Schlagwort-Archive: Schwachstellen

IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an

Von Richard Werner, Business Consultant bei Trend Micro

Moderne Unternehmen setzen auf die Hybrid Cloud und DevOps, um schneller auf sich ändernde Marktanforderungen reagieren zu können. Aber dieses durch Innovation voran getriebene digitale Wachstum können sie nur mit einem starken und sicheren Fundament erreichen. Trend Micro hat als einer der ersten Anbieter bereits vor einem Jahrzehnt diesen Trend und die damit einhergehenden Sicherheitsherausforderungen erkannt, und ist heute als Marktführer anerkannt. IDC führt Trend Micro im aktuellen Bericht „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominant Leader“ beim Schutz von Software-Defined Compute (SDC)-Workloads und die Nummer 1 nach Marktanteilen.

Der IDC-Bericht stellt fest, dass SDC eine Vielzahl von Abstraktionstechnologien über den Software-Stack hinweg umfasst. Vom technischen Standpunkt ist SDC Workload-Sicherheit ein Unterbereich der Endpunktesicherheit. Doch sie ist in erster Linie auf den Schutz von virtuellen Maschinen (VMs), Containern und Cloud-Systemsoftware ausgerichtet und wird daher häufig im Kontext von Cloud-Umgebungen eingesetzt. Zu den Tools dieser Kategorie gehören unter anderen Anti-Malware, Firewall, Host-Intrusion Detection, Application Control und Integritätsüberwachung.

Die Cloud aber, und damit VMs und Container, werden zunehmend für die Entwicklung und Unterstützung der Anwendungen auf Microservice-Basis genutzt. Diese Umgebungen rücken somit noch weiter in den Fokus von Hackern. Cloud-Plattformen laufen Gefahr, vor allem über Code Injection angegriffen zu werden, sei es direkt oder über Drittanbieter-Bibliotheken, während Container und serverlose Architekturen aufgrund von angreifbaren Shared Code-Komponenten ausgenutzt werden können. Für Unternehmen, deren Cloud-Systeme und Anwendungen gehackt werden, kann dies eine Verzögerung oder gar den Stillstand auf ihrem digitalen Wachstumspfad bedeuten.

Eine stetige Entwicklung

IDC zufolge liegt der Anteil von Trend Micro am SDC Workload-Sicherheitsmarkt bei mehr als zwei Fünftel. Das ist nahezu dreimal so viel wie der Anteil des nächsten Wettbewerbers. Diese dominante Position ist auch unserem über Jahre hinweg stetigen Aufbau von Schutzmechanismen für diesen Sicherheitsbereich zu verdanken. Bereits 2009 übernahm Trend Micro einen zu der Zeit wenig bekannten Anbieter namens Third Brigade eines Host-basierten Intrusion-Prevention Systems und einer Firewall. Dies war der Beginn einer langen stetigen Weiterentwicklung unserer Fähigkeiten für virtuelle, Hybrid Cloud- und Container-Umgebungen.

Heute bietet Trend Micro umfassende Sicherheit über physische, virtuelle und Hybrid Cloud-Umgebungen hinweg, und dies aus einer einzelnen, übersichtlichen Schnittstelle heraus und mit enger Integration in AWS, Azure und GCP. Trend Micro richtet das Augenmerk auch auf Automatisierung und Security-as-Code, um nahtlosen Schutz in DevOps-Pipelines zu gewährleisten, einschließlich des Scannens von Container-Images vor der Ausführung.

Vor kurzem veröffentlichte Trend Micro XDR mit der Möglichkeit, Daten über E-Mail-, Netzwerk-, Endpunkt-, Server- und Cloud-Workloads hinweg zu korrelieren, um bösartige Workload-Aktivitäten zu erkennen und zu blockieren. Darüber hinaus übernahmen wir den führenden Anbieter von Cloud Security Posture Management Cloud Conformity, dessen Technologie das Aufspüren von Fehlkonfigurationen und Compliance/Governance-Problemen unterstützt.

All diese und weitere Funktionen werden in Kürze als Teil einer ganzheitlichen Cloud One-Lösung angeboten, die es Unternehmen ermöglicht, automatisierten Schutz über eine einzige Konsole zu erhalten – und damit Risiken, Verwaltungskosten und Abrechnungsprobleme zu minimieren. Wir bei Trend Micro blicken immer einen Schritt voraus, um Schutz dort zu bieten, wo er gebraucht wird.

