Neue Tricks der mobilen Joker-Malware: Github verbirgt die Payload

Originalartikel von Zhengyu Dong, Mobile Threats Analyst

Die Sicherheitsforscher von Trend Micro entdeckten kürzlich eine neue Version der persistenten mobilen Malware Joker. Das Sample in Google Play nutzte Github-Seiten und -Repositories, um der Entdeckung zu entgehen. Joker ist für eine ganze Reihe bösartiger Aktivitäten verantwortlich, angefangen vom ungewünschten Anmelden von Nutzern bei Bezahldiensten und Kompromittieren von SMS-Nachrichten bis zum Diebstahl von Kontakten.

Joker sucht seit seiner Entdeckung 2017 immer wieder mobile Nutzer heim. Im Januar 2020 entfernte Google 1700 infizierte Anwendungen aus dem Play Store. Und im September fand der Sicherheitsanbieter Zscaler 17 Samples, die in den Store hochgeladen worden waren.

Die Autoren der Malware haben ständig kleine Änderungen vorgenommen, um Schlupflöcher in Googles Verteidigung zu finden. Zu den früher ausprobierten Techniken gehört Verschlüsselung, um Strings vor den Analyse-Engines zu verstecken sowie „Versionierung“, das heisst das Hochladen einer sauberen Version der App, um dann bösartigen Code über Updates hinzuzufügen. Die neueste Technik nutzt Gibhub-Seiten und -Repositories, um der Entdeckung zu entgehen.

Die analysierte App verspricht Hintergrundmuster in HD- und 4K-Qualität. Sie wurde über tausendmal heruntergeladen, und Google hat sie mittlerweile aus dem Play Store entfernt.

Bild. Wallpaper-App, die die Joker-Malware ablegt.

Es ist die Version, die als neue Technik Github missbraucht, um die bösartige Payload zu speichern, im Gegensatz zu früher, als die Payload über eingefügten Code ausgeliefert wurde. Die Github-Seiten und –Repositories in Verbindung zur Malware sind alle abgeschaltet worden.

Eine ausführliche technische Analyse der neuen Joker-Version und des Infektionsablaufs liefert der Originalbeitrag.

Pwn2Own Tokio: Drei Tage erfolgreichen Hackings

Originalbeitrag von Dustin Childs

Der Sieger und Master des Pwn2Own Tokio Hacking-Wettbewerbs steht nun fest. Bereits zum zweiten Mal in diesem von COVID-19 bestimmten Jahr waren es ZDI-Schwachstellenforscher, die drei Tage lang auf Anweisungen der über Online-Plattformen zugeschalteten Teilnehmer virtuell die Hacking-Versuche vorführten. Insgesamt gab es 136.500$ Preisgeld für den erfolgreichen „Missbrauch“ 23 einzigartiger Bugs für sechs unterschiedliche Geräte. Gewinner des Wettbewerbs und neuer „Master of Pwn“ ist das Team Flashback gefolgt von DEVCORE.

Flashback, auch bekannt als Pedro Ribeiro (@pedrib1337) und Radek Domanski (@RabbitPro) hatten mit zwei verschiedenen Hacking-Versuchen Erfolg und erhielten dafür insgesamt 40.000$: Sie nahmen zuerst die WAN-Schnittstelle des Netgear Nighthawk R7800 Router ins Visier und verwendeten eine aus zwei Bugs bestehende Verbindung, um den Router zu kompromittieren und einen Backdoor dort abzulegen, der auch einem Fabriks-Reset widerstand. Beim zweiten Mal kompromittierten sie die WAN-Schnittstelle auf einem drahtlosen Router mithilfe von drei Bugs. Als Folge konnten sie beliebigen Code auf dem TP-Link AC1750 Smart WLAN-Router ausführen.

Die Zweitplatzierten, DEVCORE, nahmen sich das Synology DiskStation DS418Play NAS vor. Der erste Einbruchsversuch misslang, doch dann erlangten sie über einen Heap Overflow Root-Zugang zum Server. Am nächsten Tag konnten sie erfolgreich ihre Fehlerkombination zur Codeausführung auf einem Western Digital My Cloud Pro Series PR4100 NAS zeigen. Insgesamt erhielten sie 37.500$ für ihre Vorführungen.

Die endgültige Rangliste der Teilnehmer sieht folgendermassen aus:

Wie nach jedem Pwn2Own-Wettbewerb erhielten die Anbieter die Einzelheiten zu den Schwachstellen und haben nun 120 Tage Zeit, Sicherheits-Patches dafür zu erstellen.

Weitere Einzelheiten zu den Ereignissen der drei Tage finden Interessierte im ZDI-Blog.

XDR: Detection and Response über alle Ebenen zahlt sich aus

von Trend Micro

Mittlerweile ist klar: Angriffe vollständig zu verhindern, geht nicht. Umso wichtiger ist es, den Schwerpunkt der Verteidigung auf die effektive Erkennung und schnelle Reaktion auf Bedrohungen zu legen. Sicherheitsteams eröffnen sich mit dem Einsatz solch quellenübergreifender Sicherheitsmechanismen (bekannt als XDR) neue Möglichkeiten in ihrem täglichen Kampf um die Sicherheit der IT. Zudem können IT-Abteilungen mithilfe von XDR erhebliche Ressourcen sparen. Das bestätigt eine neue Untersuchung des Analystenhauses ESG.

Von den durch ESG befragten 500 IT- und IT-Sicherheitsverantwortlichen gaben rund 85 Prozent zu, dass die Erkennung von Cyberbedrohungen sowie die Reaktion darauf in den letzten zwei Jahren schwieriger geworden ist.

Bild 1. Die Mehrheit der Befragten ist der Meinung, dass Threat Detection and Response immer komplexer wird.

Die Gründe dafür liegen laut Studie in der immer anspruchsvoller werdenden Bedrohungslandschaft, der zunehmenden Komplexität der Sicherheitslösungen und dem Mangel an qualifizierten IT-Sicherheitsexperten.

Bild 2. Die drei grössten Defizite bei Threat Detection and Response-Tools: False Positives, fehlendes Know-How und Mängel bei der Automatisierung.

