Individuelles Rollenmanagement bei Enginsight
Individuelle Rollen definieren
Während Benutzerrollen bisher auf Administrator (alle Rechte) und Gast (Sichtrechte) beschränkt waren, kannst du jetzt Teammitgliedern jede denkbare Kombination an Rechten zuteilen. Den individuellen Bedürfnissen eurer Arbeitsorganisation entsprechend, kannst du Sicht-, Bearbeitungs- und Löschrechte für jede einzelne Funktion verteilen.
So kannst du einem für Webseiten verantwortlichen Teammitglied beispielsweise volle Rechte im Umgang mit Endpunkten zuteilen, aber bei Hosts Einschränkungen vornehmen. Denkbar wäre auch, Teammitgliedern zu verbieten Einträge zu löschen. Die Kombinationsmöglichkeiten sind grenzenlos.
Um dir das Management der Rollen besonders bequem zu machen, kannst du einem Teammitglied auch mehrere Rollen zuweisen.
Neue Systemrollen
Sinnvolle Berechtigungskombinationen sind oft abhängig von den individuellen Bedürfnissen der jeweiligen IT-Abteilung. Für wiederkehrende Anforderungen haben wir jedoch auch unsere Systemrollen weiter spezifiziert. Wir unterscheiden jetzt zwischen Eigentümer, Administrator, Operator und Gast.
Deep Packet Inspection
Durch eine Analyse des Netzwerkverkehrs direkt auf dem Server oder Client erkennt Enginsight Cyberattacken. Der Umfang der Intrusion Detection wird permanent von uns ausgebaut.
Agent erkennt SMB Bruteforce
Mit der aktuellen Version erkennt Enginsight nun auch Bruteforce-Attacken auf das Server Message Block (SMB)-Protokoll. SMB ist ein wichtiger Teil der Netzwerkdienste in Windows und ermöglicht den Zugriff auf Dateien und Verzeichnissen. Darüber hinaus kommt es bei vielen NAS-Systemen zum Einsatz.
Enginsight erkennt Bruteforce-Attacken auf folgende Services:
- SSH
- MySQL
- MongoDB
- HTTP Basic Authentication
- FTP
- RDP
- VNC
- SMB
Alarm: Grenzwert für verdächtigen Netzwerkverkehr
Enginsight hilft dir dabei, dass Cyberattacken nicht mehr unbemerkt ablaufen. Um über stattfindende Angriffe informiert zu bleiben, kannst du Alarme auf verdächtigen Netzwerkverkehr schalten. Den Alarm kannst du jetzt auf einen Grenzwert beschränken (Low, Medium, High).
Alarm-Benachrichtigungen
Das Alarm-System ist ein zentrales Element der Enginsight-Plattform. Hier fließen alle Daten der Module zusammen. Verbesserungen im Detail erweitern deine Möglichkeiten bei der Konfiguration von Alarmen.
Automatisch Verantwortliche benachrichtigen
Zu jedem Asset lassen sich in der Enginsight-Plattform Verantwortliche hinterlegen. Mit der neuen Alarm-Option „Verantwortliche informieren“ kannst du die festgelegten Verantwortlichen automatisch über ausgelöste Alarme informieren, auch wenn sie nicht manuell als Empfänger bestimmt worden sind.
Verbesserungen für Messenger
Neben der Benachrichtigung via E-Mail kannst du auch die Messenger-Dienste Slack, Mattermost und Microsoft-Dienst als Kommunikationskanal für Alarme nutzen. Den Umfang der Informationen haben wir ausgebaut. Außerdem ist nun stets das entsprechende Issue verlinkt.
Erweiterte Dienstüberwachung
Standardmäßig überwacht der Enginsight Pulsar-Agent nur noch automatisch gestartete Dienste auf den Servern und Clients, da dies für die allermeisten Fälle ausreichend ist. Willst du weiterhin alle Dienste mit Enginsight überwachen, aktiviere in den erweiterten Einstellungen des Hosts einfach die Option „Erweiterte Dienstüberwachung“.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Das neue Asset Operation Center
Asset Operation Center
Im Asset Operation Center (AOC) erhältst du eine Übersicht die von dir mit Enginsight überwachten Assets, deren Verfügbarkeit und über ausgelöste Alarme auf den Systemen. Die Ansicht ist immer minutenaktuell, neuauftretende Probleme ploppen daher unmittelbar auf.
In einer Kachelansicht siehst du alle Assets und ob sie für Enginsight erreichbar sind. Oben stehen immer diejenigen Assets, die verfügbar sind. Assets, bei denen ein Alarm ausgelöst wurde, der noch aktiv ist, stehen ganz am Anfang. Entsprechend der von dir festgelegten Alarmkategorie, werden kritische Zustände zuallererst angezeigt, gefolgt von Warnungen und Informationen.
Klickst du ein Asset an, erhältst du in einem Popup, ohne dass du das Asset Operation Center verlässt, eine Übersicht aller vorliegenden Issues oder die Bestätigung, dass alles in Ordnung ist.
Mit Filtern kannst du die Ansicht modifizieren und dir beispielsweise nur Hosts oder Endpunkte beziehungsweise Assets mit Alarmen einer bestimmten Kategorie ausgeben lassen. Ein Slider gibt dir die Möglichkeit, die Größe der einzelnen Kacheln nach deinen Bedürfnissen anzupassen.
Fullscreen-Einsatz
Möchtest du deinen Fokus komplett auf das Asset Operation Center legen, kannst du in den Fullscreen Mode wechseln. Das Asset Operation Center füllt dann den kompletten Bildschirm aus. Lege dir das AOC auf einen Bildschirm in deinem Büro und du verpasst keine Alarme.