Schwachstelle CVE-2019-11932 noch immer in vielen Apps gefährlich

Originalbeitrag von Lance Jiang und Jesse Chang

Bereits Anfang Oktober wurde CVE-2019-11932, eine Schwachstelle in WhatsApp für Android, bekannt gemacht. Die Lücke erlaubt es Angreifern, mithilfe speziell präparierter GIF-Dateien aus der Ferne Code auszuführen. Sie wurde in der Version 2.19.244 von WhatsApp zwar gepatcht, doch das Problem liegt in der Bibliothek libpl_droidsonroids_gif.so, die zum android-gif-drawable-Package gehört. Auch dieser Fehler wurde behoben und dennoch sind viele Anwendungen immer noch in Gefahr, weil sie die ältere Version nutzen. An technischen Einzelheiten Interessierte finden sie im Originalbeitrag. Sie können auch das Video ansehen, das einen Proof of Concept vorführt:

Eine Recherche der Sicherheitsforscher ergab, dass allein in Google Play mehr als 3.000 Applikationen mit dieser Schwachstelle vorhanden sind. Die Forscher fanden auch in den Stores von Drittanbietern viele ähnliche Apps.

Lösungen

Die Lösungen von Trend Micro wie Trend Micro™ Mobile Security for Android™ können jede bösartige App, die diese Schwachstelle ausnutzt, erkennen. Endanwender profitieren auch von den mehrschichtigen Sicherheitsfähigkeiten, über die die Daten der Gerätebesitzer und deren Vertraulichkeit vor Ransomware, betrügerischen Websites und Identitätsdiebstahl geschützt sind.

Für Unternehmensanwender liefert wiederum Mobile Security for Enterprise Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Sicherheitslücken in Anwendungen. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

Erste Schritte zur effizienten IoT-Gerätesicherheit

Städte, Büros und Häuser werden immer smarter. Eine neue Studie von Gartner schätzt, dass 2020 5,8 Mrd. Endpunkte in Unternehmens- und Automotive-IoT im Einsatz sein werden. Dank solcher Geräte sind tagtägliche Aufgaben und die Produktion zweifellos einfacher geworden. Doch welche Risiken gehen mit den neuen Technologien einher? Denn die Geräte werden an kritische Infrastrukturen angeschlossen, in wichtige betriebliche Aufgaben einbezogen, und enthalten auch kritische Daten. Gleichzeitig müssen sie gesichert werden.

IoT Hacks und Schwachstellen 2019

Es ist ungleich schwieriger, IoT-Geräte zu sichern als Laptops oder ein Mobiltelefon, denn viele dieser Geräte sind bei ihrer Entwicklung nicht auf Sicherheit ausgerichtet worden. Doch im Zuge der steigenden Bedrohungen wächst auch der Druck auf die Hersteller, ihre Produkte mit Sicherheitsmechanismen auszustatten. Trotz des breiten industriellen Einsatzes sind viele der Geräte mit veralteteten Systemen versehen, haben nicht gepatchte Schwachstellen und speichern ungesicherte Daten. In typischen Unternehmensumgebungen stellt die zunehmende Vernetzung weit verbreiteter operativer Netzwerke (einschließlich Geräte, Kommunikationskanäle und Anwendungen) eine vielfältige Angriffsfläche für Hacker dar.

IoT-Bedrohungen verbreiten sich immer weiter. Allein in diesem Jahr gab es mehrere kritische Sicherheitsvorfälle in verschiedenen Branchen, von denen Millionen von Geräten betroffen waren.

Weitere Informationen zu den einzelnen Sicherheitsvorfällen liefert der Originalbeitrag.

Fünf Schritte zur IoT-Sicherheit

Im Allgemeinen sind IoT-Geräte sehr unterschiedlich, und die Sicherung hängt auch vom jeweiligen Typ und Modell ab. In einem Bürogebäude kommt eine intelligente Glühbirne von einem anderen Hersteller als der intelligente Drucker, und das gesamte Steuerungssystem, das das Büro umfasst, verfügt über ein eigenes Betriebssystem. Um all diese unterschiedlichen IoT-Geräte effektiv zu sichern, sind ein übergreifender mehrschichtiger Sicherheitsplan und eine ständige Wartung erforderlich.

