Tag Archives: Cyber Security

BestPractices.live – Access Point VPN – Einfache und sichere Anbindung des Home-Offices

Die vermehrte Arbeit von zu Hause stellt die IT-Teams vor neue Herausforderungen. Die IT-Strategie muss überdacht werden, sodass die etablierten Security-Mechanismen aus den internen Unternehmensnetzwerken, auch auf das Home-Office adaptiert werden müssen.

In diesem Best-Practices Webinar stellen Ihnen WatchGuard-Experten vor, wie Sie mit einem WatchGuard Access Point sowohl das Sicherheitsniveau als auch die Anbindung in das Firmennetzwerk für das Home-Office verbessern können, um den IT-Richtlinien des Unternehmens gerecht werden.

Weiterlesen »

BestPractices.live – Risikobasierte Authentifizierung

Gestohlene Anmeldeinformationen öffnen immer wieder für Cyber-Kriminelle die Tür in Unternehmensnetzwerke. Daher ist eine starke und risikobasierte Multifaktor-Authentifzierung wie WatchGuard AuthPoint entscheidend um Zugangspunkte und Ressourcen in Unternehmensnetzwerken zu schützen. Hierzu zählen auch Webportale und Webapplikationen – egal ob im eigenen Rechenzentrum oder in der Cloud, die vor ungewünschten Zugriffen geschützt werden müssen. Mit Hilfe der SAML2.0 Integration kann AuthPoint auch diese Ressourcen einbeziehen.

In diesem Webinar stellen Ihnen WatchGuard-Experten die Möglichkeiten der Integration von WatchGuard AuthPoint in SAML Ressourcen vor um somit eine risikobasierte Authentifizierung zu ermöglichen. Das Firebox Access Portal ist eine der vorgestellten Varianten, aber auch 3rd Party Integrationen (z.B. für Office 365) werden thematisiert.

Weiterlesen »

BestPractices.live – HTTPS Content Inspection

Die Web-Kommunikation verlagert sich zunehmend zu HTTPS-Verbindungen. Damit diese auch am Netzwerk-Perimeter zur Anwendung der umfangreichen Schutzfunktionen inspiziert werden können, kann die Funktion HTTPS Content Inspection zur Anwendung gebracht werden.

In diesem Webinar stellen Ihnen WatchGuard-Experten die umfangreichen Möglichkeiten zur Konfiguration und Verwaltung der Funktion vor.

Weiterlesen »

ExpertTalk.live – Threat Hunting und XDR – Welche IT-Sicherheitskonzepte schützen erfolgreich?

In diesem ExpertTalk.live diskutieren WatchGuard Security-Experten über Angriffswege von Cyber-Kriminellen und Konzepte, deren Attacken vorzubeugen und zu verhindern. Immer wieder werden neue Schwachstellen in verbreiteter Software ausgenutzt oder andere Wege zur Kompromittierung von Unternehmensnetzwerken gefunden. Exemplarisch werden Fälle besprochen, in denen Cyber-Kriminelle erfolgreich waren und Technologien und Konzepte zur Abwehr auf den Prüfstand gestellt.

Dabei wird erläutert wie Cyber-Kriminelle typischerweise vorgehen und mit welchen Methoden sie erfolgreich waren. Auf diesem Weg wird auch ein prüfendes Licht auf die üblichen „Probleme“ in Kundenumgebungen geworfen und welche Prinzipien und Konzepte zur Abwehr von Cyber-Angriffen davor schützen. Danach wird auf die Begriffe Threat Detection, Threat Prevention und Threat Hunting eingegangen sowie was hinter diesen Technologien steckt? Zum Abschluss werden auch die Unterschiede zwischen EDR, NDR und XDR dargelegt sowie die Frage diskutiert, welchen Mehrwert vereinheitlichte Systeme zur Aufarbeitung bieten.