Mehrere Organisationen – eine Übersicht
Im Asset Operation Center werden die Assets aller Organisationen, die du angelegt hast, angezeigt. Solltest du mit vielen Unterorganisationen arbeiten, etwa als Enginsight-Partner, ist das neue Operation Center daher von besonderer Bedeutung. Zu welcher Organisation ein Asset gehört, ist in jeder Asset-Kachel angegeben.
Mehr Details in der Issue-Übersicht
In der Issue-Übersicht kannst du dir jetzt mehr Details zu den ausgelösten Alarmen ausgeben lassen. Dazu klickst du auf Details und du erhältst alle spezifischen Infos, so wie du es aus den Benachrichtigungs-Mails bereits kennst.
Zudem haben wir jedem Host eine gesonderte Issues-Übersicht spendiert, in der die zugehörigen ausgelösten Alarme aufgelistet sind.
Neuer Alarm: Systemrelevanter Dienst wird nicht ausgeführt
Der Enginsight Pulsar-Agent überwacht die Dienste, die auf einem Server oder Client ausgeführt werden. In der Übersicht aller laufenden oder gestoppten Dienste kannst du für jeden Dienst festlegen, ob er systemrelevant ist. Mit dem neuen Alarm „Systemrelevanter Dienst wird nicht ausgeführt“ kannst du einen gemeinsamen Alarm auf alle systemrelevanten Dienste schalten. Nutze Tags, um einen Alarm auch auf mehrere Server und Clients gleichzeitig zu schalten.
Erweiterte Dienstüberwachung
Standardmäßig werden von Enginsight nur automatisch gestartete Dienste überwacht. Sollen jedoch auch manuell gestartete Dienste in die Überwachung mit einbezogen werden, kannst du sie nun erweitern. Aktiviere einfach in den erweiterten Einstellungen des Hosts die entsprechende Option.
Beta-Funktionalitäten testen
Als echter Enginsight-Enthusiast kannst du manche neuen Funktionen künftig schon in der Beta-Phase antesten. Wähle dafür einfach in den persönlichen Einstellungen die Option „Beta-Funktionalitäten aktivieren“. Beta-Funktionen sind immer entsprechend gekennzeichnet.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
ASOFTNET und Enginsight für eine sichere IT des Mittelstandes
Alexander Sowinski, Gründer und Inhaber von ASOFTNET: „Neben überregionalen Konzernen liegt auch die Absicherung der IT-Infrastrukturen kleinerer und mittlerer Unternehmen in unserer Hand. Enginsight hat mit einer für den Mittelstand optimierten Software ein Tool geschaffen, das unsere tägliche Arbeit effizienter und die IT unserer Kunden sicherer machen wird.“
Mario Jandeck, CEO von Enginsight: „Die kurzen Wege zwischen Jena und Erfurt und das gemeinsame Ziel, die IT-Welt sicherer zu machen, haben uns zusammengeführt. Mit ASOFTNET haben wir unser Partner-Netzwerk mit einem kompetenten Systemhaus, das durch höchste Servicequalitäten glänzt, erweitern können.“
Über ASOFTNET
ASOFTNET bietet umfangreiche IT-Dienstleistungen mit einem Fokus auf IT-Sicherheit. Mit IT-Sicherheits-Checks und Penetrationstest gibt ASOFTNET Unternehmen eine Gefahrenabschätzung an die Hand. In einem Network- und Security Operations Center überwacht der Erfurter IT-Dienstleister die IT der Kunden. Mit Planung, Realisierung und Pflege der IT-Infrastruktur bietet ASOFTNET darüber hinaus einen Rundumservice. Schulungen und Beratungen runden das Angebot ab.
Mit umfassenden, leicht verständlichen Analysen, konkreten Handlungsempfehlungen und minimalem Konfigurationsaufwand ist Enginsight die fortschrittlichste Cybersecurity-Lösung zur Überwachung gesamter IT-Infrastrukturen. Für IT-Dienstleister bietet Enginsight das perfekte Feature-Set, um die IT-Sicherheit ihrer Kunden schnell und effektiv zu erhöhen und den etablierten Sicherheitsstandard aufrechtzuerhalten.
www.enginsight.com
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
ACM Consultants setzen auf Enginsight
Patrick Andreas, Managing Consultant der ACM Consultants: „An Enginsight hat uns überzeugt, dass wir ohne Konfigurationsaufwand schnell an valide Daten kommen, die uns und unseren Kunden verständlich machen, wo der Schuh drückt. Die Software wird uns helfen, stets die maßgeschneiderten Lösungen zu finden und Maßnahmen zu etablieren, damit die IT sicher bleibt.“
Mario Jandeck, CEO von Enginsight: „Der Austausch mit Herrn Andreas und seinem Team war von Beginn an von einem höchsten fachlichen Niveau geprägt. Es freut uns besonders, dass mit ACM Consultants ein auf Sicherheit spezialisierter IT-Dienstleister Teil unseres Partner-Netzwerkes wird.“
Über ACM Consultants
Ende 2019 mit langjähriger Erfahrung gegründet, setzt sich ACM Consultants GmbH zum Ziel, Unternehmen den Weg in eine sichere IT-Zukunft zu ebnen. Sie unterstützt dabei von der strategischen Entscheidungsfindung bis zur technischen Umsetzung. Dazu bietet ACM Consultants unter anderem Sicherheitsanalysen inklusive Penetrationstests, Managed Security Services und Schulungen an. Mit Standorten in Warendorf, Hamburg, Stuttgart, München und Aachen ist ACM Consultants deutschlandweit vertreten.