Beim Aufsetzen von IoT-Geräten bedarf es fünf erster Sicherheitsschritte:

  • Ändern der standardmäßig gesetzten Passwörter und das Anpassen von Sicherheitseinstellungen den jeweiligen Bedürfnissen entsprechend,
  • Deaktivieren aller Fähigkeiten, die nicht benötigt werden,
  • Für Geräte, die Anwendungen von Drittanbietern nutzen, nur legitime von vertrauenswürdigen Anbietern einsetzen,
  • Update der Geräte-Firmware und -anwendungen, damit das Gerät gegen bekannte Sicherheitslücken geschützt ist,
  • Beim Aufsetzen von Anwendungen auf Geräten sollten die erforderlichen Berechtigungen überprüft werden und der Zugriff darauf eingeschränkt werden.

Fünf Schritte zur Absicherung von Netzwerken und Router

In IoT-aktivierten Umgebungen können auch Netzgeräte und Router zum Risiko werden. Ein kompromittiertes IoT-Gerät kann möglicherweise dazu verwendet werden, um Malware auf weitere Geräte in demselben Netzwerk zu verbreiten. Beispielsweise kann ein smarter Drucker dazu verwendet werden, um Bürocomputer und andere smarte Geräte zu infizieren. Auch kompromittierter Router ist in der Lage, Malware an alle damit verbundenen Geräte zu verteilen.

Die folgenden Maßnahmen sind bei der Absicherung von Netzwerken und Routern hilfreich:

  • Mappen und Überwachen aller vernetzten Geräte. Einstellungen, Zugangsdaten, Firmware-Versionen sowie neue Patches sollten einbezogen werden. Dieser Schritt kann helfen zu beurteilen, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Geräte möglicherweise ausgetauscht oder aktualisiert werden müssen.
  • Anwenden von Netzwerksegmentierung. Netzwerksegmentierung kann das Ausbreiten eines Angriffs verhindern und möglicherweise problematische Geräte, die nicht sofort vom Netz genommen werden können, isolieren.
  • Sicherstellen, dass die Netzwerkarchitektur sicher ist. Router sollten mit VLAN oder einer DMZ aufgesetzt sein – Segmentierungs- und Isolationsmechanismen, die eine zusätzliche Sicherheitsschicht für Netze bilden.
  • Befolgen von Best Practices für Router. Aktivieren der Router Firewall, WPS deaktivieren und das WPA2-Sicherheitsprotokoll aktivieren, starke Passwörter für den WLAN-Zugriff sind nur einige davon.
  • Deaktivieren von nicht benötigten Services wie Universal Plug and Play (UPnP). Schlecht konfigurierte Router mit aktivem UPnP sind kürzlich angegriffen worden. Dies zeigt deutlich, dass es wichtig ist, nicht benötigte Fähigkeiten und Services abzuschalten.

Für einen vollständigeren und mehrschichtigen Verteidigungsansatz, können Nutzer den umfassende Schutz etwa von Trend Micro™ Security und Trend Micro™ Internet Security wählen. Diese Lösungen bieten effiziente Schutzmaßnahmen vor Bedrohungen für IoT-Geräte, denn sie können Malware auf Endpoint-Ebene erkennen. Vernetzte Geräte lassen sich auch durch Lösungen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN) schützen, die den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen überwachen.

Pwn2Own Miami – Bringt ICS in den Wettbewerb

Originalbeitrag von Brian Gorenc

Der Pwn2Own-Wettbwerb in Vancouver hat sich in den letzten 12 Jahren immer weiter entwickelt – von der Entdeckung von Sicherheitslücken in Web Browsern bis zu solchen in Virtualisierungssoftware und Unternehmensanwendungen. 2012 kamen Mobilgeräte als Ziel hinzu, und in ein paar Wochen wird es auch um den Versuch der Kompromittierung von drahtlosen Routern, Webkameras und Smart TVs gehen. Im Januar (21. – 23.) 2020 geht Pwn2Own wieder einen Schritt weiter und startet einen dritten Wettbewerb auf der S4 conference in Miami South Beach. Es geht um Industrial Control Systems (ICS) und die dazu gehörigen Protokolle. Ziel der Wettbewerbs ist es, die Plattformen zu härten, indem die entdeckten Schwachstellen verantwortungsvoll offengelegt werden, sodass die Hersteller möglichst schnell Patches dafür zur Verfügung stellen können.
Der Wettbewerb umfasst fünf Kategorien:

– Control Server

– OPC Unified Architecture (OPC UA) Server

– DNP3 Gateway

– Human Machine Interface (HMI) / Operator Workstation

– Engineering Workstation Software (EWS)

Innerhalb einer Kategorie sind mehrere Preise für das Auffinden von Schwachstellen in den Produkten ausgeschrieben. Die Aufgabe ist es zu versuchen, in die exponierten Netzwerkdienste des Ziels vom Laptop des Teilnehmers innerhalb des Wettbewerbsnetzwerks einzudringen.

Kann der Teilnehmer aus der Ferne Code ausführen, so erhält er einen Zusatzbonus für Continuation. Ermöglicht es die Exploit-Payload dem betroffenen Netzwerkdienst/Prozess, den normalen Betrieb nach erfolgreicher Ausnutzung fortzusetzen, erhält der Teilnehmer zusätzliche 5.000 $ und fünf weitere Master of Pwn-Punkte. Dies gilt für nahezu alle Kategorien.

Kategorie: Control Server

Diese Kategorie umfasst Server-Lösungen, die Konnektivität, Monitoring und Kontrolle über verteilte Programmable Logic Controller (PLC)- und andere Feldsysteme bieten. Diese werden oft aufgrund ihrer niedrigeren Kosten öfter als ein DCS eingesetzt und sind auch an Standorten mit einer Vielzahl von Protokollen und Produkten anzutreffen. Ein Angreifer, der einen Kontrollserver übernimmt, könnte den Prozess beliebig verändern und wäre in den Aktivitäten nur durch seine Engineering- und Automatisierungsfähigkeiten eingeschränkt. Zu den Zielen in dieser Kategorie gehören die Steuerungsserver von Iconics und Inductive Automation.

Kategorie: OPC Unified Architecture (OPC UA) Server

Die OPC Unified Architecture (UA) ist eine plattformunabhängige, service-orientierte Architektur, die die gesamte Funktionalität der individuellen OPC Classic-Spezifikationen in ein erweiterbares Framework integriert. OPC UA dient als universelles Übersetzerprotokoll in der ICS-Welt. Es wird von nahezu allen ICS-Produkten für das Versenden von Daten zwischen verteilten Systemen genutzt. OPC UA soll sicherer sein als der Vorgänger DCOM, und seine Beliebtheit nimmt zu. Im Wettbewerb gibt es zwei Produkte: den Unified Automation ANSI C Demo Server und den OPC Foundation OPC UA .NET Standard.

Kategorie: DNP3 Gateway

DNP3 ist ein Set von Kommunikationsprotokollen, die zwischen verschiedenen Komponenten in ICS-Systemen eingesetzt werden. Zur Verfügung steht das Triangle Microworks SCADA Data Gateway. Gelingt es, das Data Gateway zu kompromittieren, könnte dies ein Startpunkt für andere Angriffe innerhalb des ICS darstellen, oder gar das Energiemanagement-System (EMS) stören.

Kategorie: Human Machine Interface (HMI) / Operator Workstation

Das HMI verbindet den Betreiber (Operator) eines ICS mit den verschiedenen Hardware-Komponenten. Wenn ein Angreifer ein HMI übernimmt, so kann er auch verhindern, dass der Betreiber Prozessprobleme im ICS früh genug sieht.

Zur Verfügung steht das Rockwell Automation FactoryTalk View SE und das Schneider Electric EcoStruxure Operator Terminal Expert.

Engineering Workstation Software (EWS)

Ähnlich dem HMI liefert auch die Engineering Workstation Software (EWS) ein lohnendes Ziel für Angreifer. Sie kommuniziert und kann primäre Steuergeräte wie PLCs direkt konfigurieren und kann auch rollenbasierte Mechanismen konfigurieren. Hier geht es um Rockwell Automation Studio 5000 als Zielprodukt.

Master of Pwn

Natürlich wird auch hier ein Master of Pwn gekürt. Dieser bekommt eine coole Trophäe und zusätzliche 65.000 ZDI Punkte. Einzelheiten zu den Regeln bietet der Originalbeitrag und die Regeln für Pwn2Own Miami 2020.