Der Einsatz einer XDR-Lösung zur automatischen Zusammenführung von Bedrohungsdaten aus unterschiedlichen Quellen kann genau diese Probleme lösen. Aufbauend auf den Erkenntnissen aus der Endpoint Detection und Reaktion (EDR) analysiert XDR die Sicherheits-Telemetriedaten über Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitskontrollen hinweg, und ermöglicht damit einen besseren Einblick in fortgeschrittene, komplexe Angriffe.

Bei heutigen Cyberangriffen entscheidet die Schnelligkeit der Erkennung und Reaktion darauf. Nur so können gesetzliche Meldepflichten (beispielsweise gemäss EU-Datenschutzgrundverordnung) eingehalten und Folgeschäden verhindert werden. 65 Prozent der befragten Unternehmen, die eine XDR-Lösung einsetzen, erkennen Datenschutzverletzungen innerhalb weniger Tage oder schneller. Firmen, die keine solchen Systeme einsetzen, brauchen hingegen zu 70 Prozent mindestens eine Woche dafür.

Bild 3. XDR-Nutzer gelingt es deutlich schneller, ihre Systeme nach einem Angriff  wiederherzustellen

Auch nach der Erkennung eines Angriffs bringt eine automatisierte Lösung deutliche Zeitgewinne: 83 Prozent der XDR-Nutzer können betroffene Systeme innerhalb von Stunden wiederherstellen. Bei den anderen Unternehmen gelingt dies nur 66 Prozent.

Fazit

Aus den Antworten der Studienteilnehmer geht hervor, dass ihre Unternehmen dank der intelligenten Nutzung von Daten aus mehreren vernetzten Sicherheitslösungen Bedrohungen schneller erkennen können und weniger durch Fehlalarme belastet werden. So sind 88 Prozent der Unternehmen, die eine solche Lösung einsetzen, „zuversichtlich“ oder „sehr zuversichtlich“, dass ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen in den nächsten zwölf bis 24 Monaten mit der erforderlichen Geschwindigkeit funktionieren, um mit den Bedrohungen Schritt zu halten. Auch den Fachkräftemangel kann XDR teilweise ausgleichen: Auf die Frage, wie viele Vollzeitäquivalente erforderlich wären, um ihre automatisierten Systeme zu ersetzen, gaben diese Unternehmen im Durchschnitt acht an.

„Organisationen, die Daten über mehrere Sicherheitskontrollen hinweg aggregieren, korrelieren und analysieren, erleiden weniger erfolgreiche Angriffe, haben eine bessere allgemeine Sicherheitsaufstellung und leben mit weniger täglichem Stress für ihre Teams.“, so fasst Dave Gruber, Senior Analyst bei ESG, die Ergebnisse zusammen.

Für die Studie „The XDR Payoff: Better Security Posture, September 2020“ befragte die Enterprise Strategy Group (ESG) im Juni 500 IT- und IT-Sicherheitsverantwortliche aus Unternehmen mit mindestens 500 Mitarbeitern. Die vollständige Studie steht zum kostenlosen Download zur Verfügung.

Trend Micro-Lösung

Trend Micro XDR erfasst und korreliert automatisch Daten auf verschiedenen Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk – und bietet damit eine breitere Perspektive und einen besseren Kontext dafür, Bedrohungen zu suchen, zu erkennen und einzudämmen. Bedrohungen werden früher erkannt. Sicherheitsanalysten können sie in kürzerer Zeit untersuchen und auf sie reagieren. Trend Micro XDR wurde kürzlich von Forrester als führend in der Erkennung und Reaktion für Unternehmen bezeichnet (1) und erreichte die höchste anfängliche Erkennungsrate im MITRE ATT&CK Framework.

Die Lösung steht auch als Managed Service (MDR) zur Verfügung, um häufig überlastete unternehmenseigene Teams durch Sicherheitsexperten von Trend Micro zu unterstützen. MDR bietet vollständige Bedrohungsanalysen, Threat Hunting, Reaktionspläne und Empfehlungen zur Beseitigung von Bedrohungen rund um die Uhr.

„XDR eröffnet durch die korrelierte Analyse über bisherige Silos hinweg ein neues Kapitel in der Security. Überlastete Security-Teams können damit ihre Reaktion auf Bedrohungen optimieren“, erklärt auch Richard Werner, Business Consultant bei Trend Micro. „Diese Lösung bietet Unternehmen klare Mehrwerte und hilft dabei, ihre drängendsten Security-Probleme zu lösen.“

Mehr als Extended Support: virtuelles Patching entscheidend für die Sicherheit von Windows Servern

Originalartikel von Mohamed Inshaff

Kürzlich gab die US National Security Agency (NSA) ein seltenes Security Advisory heraus, in dem die Behörde Unternehmen dringend aufforderte, eine Reihe kritischer Schwachstellen zu patchen. Die Top 25-Liste enthielt Softwarefehler, die am häufigsten von staatlich unterstützten chinesischen Hackern missbraucht wurden. Fast alle CVEs waren 2020 veröffentlicht worden. Das zeigt erneut, dass viele Organisationen ihre Systeme immer noch nicht zeitnah patchen, obwohl das Ergebnis staatlich gesponserter Sicherheitsvorfälle zur Katastrophe führen kann. Abhilfe kann hier virtuelles Patching schaffen.

In der Liste der NSA sind auch Fehler aus den Jahren 2015, 2017 und 2018 aufgeführt. Sie betreffen sehr unterschiedliche Systeme wie Oracle WebLogic Server, Adobe ColdFusion und Pulse Secure VPNs. Doch eines der am häufigsten genannten Produkte ist der Microsoft Windows Server. Unter den fünf kritischen CVEs in der NSA-Liste sticht die Sicherheitslücke namens Zerologon hervor. Es handelt sich um einen kritischen Elevation of Privilege-Fehler, der Windows 2008 und neuere Versionen betrifft und für den bereits im August ein Patch zur Verfügung stand. Angreifer könnten über die Lücke aus der Ferne die Kontrolle über eine Domäne übernehmen und damit ein gesamtes Netzwerk beschädigen.

Cyberkriminelle hatten schnell Exploits dafür entwickelt und diese in Angriffen eingesetzt, indem sie Zerologon mit VPN Exploits und Commodity Tools verbanden, um Ransomware und andere Payloads schnell abzulegen.

