Archiv der Kategorie: Datenschutz

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

XDR: Detection and Response über alle Ebenen zahlt sich aus

von Trend Micro

Mittlerweile ist klar: Angriffe vollständig zu verhindern, geht nicht. Umso wichtiger ist es, den Schwerpunkt der Verteidigung auf die effektive Erkennung und schnelle Reaktion auf Bedrohungen zu legen. Sicherheitsteams eröffnen sich mit dem Einsatz solch quellenübergreifender Sicherheitsmechanismen (bekannt als XDR) neue Möglichkeiten in ihrem täglichen Kampf um die Sicherheit der IT. Zudem können IT-Abteilungen mithilfe von XDR erhebliche Ressourcen sparen. Das bestätigt eine neue Untersuchung des Analystenhauses ESG.

Von den durch ESG befragten 500 IT- und IT-Sicherheitsverantwortlichen gaben rund 85 Prozent zu, dass die Erkennung von Cyberbedrohungen sowie die Reaktion darauf in den letzten zwei Jahren schwieriger geworden ist.

Bild 1. Die Mehrheit der Befragten ist der Meinung, dass Threat Detection and Response immer komplexer wird.

Die Gründe dafür liegen laut Studie in der immer anspruchsvoller werdenden Bedrohungslandschaft, der zunehmenden Komplexität der Sicherheitslösungen und dem Mangel an qualifizierten IT-Sicherheitsexperten.

Bild 2. Die drei grössten Defizite bei Threat Detection and Response-Tools: False Positives, fehlendes Know-How und Mängel bei der Automatisierung.

Der Einsatz einer XDR-Lösung zur automatischen Zusammenführung von Bedrohungsdaten aus unterschiedlichen Quellen kann genau diese Probleme lösen. Aufbauend auf den Erkenntnissen aus der Endpoint Detection und Reaktion (EDR) analysiert XDR die Sicherheits-Telemetriedaten über Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitskontrollen hinweg, und ermöglicht damit einen besseren Einblick in fortgeschrittene, komplexe Angriffe.

Bei heutigen Cyberangriffen entscheidet die Schnelligkeit der Erkennung und Reaktion darauf. Nur so können gesetzliche Meldepflichten (beispielsweise gemäss EU-Datenschutzgrundverordnung) eingehalten und Folgeschäden verhindert werden. 65 Prozent der befragten Unternehmen, die eine XDR-Lösung einsetzen, erkennen Datenschutzverletzungen innerhalb weniger Tage oder schneller. Firmen, die keine solchen Systeme einsetzen, brauchen hingegen zu 70 Prozent mindestens eine Woche dafür.

Bild 3. XDR-Nutzer gelingt es deutlich schneller, ihre Systeme nach einem Angriff  wiederherzustellen

Auch nach der Erkennung eines Angriffs bringt eine automatisierte Lösung deutliche Zeitgewinne: 83 Prozent der XDR-Nutzer können betroffene Systeme innerhalb von Stunden wiederherstellen. Bei den anderen Unternehmen gelingt dies nur 66 Prozent.

Fazit

Aus den Antworten der Studienteilnehmer geht hervor, dass ihre Unternehmen dank der intelligenten Nutzung von Daten aus mehreren vernetzten Sicherheitslösungen Bedrohungen schneller erkennen können und weniger durch Fehlalarme belastet werden. So sind 88 Prozent der Unternehmen, die eine solche Lösung einsetzen, „zuversichtlich“ oder „sehr zuversichtlich“, dass ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen in den nächsten zwölf bis 24 Monaten mit der erforderlichen Geschwindigkeit funktionieren, um mit den Bedrohungen Schritt zu halten. Auch den Fachkräftemangel kann XDR teilweise ausgleichen: Auf die Frage, wie viele Vollzeitäquivalente erforderlich wären, um ihre automatisierten Systeme zu ersetzen, gaben diese Unternehmen im Durchschnitt acht an.

„Organisationen, die Daten über mehrere Sicherheitskontrollen hinweg aggregieren, korrelieren und analysieren, erleiden weniger erfolgreiche Angriffe, haben eine bessere allgemeine Sicherheitsaufstellung und leben mit weniger täglichem Stress für ihre Teams.“, so fasst Dave Gruber, Senior Analyst bei ESG, die Ergebnisse zusammen.

Für die Studie „The XDR Payoff: Better Security Posture, September 2020“ befragte die Enterprise Strategy Group (ESG) im Juni 500 IT- und IT-Sicherheitsverantwortliche aus Unternehmen mit mindestens 500 Mitarbeitern. Die vollständige Studie steht zum kostenlosen Download zur Verfügung.

Trend Micro-Lösung

Trend Micro XDR erfasst und korreliert automatisch Daten auf verschiedenen Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk – und bietet damit eine breitere Perspektive und einen besseren Kontext dafür, Bedrohungen zu suchen, zu erkennen und einzudämmen. Bedrohungen werden früher erkannt. Sicherheitsanalysten können sie in kürzerer Zeit untersuchen und auf sie reagieren. Trend Micro XDR wurde kürzlich von Forrester als führend in der Erkennung und Reaktion für Unternehmen bezeichnet (1) und erreichte die höchste anfängliche Erkennungsrate im MITRE ATT&CK Framework.