Über Enginsight
Enginsight ist die einzige All-in-One IT-Securitiy-Software Made in Germany. Mit umfangreichen Analysen ermöglicht Enginsight volle Transparenz zum Sicherheitszustand von IT-Systemen. Für IT-Security-Dienstleister ist es daher das ideale Tool, um die Situation beim Kunden vor Ort zu evaluieren. Ausgefeilte Monitoring und IT-Management-Features erlauben es darüber hinaus, dauerhafte Maßnahmen zu etablieren, damit IT-Systeme nicht nur sicher werden, sondern auch bleiben.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
Mehr Individualität bei Pentest und Asset Discovery
Hacktor
Wir haben unsere Pentest-Komponente überarbeitet, damit Sie Penetrationstest noch besser nach Ihren individuellen Bedürfnissen anpassen können.
Port Range festlegen
Legen Sie selbst fest, welche Ports Hacktor bei den Assets ansteuern soll. Bisher hat Hacktor alle 3500 meist verwendeten Ports gescannt und attackiert. Dies bleibt weiterhin die Standardeinstellung. Sie können jedoch auch Ihre favorisierte Portrange festlegen.
Entweder legen Sie einzelne Ports fest, eine Sequenz oder Sie wählen eine Anzahl der meistverwendeten Ports.
Frequenz wählen
Stellen Sie die passende Frequenz für das System ein, dass Sie einem Pentest unterziehen wollen. Richten Sie sich dabei nach den Ressourcen, die im Netzwerk vorhanden sind. Eine höhere Frequenz bedeutet kürzere Timeouts und mehr Requests. Dadurch verkürzt sich die Zeit, die der Pentest in Anspruch nimmt, deutlich. Sollte jedoch eine zu hohe Frequenz gewählt werden, welche die getesteten Systeme überlastet, können Ergebnisse verloren gehen.
Asset Discovery
Unsere Asset Discovery ist der Ausgangspunkt, mit dem Sie Licht in Ihre IT-Infrastruktur bringen, indem Sie mit dem Watchdog ganze Netzwerkgeräte nach Assets durchsuchen.
Detailansicht der Assets
Die Detailansicht der im Inventar aufgeführten Assets hat ein Facelift erhalten. Die wichtigsten Informationen zum Asset finden Sie links in einer Spalte dargestellt. Mit einem Button (rechts neben der IP-Adresse) können Sie zwischen Asset Map und Inventar switchen. Das entsprechende Asset bleibt dabei ausgewählt. So können Sie sich direkt anzeigen lassen, wo im Netzwerk sich das Asset befindet.
VLAN scannen
Mit Version 2.6.0 haben wir die Möglichkeiten des Watchdogs stark überarbeitet. Seitdem ist es möglich über mehrere Subnetze hinweg eine Asset Discovery durchzuführen.
Bei VLANs (Virtual Local Area Networks) konnte es dabei zu Problemen kommen, sodass Ergebnisse nicht korrekt angezeigt wurden. Version 2.8.0 bietet Ihnen nun die Option, einzelne Netzwerke als VLAN zu markieren. Der Watchdog passt die Scan-Operationen dann entsprecht an, sodass Sie auch bei VLANs richtigen Ergebnisse erhalten.
Refactoring: Erstellung von PDF-Berichten
Wichtige Analyseergebnisse von Enginsight können Sie sich als PDF-Bericht ausgeben lassen. Erstellen Sie einen Report von Hosts, Endpunkten, dem von der Asset Discovery erzeugten Inventar und Pentest-Ergebnissen. Führen Sie einen Pentest auf eine große IT-Infrastruktur mit vielen Assets durch, kann ein solcher Bericht einen großen Umfang annehmen. Das von uns durchgeführte Refactoring stellt sicher, dass sich auch besonders umfangreiche PDF-Reports problemlos erstellen lassen.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
Enginsight setzt auf Zwei-Faktor-Authentifizierung mit Authenticator-App
Zwei-Faktor-Authentifizierung
Der Benutzer-Passwort-Kombination einen zweiten Faktor hinzuzufügen, erhöht wesentlich die Sicherheit Ihrer Accounts. Auch in Enginsight können Sie eine zweite Stufe zur Authentifizierung nutzen, um Ihr Benutzerkonto abzusichern.
Authenticator-App
Bisher konnten Sie sich als zweiten Faktor einen Code per SMS oder E-Mail zusenden lassen. Mit Version 2.7.0 haben wir die Nutzung einer Authenticator -App hinzugefügt.
Sie können Ihre präferierte Authenticator -App nutzen. Scannen Sie einfach den QR-Code und fügen Sie Enginsight hinzu. Je nachdem, welche Daten Sie in den Einstellungen Ihres Benutzerkontos hinterlegt haben, stehen Ihnen entsprechende Möglichkeiten für die Zwei-Faktor-Authentifizierung zu Verfügung:
- Authenticator und Handynummer hinzugefügt: Authenticator und SMS werden angeboten
- Authenticator hinzugefügt, keine Handynummer: nur Authenticator wird angeboten
- Handynummer hinzugefügt, kein Authenticator: nur SMS wird angeboten
- weder Authenticator noch Handynummer hinzugefügt: E-Mail wird angeboten
Login
Bisher waren nur bestimmte Funktionen mit einer Zwei-Faktor-Authentifizierung zusätzlich geschützt. Wenn Sie möchten können Sie den zweiten Faktor nun auch beim Login abfragen lassen. Dabei steht Ihnen die Möglichkeit zu Verfügung, für 30 Tage vertrauenswürdige Geräte festzulegen, bei denen nach der ersten Anmeldung kein zweiter Faktor mehr nötig ist.
Inventarberichte
Im Inventar werden alle Assets gesammelt, die ein Watchdog im Netzwerk auffindet. Sie können zu den einzelnen Assets Informationen hinterlegen und eine agentlose Überwachung etablieren.