Das Problem beim Patchen

Die Gründe dafür, dass Organisationen häufig nicht umgehend patchen, sind vielfältig. Viele setzen möglicherweise ältere Betriebssysteme ein, die sie aufgrund von Kompatibilitätsproblemen mit unternehmenskritischen Anwendungen nicht aktualisieren. Andere können sich möglicherweise die Ausfallzeit nicht leisten, um Patches vor deren Aufspielen zu testen. Einige Firmen sind schlichtweg überfordert von der schieren Anzahl der Patches, die sie über mehrere Systeme hinweg anwenden und priorisieren müssen.

Andere wählen möglicherweise Extended Support-Optionen von Anbietern wie Microsoft, die versprechen, Sicherheits-Updates zu erheblichen Mehrkosten auch nach dem offiziellen End-of-Life-Datum zur Verfügung zu stellen. Trend Micros Nachforschungen haben jedoch ergeben, dass Organisationen selbst mit diesen umfangreichen Support-Paketen immer noch einigen Bedrohungen ausgesetzt sein können.

Wie wirkt Virtual Patching

Um potenziellen Bedrohungen zu begegnen und auch um Compliance-Anforderungen wie Cyber Essentials Plus, PCI DSS usw. in einem nicht mehr unterstützten System wie Windows Server 2008 zu erfüllen, sind zusätzlich zu Antimalware weitere Sicherheitsmechanismen erforderlich, um netzwerkgebundene Angriffe und verdächtige Aktivitäten zu erkennen und vor ihnen zu schützen. Die Lösung von Trend Micro ist virtuelles Patching: ein mehrschichtiger Schutz gegen bekannte und unbekannte Schwachstellen.

Die Host-basierten Intrusion Detection and Prevention (IDS/IPS)-Fähigkeiten von Deep Security und Cloud One – Workload Security können kritische Server vor Netzwerkangriffsvektoren schützen. Die Lösungen können auch die Integrität von Systemdateien, Registry-Einstellungen und anderen kritischen Anwendungsdateien überwachen, um nicht geplante oder verdächtige Änderungen anzuzeigen.

Mit einen einzigen modularen Agenten können die Server automatisch auf Schwachstellen sowohl im Betriebssystem als auch in Unternehmensanwendungen gescannt werden und die nicht gepatchten Server ohne Reboot schützen.

Virtual Patching bedeutet eine zusätzliche Schutzschicht, mit der Organisationen

  • Zeit erkaufen, bis der Hersteller-Patch aufgespielt ist,
  • Unnötige Ausfallzeiten verhindern,
  • Vorschriften einhalten können und
  • Schutz erhalten, auch über die erweiterten Support-Programme der Anbieter hinaus.

Kürzlich analysierte Trend Micro Windows Server 2008 R2, dessen Support im Januar 2020 eingestellt wurde. Seither hat Trend Micro nahezu 200 IPS-Regeln (also virtuelle Patches) in Deep Security veröffentlicht, von denen sich 67 auf Betriebssystemfehler bezogen. Unternehmen mit Extended Support für das Produkt wurden 23 virtuelle Patches empfohlen, 14 davon waren kritisch.

Supply Chain-Angriffe im Cloud Computing vermeiden

Originalartikel von Trend Micro

Sicherheit ist einer der wichtigen Aspekte, die Unternehmen berücksichtigen müssen, wenn sie auf Cloud-basierte Technologien setzen. Ganz oben auf der Liste der zu sichernden Ressourcen stehen Netzwerke, Endpunkte und Anwendungen. Um Betriebskosten zu optimieren, verlagern einige Organisationen ihre Backend-Infrastruktur in die Cloud oder betreiben ihre eigene firmeninterne private Cloud mit Cloud-basierten Lösungen. Doch wird dieser Ansatz vom Standpunkt der Architektur oder auch die Konfigurationen nicht korrekt durchgeführt, so kann das Backend Bedrohungen ausgesetzt werden und ein leichtes Ziel für Supply Chain-Angriffe darstellen. Die Folge sind der Verlust von Daten, Reputation und Vertrauen der Kunden.

In dem Whitepaper „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ liefern die Sicherheitsforscher von Trend Micro einen Überblick über verschiedene Sicherheitsrisiken und Techniken zur Minimierung der Gefahren für DevOps.

Die Analysen beziehen sich auf konkrete Beispiele wie Jenkins (quelloffener Integrationsserver für Softwarekomponenten), Docker Container, Kubernetes (Orchestrierungs-Tool) und Cloud-basierten integrierten Entwicklungsumgebungen (IDE) wie AWS Cloud9 und Visual Studio Codespaces.

Authentifizierung und Access Control Lists (ACL)

Wird keine Authentifizierung aufgesetzt oder rollenbasierte Sicherheit mit ACL nicht angewendet, hat jeder, der in das System gelangen kann, Administratorzugriff. Diese Risiken werden anhand von Jenkins als Beispiel aufgezeigt.

Jenkins

Standardkonfigurationen in Backend-Systemen stellen selbst bei Anwendung der Authentifizierung ein erhebliches Sicherheitsrisiko dar. Jenkins Primary ist standardmässig in der Lage, Build-Aufgaben durchzuführen und erlaubt es Nutzern mit geringeren Privilegien, die Jenkins-Instanz vollständig zu übernehmen, einschliesslich der vertraulichen Daten, Job-Konfiguration und Source Code. Es ist kein Authentifizierungs- oder Access Control Lists (ACLs)-Modell vorhanden. Wird die Matrix-basierte Sicherheit von Jenkins angewendet, erhalten Nutzer irrtümlich den Eindruck, mit einer sicheren Konfiguration zu arbeiten. Um die Ausführung von Jobs auf dem Primary zu deaktivieren, könnte das Plug-In Authorize Project zusammen mit der Einstellung Shell executable in /bin/false auf der Seite „Configure System“ verwendet werden.

Des Weiteren sollten Entwicklerteams die Nutzung von Community Pug-Ins überdenken. Den Sicherheits-Advisories von Jenkins zufolge stehen die meisten Sicherheitslücken in der Plattform in Zusammenhang mit Plug-Ins, wobei es sich bei den meisten um die unsichere Speicherung von vertraulichen Daten sowie Sandbox-basierte Ausbruchmöglichkeiten handelt.

