Leitfaden zur Härtung des Zoom-Dienstes

[post-views]
April 06, 2020 · 7 min zu lesen
Leitfaden zur Härtung des Zoom-Dienstes

Einleitung

 

Dies ist ein praktischer Leitfaden basierend auf Empfehlungen von Zoom und CheckPoint, der mit gesundem Menschenverstand und spezifischer Zoom-Nutzung in unserem Unternehmen erstellt wurde, sprich Aktivitäten im Homeoffice (WFH), wie es jetzt in jedem Unternehmen weltweit zur Anwendung kommt, sowie Verkaufs- und Pre-Sales-Aktivitäten als Anbieter.

Aufgrund der spezifischen Natur unseres Geschäfts, zusätzlich zur Härtung, machen wir das, was wir am besten können. Wir haben Bedrohungserkennungs-Analytikinhalte für SIEMs entwickelt, basierend auf Zoom-Berichten, die über API, Proxy-Logs und Workstation-Logs verfügbar sind.

 

Gestufter Ansatz

 

Alle konfigurierbaren Zoom-Einstellungen können auf 3 Ebenen kontrolliert werden. Hierarchische Vererbung angewendet:

  • Kontenebene („Standard“ oder „gesperrter“ Zustand)
  • Gruppenebene („Standard“ oder „gesperrter“ Zustand)
  • Benutzerebene („Standard“-Zustand)

Standardeinstellungen – empfohlen, können jedoch von einem Benutzer geändert werden. Wenn eine Einstellung auf Kontenebene geändert wird, wird dies zur Standardeinstellung für alle Gruppen und Benutzer im Konto, es sei denn, die Einstellung wurde zuvor von einer Gruppe oder einem Benutzer geändert.

Gesperrte Einstellungen – obligatorisch und können nicht von einem Benutzer geändert werden. Jede Einstellung kann entweder auf Kontenebene oder Gruppenebene gesperrt werden. Das Sperren einer Einstellung auf Kontenebene bedeutet, dass die Einstellung von keinem Benutzer geändert werden kann. Das Sperren der Einstellung auf Gruppenebene bedeutet, dass die Gruppenmitglieder die Einstellung nicht ändern können.

 

Technische Tipps

  • Für jede Gruppe, die unterschiedliche Einstellungen benötigt, navigieren Sie zu Gruppeneinstellungen > Gruppenname > Einstellungen.
  • Um Einstellungen auf Konto- oder Gruppenebene zu sperren – klicken Sie auf das Sperrsymbol rechts neben dem Optionsnamen.

 

Zunächst sollten Benutzergruppen basierend auf Arbeitsweise, spezifischer interner Kommunikation und unternehmensspezifischen Geschäftsumständen identifiziert werden. Bis jetzt haben wir folgende erkannt (ja, das ist nicht konstant, wir wachsen, wir verändern uns):

  1. „Vanguard“ – Verkaufs-/Pre-Sales-Rolle, kommunizieren weltweit, maximal empfohlene Optionen, minimale Beschränkungen, um flexibler zu sein und alle möglichen Kunden und Klienten zu erreichen. Alle verbundenen Risiken werden durch entsprechende Bewusstseinsaktivitäten und Schulungen abgedeckt, um Crasher-Aktivitäten mit Zoom-Meeting-Kontrollen zu minimieren.
  2. „Rearward“ – Interne Mitarbeiterrolle, Kommunikation innerhalb des Unternehmens als Teil der Homeoffice-Aktivität, eins zu eins, eins zu vielen, Sofortbesprechungen, geplante Stand-ups etc. Kommunikation mit der Außenwelt ist begrenzt. Maximale Beschränkungen und weniger umfangreiche Bewusstseinsaktivitäten.
  3. „Rooms“ – Eine Rolle für Konten, die zur Unterstützung interner Kommunikationsprozesse identifiziert wurden, z.B. kontinuierlich offene Räume etc. Spezifische Beschränkungen.
  4. „Special“ – Rolle reserviert für jegliche besonderen Anforderungen. Minimale Beschränkungen. Sollte nicht kontinuierlich verwendet werden.