Die Lösung steht auch als Managed Service (MDR) zur Verfügung, um häufig überlastete unternehmenseigene Teams durch Sicherheitsexperten von Trend Micro zu unterstützen. MDR bietet vollständige Bedrohungsanalysen, Threat Hunting, Reaktionspläne und Empfehlungen zur Beseitigung von Bedrohungen rund um die Uhr.

„XDR eröffnet durch die korrelierte Analyse über bisherige Silos hinweg ein neues Kapitel in der Security. Überlastete Security-Teams können damit ihre Reaktion auf Bedrohungen optimieren“, erklärt auch Richard Werner, Business Consultant bei Trend Micro. „Diese Lösung bietet Unternehmen klare Mehrwerte und hilft dabei, ihre drängendsten Security-Probleme zu lösen.“

Supply Chain-Angriffe im Cloud Computing vermeiden

Originalartikel von Trend Micro

Sicherheit ist einer der wichtigen Aspekte, die Unternehmen berücksichtigen müssen, wenn sie auf Cloud-basierte Technologien setzen. Ganz oben auf der Liste der zu sichernden Ressourcen stehen Netzwerke, Endpunkte und Anwendungen. Um Betriebskosten zu optimieren, verlagern einige Organisationen ihre Backend-Infrastruktur in die Cloud oder betreiben ihre eigene firmeninterne private Cloud mit Cloud-basierten Lösungen. Doch wird dieser Ansatz vom Standpunkt der Architektur oder auch die Konfigurationen nicht korrekt durchgeführt, so kann das Backend Bedrohungen ausgesetzt werden und ein leichtes Ziel für Supply Chain-Angriffe darstellen. Die Folge sind der Verlust von Daten, Reputation und Vertrauen der Kunden.

In dem Whitepaper „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ liefern die Sicherheitsforscher von Trend Micro einen Überblick über verschiedene Sicherheitsrisiken und Techniken zur Minimierung der Gefahren für DevOps.

Die Analysen beziehen sich auf konkrete Beispiele wie Jenkins (quelloffener Integrationsserver für Softwarekomponenten), Docker Container, Kubernetes (Orchestrierungs-Tool) und Cloud-basierten integrierten Entwicklungsumgebungen (IDE) wie AWS Cloud9 und Visual Studio Codespaces.

Authentifizierung und Access Control Lists (ACL)

Wird keine Authentifizierung aufgesetzt oder rollenbasierte Sicherheit mit ACL nicht angewendet, hat jeder, der in das System gelangen kann, Administratorzugriff. Diese Risiken werden anhand von Jenkins als Beispiel aufgezeigt.

Jenkins

Standardkonfigurationen in Backend-Systemen stellen selbst bei Anwendung der Authentifizierung ein erhebliches Sicherheitsrisiko dar. Jenkins Primary ist standardmässig in der Lage, Build-Aufgaben durchzuführen und erlaubt es Nutzern mit geringeren Privilegien, die Jenkins-Instanz vollständig zu übernehmen, einschliesslich der vertraulichen Daten, Job-Konfiguration und Source Code. Es ist kein Authentifizierungs- oder Access Control Lists (ACLs)-Modell vorhanden. Wird die Matrix-basierte Sicherheit von Jenkins angewendet, erhalten Nutzer irrtümlich den Eindruck, mit einer sicheren Konfiguration zu arbeiten. Um die Ausführung von Jobs auf dem Primary zu deaktivieren, könnte das Plug-In Authorize Project zusammen mit der Einstellung Shell executable in /bin/false auf der Seite „Configure System“ verwendet werden.

Des Weiteren sollten Entwicklerteams die Nutzung von Community Pug-Ins überdenken. Den Sicherheits-Advisories von Jenkins zufolge stehen die meisten Sicherheitslücken in der Plattform in Zusammenhang mit Plug-Ins, wobei es sich bei den meisten um die unsichere Speicherung von vertraulichen Daten sowie Sandbox-basierte Ausbruchmöglichkeiten handelt.

Einsatz von Docker Containern

Die Verwendung von Containern ist inzwischen sehr beliebt, da sie entweder Software bieten, die sofort einsatzbereit ist oder nur einer minimalen Konfiguration bedarf. Containerisierung hilft also bei schnellen Implementierungen und sorgt für eine stabile Umgebung.

Docker ist die bei Entwicklerteams am weitesten verbreitete Container Engine. Sie wird bei der Anwendungserstellung, beim Testen, Packaging sowie bei der Bereitstellung eingesetzt. Doch seit dem Siegeszug dieser Technologie fanden die Sicherheitsforscher viele Container Images auf Docker Hub, die bösartig waren oder für verschiedene Angriffe missbraucht wurden. Allein im Jahr 2020 wurden zahlreiche bösartige Container Images für Kryptowährungs-Mining genutzt. Diese Vorfälle unterstreichen die Empfehlung, nur offizielle Docker Images zu verwenden, um potenzielle Sicherheitsrisiken zu minimieren und Bedrohungen zu verhindern.

Bild 1. Infektionsablauf in einem Docker Image

Exponierte Docker-APIs erleichtern es zudem Angreifern, die Server zu nutzen, um Krypto-Miner zu installieren. Privilegierte Docker Container und exponierte Daemon-Ports könnten ebenfalls zu Angriffsflächen werden.

