Archiv der Kategorie: Encryption

IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an

Von Richard Werner, Business Consultant bei Trend Micro

Moderne Unternehmen setzen auf die Hybrid Cloud und DevOps, um schneller auf sich ändernde Marktanforderungen reagieren zu können. Aber dieses durch Innovation voran getriebene digitale Wachstum können sie nur mit einem starken und sicheren Fundament erreichen. Trend Micro hat als einer der ersten Anbieter bereits vor einem Jahrzehnt diesen Trend und die damit einhergehenden Sicherheitsherausforderungen erkannt, und ist heute als Marktführer anerkannt. IDC führt Trend Micro im aktuellen Bericht „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominant Leader“ beim Schutz von Software-Defined Compute (SDC)-Workloads und die Nummer 1 nach Marktanteilen.

Der IDC-Bericht stellt fest, dass SDC eine Vielzahl von Abstraktionstechnologien über den Software-Stack hinweg umfasst. Vom technischen Standpunkt ist SDC Workload-Sicherheit ein Unterbereich der Endpunktesicherheit. Doch sie ist in erster Linie auf den Schutz von virtuellen Maschinen (VMs), Containern und Cloud-Systemsoftware ausgerichtet und wird daher häufig im Kontext von Cloud-Umgebungen eingesetzt. Zu den Tools dieser Kategorie gehören unter anderen Anti-Malware, Firewall, Host-Intrusion Detection, Application Control und Integritätsüberwachung.

Die Cloud aber, und damit VMs und Container, werden zunehmend für die Entwicklung und Unterstützung der Anwendungen auf Microservice-Basis genutzt. Diese Umgebungen rücken somit noch weiter in den Fokus von Hackern. Cloud-Plattformen laufen Gefahr, vor allem über Code Injection angegriffen zu werden, sei es direkt oder über Drittanbieter-Bibliotheken, während Container und serverlose Architekturen aufgrund von angreifbaren Shared Code-Komponenten ausgenutzt werden können. Für Unternehmen, deren Cloud-Systeme und Anwendungen gehackt werden, kann dies eine Verzögerung oder gar den Stillstand auf ihrem digitalen Wachstumspfad bedeuten.

Eine stetige Entwicklung

IDC zufolge liegt der Anteil von Trend Micro am SDC Workload-Sicherheitsmarkt bei mehr als zwei Fünftel. Das ist nahezu dreimal so viel wie der Anteil des nächsten Wettbewerbers. Diese dominante Position ist auch unserem über Jahre hinweg stetigen Aufbau von Schutzmechanismen für diesen Sicherheitsbereich zu verdanken. Bereits 2009 übernahm Trend Micro einen zu der Zeit wenig bekannten Anbieter namens Third Brigade eines Host-basierten Intrusion-Prevention Systems und einer Firewall. Dies war der Beginn einer langen stetigen Weiterentwicklung unserer Fähigkeiten für virtuelle, Hybrid Cloud- und Container-Umgebungen.

Heute bietet Trend Micro umfassende Sicherheit über physische, virtuelle und Hybrid Cloud-Umgebungen hinweg, und dies aus einer einzelnen, übersichtlichen Schnittstelle heraus und mit enger Integration in AWS, Azure und GCP. Trend Micro richtet das Augenmerk auch auf Automatisierung und Security-as-Code, um nahtlosen Schutz in DevOps-Pipelines zu gewährleisten, einschließlich des Scannens von Container-Images vor der Ausführung.

Vor kurzem veröffentlichte Trend Micro XDR mit der Möglichkeit, Daten über E-Mail-, Netzwerk-, Endpunkt-, Server- und Cloud-Workloads hinweg zu korrelieren, um bösartige Workload-Aktivitäten zu erkennen und zu blockieren. Darüber hinaus übernahmen wir den führenden Anbieter von Cloud Security Posture Management Cloud Conformity, dessen Technologie das Aufspüren von Fehlkonfigurationen und Compliance/Governance-Problemen unterstützt.

All diese und weitere Funktionen werden in Kürze als Teil einer ganzheitlichen Cloud One-Lösung angeboten, die es Unternehmen ermöglicht, automatisierten Schutz über eine einzige Konsole zu erhalten – und damit Risiken, Verwaltungskosten und Abrechnungsprobleme zu minimieren. Wir bei Trend Micro blicken immer einen Schritt voraus, um Schutz dort zu bieten, wo er gebraucht wird.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.