Einsatz von Docker Containern

Die Verwendung von Containern ist inzwischen sehr beliebt, da sie entweder Software bieten, die sofort einsatzbereit ist oder nur einer minimalen Konfiguration bedarf. Containerisierung hilft also bei schnellen Implementierungen und sorgt für eine stabile Umgebung.

Docker ist die bei Entwicklerteams am weitesten verbreitete Container Engine. Sie wird bei der Anwendungserstellung, beim Testen, Packaging sowie bei der Bereitstellung eingesetzt. Doch seit dem Siegeszug dieser Technologie fanden die Sicherheitsforscher viele Container Images auf Docker Hub, die bösartig waren oder für verschiedene Angriffe missbraucht wurden. Allein im Jahr 2020 wurden zahlreiche bösartige Container Images für Kryptowährungs-Mining genutzt. Diese Vorfälle unterstreichen die Empfehlung, nur offizielle Docker Images zu verwenden, um potenzielle Sicherheitsrisiken zu minimieren und Bedrohungen zu verhindern.

Bild 1. Infektionsablauf in einem Docker Image

Exponierte Docker-APIs erleichtern es zudem Angreifern, die Server zu nutzen, um Krypto-Miner zu installieren. Privilegierte Docker Container und exponierte Daemon-Ports könnten ebenfalls zu Angriffsflächen werden.

Kubernetes

Kubernetes ist ein Orchestrierungs-Tool zur für die skalierbare Bereitstellung und Verwaltung von Containern. Kubernetes-Dienste werden von vielen Cloud-Anbietern wie Microsoft Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) angeboten. Solche Managed Services tragen dazu bei, das Risiko grösserer Fehlkonfigurationsprobleme zu verringern. Da dies jedoch für einige Umgebungen keine Option darstellt, können beim On-Premise Betrieb von Kubernetes-Clustern Risiken im Zusammenhang mit Fehlkonfigurationen auftreten.

Bild 2. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die API spielt eine wichtige Rolle für die Kubernetes-Sicherheit. Kann eine Anwendung, die innerhalb eines Clusters eingesetzt wird, mit dem API-Server interferieren, muss dies als Sicherheitsrisiko betrachtet werden. Daher sollte die API nur den Geräten zur Verfügung gestellt werden, die sie benötigen, eine Massnahme, die durch die Implementierung einer rollenbasierten Zugriffskontrolle und durch die Gewährleistung des Prinzips der geringsten Privilegien erreicht werden kann.

In einem falsch konfigurierten Szenario kann eine einzige anfällige Anwendung als Einstiegspunkt für den gesamten Cluster dienen. Benutzer sollten sicherstellen, dass nur der kube-api-server-Zugriff auf den etcd (ein verteilter Schlüsselwert-Speicher für kritische Daten) hat, da sonst unbeabsichtigte Datenlecks oder unbefugte Änderungen auftreten könnten. Zudem sollte ein Pod (eine grundlegende Bereitstellungseinheit innerhalb eines Kubernetes-Clusters) mit weniger Privilegien betrieben werden, um eine Kompromittierung von Knoten oder des gesamten Clusters zu vermeiden.

Online IDEs

Die Online Cloud-Entwicklungsumgebungen stellen eine interessante Alternative zu den Desktop-Systemen dar.

Cloud IDEs bringen alle Fähigkeiten und Tools zusammen, die ein Softwareentwickler benötigt. Zu den beliebtesten IDEs gehören AWS Cloud9 und Microsofts Visual Studio Codespaces. Visual Studio Codespaces ist eine komplette Anwendung in einer vernetzten Umgebung, während AWS Cloud9 nur Backend Services auf einer verlinkten Maschine bietet, und zusätzlich Frontend Services innerhalb der AWS Cloud.

Die interne Backend-Implementierung variiert je nach Cloud-IDE-Anbieter, aber alle bieten eine Terminal-Schnittstelle zur Umgebung des Benutzers. In den meisten Fällen haben die Benutzer die volle Kontrolle über die Umgebung und sind gleichzeitig für die Gewährleistung einer sicheren Konfiguration verantwortlich. Fehlkonfigurationen können auftreten, wenn Ports für eine erweiterte Nutzung von Anwendungen exponiert werden, sollte der Cloud Provider Timeouts einsetzen, die das verlinkte Gerät bei längerer Inaktivität abschalten.

Im Gegensatz dazu stehen für Visual Studio Codespaces eine Reihe von Erweiterungen zur Verfügung. Diese eignen sich jedoch auch als potenzielle Angriffsfläche. Beispielsweise kann eine in mit einem Backdoor versehene Erweiterung zu einer Systemkompromittierung führen aufgrund fehlender Berechtigungsprüfungen während der Installation oder Nutzung. Um solche Risiken zu mindern, sollten Entwicklungsteams nur vertrauenswürdige Plug-Ins oder Erweiterungen installieren und ihre Umgebungen auf die neueste Version aktualisieren.

Auch sind die Fälle von bösartigen Browser Plug-Ins bekannt, und ihre Funktionalität lässt sich auf Online IDE-Entwicklung erweitern. Ein Proof-of-Concept hat gezeigt, wie ein Angreifer darüber Code stehlen kann. Auch ist bekannt, dass Banking-Trojaner Browser-Funktionen nutzen, um Zugangsdaten von Nutzern zu stehlen. Eine Alternative dazu könnte Code stehlen oder auf Tokens für die IDE zugreifen.

Empfehlungen

Mit zunehmender Komplexität der im Backend verwendeten Software steigt das Risiko von Fehlkonfigurationen. Deshalb sollten Entwicklerteams sich immer dessen bewusst sein, dass es keine sichere Umgebung gibt. Folgende Best Practices können die Backend-Sicherheit verbessern helfen:

  • Umsetzung des Prinzips der Mindestprivilegien: Beschränken der Kontoprivilegien in Cloud-Diensten, vor allem wenn diese an öffentliche Cloud-Anbieter gebunden sind. Darüber hinaus sollten die Berechtigungen und der Zugriff auf Tools limitiert sein, um zu verhindern, dass Angreifer in der Computerumgebung Fuss fassen.
  • Admin-Konten nicht für alltägliche Aufgaben nutzen: Der Admin sollte nur für Continuous Integration and Continuous Deployment (CI/CD)-Tools eingesetzt werden.
  • Checks durchführen auf veraltete oder angreifbare Bibliotheken im Code: Tools wie der OWASP Dependency-Check und Lösungen etwa von Snyk liefern kostenlose Drittanbieter-Überprüfung für quelloffene Projekte.
  • Compliance zu Industriestandards: So können etwa Kubernetes-Anwender die CIS Kubernetes Benchmark vom Center for Internet Security (CIS) checken, um kritische Dateien und Verzeichnisse zu monitoren. Container-Nutzer können das Gleiche mithilfe des Application Container Security Guide vom National Institute of Standards and Technology (NIST) erreichen.

Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Die Software bietet schlanke, automatisierte Sicherheit für die DevOps Pipeline mit mehreren XGenTM Threat Defense-Techniken. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Der vollständige Report „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ steht Interessierten zur Verfügung.

Zukunftsszenarien im Faktencheck

Originalbeitrag von Rik Ferguson, VP Security Research

Im Jahr 2012 durfte Trend Micro an einem sehr spannenden Forschungsprojekt teilnehmen, das unter der Schirmherrschaft der International Cyber Security Protection Alliance (ICSPA) durchgeführt wurde, und an dem der Autor zusammen mit Experten des European Cyber Crime Centre (EC3) von Europol unter der Leitung von Dr. Victoria Baines mitarbeitete.

Ziel des Projekts war es, ein Whitepaper zu erstellen, in dem die technologischen Fortschritte der kommenden acht Jahre vorgestellt werden, die gesellschaftlichen und verhaltensbedingten Veränderungen, die sie nach sich ziehen, sowie natürlich die sich daraus möglicherweise ergebenden Vergehen. Aufbauend auf einer Basissynthese aus damals aktuellen Technologien, Bedrohungen und Einjahres-Vorhersagen wurden die komplexen Zusammenhänge und Auswirkungen der aufkommenden Technologien in Szenarien für Regierungen, Unternehmen und Bürger herausgearbeitet. Das Projekt betrachtete eine kurz- bis mittelfristige Zukunft, in der technologische Entwicklungen sowohl neue Möglichkeiten als auch neue Bedrohungen schaffen.

Bereits nach dem ersten Entwurf des Whitepapers wussten wir, dass wir etwas tun mussten, um es einem breiteren Publikum als sonst üblich zugänglich zu machen. Um wirklich die Sicherheit einer künftigen Welt voranzubringen, ist es unerlässlich, das Interesse nicht nur der Unternehmen von morgen, sondern auch der Verbraucher und der Gesetzgeber zu wecken.

Deshalb gab Trend Micro eine Web-Serie von neun fünfminütigen Episoden in Auftrag, die in der im Dokument beschriebenen Welt spielt, und die von uns mitgestaltet wurde. Dieser Blade-Runner-ähnliche Krimi versuchte nicht nur, die im Whitepaper „Project 2020: Scenarios for the Future of Cybercrime“ gemachten Vorhersagen zu konkretisieren und zum Leben zu erwecken, sondern auch, kritisch die Inhalte einem viel breiteren Publikum zugänglich zu machen als es das ursprüngliche akademische Dokument konnte. Der Berichterstattung in den Massenmedien wie USA Today nach zu urteilen, war das Projekt seinerzeit ein Erfolg. Auch wurde es für verschiedene Preise nominiert und gewann sogar Gold bei mehreren grossen Medienfestivals, darunter die Shorty Awards und das World Media Festival.

2020 nun sollten wir die Gelegenheit nutzen, das Projekt anhand einer Reihe von Erfolgsfaktoren objektiv zu überprüfen. Was haben wir in Bezug auf technologische Entwicklungen und Auswirkungen auf die Cybersicherheit „richtig“ gemacht, und was haben wir verpasst?

https://youtube.com/watch?v=ykWgWsGW4aM%3Ffeature%3Doembed

Interessierte finden weitere Informationen auf der 2020 Website. Dort lässt sich die Web-Serie ansehen und nicht nur das ursprüngliche Whitepaper herunterladen, sondern auch eine gründliche Analyse „The Benefit of Foresight Project 2020 in Review“. Die Site gibt auch einen Vorgeschmack auf das, was vielleicht als Nächstes kommt!

„Docker Content Trust“: Sicherheit von Container Images mit Einschränkungen

Originalartikel von Brandon Niemczyk (Security Researcher

Eine der wichtigsten Sicherheitsfragen für eine Container-basierte Umgebung lautet: „Kann ich den Container Images trauen?“ Das bedeutet, als erstes müssen die Images auf ihre Korrektheit und die Echtheit der Quelle geprüft werden. Eine der Sicherheitsvorhersagen für 2020 von Trend Micro bezog sich auf die schädlichen Auswirkungen von bösartigen Container Images auf die Unternehmens-Pipeline. Es gab bereits Angriffe, die solche Images missbrauchten, so etwa für das Scannen nach angreifbaren Servern und Krypto-Mining. Für dieses Sicherheitsproblem liefert Docker eine Funktion namens „Content Trust“. Damit können Nutzer Images in einem Cluster oder Swarm zuverlässig bereitstellen und überprüfen, ob es sich tatsächlich um die von ihnen gewünschten Images handelt. Docker Content Trust (DCT) kann jedoch die Images nicht über den Swarm hinweg auf Veränderungen oder Ähnliches überwachen. Es geht ausschliesslich um eine einmalige Überprüfung durch den Docker-Client, nicht durch den Server.

Diese Tatsache hat Auswirkungen auf den Nutzen von DCT als vollwertiges Tool für Integritäts-Monitoring. Trend Micro berichtete bereits über Cloud-eigene Systeme wie Image-Signier-Tools (Notary), als Antwort auf die Vertrauensfrage. DCT stellt einen Versuch dar, Docker-Clients eingebaute Tools zur Verfügung zu stellen, die genau dies ermöglichen.

Im Kern ist Docker Content Trust ein sehr einfaches Tool. Es geht um Logik innerhalb des Docker-Clients, die Images verifizieren kann, die Anwender von einem Registry-Server beziehen oder bereitstellen und die auf einem Docker Notary Server der Wahl signiert sind.