Die Liste aller Assets können Sie sich nun als PDF-Report ausgeben lassen. Nutzen Sie diese Möglichkeit, um eine lückenlose Dokumentation Ihrer Geräte im Netzwerk zu erstellen.
Schon seit der Version 2.6.0 können Sie in den Einstellungen des jeweiligen Watchdogs konfigurieren, nach wie vielen Tagen die Einträge von Assets, die der Watchdog nicht mehr erreicht, aus dem Inventar gelöscht werden sollen. Außerdem können Sie eine Inventarbereinigung durchführen, um alle Einträge zu löschen.
Pulsar-Agent liefert Trust-Zertifikate mit aus
Bei älteren Systemen konnte es bisher vorkommen, dass api.enginsight.com als nicht vertrauenswürdig angesehen wurden, da die Root-CA Zertifikate auf dem Hostsystem fehlen. Die Kommunikation des Pulsar-Agents war dann nicht möglich.
In seiner neuen Version liefert der Pulsar-Agent die entsprechenden Zertifikate bei der Installation mit aus, sodass dieses Problem nicht mehr auftreten kann.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
Asset Discovery und automatisierte Pentests auf neuem Level
Asset Discovery: Watchdog 3.0
Das beste IT-Security-Konzept taugt nichts, wenn kein Inventar aller Assets vorhanden ist, auf die es angewendet werden soll. Eine Übersicht über alle Assets durch eine Asset Discovery ist daher elementar. Sie bildet die Grundlage jeglicher Maßnahme zur Steigerung des Sicherheits-Niveaus.
Permanente Überwachung
Mit dem Watchdog 3.0 stellen wir den Modus der Asset Discovery auf eine permanente Überwachung um. Der neue Watchdog untersucht dauerhaft den Netzwerktraffic nach neuen Assets und sendet alle fünf Minuten seine Ergebnisse an die Enginsight Plattform. Um alle Assets zu erfassen, startet Watchdog in regelmäßigen Abständen einen aktiven Netzwerkscan. Mit einem Funkfeuer (Pings, Port-Scans etc.) provoziert der Watchdog Traffic und findet so auch Assets, die von sich aus keinen Traffic erzeugt haben. Wie häufig ein aktiver Netzwerkscan durchgeführt wird, legen Sie fest.
Sie erhalten einen Wachhund, der niemals schläft und Ihr Inventar ist immer auf dem aktuellen Stand. Wie lange vom Watchdog aufgespürte Assets im Inventar verbleiben, liegt ganz bei Ihnen. Sie können die Assets dauerhaft speichern oder eine aktive Inventarbereinigung durchführen. Das heißt, Sie können eine Anzahl an Tagen festlegen, nach der die Einträge aus dem Inventar gelöscht werden, sollte ein Asset in dieser Zeit nicht mehr erreichbar gewesen sein. Wollen Sie alle Inventareinträge eines Watchdogs löschen, steht Ihnen in den jeweiligen Watchdog-Einstellungen die Option „Inventar bereinigen“ zu Verfügung.
Aktivieren Sie bei Ihren bestehenden Watchdogs einfach die permanente Überwachung und Sie erhalten ein stets aktuelles Inventar. Nicht vergessen: Auf die gefundenen Assets können Sie mit wenigen Klicks eine Überwachung auf Verfügbarkeit und Gesundheitszustand hinzufügen. Nutzen Sie dafür die Möglichkeit von Ping- wie Portmonitoring und SNMP.
Über Subnetze hinweg scannen
Wie viele Watchdogs Sie in Ihrem Unternehmensnetzwerk platzieren, ist ihre eigene Entscheidung. Bisher hatte ein Watchdog immer Zugriff auf das entsprechende Netzsegment, in dem er sich befunden hat. Indem Sie den Watchdog entsprechend im Netzwerk platzieren und in Enginsight die Subnetze eintragen, können Sie nun auch über das einzelne Segment hinaus eine Asset Discovery durchführen.
Asset Map
Alle vom Watchdog gefundenen Assets finden Sie als unter „Inventar“ als Liste. Sollten Sie eine grafische Darstellung bevorzugen, können Sie sich die Assets auch in der Asset Map anzeigen lassen. Vergeben Sie für die Subnetze unterschiedliche Farben und erhalten Sie eine intuitive Übersicht über Ihre IT-Infrastruktur.
Automatisierte Pentests
Mit unserer Pentest-Komponente Hacktor können Sie ganze Netzwerksegmente einen Härtetest unterziehen. Dabei geht Enginsight in drei Schritten vor:
1. Mit einer erweiterten Bruteforce-Attacke versucht Hacktor durch das Ausprobieren von Benutzernamen/Passwort-Kombinationen in die Systeme einzudringen.
2. Der CVE-Scan prüft die Systeme auf Sicherheitslücken und validiert diese.
3. Schließlich wird in der Discovery auf falsche Konfigurationen getestet.
Eine Übersicht über alle Tests, Attacken und unterstützten Services erhalten Sie in der Dokumentation.
Hacktor 3.0
Unter der Haube haben wir unserer Pentest-Komponente Hacktor eine Frischzellenkur verpasst. Wir haben die Stabilität auf ein neues Niveau gehoben und Vorbereitungen getroffen, um die Funktionalität in Zukunft weiter auszubauen.
Die Version Ihres Hacktors müssen Sie stets auf dem neusten Stand halten, damit Sie eine Asset Penetration durchführen können. Updaten Sie also unmittelbar alle Ihre Hacktoren.
Validated CVEs
Der netzwerkseitige Flächenscan nach Sicherheitslücken (CVEs) ist ein Teil unserer Pentest-Komponente Hacktor. Die Ergebnisse des CVE-Scans sind nun aussagekräftiger.