Weiterlesen »

ExpertTalk.live – Wunsch und Wirklichkeit – Eine Diskussion über Empfehlungen von Cybersicherheitsbehörden und Institutionen

Inhalt:

In diesem ExpertTalk diskutieren WatchGuard Security-Spezialisten darüber, ob und wie Empfehlungen und Handlungshinweise z.B. des BSI helfen, den Schutz vor Cyberkriminalität in mittelständischen Unternehmensnetzen zu stärken. Hierzu werden Beispiele zu technischen Empfehlungen und Hinweisen, sowohl von international als auch regional tätigen Institutionen (BSI, Allianz für Cybersicherheit, etc.) betrachtet und auch der hauseigene Internet Security Report unter die Lupe genommen. Die Frage, ob solche Hinweise und Leitfäden nur ein Wunsch oder in der Wirklichkeit verankert sind, steht in diesem ExpertTalk im Fokus.

Diskussionspunkte:

  • Segmentierung von Netzen als wichtige Grundlage
  • Schutz vor Datendieben mit Multifaktor-Authentifizierung
  • Möglichkeiten zur Erhöhung des Schutzes vor Ransomware
  • Ableitungen aus der Cybercrime-Statistik des BKA
  • Der WatchGuard Internet Security Report als Entscheidungshilfe

HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion

WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.

Der Plan umfasst diese 4 Schritte:

  1. Diagnose
  2. Behebung
  3. Prävention
  4. Untersuchung

Weiterlesen »

WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber

Überblick

Worum geht es?

  • WatchGuard hat am 23.02.2022 um 16:00 Uhr publik gemacht, dass es Angreifern möglich bzw. möglich gewesen ist, sich unberechtigt auf eine WatchGuard Firebox aufzuschalten und dort eine Fremdsoftware zu installieren.
  • Dieser Angriff ist bereits unter dem Namen Cyclops Blink Infection bekannt. Hinter dem Angriff steht eine vermutlich von Russland geförderte Gruppe von Cyberkriminellen.
  • Die eng mit offiziellen Stellen wie dem amerikanischen FBI, der CISA, dem DOJ und dem britischen NCSC1 durchgeführten forensischen Untersuchungen konnten nicht aufzeigen, dass die eventuell installierte Fremdsoftware in die zu schützenden Kunden-Netzwerke eingedrungen ist oder dass Daten mitgelesen oder ausgeleitet worden sind.
  • Auch das eigene Netzwerk und die Kundendaten von WatchGuard wurden nicht verletzt oder beeinträchtigt.
  • Die infiltrierten Systeme sollten vielmehr in der Zukunft als Teil eines globalen Botnet missbraucht werden.

Welche Systeme können betroffen sein?

  • Basierend auf aktuellen Schätzungen könnte Cyclops Blink etwa 1% der aktiven WatchGuard-Firewall-Appliances unabhängig von Modell und Versionsstand beeinträchtigt haben; andere WatchGuard-Produkte sind nicht betroffen.
  • Die Schwachstelle konnte nur dann von den Angreifern ausgenutzt werden, wenn die für Admin-Zwecke verwendeten Ports 8080/tcp, 4118/tcp, 4105/tcp und 4117/tcp direkt aus dem Internet (=”Any-External”) erreichbar waren.
  • Dies entspricht aber nicht dem Best Practice und den von WatchGuard publizierten Installationshinweisen. Im Auslieferungszustand ab Werk (“Setup Wizard”) sind diese Admin-Ports nur von lokalen Netzwerken (“Any-Trusted” oder “Any-Optional”) nutzbar.
  • Wenn diese Ports aus dem Internet nicht geöffnet waren, ist die WatchGuard Firebox Appliance auch nicht in Gefahr gewesen!
  • Beachten Sie in diesem Zusammenhang bitte auch unseren Blogartikel HOWTO: Best Practices für Firebox Remote Management

Was ist zu tun?