Mit dem Docker Notary-Tool können Publisher ihre Sammlungen digital signieren, während die Nutzer die Integrität der von ihnen abgerufenen Inhalte überprüfen. Mit Hilfe des Update-Frameworks (TUF) schaffen Notary-Benutzer Vertrauen in beliebige Datensammlungen und managen die für die Gewährleistung der Aktualität der Inhalte erforderlichen Vorgänge. Einzelheiten dazu umfasst der Docker-Guide.

Bild. Bereitstellung eines Docker-Swarms oder –Build. DerClient kann mit dem Registry-Server und Notary-Server kommunizieren.

Der Originalartikel zeigt im Detail, wie DCT aktiviert wird, über welche Schritte die Vertrauensvalidierung und Integration in die CI/CD-Pipeline automatisiert werden kann und auch wo die Grenzen dieser Anwendung liegen, nämlich in der Tatsache, dass DCT lediglich eine Client-Implementierung ist.

Lösungen

Trend Micro™ Deep Security kann Hosts schützen und bietet Integrity Monitoring für Docker- und Kubernetes-Konfigurationsdateien, die auf demselben Host laufen. Trend Micro Cloud One™ – Container Security verfügt über eine Funktion, die einen eigenen Admission-Controller verwendet, um die Bereitstellung von Containern auf der Grundlage von Erkenntnissen aus Deep Security Smart Check oder anderen Container-Konfigurationen (wie einem privilegierten Container oder einem, der als Root läuft) zu stoppen.

Hybrid Cloud Security liefert schlanke, starke und automatisierte Sicherheit für die DevOps Pipeline mit mehrfachen XGen™ Threat Defense-Techniken zum Schutz von physischen, virtuellen, serverlosen und Cloud-Workloads zur Laufzeit.

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

Cyberkriminelle spielen um Gewinne aus verbrecherischen Aktivitäten

Originalbeitrag von Erin Johnson, Vladimir Kropotov und Fyodor Yarochkin

Im Halbjahresbericht zur Sicherheit 2020 zeigte Trend Micro auf, wie sich die COVID-19-Pandemie auf die Sicherheitsbranche auswirkt. Sie hat nicht nur die Art verändert, wie der Betrieb abläuft (und dementsprechend die Mitarbeiter agieren), sondern auch bestimmte kriminelle Aktivitäten gefördert, vor allem während der Zeit der Kontaktbeschränkungen. Einige dieser Tätigkeiten beziehen sich auf „Freizeitaktivitäten“, doch verbringen die Cyberkriminellen ihre Zeit anders als der Normalbürger, denn deren Beschäftigungen führen zu noch mehr Kriminalität. Das Untergrund-Monitoring der Sicherheitsforscher zeigte mehrere Arten der „Unterhaltung“, einschliesslich solcher, die Preise anbot, die aus dem kriminellen Betrieb stammen.

Cyberkriminelle scheinen mit dem Fortschreiten der Pandemie bestimmte Arten von Online-Wettbewerben zu bevorzugen. Dazu gehören:

  • Online Rap-Wettbewerbe
  • Pokerturniere
  • Gedichtwettbewerbe
  • Persönliche Sportturniere

Oberflächlich betrachtet erscheint dies alles wie ein unschuldiger Spass, an dem auch normale Menschen teilnehmen. Unter dem Deckmantel von Spass und Spiel jedoch verbirgt sich ein weitaus beunruhigenderes Szenario: Bei diesen scheinbar legitimen Aktivitäten werden kriminell erworbene Güter als Preise verliehen. Diese reichen von Kreditkarten-Dumps bis hin zu persönlich identifizierbaren Informationen (PII).

Viele dieser Preise werden mit arglistigen Mitteln erworben und können dazu verwendet werden, mehr Cyberkriminalität zu fördern. Beispielsweise werden PII häufig für Identitätsdiebstahl verwendet, während Kreditkarten-Dumps dazu dienen, Kreditkartenbetrug zu begehen.

Nicht nur die Preise sondern auch die Rechtmässigkeit einiger der Aktivitäten selbst sind fragwürdig. Beispielsweise sind Pokerturniere möglicherweise nicht legal, da Online-Poker in einigen Ländern verboten ist. Die Quarantänebeschränkungen während der Pandemie haben jedoch die Häufigkeit von Untergrund-Pokerturnieren erhöht. Einige Mitglieder eines Untergrundforums schlugen sogar vor, die Häufigkeit der Turniere von wöchentlich auf täglich zu erhöhen, da aufgrund der Covid-19-Restriktionen mehr freie Zeit zur Verfügung steht. Pokerturniere sind im Untergrund überaus populär geworden.

Insgesamt bot etwa die Hälfte der untersuchten kriminellen Online-Plattformen eine Art Covid-19-bezogenes Unterhaltungsprogramm an. Einige schienen ziemlich unschuldig, wie etwa ein Geschichtenwettbewerb mit Geldpreisen, während andere Belohnungen krimineller Natur anboten. Einige Untergrund-Pokerclubs gewähren aktiven Spielern zusätzliche Forenprivilegien, wie etwa Rabatte auf Treuhand-Serviceprovisionen für den Geldwechsel. So erhielten im Juni Teilnehmer einen 50-prozentigen Rabatt auf diese Dienste.

Auch Rap- oder Gedicht-Wettbewerbe haben an Beliebtheit zugenommen und wurden mit ähnlichen Preisen ausgestattet, etwa Teilnahmegebühren bei Pokertournieren.

Gestohlene Preise für die kriminellen Spiele

Die Aktivitäten selbst stellen im Allgemeinen kein Problem dar, doch die ausgelobten Preise für die Gewinner sind das kriminelle Element dabei. Sie werden üblicherweise von den Foren-Teilnehmern im Untergrund gestiftet und fördern Kriminalität.