Wird das Betriebssystem erkannt, prüft Enginsight, ob die vorgefundenen Sicherheitslücken (CVEs) bei dem entsprechenden Betriebssystem wirksam wird. Das heißt, es besteht eine Möglichkeit, die Sicherheitslücke auszunutzen. Ist dies der Fall, kennzeichnen wir die gefundenen CVEs als „validated“. Kann das Betriebssystem nicht zweifelsfrei erkannt werden, fügen wir dem Eintrag den Hinweis „invalidated“ hinzu. Hier muss der Nutzer selbst nachprüfen, ob die Sicherheitslücke bei diesem System wirksam ist. So erhalten Sie einen aussagekräftigen Indikator, ob es sich um einen False Positive handeln könnte.
CVE Score Ausgabe in Audit Reports und PDF-Berichten
Der CVE-Score von aufgedeckten Sicherheitslücken wird nun direkt im Audit Report sowie den PDF-Berichten angezeigt.
Enumeration
Mit „Enumeration“ ist eine neue Test-Kategorie zu unserem Pentest hinzugekommen. Hier sammelt Hacktor alle Informationen, die auch Hacker mit schlechten Absichten in massenhaften Scans sammeln, um mögliche Einstiegspunkte zu finden. Dabei werden Systeme und ihre geöffneten Ports gezielt angesprochen.
Hacktor prüft im Rahmen der Enumeration die Ports
- auf veraltete Softwareversionen der Dienste, welche die Ports geöffnet haben („Exposed Software Version“).
- ob ein Dienst vorhanden ist, über den eine Fernwartung durchgeführt werden kann („Exposed Remote Control Service“).
In Kürze werden weitere Prüfszenarien für Ports hinzukommen, etwa ob sie unnötig geöffnet sind oder auf offene Windows-Netzwerkshares.
Des Weiteren wird im Rahmen der Enumeration-Phase das Domain Name System (DNS) analysiert.
Domain Name System (DNS)
Das Domain Name System (DNS) dient dazu, einer Domain die passende IP-Adresse zuzuordnen. Es fungiert dabei wie eine Telefonauskunft. Der Dienst ist damit einer der wichtigsten Bausteine des Internets. Trotzdem besitzt er große Schwachstellen, die sich Hacker zu Nutze machen können, um Man-in-the-middle-Attacken auszuführen. Nachhaltigen Schutz gegen Angriffe kann aber die Implementierung der Domain Name System Security Extensions (DNSSEC) geben.
Hacktor prüft daher auf eine valide DNS-Zertifizierung und ob die wichtigen DNSSEC-Maßnahmen ergriffen wurden. Im Detail testet er:
Missing DNS CAA record DNS: Certification Authority Authorization (CAA) Records dienen dazu, bestimmte Zertifizierungsstellen (CAs) zu berechtigen, ein Zertifikat für die Domain auszustellen. So kann verhindert werden, dass fälschlicherweise Zertifikate für eine Domain ausgestellt werden.
Missing Contact Address for DNS CAA: Für die Certification Authority Authorization (CAA), die das Zertifikat für die Domain ausgestellt hat, ist keine Kontaktadresse angegeben.
Invalid Contact Address for DNS CAA: Die angegebene E-Mail-Adresse der Zertifizierungsstelle entspricht nicht dem gültigen E-Mail-Format (abc@xyz.com).
Uncommon Certification Authority: Die Certification Authority Authorization (CAA), die das Zertifikat für die Domain ausgestellt hat, ist ungewöhnlich.
Missing SPF record: Das Sender Policy Framework (kurz SPF) ist eine Methode, die das Fälschen des Absenders einer E-Mail erschweren soll. Dazu wird überprüft, ob der Server des Absenders über die Rechte für den E-Mail-Versand verfügt.
Missing DMARC record: Domain-based Message Authentication, Reporting and Conformance (DMARC) baut auf SPF auf. Es erlaubt der Absender-Domain eine Spezifikation festzulegen, wie der Empfänger bei einem Verstoß mit der E-Mail umgehen soll.
Invalid DMARC record content: Der Inhalt des DMARC Records ist nicht gültig, da ein oder mehrere Tags in der DMARC Record nicht gesetzt sind.
No support for DNSSEC: Domain Name System Security Extensions (DNSSEC) ermöglicht durch Signaturen, die Authentizität und Integrität erhaltener Daten zu prüfen. So wird verhindert, dass Daten umgelenkt oder verändert werden können.
Missing DNSKEY record: DNSKEY Records werden im Rahmen von DNSSEC verwendet, um den öffentlichen Schlüssel über einen öffentlich zugänglichen Server zugänglich zu machen.
Missing RRSIG record RRSIG Records werden im Rahmen von DNSSEC verwendet. Sie enthalten die Signatur eines DNS-Resource-Record-Sets.
Missing DS record: DS Records werden im Rahmen von DNSSEC verwendet, um eine Chain of Trust aufzubauen, die über einen einzigen öffentlichen Schlüssel validiert werden kann.
Missing NSEC record NSEC Records werden im Rahmen von DNSSEC verwendet, um alle vorhandenen Einträge in alphabetischer Reihenfolge zu verketten. So kann das Nicht-Vorhandensein von DNS-Einträgen verifiziert werden.
Missing NSEC3 record: NSEC3 Records werden im Rahmen von DNSSEC verwendet. Sie bieten eine alternative Möglichkeit zu NSEC, um das Nicht-Vorhandensein von Einträgen zu verifizieren. Dabei setzt NSEC3 auf Hashwerte statt Klartext.
Missing CDNSKEY record: CDNSKEY records werden im Rahmen von DNSSEC verwendet. Sie sind nützlich, wenn Veränderungen an DNSKEYs vorgenommen werden.
Missing CDS record CDS records werden im Rahmen von DNSSEC verwendet. Sie sind nützlich, wenn Veränderungen an DNSKEYs vorgenommen werden.