 

Einstellungen auf Kontoebene

Im Detail:

  1. Beitritt vor Gastgeber – standardmäßig deaktiviert
  2. Verwenden Sie die persönliche Meeting-ID (PMI) bei der Planung eines Meetings – deaktiviert
  3. Verwenden Sie die persönliche Meeting-ID (PMI) bei Sofortmeetings – deaktiviert
  4. Nur authentifizierte Benutzer können Meetings beitreten – aktiviert standard
  5. Passwort bei der Planung neuer Meetings erforderlich – aktiviert gesperrt
  6. Gäste in Meetings/Webinaren identifizieren – aktiviert gesperrt
  7. Passwort für Sofortmeetings erforderlich – aktiviert gesperrt
  8. Passwort für persönliche Meeting-ID (PMI) erforderlich – aktiviert gesperrt
  9. Passwort für Raum-Meeting-ID (nur für Zoom Rooms) erforderlich – aktiviert gesperrt
  10. Passwort im Meeting-Link für Ein-Klick-Beitreten einbetten – aktiviert standard
  11. Chat – aktiviert standard
  12. Dateiübertragung – deaktiviert gesperrt
  13. Gastgeber darf Teilnehmer in die Warteschleife senden – aktiviert gesperrt
  14. Bildschirmfreigabe – aktiviert standard

    1. Wer kann freigeben? – Alle Teilnehmer
    2. Wer kann freigeben, wenn jemand anderes die Freigabe begonnen hat? – Nur der Gastgeber
  15. Anmerkung – aktiviert standard
  16. Whiteboard – aktiviert standard
  17. Fernsteuerung – aktiviert standard
  18. Teilnehmer dürfen nach dem Entfernen erneut beitreten – deaktiviert gesperrt
  19. Fernunterstützung – standardmäßig deaktiviert
  20. Untertitel – standardmäßig deaktiviert
  21. Untertitel speichern – standardmäßig deaktiviert
  22. Kamera-Fernsteuerung – deaktiviert gesperrt
  23. Schnappschuss bei iOS-Aufgabenumschaltung verwischen – aktiviert gesperrt
  24. Lokale Aufzeichnung – aktiviert gesperrt

    1. Gastgeber dürfen Teilnehmern die Erlaubnis geben, lokal aufzuzeichnen – aus
  25. Automatische Aufzeichnung – deaktiviert gesperrt
  26. IP-Adress-Zugriffskontrolle – aktiviert gesperrt
  27. Nur authentifizierte Benutzer dürfen Cloud-Aufzeichnungen ansehen – aktiviert gesperrt
  28. Aufzeichnungshinweis – aktiviert gesperrt

 

Einstellungen auf Gruppenebene

Einstellungen der Gruppe „Vanguard“

  1. Beitritt vor Gastgeber – deaktiviert gesperrt
  2. Verwenden Sie die persönliche Meeting-ID (PMI) bei der Planung eines Meetings – deaktiviert gesperrt
  3. Privater Chat – standardmäßig deaktiviert

    1. Kann aktiviert werden, wenn für die technische Kommunikation von Gastgeber, Co-Gastgeber etc. erforderlich.
  4. Co-Gastgeber – aktiviert standard
  5. Link „Von Ihrem Browser beitreten“ anzeigen – aktiviert standard
  6. Warteraum – aktiviert gesperrt

 

Einstellungen der Gruppe „Rearward“

  1. Beitritt vor Gastgeber – deaktiviert gesperrt
  2. Verwenden Sie die persönliche Meeting-ID (PMI) bei der Planung eines Meetings – deaktiviert gesperrt
  3. Nur authentifizierte Benutzer können Meetings beitreten – aktiviert gesperrt
  4. Privater Chat – deaktiviert gesperrt
  5. Fernsteuerung – deaktiviert gesperrt
  6. Warteraum – aktiviert gesperrt
  7. Fernunterstützung – deaktiviert gesperrt

 

Einstellungen der Gruppe „Rooms“

  1. Beitritt vor Gastgeber – aktiviert standard
  2. Warteraum – standardmäßig deaktiviert

 

Kontosicherheitseinstellungen

 

Wir haben beschlossen, Google zur Authentifizierung zu verwenden, wo wir bereits Passwortdurchsetzung, 2FA und zusätzliche Kontrollen integriert haben.

 

Anmeldemethoden

  1. Benutzern erlauben, sich mit Google anzumelden: aktiviert
  2. Benutzern erlauben, sich mit Facebook anzumelden: deaktiviert

Sicherheit

  1. Nur der Konto-Admin kann Namen, Bild, E-Mail und Gastgeber-Schlüssel der Benutzer ändern: deaktiviert
  2. Nur der Konto-Admin kann die PM-ID und den persönlichen Linknamen von Pro-Benutzern ändern: deaktiviert

Benutzer müssen den Gastgeber-Schlüssel eingeben, um die Gastgeberrolle mit der Länge von: 10

 

Allgemeine und gesunder Menschenverstand Empfehlungen

 

