Reduzieren Sie Ihr Risiko mit Best Practices für die Sicherheit von Exchange Server

Die Hafnium-Hacks haben für viele Unternehmen ein notwendiges Übel aufgezeigt: die Notwendigkeit, weiterhin den lokalen Exchange-Server für E-Mails zu verwenden.

Selbst wenn Sie die neuesten kumulativen Updates installieren, gibt es keine Möglichkeit, Exchange Server dauerhaft vor einem Zero-Day zu schützen. Die Antwort auf die Hafnium-Hack gab Exchange-Administratoren einen Weckruf, dass mehr Schutzmaßnahmen erforderlich seien, um die Sicherheit ihrer Systeme zu erhöhen. Exchange Server kann nur sehr privilegiert funktionieren, was ihn zu einem attraktiven Ziel für Hacker macht, die, sobald sie das Netzwerk durchbrechen, quer durch die Infrastruktur laufen. Obwohl es nicht möglich ist, alle mit Exchange Server verbundenen Risiken zu eliminieren, können Administratoren mehrere Schritte unternehmen, um den Schaden im schlimmsten Fall zu kontrollieren.

Da E-Mail die am häufigsten verwendete Kommunikationsmethode für Unternehmen ist, kann jede Unterbrechung der Messaging-Plattform erhebliche Probleme für das Unternehmen verursachen. E-Mails können auch sensible Informationen wie Verträge, vertrauliche Daten und die Kommunikation zwischen Mitarbeitern enthalten, die, wenn sie in falsche Hände geraten, zu rechtlichen und finanziellen Schwierigkeiten führen können. Administratoren können Ausfallzeiten und Angriffsversuche vermeiden, wenn sie die bewährten Sicherheitspraktiken von Exchange Server befolgen, um das Unternehmen vor laufenden Cyberangriffen und neuen Bedrohungen zu schützen.

Schützen Sie mit dem Internet verbundene Server

Eines der Schlüsselelemente, die den Hafnium-Hack zum Erfolg machten, sind die Angreifer, die verwundbare Server gefunden haben Remote-Port-Scans. Bei einigen Exchange-Installationen müssen einige Ports für das Internet geöffnet sein.
Um zu vermeiden, dass der Server entdeckt und zum Ziel wird, sollten Administratoren die folgenden Schritte ausführen, um zu verhindern, dass der Server von Angreifern entdeckt wird:

  • Blockieren Sie den gesamten eingehenden Datenverkehr von mutmaßlichen IP-Adressen oder aus dem Ausland;
  • Implementieren Sie Firewall-Schutzmaßnahmen, die Port-Scans von externen IP-Adressen erkennen und blockieren; und
  • erkennen und blockieren Sie anormalen eingehenden Datenverkehr mit dem Exchange Server als Ziel.

Pflegen Sie kritische Geschäftsanwendungen

Es ist unbedingt erforderlich, Patches und Softwareupdates so schnell wie möglich für alle Softwareprodukte bereitzustellen. Dies ist besonders wichtig für Exchange Server.
Administratoren können Exchange basierend auf einem vordefinierten Wartungsfenster aktualisieren, wodurch sie mit den neuesten vierteljährlichen kumulativen Updates von Microsoft Schritt halten können. Administratoren sollten über die neuesten Exchange-Sicherheitsupdates von Microsoft auf Websites wie der Leitfaden für Sicherheitsupdates und Microsofts Sicherheit Blog-Site. Früher waren Out-of-Band-Sicherheitsupdates für Exchange eine Seltenheit, da Microsoft Fixes für Exchange Zero-Days veröffentlichen wird, sobald sie verfügbar sind. Es ist auch wichtig, auf diesen Websites nach Tools und Anweisungen zur Risikominderung zu suchen, wenn kein Patch für eine Schwachstelle verfügbar ist.

Verwenden Sie fortschrittliche Sicherheitstools, um abnormale Aktivitäten im System zu erkennen

Es reicht nicht mehr aus, Antivirenanwendungen auf Servern wie Microsoft Exchange zu installieren und von ihnen einen angemessenen Schutz zu erwarten. Antiviren-Tools sollten als das Minimum angesehen werden, um Systeme vor bekannter Malware zu schützen, aber sie bieten nur sehr wenig Schutz, wenn der Remote-Angriff Exploits verwendet.
Um geschäftskritische Server zu stärken, sollten Administratoren Nachforschungen anstellen Endpunkterkennungs- und Antworttools (EDR) von Anbietern wie SentinelOne, Trend Micro und Sophos. EDR fügt eine weitere Schutzebene hinzu, indem es die verschiedenen Aktivitäten auf einem Exchange-Server analysiert und mithilfe von KI bestimmt, ob diese Aktivitäten bösartig sind und blockiert werden sollten und ob Administratoren bei verdächtigen Ergebnissen benachrichtigt werden sollen.

Eliminieren Sie den lokalen Exchange, wenn möglich

Ein weiterer Ansatz zur Reduzierung der Sicherheitsrisiken, die mit der Flut von Exchange Server-Angriffen Anfang 2021 verbunden sind, besteht darin, auf eine Hybridkonfiguration umzusteigen oder vollständig auf Exchange Online zu migrieren.
Einer der Gründe, warum ein Hybrid-Setup zusätzlichen Schutz bietet, besteht darin, dass der Exchange-Server nicht mit dem Internet verbunden sein muss, wenn alle Postfächer in der Microsoft-Cloud gehostet werden. Wenn Sie alle Postfächer zu Exchange Online verschieben, heißt es in der Microsoft-Dokumentation, dass Sie weiterhin Exchange Server für die hybride Identitätsverwaltung benötigen. Microsoft unterstützt nur die Verwendung seiner Tools – Exchange Management Console, Exchange Admin Center oder Exchange Management Shell – zum Verwalten von Active Directory-Attributen in einem vollständigen Verzeichnissynchronisierungsszenario.
Angesichts der Tatsache, dass mehr Organisationen in Betracht ziehen Office 365 für E-Mail, ist die Migration zu Exchange Online eine weitere Möglichkeit, das Sicherheitsrisiko eines lokalen Servers zu verringern, der eine kontinuierliche Überwachung, Aktualisierung und Patches erfordert.

Überwachen Sie Audit-Logs auf verdächtige Aktivitäten

Während einige der oben genannten Schritte einen starken Schutz vor Exchange-Angriffen bieten, bestehen Risiken bei Angriffen von innen oder mit gehackten Anmeldeinformationen. Dies bedeutet, dass die IT sorgfältig wissen muss, welche Art von administrativen Aktivitäten auf ihren Servern stattfinden. Exchange-Administratoren müssen ihre Exchange-Überwachungsprotokolle regelmäßig überwachen und nach verdächtigen administrativen Aktivitäten suchen, darunter:

  • Konfigurationsänderungen wie Delegierungen und Berechtigungsänderungen;
  • Postfach-Exporte;
  • Änderungen an Benutzerrollen;
  • Löschen von Inhalten wie Postfächern oder Ressourcen;
  • Änderungen an Exchange-Datenbanken; und
  • Änderungen der Sicherheitsrichtlinien.

Jede dieser Änderungen sollte untersucht werden, wenn der Exchange-Administrator sie nicht autorisiert hat. Es gibt viele Tools, die das System auf diese Arten von Aktivitäten überwachen, darunter Produkte von Lepide, SolarWinds und Netwrix, die Warnungen senden, wenn verdächtige Aktivitäten weitere Untersuchungen erfordern.

Similar Posts

Leave a Reply