Neue Checks für HTTP-Header
Hacktor hat bereits die korrekte Konfiguration vieler http-Header geprüft. Mit der neuen Version kommen zwei neue hinzu:
X-Mod-Pagespeed und X-Powered-By: Der X-Mod-Pagespeed und X-Powered-By Header sollten aus Sicherheitsgründen entfernt werden. Die Ausgabe dieser Informationen über das System ist in der Regel nicht notwendig und gibt Hackern Informationen preis, die sie für Angriffe nutzen können.
Neue Tests der SSL/TLS-Verschlüsselung
Die Verschlüsselung via SSL/TLS wird nun durch zwei weitere Checks geprüft:
Supports SSL/TLS compression: Von der Verwendung der Kompression wird abgeraten, da sie SSL/TLS für angreifbar macht (insbesondere für CRIME, Compression Ratio Info-leak Made Easy).
No Support for Secure Renegotiation: Secure Renegotiation stellt sicher, dass keine Überlastung möglich ist, wenn ein Client dauernd neue Schlüssel anfordert. Anfragen werden dann geblockt und eine DDos-Attacke verhindert.
Neuer Status: Filtered
Sollte der Versuch einer Asset Penetration durch eine Firewall geblockt werden, erhält das Target beziehungsweise der Audit Report nun den Status „filtered“.
Searchbar in War Room
Die bereits an vielen Punkten in der Plattform eingeführte Searchbar haben wir in die Audit Reports integriert. So haben sie weiterhin die Möglichkeit die Ergebnisse nach Status, Port, Kategorie, Dringlichkeit, Beschreibung und Bereich zu filtern. Darüber hinaus können Sie jedoch auch per Custom Search die Ergebnisse mit Freitext durchsuchen.
Übersicht aller generierten Berichte
Unter Berichte erhalten Sie nun alle von Ihnen erstellten PDF-Reports von durchgeführten Pentests in einer gemeinsamen Übersicht.
Zeitzonen für geplante Plugins
Plugins helfen Ihnen dabei die Automatisierung in der Administration Ihrer IT voranzutreiben. Sie eröffnen unendliche Möglichkeiten, um Sie von Routineaufgaben zu entlasten. Plugins lassen sich entweder als Reaktion auf ein Systemereignis ausführen oder regelmäßig zu einem bestimmten Zeitpunkt via Cronjob.
Für die geplante Ausführung lässt sich nun die gewünschte Zeitzone auswählen. Das ermöglicht Ihnen eine stets genaue Terminierung ihrer Plugins.
Installation des Pulsar Agent
Der Installationsprozess des Pulsar Agent ist jetzt unter Linux in der Konsole besser verständlich.
Mit „No Proxy“ ist eine neue Installer Option dazugekommen. Sie ermöglicht individuelle Proxyeinstellungen für den Agent, ohne die Proxyeinstellungen des Hosts anpassen zu müssen. Relevant ist diese Option z.B. in Fällen, in denen Sie Enginsight OnPremises nutzen und die IP-Adressen der Instanz nicht überall in der NO_PROXY Konfiguration des Betriebssystems hinterlegen können. IP-Ranges oder Wildcards werden bei der nicht akzeptiert.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
DRAI Consult wird Teil des Enginsight Partner-Netzwerkes
Holger Zorn, Geschäftsführer von DRAI Consult: „Mit Enginsight können wir unseren Kunden ein fortschrittliches und preislich attraktives Rundumpaket anbieten, dass ihre IT auf sichere Beine stellt. Uns überzeugten an Enginsight insbesondere die schnelle Einsatzbereitschaft und die Möglichkeit die IT unserer Kunden innerhalb kürzester Zeit zu analysieren und dauerhaft zu überwachen.“
Mario Jandeck, CEO von Enginsight: „Unser Partnernetzwerk ist ein zentraler Baustein, um die Potentiale unserer Software bei möglichst vielen Unternehmen zur Entfaltung zu bringen. Wir sind sehr glücklich, mit DRAI Consult einen so erfahrenen Partner in der Region Schweinfurth gewonnen zu haben und freuen uns auf die zukünftigen, gemeinsamen Projekte.“
Über DRAI Consult
Die DRAI Consult GmbH & Co. KG ist die Topadresse für professionelle IT-Dienstleistungen in Unterfranken. Das breite Leistungsportfolio umfasst Consulting und Implementierung von unter anderem Netzwerk-, Security- und Linux-Lösungen. Egal ob kleines, mittleres oder großes Projekt, DRAI Consult liefert dank langjähriger Erfahrung und kompetenten Mitarbeitern stets maßgeschneiderte Konzepte. Ihre enge Zusammenarbeit mit innovativen Software- und Hardwareherstellern ermöglichen einfache Antworten auf komplexe Fragestellungen.
Über Enginsight
Die Enginsight GmbH entwickelt eine Softwarelösung zur Überwachung gesamter IT-Infrastrukturen. Innerhalb kürzester Zeit und ohne Konfigurationsaufwand liefert Enginsight umfangreiche Analysen und Handlungsempfehlungen zur Sicherheit von Servern, Clients und Webseiten. Darüber hinaus lassen sich mit automatisierten Penetrationstest Hackerangriffe simulieren, um Schwachstellen aufzudecken. Enginsight ist das ideale Tool für IT-Dienstleister, um bei ihren Kunden die IT-Sicherheit zu evaluieren, als auch dauerhafte Maßnahmen zu etablieren.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
IT-Security Startup Enginsight erhält Förderung durch Bundesministerium
Wie Enginsight für Sicherheit sorgt
Enginsight bietet die effizienteste Lösung für die zunehmenden Herausforderungen der IT-Sicherheit im deutschen Mittelstand. Die 100% eigenentwickelte Software ermöglicht es Unternehmen, innerhalb weniger Minuten ihre gesamte IT automatisiert zu überwachen und sicherheitstechnisch zu analysieren. Informationen über Sicherheitslücken oder Konfigurationsmängel werden ebenso aufgezeigt wie gerade live stattfindende Cyberangriffe. Mit simulierten Hackerangriffen können die Kunden außerdem ihren Blickwinkel ändern, um die gesamte IT einem Härtetest zu unterziehen.