Unter anderem gehören folgende Preise dazu:

  • Zugang zu Cloud-basierten Logdateien von gestohlenen Daten, einschliesslich PII und gestohlenen Kreditkarten.
  • Lizenzen für Linken Sphere, einen angepassten Browser, der gestohlene Anmeldedaten und Systemfingerabdrücke verwendet, um die Erkennung durch ein Anti-Betrugssystem zu vermeiden. Kriminelle verwenden diese normalerweise, um gestohlene Kreditkarten oder Zugangsdaten zu Zahlungssystemen zu vermarkten.
  • Eine VISA Gold Card (mit einer siebenmonatigen Garantie), die über gescannte, aus einer Leckage stammende IDs registriert ist.
  • Ein Skript zur Automatisierung der Erstellung von geklonten Websites und E-Shops. Untergrundakteure verwenden diese oft, um Benutzeranmeldeinformationen, PII, Kreditkarten, elektronische Geldbörsen und andere monetäre Werte zu sammeln, indem sie Benutzer dazu verleiten, sich anzumelden und auf einer geklonten Version einer Website einzukaufen.
  • Eine Lizenz für Software zur Verhinderung der Erkennung von Kreditkartenbetrug, zusammen mit 50 benutzerdefinierten Konfigurationen. Diese Software wird zusammen mit gestohlenen Zahlungsinformationen verwendet, um den rechtmäßigen Kreditkartenbesitzer nachzuahmen und gleichzeitig die Erkennung durch Anti-Betrugssysteme zu vermeiden.
  • Geldpreise, die ursprünglich aus kriminellen Aktivitäten stammen, sowie viele andere Preise.

Viele weitere Details zum Thema bietet der Originalbeitrag.

Fazit

Die Preise – und ihre Verwendung für weitere böswillige Aktivitäten – stellen eine Belastung für Einzelpersonen und Organisationen dar, die bereits unter der Pandemie leiden.

Die Mittel für den Lebensunterhalt und die Finanzen der Menschen als Aktivposten zu behandeln, der gegen Unterhaltung eingetauscht wird, ist zynisch, umso mehr unter den gegenwärtigen Umständen. Darüber hinaus sind die spezifischen (kriminalitätsfördernden) Software-Lizenzen, die als Preise angeboten werden, sehr wertvoll – vor allem auch für Cyberkriminelle. Die Anti-Betrugs-Erkennungssoftware Linken Sphere kostet etwa 100 US-Dollar pro Monat, bzw. 500 US-Dollar für ein sechsmonatiges Abonnement.

Diese Bedrohungen sind nicht neu – Kreditkartenbetrug, Identitätsdiebstahl und gestohlene Software gibt es schon seit Jahren. Doch kriminell erworbene Assets, die als Preise für die persönliche Unterhaltung verwendet werden, sind ein Phänomen, das die Mentalität dieser Kriminellen zeigt: Die gestohlenen Assets sind einfach Vermögenswerte, die vergeben, gehandelt oder verschenkt werden können. Für die Opfer ist es jedoch ganz anders, da ihr Lebensunterhalt wie gedruckte Scheine in einem soziopathischen Monopolspiel herumgereicht wird.

Die Mission von Trend Micro besteht darin, das Internet zu einem sichereren Ort zu machen, und wir werden weiterhin proaktiv die kriminellen Aktivitäten im Internet bekämpfen.

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine grössere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.

Schwachstellen in IoT-Geräten sind eine Tatsache, mit der Nutzer zurechtkommen müssen. Je mehr Geräte in einem Netzwerk sind, desto schwieriger wird es, sie im Auge zu behalten und Bedrohungen zu verhindern, die die Umgebung kompromittieren könnten. Um IoT-Geräte davor zu schützen, bei einem Angriff wie Distributed Denial of Service (DDoS) missbraucht zu werden, sollten Nutzer Best Practices befolgen.

Auch darf nicht vergessen werden, dass die Geräte der verschiedenen Hersteller ein unterschiedliches Sicherheitsniveau aufweisen und sich auch in ihrer Lebensdauer unterscheiden. Einige Geräte sind für Büros und Unternehmen konzipiert, während andere für Privathaushalte oder normale Verbraucher bestimmt sind. Beide Typen verfügen jedoch normalerweise nur über Sicherheitsmassnahmen, die auf ihre Verarbeitungsmöglichkeiten beschränkt sind.

Ein sicheres Netzwerk kann eine zusätzliche Sicherheitsschicht bieten, die alle angeschlossenen Geräte mit einschliesst. Netzwerksicherheit kann Bedrohungen minimieren und einen einheitlichen Rahmen bieten, aus dem heraus Sicherheitsmassnahmen für unterschiedliche IoT-Geräte umzusetzen sind.

Vorbereitung eines Netzwerks für IoT

In den meisten Fällen existieren die Netzwerke bereits, bevor sie mit IoT ausgestattet wurden. Deshalb ist eine Neubewertung der Netzwerksicherheit erforderlich auch bezüglich einer Einschätzung, inwieweit ein Netzwerk für die Integration von IoT-Geräten geeignet ist, und welche Schwachstellen noch beseitigt werden müssen.

Im Folgenden ein paar Überlegungen, bevor eine IoT-Umgebung in ein Setting eingefügt oder neu erstellt wird:

Upgrade des Netzwerks, um eine höhere Bandbreite zu erhalten: Kommen Endpunkte hinzu, nehmen diese Ressourcen in Anspruch, die ein Netzwerk möglicherweise nicht liefern kann. Können diese IoT-Geräte, die ständig Daten austauschen, nicht berücksichtigt werden, sind Verbindungsprobleme die Folge. Insbesondere Unternehmen sollten im Voraus planen, wie sie ihre Bandbreite am besten zuweisen, und dabei genau festlegen, welche Abteilungen wann mehr benötigen könnten.

Überprüfung bereits vorhandener Endpunkte im Netzwerk: Nutzer müssen auch die Sicherheit der Geräte überprüfen, die bereits Teil des Netzwerks sind, bevor IoT-Geräte hinzukommen. Endpunkte wie Computer oder Smartphones können ebenfalls Schwachpunkte sein, vor allem wenn diese Geräte relativ alt sind oder wesentliche Aktualisierungen nicht durchgeführt wurden. Sie sollten auch auf Kompatibilität mit neuen Geräten geprüft werden, die dem Netzwerk hinzugefügt werden.

Netzwerkrichtlinien auf dem neuesten Stand halten: Unternehmen müssen ihre Netzwerk-Policies aktualisieren. Mitarbeiter, die ständig im Netz sind, sollten sich stets der Auswirkungen bewusst sein, wenn dem Netzwerk weitere Endpunkte hinzugefügt werden. Aktualisierte Netzwerkrichtlinien müssen daher neue Sicherheitsanforderungen wie die Verwaltung der Benutzerberechtigungen, Regeln für „Bring-Your-Own-Devices“ (BYOD) und Richtlinien für WFH-Vereinbarungen enthalten.