Kubernetes

Kubernetes ist ein Orchestrierungs-Tool zur für die skalierbare Bereitstellung und Verwaltung von Containern. Kubernetes-Dienste werden von vielen Cloud-Anbietern wie Microsoft Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) angeboten. Solche Managed Services tragen dazu bei, das Risiko grösserer Fehlkonfigurationsprobleme zu verringern. Da dies jedoch für einige Umgebungen keine Option darstellt, können beim On-Premise Betrieb von Kubernetes-Clustern Risiken im Zusammenhang mit Fehlkonfigurationen auftreten.

Bild 2. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die API spielt eine wichtige Rolle für die Kubernetes-Sicherheit. Kann eine Anwendung, die innerhalb eines Clusters eingesetzt wird, mit dem API-Server interferieren, muss dies als Sicherheitsrisiko betrachtet werden. Daher sollte die API nur den Geräten zur Verfügung gestellt werden, die sie benötigen, eine Massnahme, die durch die Implementierung einer rollenbasierten Zugriffskontrolle und durch die Gewährleistung des Prinzips der geringsten Privilegien erreicht werden kann.

In einem falsch konfigurierten Szenario kann eine einzige anfällige Anwendung als Einstiegspunkt für den gesamten Cluster dienen. Benutzer sollten sicherstellen, dass nur der kube-api-server-Zugriff auf den etcd (ein verteilter Schlüsselwert-Speicher für kritische Daten) hat, da sonst unbeabsichtigte Datenlecks oder unbefugte Änderungen auftreten könnten. Zudem sollte ein Pod (eine grundlegende Bereitstellungseinheit innerhalb eines Kubernetes-Clusters) mit weniger Privilegien betrieben werden, um eine Kompromittierung von Knoten oder des gesamten Clusters zu vermeiden.

Online IDEs

Die Online Cloud-Entwicklungsumgebungen stellen eine interessante Alternative zu den Desktop-Systemen dar.

Cloud IDEs bringen alle Fähigkeiten und Tools zusammen, die ein Softwareentwickler benötigt. Zu den beliebtesten IDEs gehören AWS Cloud9 und Microsofts Visual Studio Codespaces. Visual Studio Codespaces ist eine komplette Anwendung in einer vernetzten Umgebung, während AWS Cloud9 nur Backend Services auf einer verlinkten Maschine bietet, und zusätzlich Frontend Services innerhalb der AWS Cloud.

Die interne Backend-Implementierung variiert je nach Cloud-IDE-Anbieter, aber alle bieten eine Terminal-Schnittstelle zur Umgebung des Benutzers. In den meisten Fällen haben die Benutzer die volle Kontrolle über die Umgebung und sind gleichzeitig für die Gewährleistung einer sicheren Konfiguration verantwortlich. Fehlkonfigurationen können auftreten, wenn Ports für eine erweiterte Nutzung von Anwendungen exponiert werden, sollte der Cloud Provider Timeouts einsetzen, die das verlinkte Gerät bei längerer Inaktivität abschalten.

Im Gegensatz dazu stehen für Visual Studio Codespaces eine Reihe von Erweiterungen zur Verfügung. Diese eignen sich jedoch auch als potenzielle Angriffsfläche. Beispielsweise kann eine in mit einem Backdoor versehene Erweiterung zu einer Systemkompromittierung führen aufgrund fehlender Berechtigungsprüfungen während der Installation oder Nutzung. Um solche Risiken zu mindern, sollten Entwicklungsteams nur vertrauenswürdige Plug-Ins oder Erweiterungen installieren und ihre Umgebungen auf die neueste Version aktualisieren.

Auch sind die Fälle von bösartigen Browser Plug-Ins bekannt, und ihre Funktionalität lässt sich auf Online IDE-Entwicklung erweitern. Ein Proof-of-Concept hat gezeigt, wie ein Angreifer darüber Code stehlen kann. Auch ist bekannt, dass Banking-Trojaner Browser-Funktionen nutzen, um Zugangsdaten von Nutzern zu stehlen. Eine Alternative dazu könnte Code stehlen oder auf Tokens für die IDE zugreifen.

Empfehlungen

Mit zunehmender Komplexität der im Backend verwendeten Software steigt das Risiko von Fehlkonfigurationen. Deshalb sollten Entwicklerteams sich immer dessen bewusst sein, dass es keine sichere Umgebung gibt. Folgende Best Practices können die Backend-Sicherheit verbessern helfen:

  • Umsetzung des Prinzips der Mindestprivilegien: Beschränken der Kontoprivilegien in Cloud-Diensten, vor allem wenn diese an öffentliche Cloud-Anbieter gebunden sind. Darüber hinaus sollten die Berechtigungen und der Zugriff auf Tools limitiert sein, um zu verhindern, dass Angreifer in der Computerumgebung Fuss fassen.
  • Admin-Konten nicht für alltägliche Aufgaben nutzen: Der Admin sollte nur für Continuous Integration and Continuous Deployment (CI/CD)-Tools eingesetzt werden.
  • Checks durchführen auf veraltete oder angreifbare Bibliotheken im Code: Tools wie der OWASP Dependency-Check und Lösungen etwa von Snyk liefern kostenlose Drittanbieter-Überprüfung für quelloffene Projekte.
  • Compliance zu Industriestandards: So können etwa Kubernetes-Anwender die CIS Kubernetes Benchmark vom Center for Internet Security (CIS) checken, um kritische Dateien und Verzeichnisse zu monitoren. Container-Nutzer können das Gleiche mithilfe des Application Container Security Guide vom National Institute of Standards and Technology (NIST) erreichen.

Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Die Software bietet schlanke, automatisierte Sicherheit für die DevOps Pipeline mit mehreren XGenTM Threat Defense-Techniken. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Der vollständige Report „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ steht Interessierten zur Verfügung.

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine grössere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.

Schwachstellen in IoT-Geräten sind eine Tatsache, mit der Nutzer zurechtkommen müssen. Je mehr Geräte in einem Netzwerk sind, desto schwieriger wird es, sie im Auge zu behalten und Bedrohungen zu verhindern, die die Umgebung kompromittieren könnten. Um IoT-Geräte davor zu schützen, bei einem Angriff wie Distributed Denial of Service (DDoS) missbraucht zu werden, sollten Nutzer Best Practices befolgen.

Auch darf nicht vergessen werden, dass die Geräte der verschiedenen Hersteller ein unterschiedliches Sicherheitsniveau aufweisen und sich auch in ihrer Lebensdauer unterscheiden. Einige Geräte sind für Büros und Unternehmen konzipiert, während andere für Privathaushalte oder normale Verbraucher bestimmt sind. Beide Typen verfügen jedoch normalerweise nur über Sicherheitsmassnahmen, die auf ihre Verarbeitungsmöglichkeiten beschränkt sind.

Ein sicheres Netzwerk kann eine zusätzliche Sicherheitsschicht bieten, die alle angeschlossenen Geräte mit einschliesst. Netzwerksicherheit kann Bedrohungen minimieren und einen einheitlichen Rahmen bieten, aus dem heraus Sicherheitsmassnahmen für unterschiedliche IoT-Geräte umzusetzen sind.

Vorbereitung eines Netzwerks für IoT

In den meisten Fällen existieren die Netzwerke bereits, bevor sie mit IoT ausgestattet wurden. Deshalb ist eine Neubewertung der Netzwerksicherheit erforderlich auch bezüglich einer Einschätzung, inwieweit ein Netzwerk für die Integration von IoT-Geräten geeignet ist, und welche Schwachstellen noch beseitigt werden müssen.

Im Folgenden ein paar Überlegungen, bevor eine IoT-Umgebung in ein Setting eingefügt oder neu erstellt wird:

Upgrade des Netzwerks, um eine höhere Bandbreite zu erhalten: Kommen Endpunkte hinzu, nehmen diese Ressourcen in Anspruch, die ein Netzwerk möglicherweise nicht liefern kann. Können diese IoT-Geräte, die ständig Daten austauschen, nicht berücksichtigt werden, sind Verbindungsprobleme die Folge. Insbesondere Unternehmen sollten im Voraus planen, wie sie ihre Bandbreite am besten zuweisen, und dabei genau festlegen, welche Abteilungen wann mehr benötigen könnten.

Überprüfung bereits vorhandener Endpunkte im Netzwerk: Nutzer müssen auch die Sicherheit der Geräte überprüfen, die bereits Teil des Netzwerks sind, bevor IoT-Geräte hinzukommen. Endpunkte wie Computer oder Smartphones können ebenfalls Schwachpunkte sein, vor allem wenn diese Geräte relativ alt sind oder wesentliche Aktualisierungen nicht durchgeführt wurden. Sie sollten auch auf Kompatibilität mit neuen Geräten geprüft werden, die dem Netzwerk hinzugefügt werden.

Netzwerkrichtlinien auf dem neuesten Stand halten: Unternehmen müssen ihre Netzwerk-Policies aktualisieren. Mitarbeiter, die ständig im Netz sind, sollten sich stets der Auswirkungen bewusst sein, wenn dem Netzwerk weitere Endpunkte hinzugefügt werden. Aktualisierte Netzwerkrichtlinien müssen daher neue Sicherheitsanforderungen wie die Verwaltung der Benutzerberechtigungen, Regeln für „Bring-Your-Own-Devices“ (BYOD) und Richtlinien für WFH-Vereinbarungen enthalten.

IoT-Risiken mithilfe des Netzwerks stoppen

In der nächsten Phase geht es darum, nicht nur Netzwerke vor IoT-bezogenen Risiken zu schützen, sondern Sicherheit auf Netzwerkebene als Tool einzusetzen, um Bedrohungen einzudämmen und zu minimalisieren. Folgende Überlegungen können IoT-Risiken und -Bedrohungen effizient einschränken:

Einsatz von Sicherheit auf Netzwerkebene: Manche IoT-Geräte im Netzwerk kommunizieren mit externen Systemen und mit der öffentlichen Cloud, und die meisten kommunizieren mit anderen Geräten in demselben Netzwerk. Sollte eines dieser Geräte korrupte Signale übermitteln, wären Unternehmen, die keine Überwachung innerhalb des Netzwerks durchführen, nicht in der Lage, diese Geräte zu erkennen. Sicherheit auf Netzwerkebene, zusätzlich zur Perimeterverteidigung, kann solche Ereignisse verhindern helfen.