Die praxisnahen Analyseergebnisse und konkreten Handlungsempfehlungen helfen Unternehmen, proaktiv tätig zu werden, bevor es zum Schadensfall durch Cyberkriminelle kommt. Ein Ausfall der IT, der Produktion oder der Abfluss sensibler Daten kann so frühzeitig verhindert werden.
Rückenwind durch StartUpSecure
Die Förderung durch das BMBF unterstützt die technische und unternehmerische Entwicklung von Enginsight. Mit der Förderung wird u.a. das Ziel verfolgt, mithilfe von Machine Learning die wachsenden Datenströme zu analysieren und auszuwerten. Auf diese Weise kann der Verwaltungsaufwand geringgehalten und die Technologie kostengünstig insbesondere kleinen und mittleren Unternehmen zur Verfügung gestellt werden.
Mario Jandeck, CEO bei Enginsight: „Die Förderung durch StartUpSecure ist ein weiterer Ritterschlag für unseren konkurrenzlosen Technologie-Stack, über den wir sehr glücklich sind. Das Programm des Bundesministeriums für Bildung und Forschung bietet einmalige finanzielle und organisatorische Unterstützung, die dabei helfen wird, uns als zentralen Anbieter einer Cybersecurity-Software auf dem deutschen Markt zu positionieren.“
Max Tarantik, Head of Business Development bei Enginsight: „Unser Produkt hat sich bereits sehr gut entwickelt und doch haben wir noch große Pläne, wie wir das Thema IT-Sicherheit für den Mittelstand greifbarer machen können. Mithilfe der Förderung ist es uns möglich, neue technologische Entwicklungen voranzutreiben und zu evaluieren. Dafür können wir verschiedene Möglichkeiten zur Publizierung nutzen und neue Mitarbeiter einstellen.“
Über StartUpSecure
Mit dem Ziel, gute Ideen der IT-Sicherheit mit neuartigen und unkonventionellen Ansätzen schneller in die praktische Anwendung zu bringen, startete das Bundesministerium für Bildung und Forschung (BMBF) die Initiative „StartUpSecure“. Sie ist Teil der Gründerinitiative „Mehr Chancen für Gründungen“, mit der das BMBF die Gründerkultur Deutschlands in Wissenschaft und Forschung unterstützt.
Mit der Vision einer umfassenden und autonomen IT-Sicherheits-Software für den Mittelstand gründeten Eric Range und Mario Jandeck im Jahr 2017 die Enginsight GmbH in Jena. Auszeichnungen wie der Thüringer Gründerpreis und der KfW-Award ebenso wie frühe namhafte Kunden, zeigten an, dass sie mit ihrer Idee genau die Bedürfnisse der Zeit getroffen haben. Enginsight befindet sich auf Wachstumskurs und besteht aktuell aus zehn qualifizierten und hochmotivierten Mitarbeiter/innen.
www.enginsight.com
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Business Development
Telefon: +49 (0)3641 2717814
E-Mail: max.tarantik@enginsight.com
Überwachen Sie die Autostarts Ihrer Server mit Enginsight
Autostarts überwachen
Unter Autostarts erhalten Sie eine Übersicht über Software, die bei einem Systemneustart Ihres Servers oder Clients automatisch gestartet wird. Sie können Autostarts auch direkt aus unserer Plattform heraus löschen. Klicken Sie dazu auf das Mülleimer-Icon hinter dem Eintrag.
Ein Autostart beeinflusst einerseits die Performance, kann aber auch aus Sicherheitsperspektive kritisch sein. Software, die auf einem Server oder Client läuft, erhöht immer die Angriffsfläche für mögliche Angriffe. Deshalb sollten auch aus sicherheitstechnischer Abwägung heraus, die Zahl der Autostarts auf die nötige Software beschränkt sein. Bei Servern existieren in der Regel fast keine Autostarts. Auch Schadsoftware, bspw. ein Trojaner, möchte bei jedem Reboot neu gestartet werden und können daher in der Liste auftauchen.
Neue Autostarts, insbesondere bei Servern, sollten immer auf ihre Notwendigkeit und Legitimität geprüft werden. Mit dem Alarm „Neuer Autostart“ können Sie sich daher benachrichtigen lassen, sofern ein Autostart hinzugefügt wird. Schalten Sie am besten den Alarm via Tag auf alle Ihre überwachten Server.
Damit sie die neue Funktion nutzen können, müssen Sie den Pulsar-Agent auf Ihren Hosts auf die aktuelle Version updaten.
Services: Systemrelevanz festlegen
Auf Servern und Clients, die mittels Pulsar-Agent überwacht werden, ermittelt Enginsight die laufenden und gestoppten Services. Ein Service (oder auch Dienst genannt) ist ein Programm, das beim Start des Computers in der Regel automatisch gestartet wird und im Hintergrund läuft, ohne dass der Benutzer mit ihm interagiert. Es wartet darauf, seine Aufgabe zu erledigen, und besitzt in der Regel keine grafische Oberfläche. Viele Dienste werden vom Betriebssystem mitgeliefert, um die Grundfunktionen des Rechners zu gewährleisten. Dienste können auch nachinstalliert werden, z. B. mit der Installation neuer Software.
