SIEM: Wazuh und Security Configuration Assessment (SCA).
Überwachung der Systemhärtung mit aktuellen CIS-Benchmark Profilen.

Wie Wazuh mittels SCA Ihre Systemhärtung effektiv überwacht.

Die Absicherung von IT-Systemen ist essenziell, um Bedrohungen zu minimieren und Compliance-Anforderungen wie NIS-2 oder ISO 27001:2022 zu erfüllen. Gray-Hat IT-Security Consulting hat ein maßgeschneidertes und aktualisiertes Security Configuration Assessment (SCA)-Profil für den Apache HTTP Server 2.4 entwickelt, das speziell auf Ubuntu Server 24.04 LTS und Debian 12 zugeschnitten ist. Die Grundlage bilden die neuesten CIS-Benchmarks: CIS-Benchmark Apache HTTP Server 2.4 Version 2.2.0 (Juli 2024) und CIS-Benchmark Ubuntu Server 24.04 LTS Version 1.0.0 (August 2024).

Was sind SCA-Profile?

Security Configuration Assessment (SCA)-Profile sind strukturierte Richtliniensätze, die IT-Systeme anhand von Sicherheitsstandards wie den CIS-Benchmarks überprüfen. Sie dienen dazu, Schwachstellen und Fehler in Konfigurationen zu identifizieren und gezielt zu beheben, um somit die Angriffsfläche von Systemen zu minimieren. Besonders hilfreich sind SCA-Profile bei der kontinuierlichen Überwachung der Systemhärtung sowie bei der Einhaltung von Compliance-Vorgaben (z. B. NIS-2 oder ISO 27001:2022).

Ein großer Vorteil von SCA-Profilen ist ihre Struktur und Orientierung an international anerkannten Empfehlungen wie den CIS-Benchmarks. Im Gegensatz zur oft willkürlichen Suche nach „Ratschlägen“ im Internet bieten sie eine standardisierte, geprüfte Grundlage, die Unternehmen hilft, fundierte und nachvollziehbare Sicherheitsmaßnahmen umzusetzen. Dies vermeidet ineffiziente Ansätze und gewährleistet eine konsistente Absicherung der IT-Infrastruktur (Betriebssysteme, Netzwerkgeräte, Datenbanken und Enterprise-Anwendungen).

Herausforderungen bei veralteten SCA-Profilen

1. Veraltete Benchmarks

Das offizielle Wazuh-SCA Profil für den Apache-Webserver basiert auf dem CIS-Benchmark Version 1.5.0 aus dem Jahr 2019. Dieses Profil weist gravierende Schwächen auf:

• Fehlende Checks für moderne Sicherheitsanforderungen wie TLS 1.3 oder JSON-Logging, die im überarbeiteten Profil über die CIS-Empfehlungen hinaus erweitert wurden.
• Die alten Angaben waren völlig veraltet und nicht an die neuesten CIS Critical Security Controls (Version 8.1) angepasst, was Sicherheitslücken offen ließ.
• Viele Informationen passten nicht oder waren nur unzureichend auf Debian/Ubuntu zugeschnitten.

2. Technische Limitierungen der SCA-Sprache

Die SCA-Sprache von Wazuh ist nicht flexibel genug, um komplexe Prüfungen direkt umzusetzen, was kreative Workarounds erfordert. Gray-Hat IT-Security Consulting hat jedoch skalierbare Lösungen entwickelt, um auch die komplexesten Abfragen zu realisieren.

Vergleich: Altes vs. neues SCA-Profil

Das ursprüngliche SCA-Profil für den Apache HTTP Server 2.4 war stark veraltet und basierte auf den CIS-Benchmarks von 2019. Es enthielt lediglich 30 Checks, die zudem nicht vollständig an Debian/Ubuntu angepasst waren. Im Gegensatz dazu umfasst das neue Profil 60 aktive Checks sowie 14 weitere Prüfungen im Backlog, die spezifische Use-Cases adressieren. Das neue Profil wurde vollständig an die neuesten Sicherheitsstandards angepasst, einschließlich der CIS Critical Security Controls Version 8.1 und des CIS-Benchmark Apache HTTP Server 2.4 v2.2.0 (Juli 2024).

Die Lösung: Ein überarbeitetes SCA-Profil für den Apache-Webserver 2.4 auf Ubuntu/Debian

1. Aktualisierung auf aktuelle Benchmarks

Das überarbeitete Profil umfasst 60 aktive Checks, die speziell auf Debian/Ubuntu zugeschnitten sind, sowie weitere Prüfungen im Backlog für spezifische Use-Cases – nahezu jeder Anwendungsfall ist umsetzbar und kann zu 100 % maßgeschneidert werden. Es deckt alle relevanten Sicherheitsanforderungen ab, darunter:

• TLS 1.3 als Standardprotokoll: Deaktivierung älterer Protokolle wie TLS 1.0/1.1 zur Minimierung von Angriffsvektoren.
• JSON-Logging-Integration: Maximale Informationsdichte für SIEM-Systeme – eine dringende Empfehlung über den CIS-Benchmark hinaus.
• Absicherung von Apache-Modulen: Deaktivierung nicht benötigter Module wie  mod_autoindex oder  mod_status , um die Angriffsfläche zu reduzieren.