Erstellen von separaten Netzwerken: Eine weitere Möglichkeit, das Risiko von IoT-bezogenen Angriffen zu minimieren, besteht darin, ein separates, unabhängiges Netzwerk für IoT-Geräte und ein weiteres für Gastverbindungen zu schaffen. In WFH-Szenarien können Benutzer auch firmeneigene Geräte wie Laptops in ein separates Netzwerk stellen oder sie für andere Geräte zu Hause unauffindbar machen. Ein segmentiertes Netzwerk kann dabei helfen, Eindringlinge oder Infektionen, die von anfälligen Geräten ausgehen, zu isolieren. Sowohl im Unternehmen als auch zu Hause wäre ein separates Gastnetzwerk auch hilfreich, um weitere Cyberattacken und Malware zu verhindern.

Nutzen der Sicherheitsfähigkeiten von Routern: Da Router in Netzwerken eine wichtige Rolle spielen, ist es auch wesentlich, die Sicherheitsmerkmale dieser Geräte zu kennen  und zu nutzen. Zum Beispiel haben viele Router eine eingebaute Funktion, um ein Gastnetzwerk zu erstellen, das andere Zugangsdaten als das Hauptnetzwerk verwendet.

Bessere Übersicht über das Netzwerk: Sichtbarkeit ist der Schlüssel zur Gewährleistung der Sicherheit des Netzwerks. Sogar in Unternehmensumgebungen können Gäste intelligente Geräte an das Unternehmensnetzwerk anschliessen, ohne dass Sicherheitsverantwortliche dies sofort bemerken. Unternehmen müssen in ihrem Netzwerk über die erforderlichen Tools verfügen, um diese Verbindungen zu überwachen. Darüber hinaus sind diese Tools nicht nur zur Ermittlung der Verbindungen erforderlich, die notwendig oder riskant sind, sondern auch, um Massnahmen in die Wege zu leiten, bevor Bedrohungen erkannt werden.

Monitoring auf verdächtige Verhaltensweisen: Netzwerk-Monitoring gehört dazu, um eine bessere Übersicht zu gewinnen. Neben guten Kenntnissen zu jedem Gerät erleichtert das Wissen über verdächtiges Verhalten das Erkennen von Geräteübernahmen oder Infektionen.

Entfernen anonymer Verbindungen: Jede Verbindung zum Netzwerk muss identifiziert oder benannt werden. Mithilfe einer entsprechenden Kennzeichnung der einzelnen Geräte lassen sich anonyme Verbindungen reduzieren oder entfernen. Dies hilft Benutzern und Integratoren, ihr Netzwerk besser zu überwachen und mögliche unerwünschte Verbindungen zu lokalisieren. Auch ist es viel einfacher, problematische Geräte zu identifizieren, die aus dem Netzwerk entfernt werden müssen.

Policies über das Netzwerk durchsetzen: Sicherheitslösungen, die Transparenz und Kontrolle über das Netzwerk bieten, helfen bei der Durchsetzung der Richtlinien, die vor der Integration von IoT-Geräten implementiert wurden. Mithilfe der Möglichkeiten des Netzwerks können anonyme Verbindungen oder solche, die gegen festgelegte Richtlinien verstossen, entfernt werden.

Geräte überlegt wählen: Obwohl Netzwerklösungen dazu beitragen können, Sicherheitslücken zu schliessen, die durch die uneinheitliche Sicherheit zahlreicher Geräte entstehen, sind sie nicht als singuläre Lösung gedacht. Daher sollten Anwender bei der Auswahl ihrer Geräte besonders kritisch sein. Zum Beispiel ist es ratsam, sich zu informieren und die verschiedenen Merkmale und Typen von Geräten zu berücksichtigen. Darüber hinaus sollten die gewählten Geräte immer auf dem neuesten Stand sein.

Die Rolle des Administrators der Dinge ernst nehmen: IT-Experten, die für die Netzwerksicherheit eines Unternehmens verantwortlich sind, haben bei der Sicherung von WFH-Setups nur eine begrenzte Kontrolle. Aus diesem Grund müssen die Benutzer oder „Administratoren of Things“ zu Hause sowohl die Pflichten ihrer Rolle kennen als auch wissen, wie wichtig diese Rolle ist, insbesondere in der gegenwärtigen Realität der längerfristigen WFH-Abmachungen.

Bild. IoT-Geräte können über verschiedene Fähigkeiten Verbindungen zum Büronetzwerk herstellen.

Sicherheitslösungen

Um eine mehrschichtige Verteidigung aufzubauen, können Anwender umfassende Lösungen einsetzen, wie etwa Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Mechanismen zum Schutz vor Bedrohungen für IoT-Geräte bieten und Malware auf Endpunktebene erkennen können. Vernetzte Geräte lassen sich auch über Lösungen schützen, wie Trend Micro™ Home Network Security und Trend Micro™ Home Network Security SDK, die den Internet-Verkehr zwischen dem Router und allen verbundenen Geräten prüfen können. Schliesslich kann die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance alle Ports und Protokolle überwachen, um Unternehmen vor fortgeschrittenen Bedrohungen und gezielten Angriffen zu schützen.