Für die Registration kontaktieren Sie bitte zdi@trendmicro.com.

Trend Micro und Cloud Conformity gehen fehlerhafte Konfigurationen an

Trend Micro hat sich von Anbeginn der Erfolgsgeschichte der Cloud mit deren Sicherheit beschäftigt. Über Partnerschaften mit Public Cloud Providern liefert der japanische Hersteller über die Deep Security-Plattform eine umfassende Palette an Schutzmöglichkeiten für die unterschiedlichen Umgebungen, von Containern bis zu virtuellen und Cloud-Workloads. Trend Micro ist aber auch bewusst, dass eine der größten Herausforderungen für die Sicherheit von Clouds fehlerhafte Konfigurationen sind. Das ist der Grund, warum Trend Micro Cloud Conformity übernommen hat, einen Anbieter von Cloud Security Posture Management (CSPM), der Fähigkeiten für die Lösung genau dieses Problems mitbringt.

Deep Security

Deep Security ist laut IDC seit zehn Jahren das führende Server-Sicherheitsprodukt bezüglich der  Marktanteile. Die Lösung bietet von einer einzigen Plattform aus automatisierten Schutz über physische, virtuelle und Cloud-Server hinweg und zusätzlich für Container. Deep Security lässt sich zudem eng mit Microsoft Azure, Amazon Web Services und anderen Plattformen integrieren und ist damit optimal für hybride Cloud-Umgebungen geeignet. Zu den Schlüsselfähigkeiten gehören Intrusion Prevention, Anwendungskontrolle, Integritäts-Monitoring, Anti-Malware sowie Sandbox- und Verhaltensanalysen.

Herausforderungen

Doch Cloud-Anwender stehen auch vor anderen Herausforderungen. So stellen Analysten fest, dass an mehr als 90% der Cloud-Sicherheitsvorfälle die Anwender schuld sein werden – und fehlerhafte Konfigurationen von Cloud-Systemen sind der Hauptfaktor. Fast wöchentlich gibt es Berichte über ungesicherte und öffentlich zugängliche Datenspeicher, und das wegen menschlichen Versagens. Unternehmen mit klingenden Namen wie Verizon und FedEx mussten mit den Folgen solcher Unzulänglichkeiten umgehen. Derartige Sicherheitsfehler erlauben es Hackern, kritische Unternehmens- und Kundendaten zu stehlen, die Eigentümer zu erpressen, oder gar zu versuchen, Skimming Code auf die Firmen-Websites hochzuladen.

Um auch dieser Herausforderung die Stirn bieten zu können, hat Trend Micro Cloud Conformity übernommen. Einige Schätzungen gehen davon aus, dass CSPM Cloud-Sicherheitsvorfälle im Zusammenhang mit fehlerhaften Konfigurationen um bis zu 80% mindern kann. Das ist ein überzeugender Beweis für den Wert des Cloud Conformity-Angebots mit kontinuierlichem Monitoring, Warnungen und Wiederherstellung von AWS- und Azure-Umgebungen von einer einzigen Plattform aus.

Die Could Sicherheit Lösung von Cloud Conformity ist bei Trend Micro ab sofort verfügbar.

Trend Micro als „Leader“ bei Endpoint Protection im Gartner Magic Quadrant

Originalartikel von Wendy Moore

Trend Micro ist von Gartner auch 2019 im „Magic Quadrant for Endpoint Protection Platforms“ (EPP) als „Leader“ bewertet worden. Diese Position weist Gartner Trend Micro seit 2002 jedes Jahr zu. Der EPP-Markt hat einen Wandel mit vielen Innovationen durchlebt. Trend Micro als „Leader“ unterscheidet sich von anderen dadurch, dass neue Techniken und Fähigkeiten einen Zuwachs für den Wert der Lösungen darstellen, und nicht bloß die Summe der Funktionen sind. Wahre Führungskompetenz ist nachhaltig und weist beständige Stärke in Vision und Ausführung auf, so die Überzeugung des Herstellers.

Trend Micro hat die Endpoint-Lösung kontinuierlich weiter entwickelt und ihr eine Vielfalt an Fähigkeiten für Threat Detection & Response hinzugefügt, in Kombination mit Untersuchungsfunktionen als fester Bestandteil einer Single-Agenten-Lösung, die die Bereitstellung vereinfachen und integrierte Workflows ermöglichen. Dies ergibt einen ausgewogenen, umfassenden Ansatz für die Endpunktesicherheit — ein Muss angesichts der Vielfalt der Bedrohungslandschaft.