2. Berücksichtigung der CIS Critical Security Controls (v8.1)

Das Profil wurde so gestaltet, dass es die Anforderungen der aktuellsten CIS Controls erfüllt, z.B.:

• Control 4.8: Deaktivierung unsicherer Module zur Minimierung der Angriffsfläche.
• Control 8.2: Sicherstellung umfassender Logging-Funktionen zur Überwachung und Analyse.
• Control 12.6: Einschränkung unsicherer HTTP-Methoden.

3. Effiziente Bereitstellung durch zentrale Verwaltung

SCA-Files und Wazuh-Konfigurationen können zentral verwaltet und mittels GitOps oder Ansible innerhalb weniger Minuten auf über 1000+ Servern ausgerollt werden.

4. Maximale Expertise

Die Entwicklung des Profils dauerte etwas über eine Woche intensiver Arbeit, einschließlich Tests und Validierung durch Gray-Hat IT-Security Consulting – ein Garant für höchste Qualität und Praxistauglichkeit.

Vorteile maßgeschneiderter SCA Profile

1. Kosteneffizienz:
   Mit einem angepassten SCA-Profil können Unternehmen ihre Härtungsmaßnahmen ohne zusätzliche teure Tools überwachen – selbst bei großen Umgebungen mit weit über 1000+ Servern.
2. Flexibilität:
   Standardlösungen sind oft nicht ausreichend spezifisch für individuelle Anforderungen oder Betriebssysteme geeignet. Maßgeschneiderte Profile bieten hier deutliche Vorteile.
3. Zukunftssicherheit:
   Die Profile sollten nicht nur kontinuierlich an neue CIS-Benchmarks angepasst werden, sondern auch an neue Gegebenheiten in der IT-Infrastruktur – z.B., die Härtung neuer Anwendungen oder die Überwachung zusätzlicher Konfigurationen.
4. Maximale Expertise durch Zusammenarbeit:
   Kunden profitieren direkt von der Begleitung durch Gray-Hat IT-Security Consulting bei Projekten – ein Ansatz, der intensives IT-Engineering mit praxisorientierter Testung kombiniert und durch engen Austausch mit dem Kunden geprägt ist.

Fazit: Wazuh als universelle Sicherheitsplattform

Wazuh bietet weit mehr als nur ein SIEM-System:

1. Security Configuration Assessment (SCA): Tägliche Überprüfung der Systemhärtung basierend auf aktuellen Benchmarks wie dem CIS-Benchmark Apache HTTP Server v2.2.0 und dem CIS-Benchmark Ubuntu Server 24.04 LTS v1.0.0, sowie kundenspezifische Einstellungen. --> Teilweise werden weit über 400 Konfigurationseinstellungen überwacht.
2. File Integrity Monitoring (FIM): Erkennung unautorisierter Änderungen an kritischen Konfigurationsdateien wie   apache2.conf   – inklusive Informationen darüber:
   wer, wann und was geändert hat.
3. Ergänzung zum Schwachstellenmanagement: Automatische Identifikation von CVEs in installierten Paketen.

Durch das Zusammenspiel mit Tools wie Checkmk entsteht eine nahezu vollständige Überwachung der IT-Infrastruktur – ideal für Unternehmen mit hohen Compliance-Anforderungen:

• Checkmk ergänzt Wazuh durch detailliertes IT-Infrastruktur-Monitoring mit Fokus auf Vorhersagen/Prognosen, Business Intelligence, Prozessüberwachung, Statusänderungen, sowie Historien und Reporting – Funktionen, die SIEM-, FIM- oder SCA-Lösungen nicht abdecken können.
• In Kombination mit Wazuh wird eine Rundum-Monitoringlösung geschaffen, die sowohl präventive als auch reaktive Maßnahmen ermöglicht.
  
  

Meine Dienstleistungen für Sie: SIEM-Systeme, Systemhärtung und Compliance-Anforderungen

Als Wazuh-Experte biete ich mit meinem Unternehmen Gray-Hat IT-Security Consulting professionelle Unterstützung bei der Implementierung von SIEM-Systemen auf Wazuh-Basis an. Meine Expertise umfasst nicht nur die fachgerechte Etablierung eines SIEM-Systems, sondern auch die systematische Härtung Ihrer Server und Netzwerke, sodass selbst produktive Umgebungen optimal geschützt sind. Dabei berücksichtige ich wichtige Compliance-Anforderungen wie ISO 27001:2022 und NIS-2, um sicherzustellen, dass Ihre IT-Infrastruktur nicht nur sicher, sondern auch mit Ihrer Compliance bzw. ISMS konform sind.

Falls Sie ebenfalls Ihre IT-Infrastruktur mit Wazuh optimieren, Ihre Systeme härten oder spezifische Compliance-Anforderungen erfüllen möchten, unterstütze ich Sie gerne mit meiner intensiven Praxis-Erfahrung und einem umfassenden Angebot an Lösungen.