Wie ein Bezahlsystem zur Grundlage einer Security Strategie wird

von Richard Werner, Business Consultant

Ja, der Titel ist ernst gemeint. Eigentlich schaut man sich immer zuerst nach der Ware um und kümmert sich dann um den Preis, aber gerade in der Cloud laufen die Dinge anders. Deshalb ist es an der Zeit, sich auch mit neuen Ideen zu beschäftigen. Um zu verstehen, warum Überlegungen zum Bezahlmodell in der Cloud bei der Auswahl des Security Providers viel Mühe sparen kann, ist es wichtig, zuerst die Motivationen zu verstehen, die ein Unternehmen dazu treibt, ganz oder teilweise in die Cloud zu gehen.

Flexibilität

Die Mär, die Cloud sei billiger, hält sich hartnäckig. Doch gerade in Sicherheitskreisen weiss man, dass dies so nicht stimmt. Zieht ein Unternehmen im Rahmen einer Migration System um System in die Cloud und vergleicht erst anschliessend die Kosten, so läuft die Aktion bestenfalls auf eine Nullsumme hinaus. Und genau darum geht es aber nicht, denn die Cloud soll ein Unternehmen agiler machen und Über- bzw. Unterkapazitäten ausgleichen.

Als Beispiel dafür, wie Flexibilität in der IT Security zum Erfolg führen kann, mag hier die Geschichte eines Serviceanbieters aus Texas dienen. Dieses Unternehmen offeriert seinen Kunden weltweit Dienstleistungen rund um das Thema Event-Management. Vom Ticketverkauf bis zur Event-Organisation kann alles gebucht werden. Das Unternehmen hatte 2019 mit dem „Problem“ zu kämpfen, erfolgreich zu sein. Aufgrund der schnellen Ausweitung des Angebots kam es regelmässig zu Kapazitätsengpässen. Da das Geschäft dennoch starken Schwankungen unterlag, war die Beschaffung, Verteilung und Koordinierung von Rechenkapazitäten zur grössten IT Herausforderung geworden. Der Gang in die Cloud löste das Problem. Aufgrund unbegrenzter Kapazitäten sowie der Möglichkeit je nach Bedarf automatisiert Systeme zu- oder abzuschalten, konnte die häufig saisonal bzw. regional bedingten Kapazitätsänderungen ohne logistische Herausforderung abgebildet werden.

Logistic kills Deployment

Die IT-Sicherheitsabteilung des Anbieters erstellte daraufhin zusammen mit ihrem Security Provider ein Konzept, welches es erlaubte, das Sicherheitsniveau des Rechenzentrums weitestgehend in der Cloud abzubilden. Die Sache hatte nur einen Haken: Als die IT-Security bei den Fachabteilungen anfragte, welcher Aufwand zu erwarten sei, um die benötigten Lizenzen zu erwerben bzw. abzuschätzen in welchem Masse Mehraufwand bezüglich des Managements von zwei verschiedenen Security-Lösungen auf Sicherheitsmitarbeiter zukäme, wurde ihnen mit einem Schulterzucken geantwortet.

Der Grund, in die Cloud zu gehen, war genau der, dass diese Fragen offen waren. Je nach Auftragslage wurden mitunter für einen kurzen Zeitraum grosse Kapazitäten benötigt. Parallel zeigte der wirtschaftliche Erfolg des Unternehmens (vor Corona), dass die Gesamtanforderung weiter ansteigen würde. Das Unternehmen wollte seinen Erfolg schlicht nicht von der Verfügbarkeit der Rechenleistung abhängig machen. Da sich die Security-Anforderungen des Unternehmens an Compliance Vorgaben (speziell DSGVO und PCI-DSS) ausrichteten, waren Mindestanforderungen verpflichtend einzuhalten.

Hier stellte sich der erstellte Prozess als derart unflexibel und technisch komplex heraus, dass für die Cloud-Bestandteile des Unternehmens die Einrichtung und Dokumentation der Compliance eine beträchtliche logistische Herausforderung mit sich brachte. Unter anderem führte dies dazu, dass sich Abteilungen genötigt sahen, entweder ihre Aufträge zu verzögern oder auf die rechtzeitige Bereitstellung von Security zu verzichten. Der daraus erwachsende Konflikt, entweder Geschäftsoptionen zu gefährden oder zumindest temporär die Einhaltung der Compliance zu „übersehen“, eskalierte zunehmend.

Als sich das Unternehmen schliesslich aufgrund der Empfehlung seines Cloud Managed Service-Partners für Trend Micro entschied, war die Situation bereits derart eskaliert, dass die Lösung ohne weiteren Proof of Concept in bereits bestehende Live-Systeme integriert wurde. Bei vergleichbaren technischen Optionen war im Besonderen die komplette Integration in Cloud- und On-Premise-Operationen, so wie die flexible Möglichkeit, die Kosten anhand des Bedarfs auszurichten, entscheidend. Die Lizenzen wurden nach Bedarf sowohl in der Cloud als auch On-Premise berechnet. Das hatte während Corona übrigens auch einen ungeplanten Vorteil. Für die Eventagentur brachen in kurzer Zeit immer mehr Märkte ein, bis am Ende fast alles stand. Durch die Abrechnung nach Bedarf wurden so enorme Geldmengen eingespart, weil Systeme nicht bezahlt werden mussten, die nichts mehr zu tun hatten.