  • WatchGuard hat einen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion veröffentlicht.
  • WatchGuard bittet dringend darum, dass die Diagnose auf ALLEN im Markt befindlichen Firebox-Systemen durchgeführt wird.
  • Abhilfemaßnahmen sind nur erforderlich, wenn Sie eine infizierte Appliance haben.
  • Trotzdem sollten alle Kunden, ob infiziert oder nicht, ihre Appliance(s) auf die neueste Version von Fireware OS aktualisieren.
    Bitte führen Sie aber UNBEDINGT die DIAGNOSE durch, BEVOR Sie auf die neueste Fireware-Version aktualisieren.
    Alleine durch das Aufspielen der neuen Softwareversion wird eine mögliche Infektion nicht behoben!
  • Obwohl normalerweise Software-Updates nur dann möglich sind, wenn die WatchGuard Firebox über eine gültige Lizenz verfügt, ermöglicht es WatchGuard in diesem besonderen Fall, dass auch Appliances mit abgelaufener Lizenz einmalig auf die neueste Fireware-Version (siehe weiter unten) aktualisiert werden können. Das gilt auch für ältere Modelle zurück bis XTM 25, 26, 33, 330, 515, 525, 535, 545, die mittlerweile bereits END-OF-LIFE sind. Für noch ältere Modelle wie XTM 21, 22, 23, 505, 510, 520, 530 (die schon seit 2017 END-OF-LIFE sind!) wird jedoch kein Bugfix zur Verfügung gestellt.

Weiterlesen »

HOWTO: 4-Step Cyclops Blink Diagnosis and Remediation Plan

Zum deutschen Artikel geht es >> hier.

Working closely with the FBI, CISA, DOJ, and UK National Cyber Security Centre (NCSC), WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet that may have affected a limited number of WatchGuard firewall appliances.

WatchGuard has developed and released a set of Cyclops Blink detection tools, as well as this 4-Step Cyclops Blink Diagnosis and Remediation Plan to help customers diagnose, remediate if necessary, and prevent future infection.

The plan includes these four steps:

  1. Diagnosis
  2. Remediate
  3. Prevent
  4. Investigate

Weiterlesen »

IMPORTANT SECURITY ALERT for all WatchGuard Firebox Owners (English)

Zur deutschen Übersetzung geht es >>hier

Über unser Ticketsystem >> Support-Ticket Cyclops Blink Botnet können Sie eine Support-Anfrage erstellen.

Working closely with the FBI, CISA, DOJ, and UK NCSC1, WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet, that may have affected a limited number (estimated at ~1%) of WatchGuard firewall appliances. WatchGuard customers and partners can eliminate the potential threat posed by malicious activity from the botnet by immediately enacting WatchGuard’s 4-Step Cyclops Blink Diagnosis and Remediation Plan. It is critical for all customers, whether infected or not, to upgrade the appliance to the latest version of Fireware OS.

Weiterlesen »

ExpertTalk.live – Threat Hunting und XDR – Welche IT-Sicherheitskonzepte schützen erfolgreich?

Inhalt:

In diesem ExpertTalk.live diskutieren WatchGuard Security-Experten über Angriffswege von Cyber-Kriminellen und Konzepte, deren Attacken vorzubeugen und zu verhindern. Immer wieder werden neue Schwachstellen in verbreiteter Software ausgenutzt oder andere Wege zur Kompromittierung von Unternehmensnetzwerken gefunden. Exemplarisch werden Fälle besprochen, in denen Cyber-Kriminelle erfolgreich waren und Technologien und Konzepte zur Abwehr auf den Prüfstand gestellt.

Dabei wird erläutert wie Cyber-Kriminelle typischerweise vorgehen und mit welchen Methoden sie erfolgreich waren. Auf diesem Weg wird auch ein prüfendes Licht auf die üblichen „Probleme“ in Kundenumgebungen geworfen und welche Prinzipien und Konzepte zur Abwehr von Cyber-Angriffen davor schützen. Danach wird auf die Begriffe Threat Detection, Threat Prevention und Threat Hunting eingegangen sowie was hinter diesen Technologien steckt? Zum Abschluss werden auch die Unterschiede zwischen EDR, NDR und XDR dargelegt sowie die Frage diskutiert, welchen Mehrwert vereinheitlichte Systeme zur Aufarbeitung bieten.