IoT-Risiken mithilfe des Netzwerks stoppen

In der nächsten Phase geht es darum, nicht nur Netzwerke vor IoT-bezogenen Risiken zu schützen, sondern Sicherheit auf Netzwerkebene als Tool einzusetzen, um Bedrohungen einzudämmen und zu minimalisieren. Folgende Überlegungen können IoT-Risiken und -Bedrohungen effizient einschränken:

Einsatz von Sicherheit auf Netzwerkebene: Manche IoT-Geräte im Netzwerk kommunizieren mit externen Systemen und mit der öffentlichen Cloud, und die meisten kommunizieren mit anderen Geräten in demselben Netzwerk. Sollte eines dieser Geräte korrupte Signale übermitteln, wären Unternehmen, die keine Überwachung innerhalb des Netzwerks durchführen, nicht in der Lage, diese Geräte zu erkennen. Sicherheit auf Netzwerkebene, zusätzlich zur Perimeterverteidigung, kann solche Ereignisse verhindern helfen.

Erstellen von separaten Netzwerken: Eine weitere Möglichkeit, das Risiko von IoT-bezogenen Angriffen zu minimieren, besteht darin, ein separates, unabhängiges Netzwerk für IoT-Geräte und ein weiteres für Gastverbindungen zu schaffen. In WFH-Szenarien können Benutzer auch firmeneigene Geräte wie Laptops in ein separates Netzwerk stellen oder sie für andere Geräte zu Hause unauffindbar machen. Ein segmentiertes Netzwerk kann dabei helfen, Eindringlinge oder Infektionen, die von anfälligen Geräten ausgehen, zu isolieren. Sowohl im Unternehmen als auch zu Hause wäre ein separates Gastnetzwerk auch hilfreich, um weitere Cyberattacken und Malware zu verhindern.

Nutzen der Sicherheitsfähigkeiten von Routern: Da Router in Netzwerken eine wichtige Rolle spielen, ist es auch wesentlich, die Sicherheitsmerkmale dieser Geräte zu kennen  und zu nutzen. Zum Beispiel haben viele Router eine eingebaute Funktion, um ein Gastnetzwerk zu erstellen, das andere Zugangsdaten als das Hauptnetzwerk verwendet.

Bessere Übersicht über das Netzwerk: Sichtbarkeit ist der Schlüssel zur Gewährleistung der Sicherheit des Netzwerks. Sogar in Unternehmensumgebungen können Gäste intelligente Geräte an das Unternehmensnetzwerk anschliessen, ohne dass Sicherheitsverantwortliche dies sofort bemerken. Unternehmen müssen in ihrem Netzwerk über die erforderlichen Tools verfügen, um diese Verbindungen zu überwachen. Darüber hinaus sind diese Tools nicht nur zur Ermittlung der Verbindungen erforderlich, die notwendig oder riskant sind, sondern auch, um Massnahmen in die Wege zu leiten, bevor Bedrohungen erkannt werden.

Monitoring auf verdächtige Verhaltensweisen: Netzwerk-Monitoring gehört dazu, um eine bessere Übersicht zu gewinnen. Neben guten Kenntnissen zu jedem Gerät erleichtert das Wissen über verdächtiges Verhalten das Erkennen von Geräteübernahmen oder Infektionen.

Entfernen anonymer Verbindungen: Jede Verbindung zum Netzwerk muss identifiziert oder benannt werden. Mithilfe einer entsprechenden Kennzeichnung der einzelnen Geräte lassen sich anonyme Verbindungen reduzieren oder entfernen. Dies hilft Benutzern und Integratoren, ihr Netzwerk besser zu überwachen und mögliche unerwünschte Verbindungen zu lokalisieren. Auch ist es viel einfacher, problematische Geräte zu identifizieren, die aus dem Netzwerk entfernt werden müssen.

Policies über das Netzwerk durchsetzen: Sicherheitslösungen, die Transparenz und Kontrolle über das Netzwerk bieten, helfen bei der Durchsetzung der Richtlinien, die vor der Integration von IoT-Geräten implementiert wurden. Mithilfe der Möglichkeiten des Netzwerks können anonyme Verbindungen oder solche, die gegen festgelegte Richtlinien verstossen, entfernt werden.

Geräte überlegt wählen: Obwohl Netzwerklösungen dazu beitragen können, Sicherheitslücken zu schliessen, die durch die uneinheitliche Sicherheit zahlreicher Geräte entstehen, sind sie nicht als singuläre Lösung gedacht. Daher sollten Anwender bei der Auswahl ihrer Geräte besonders kritisch sein. Zum Beispiel ist es ratsam, sich zu informieren und die verschiedenen Merkmale und Typen von Geräten zu berücksichtigen. Darüber hinaus sollten die gewählten Geräte immer auf dem neuesten Stand sein.

Die Rolle des Administrators der Dinge ernst nehmen: IT-Experten, die für die Netzwerksicherheit eines Unternehmens verantwortlich sind, haben bei der Sicherung von WFH-Setups nur eine begrenzte Kontrolle. Aus diesem Grund müssen die Benutzer oder „Administratoren of Things“ zu Hause sowohl die Pflichten ihrer Rolle kennen als auch wissen, wie wichtig diese Rolle ist, insbesondere in der gegenwärtigen Realität der längerfristigen WFH-Abmachungen.

Bild. IoT-Geräte können über verschiedene Fähigkeiten Verbindungen zum Büronetzwerk herstellen.

Sicherheitslösungen

Um eine mehrschichtige Verteidigung aufzubauen, können Anwender umfassende Lösungen einsetzen, wie etwa Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Mechanismen zum Schutz vor Bedrohungen für IoT-Geräte bieten und Malware auf Endpunktebene erkennen können. Vernetzte Geräte lassen sich auch über Lösungen schützen, wie Trend Micro™ Home Network Security und Trend Micro™ Home Network Security SDK, die den Internet-Verkehr zwischen dem Router und allen verbundenen Geräten prüfen können. Schliesslich kann die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance alle Ports und Protokolle überwachen, um Unternehmen vor fortgeschrittenen Bedrohungen und gezielten Angriffen zu schützen.