„Bring Your Own License“ versus „Pay as You Go“

Sieht man sich im Bereich Cloud-Migration um, so finden beide Bezahlmodelle ihren Platz: „Bring Your own License“ ist dabei der klassische Weg der Vorauszahlung. Der Vorteil dieser Lösung ist, dass sie die Kosten planbar macht, und sie obendrein mit dem Lieferanten verhandelt werden können. Die klassische Migration, Maschine für Maschine, kann so ohne weitere Lizenzabfrage durchgeführt werden. Der Nachteil dieser Lizenzierung ist, dass sie jegliche Flexibilität unmöglich macht. Werden mehr Lizenzen benötigt, muss das Unternehmen einen Beschaffungsprozess starten – Bedarfsabschätzung eingeschlossen. Benötigt es weniger, hat es halt „draufgezahlt“. Bei der nächsten Verhandlung geht das Spiel dann von vorn los.

„Pay as You Go“ wiederum versucht diese Nachteile auszugleichen. Hier wird nach Verbrauch abgerechnet. Moderne Verfahren ermöglichen eine Minuten genaue Taktung. Werden neue Maschinen gestartet, werden diese automatisch erfasst und mit den vorgegebenen Security-Einstellungen versorgt. Genauso werden sie wieder ausgecheckt, wenn die Systeme nicht mehr benötigt werden. Security wird damit automatisch zu einem Punkt der Betriebskosten. Die Ausgaben steigen oder fallen je nach Erfolg des Unternehmens.

Gemeinsam verwalten

Beide Bezahlmethoden haben ihre Vor- und Nachteile. Wie bereits erwähnt, entscheidet der Anwender mit der Auswahl letztlich darüber, welche Flexibilität seine Sicherheitsabteilung haben wird. Unabhängig davon, für welche Methode ein Unternehmen sich entscheidet, letztendlich geht es darum, dass Sicherheit das tut, wofür sie da ist, nämlich das Geschäft des Unternehmens zu schützen.

Entscheidend dabei ist, dass alles, was mit IT Security zu tun hat, schnell und einfach visualisiert werden kann. Wie auch immer das Datacenter aufgebaut ist, Hybrid oder Multicloud, immer werden Systeme zwischen den Formfaktoren hin und her migriert, flexibel errichtet oder auch ausgeschaltet. Um den Management-Aufwand zu minimieren und auch die Übersicht über Compliance- oder IT-Security-Aufgaben zu erhalten, sollten Organisationen vor allem nach einer Lösung Ausschau halten, die alles gemeinsam verwaltet. Sonst wird IT-Security schnell zu einem logistischen Alptraum.

Fazit

Flexibel zu sein, zahlt sich für Unternehmen aus. Den Erfolg von logistischen Bedürfnissen abzukoppeln heisst, das Business kann nach Bedarf wachsen — „The Sky is the Limit“. Aus Sicht der IT-Security kommt noch hinzu, dass aus „Bremsern“ Partner werden. Damit wird auch Security nicht mehr als Belastung empfunden, sondern als notwendige Massnahme geschätzt.

Für weitere wertvolle Informationen zur Migration in der Cloud melden Sie sich für das Webinar an.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

Lost in Translation: Wenn industrielle Protokollübersetzung schiefgeht

Originalartikel von Marco Balduzzi, Luca Bongiorni, Ryan Flores, Philippe Z Lin, Charles Perine, Rainer Vosseler

Die Übersetzung ermöglicht den weltweiten Informationsaustausch, das gilt auch für Industrial Internet of Things (II0T)-Umgebungen, wo verschiedene Geräte wie Schnittstellen, Sensoren und Maschinen mit unterschiedlichen Protokollen eingesetzt werden. Protokoll-Gateways sind für die Übersetzung dieser verschiedenen Protokolle in industriellen Einrichtungen zuständig. Trend Micro hat in einem Forschungsprojekt die Schlüsselrolle der Protokollübersetzung und die der Protokoll-Gateways untersucht.

Dabei geht es um ein kleines Gerät, das die verschiedenen Protokolle übersetzt, die von Maschinen, Sensoren und Computern verwendet werden, die Smart Factories, Staudämme, Kraftwerke und andere Industrieanlagen betreiben.

Bild. Position eines Protokoll-Gateways am unteren Rand des Kontrollnetzwerks

Versagen die Protokoll-Gateways, so bricht die Kommunikation zwischen den Steuerungssystemen und der Maschinenanlage zusammen. Die Bediener können die Übersicht über das System verlieren, so dass sie nicht mehr erkennen, ob Maschinen oder Generatoren ordnungsgemäss laufen. Ein Ausfall der Übersetzung kann den Bediener auch daran hindern, Befehle zur Fehlerbehebung zu erteilen. Das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“ fasst die Forschungsergebnisse zu den Risiken im Zusammenhang mit Protokoll-Gateways zusammen, sowie die möglichen Auswirkungen eines Angriffs oder der falschen Übersetzung und zeigt Möglichkeiten für die Sicherheit dieser Geräte auf.