Sollte ein Service unbemerkt gestoppt werden, kann dies sowohl Funktionalität als auch Sicherheit Systems massiv beeinflussen. Nicht jeder Service, der gestoppt wird, ist jedoch als problematisch einzustufen. Deshalb können Sie jetzt in der Enginsight Plattform manuell festlegen, welche Services systemrelevant sind. Standardmäßig werden alle Services als systemrelevant angenommen und eine entsprechende Warnung in der Sidebar sowie der Hostübersicht angezeigt, wenn sie gestoppt werden.
Wählen Sie jedoch die Option systemrelevant ab, wird keine Warnung mehr ausgegeben, sollte der Service gestoppt worden sein. Prüfen Sie daher Ihre (gestoppten) Services auf die Systemrelevanz und erhalten Sie künftig keine ungerechtfertigten Warnungen mehr.
Verbindungen: Alarm auf neue geöffnete Ports
Seit Version 2.4.0 können Sie mit Enginsight die geöffneten Ports Ihrer Server und Clients anzeigen lassen. Jetzt können Sie sich auch alarmieren lassen, wenn neue Ports aufgehen. So können Sie unmittelbar prüfen, ob der entsprechende Port tatsächlich geöffnet sein muss. Je mehr Ports geöffnet sind, desto anfälliger ist das System für Hackerangriffe, da die hinter dem Port steckende Software potenziell Sicherheitslücken aufweisen kann. Deshalb sollte (gerade bei Servern) die Anzahl an geöffneten Ports auf das nötige Minimum beschränkt bleiben.
Bei einem Webserver sind beispielsweise prinzipiell Port 80 und 433 (http und https) offen, die beide nicht anfällig für Hackerattacken sind. Geht ein weiterer Port auf, z. B. Port 22 (ssh), kann ein Angreifer versuchen sich mit einer Bruteforce-Attacke auf dem Server einzuloggen. Dadurch sinkt das Sicherheitsniveau des Servers massiv.
Wir empfehlen daher, via Tag den neuen Alarm für sich neu geöffnete Ports auf alle Ihre überwachten Server zu schalten.
Netzwerkaktivitäten: Neue Angriffsszenarien
Das durchdachte Featureset von Enginsight umfasst eine Überwachung des Netzwerkverkehrs mittels Deep Packet Inspection. Das verhindert, dass Cyberkriminelle unbemerkt Ihre IT-Systeme angreifen. Mit der Version 2.5.0 haben wir die Erkennung von Angriffen um zwei Szenarien erweitert.
VNC Bruteforce
Virtual Network Computing (VNC) ist ein Remote-Protokoll, das genutzt wird, um den Bildschirminhalt eines entfernten Rechners auf einem lokalen Bildschirm anzuzeigen und zu steuern. Diese umfassende Möglichkeit macht es zu einem beliebten Mittel von Hackern.
Mit Brute-Force-Attacken versuchen Angreifer durch massenhaftes, automatisches Ausprobieren von Benutzer- und Passwortkombinationen in das System einzudringen. Seit Version 2.4.0 unterstützt Enginsight bereits die Erkennung von Brute-Force-Angriffen auf das Remote-Protokoll RDP. Der Erkennungsumfang wurde nun auf VNC ausgeweitet.
Enginsight erkennt Bruteforce-Attacken auf folgende Systeme:
- SSH
- SQL- und NoSQL Datenbanken
- FTP
- RDP
- VNC
UDP Port Scan
Mit einem Port Scan versuchen Angreifer herauszufinden, welche Ports auf einem System geöffnet sind. Dafür senden Sie Datenpakete an die IP-Adresse des Ziels und wechseln dabei immer wieder den angesteuerten Port. Dadurch sammelt der Angreifer Informationen über die Systeme, wie verwendete Services und Betriebssystem, die er für weitere Schritte der Attacke benötigt.
Nicht jeder Port Scan ist illegitim und hängt mit einer Cyberattacke zusammen. Bei der Suche nach verfügbaren Druckern führen PCs beispielsweise einen legitimen Port Scan durch. Legitime Port Scans beschränken sich jedoch auf bestimmte Standard Ports, während illegitime Port Scans massenhaft Ports ansteuern. Erkennt der Agent ein solches illegitimes Verhalten, schlägt er Alarm.
Während Enginsight bisher bereits illegitime Port Scans mit dem geläufigen Transportprotokoll Transmission Control Protocol (TCP) erkannte, ist die Erkennung nun auf das User Datagram Protocol (UDP) ausgeweitet worden.
Manueller Refresh des Softwareinventars
Enginsight überprüft die auf Servern und Clients installierte Software alle 60 Minuten. Mit dem neuen „Aktualisieren“-Button lässt sich das Softwareinventar nun auch manuell auf den aktuellen Stand bringen.
Software-Erkennung verbessert
Bei 32-Bit und 64-Bit-Systemen unterscheiden sich die Pfade der installierten Software. Dies führte in wenigen Fällen dazu, dass die Softwareerkennung des Pulsar-Agent nicht richtig funktionierte. Mit der aktuellen Version des Agents haben wir dieses Problem behoben und die Erkennung installierter Software funktioniert jetzt zuverlässig.
Achten Sie darauf, immer die aktuelle Version des Agents auf Ihren Hosts installiert zu haben, damit alle (neuen) Funktionen wie gewünscht funktionieren. Unter Hosts → Übersicht → Agents aktualisieren können Sie den Agent auf allen Ihren Hosts auf einmal auf die neuste Version updaten.
Enginsight GmbH
Hans-Knöll-Straße 6
07745 Jena
Telefon: +49 (3641) 2714966
http://enginsight.com
Geschäftsführer
Telefon: +49 (3641) 2714966
E-Mail: mario.jandeck@enginsight.com