  • Wenn Sie Ihren Meeting-Link in sozialen Medien oder anderen öffentlichen Foren teilen, wird Ihre Veranstaltung extrem öffentlich. JEDER mit dem Link kann Ihrem Meeting beitreten.
  • Vermeiden Sie es, Ihre persönliche Meeting-ID (PMI) für öffentliche Veranstaltungen zu verwenden. PMI ist im Grunde eine kontinuierliche Sitzung und Sie möchten nicht, dass unbekannte Personen Ihren persönlichen virtuellen Raum nach der Veranstaltung stören. Erzeugen Sie soweit möglich eine zufällige Meeting-ID für Meetings.
  • Laut der Forschung (5) müssen Zoom-Meeting-Gastgeber nicht einmal einen öffentlichen Link versenden, damit Benutzer an ihren Meetings teilnehmen können. Fordern Sie immer ein Passwort zum Beitreten an.
  • Wenn wirklich erforderlich, teilen Sie zufällige Meeting-IDs über soziale Netzwerke, aber senden Sie ein Passwort per Direktnachricht.
  • Versuchen Sie nicht, URL-Links oder Bilder zu öffnen, die über den Chat gesendet werden.
  • Richten Sie eine ordnungsgemäße Authentifizierung auf Kontenebene ein, Google, lokale Passwörter mit entsprechenden Kontrollen, SAML, 2FA, verwenden Sie Authentifizierung, die Ihrer Unternehmenssicherheitspolitik entspricht.
  • Machen Sie sich mit den Zoom-Einstellungen und -Funktionen vertraut, damit Sie wissen, wie Sie Ihren virtuellen Raum bei Bedarf schützen können. Wie man stummschaltet, wie man das Video für Teilnehmer ausschaltet, wie man Teilnehmer in die Warteschleife stellt usw.
  • Konfigurieren Sie die Protokollsammlung von Ihrem Zoom-Konto zu Ihrem SIEM und etablieren Sie Warn- / Überwachungsmechanismen.
  • Protokollsammlung von Ihrem Proxyserver und EDR sind für die heutige Bedrohungslandschaft unerlässlich. Decken Sie einfach spezifische Zoom-Angriffe über diese Protokolle ab.

 

Inhalt zur Erkennung von Zoom-bezogenen Angriffen

Mögliche Zoom-Schad-Domains (via Proxy) –https://tdm.socprime.com/tdm/info/MrDuoDkETUIP/

Mögliche Zoom-Schad-Domains (via DNS) –https://tdm.socprime.com/tdm/info/TWstmhIEa1oA/

Möglicher Missbrauch von Zoom-Binärdateien (via Befehlszeile) –https://tdm.socprime.com/tdm/info/BMUtqKem63oL/

Mögliches NTLM-Anmeldeinformationsleck durch unerwünschten externen UNC-Pfad (via Befehlszeile) –https://tdm.socprime.com/tdm/info/i71EA49sF8jW/

Referenzen

———————————-

  1. https://blog.zoom.us/wordpress/2020/03/20/keep-the-party-crashers-from-crashing-your-zoom-event/
  2. https://threatpost.com/as-zoom-booms-incidents-of-zoombombing-become-a-growing-nuisance/154187/
  3. https://support.zoom.us/hc/en-us/articles/115005269866-Using-Tiered-Settings
  4. https://blog.checkpoint.com/2020/03/26/whos-zooming-who-guidelines-on-how-to-use-zoom-safely/
  5. https://support.zoom.us/hc/en-us/articles/360034291052-Predicting-Zoom-Meeting-IDs
  6. https://support.zoom.us/hc/en-us/articles/360034675592-Advanced-security-settings
  7. https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication
  8. https://support.zoom.us/hc/en-us/articles/360032748331-Using-Operation-Logs
  9. https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/
  10. https://library.myguide.org/myguide-library/categories/zoom/zoom-web/zoom-web-guides

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

SOC Prime auf Discord: Schließen Sie sich einer einzigen Community für alle Cyber-Verteidiger an, um von gemeinsamem Fachwissen zu profitieren
Blog, SOC Prime Plattform — 3 min zu lesen
SOC Prime auf Discord: Schließen Sie sich einer einzigen Community für alle Cyber-Verteidiger an, um von gemeinsamem Fachwissen zu profitieren
Veronika Telychko
CVE-2022-29108 Erkennung: Neu Entdeckter Fehler in Microsoft SharePoint Server
Blog, Neueste Bedrohungen — 3 min zu lesen
CVE-2022-29108 Erkennung: Neu Entdeckter Fehler in Microsoft SharePoint Server
Anastasiia Yevdokimova
Die Zukunft der Bedrohungserkennung liegt in der Gemeinschaft
Blog, Neueste Bedrohungen — 4 min zu lesen
Die Zukunft der Bedrohungserkennung liegt in der Gemeinschaft
Alla Yurchenko