Die primäre Aufgabe der Lösung besteht darin, ohne manuelle Intervention so viele Endpoint-Bedrohungen wie möglich zu erkennen und zu blockieren. Je mehr Bedrohungen automatisch verhindert oder gestoppt werden, desto weniger müssen untersucht und darauf reagiert werden. Dieser Punkt wird häufig unterbewertet oder gar nicht berücksichtigt.

Dringt eine Bedrohung dennoch durch, so bedarf es verwertbarer Erkenntnisse und eines investigativen Toolsets für Verfolgungs- und Aufräumaktivitäten sowie für die Ursachenanalyse. Die Tools müssen die am häufigsten benötigten und am stärksten genutzten Anwendungsfälle abdecken.

Trend Micro ist jedoch der Meinung, dass eine effiziente Lösung nicht nur durch die Verbesserung der Fähigkeiten entsteht. Sie muss mehr tun als das, wofür EDR allein konzipiert ist. Mit XDR geht Trend Micro über den Endpunkt hinaus. So gibt es seit kurzem die Möglichkeit, Email und Endpoints in der Untersuchung einer Erkennung zu kombinieren, so dass die Ursachenanalyse bis in die Emails (#1 Angriffsquelle) zurück gehen kann, um zu verstehen, wer sonst noch die Email erhalten hat oder wo eine bösartige Datei in Office 365 oder im Gmail-Posteingang liegt. Es ist einfacher, eine Bedrohung einzudämmen und ihre Ausbreitung zu stoppen, wenn Einsichten über den Endpunkt hinaus möglich sind – dies lässt sich mit EDR allein nicht verwirklichen.

Die umfassendere XDR-Strategie bietet Kunden ein Mittel, um ihre Erkennungs- und Reaktionsfunktionen über Emails, Endpunkte, Server, Cloud-Workloads und Netzwerke hinweg auf einer einzigen Plattform und/oder über einen Managed Service weiter zu integrieren und zu erweitern. Mit XDR können Anwender die gesamte Sicherheitssituation klar darstellen und Bedrohungen über Sicherheitsebenen hinweg effektiv verfolgen, erkennen, analysieren und darauf reagieren. XDR nutzt die Trend Micro-eigenen Produkte wie Apex One (Endpunkt), Deep Security (Server/Cloud Workloads), Deep Discovery und TippingPoint (Netzwerk) sowie Cloud App Security (Messaging und Zusammenarbeit). Sie bietet zudem professionelle Sicherheitsanalysen für die Alert-Korrelation sowie eine zusammenfassende Sichtbarkeit und Untersuchung von Ereignissen. Der Schlüsselwert von XDR besteht darin, dass kleinere Ereignisse aus verschiedenen Sicherheitssilos (wie EDR) verbunden werden können, um komplexere Angriffe zu erkennen, die sonst unbemerkt geblieben wären. Erfahren Sie mehr über XDR.

Ein Managed XDR Service kann Teams entlasten und bietet Kunden die Möglichkeit, den Service für einen oder eine Vielzahl von Sicherheitsvektoren – Endpunkt, Netzwerk, Server & Cloud Workloads, Email – als eine einzige Quelle der Erkennung und Reaktion zu nutzen. Je mehr Quellen korreliert werden können, desto besser ist der Einblick – das ist der Vorteil von XDR.

Der Gartner-Report kann hier heruntergeladen werden.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Weiterlesen

Cobalt zielt wieder auf die Banken

Originalbeitrag von Ronnie Giagone, Lenart Bermejo und Fyodor Yarochkin

Die Wellen mit Backdoors versehener Spam-Mails, die im Sommer russisch sprechende Unternehmen trafen, waren Teil einer grösseren Kampagne. Den verwendeten Techniken nach zu urteilen, steckt die Cobalt Hackergruppe dahinter. In ihren neuesten Kampagnen nutzen die Hacker zwei unterschiedliche Infektionsketten, mit Social Engineering-Taktiken, die den potenziellen Opfern, nämlich Bankangestellten, Dringlichkeit suggerieren sollen.

Weiterlesen