, im Hinblick auf die neuesten Angriffstrends auf dem Laufenden zu bleiben und den entsprechenden Empfehlungen namhafter Organisationen wie der CISA  zu folgen.

Weitere Informationen zum Schutz von RMM-Lösungen liefert auch der folgende, englische Blogbeitrag: Why RMM integrations are important for MSPs

Quelle: WatchGuard-Blog