Wichtige Erkenntnisse

Die Forscher fanden vielfältige Sicherheitsprobleme und Schwachstellen in den Gateways, die den Betrieb einer Einrichtung auf verschiedene Weise beeinträchtigen kann:

  • Spezifische Szenarien, in denen ein Angreifer Schwachstellen in der Übersetzungsfunktion ausnutzen könnte, um heimlich Befehle zu erteilen, die den operativen Prozess sabotieren können,
  • Authentifizierungsschwachstellen, die den nicht autorisierten Zugang ermöglichen,
  • Schwache Verschlüsselung, die die Entschlüsselung von Konfigurationsdatenbanken erlaubt,
  • Nicht fachgerechte Implementierung von Authentifizierungsmechanismen, wodurch vertrauliche Informationen exponiert werden könnten und
  • Bedingungen für Denial of Service (DoS).

Diese Sicherheitslücken könnten die Sicherheit, Prozesse und Ergebnisse einer Anlage erheblich beeinträchtigen. Als Folge der Fehler würde ein Angreifer in der Lage sein, Techniken zur Darstellungs- und Kontrollverhinderung für die Ausrüstung des industriellen Kontrollsystems (ICS) hinter dem Protokoll-Gateway anzuwenden. Dadurch wäre die Integrität des Befehls-, der Daten und des Kontrollprozesses in Gefahr. Bedrohungsakteure könnten über die Lücken Ingenieure daran hindern, Fabriken, Kraftwerke und andere kritische Einrichtungen zu steuern oder zu überwachen, sodass letztendlich die angegriffenen Anlagen wesentliche Leistungen wie Strom und Wasser nicht mehr liefern oder die Qualität und Sicherheit der Produkte einer Fabrik beeinträchtigt werden.

Anwendungsbereich und Auswirkungen

Das Forschungsprojekt ist für ein breites Fachpublikum konzipiert und beschränkt sich nicht lediglich auf die, die einen Betriebstechnik (OT)-Hintergrund haben. Auditoren und Berater können sich auch über die geschäftlichen Auswirkungen der damit verbundenen Schwachstellen und Angriffsszenarien informieren. Die Forschungsteilnehmer verwendeten das MITRE ATT&CK-Framework für industrielle Steuerungssysteme, um mögliche Angriffstechniken sowie die entsprechenden Auswirkungen darzustellen. Alle Einzelheiten liefert das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“.

Empfehlungen

Ausführliche Empfehlungen und eine Sicherheits-Checkliste sollen sicherstellen, dass die Verantwortlichen alle und Schwachstellen angehen können:

  • Beim Kauf der Geräte sollten die Design-Aspekte von Protokoll-Gateways, wie z.B. Unterschiede in den Filterfähigkeiten, berücksichtigt werden.
  • Fachgerechte Konfiguration und Absicherung des Gateways. Diese Geräte können in der Gesamtsicherheit einer Industrieanlage leicht übersehen werden.
  • Protokoll-Gateways sollten als kritische OT-Geräte behandelt werden, um einen besseren Rahmen für einen Sicherheitsplan für ihre Funktion zu schaffen und zu verhindern, dass sie bei den Verteidigungsmassnahmen übersehen werden.

Risiken und Massnahmen für die Anwendungssicherheit

Von Trend Micro

Anwendungen spielen heute eine integrale Rolle, und viele Unternehmen und Benutzer sind auf eine breite Palette von Anwendungen für Arbeit, Bildung, Unterhaltung, Einzelhandel und andere Zwecke angewiesen. Daher spielen Entwicklungsteams eine Schlüsselrolle, um sicherzustellen, dass Anwendungen den Benutzern eine hohe Benutzerfreundlichkeit und Leistung sowie Sicherheit vor Bedrohungsakteuren bieten, die immer auf der Suche nach Schwachstellen, Verwundbarkeiten, Fehlkonfigurationen und anderen Sicherheitslücken sind, die sie zur Durchführung böswilliger Aktivitäten missbrauchen können. Die Sicherheitsrisiken sind sogar noch ausgeprägter geworden, da die Unternehmen Anwendungen schnell auf den Markt bringen müssen, um ihre geschäftlichen und Umsatz generierenden Prozesse aufrechtzuerhalten.

Die schwerwiegenden Risiken, die von unsicheren Anwendungen ausgehen, verdeutlichen die Notwendigkeit der Anwendungssicherheit in der Design-, Entwicklungs- und Bereitstellung-Phase. Deswegen ist es nötig, die Sicherheitsrisiken und -bedrohungen zu erörtern, denen Anwendungen ausgesetzt sein könnten, sowie die Möglichkeiten für Organisationen angemessene Cybersicherheitsschutzmassnahmen in ihre DevOps-Pipeline zu integrieren.

Sicherheitsrisiken für Anwendungen

Die zunehmende Komplexität der Anwendungen und ihre Abhängigkeit von Drittbibliotheken machen sie u.a. anfällig für Sicherheitsbedrohungen. Ein Forrester-Bericht von 2020 stellt fest, dass die Mehrzahl der externen Angriffe durch Ausnutzung einer Software-Schwachstelle oder einer Web-Anwendung erfolgt. Der Bericht nennt Open-Source-Software als ein Hauptproblem für die Sicherheit von Anwendungen und verweist auf den 50%igen Anstieg von Open-Source-Sicherheitslücken seit dem letzten Jahr.

Auch die zunehmende Verbreitung von Containern und die erforderlichen APIs bringen zusätzliche Risiken. Ein 2020 Snyk Report stellt fest, dass neun von zehn der Top-10 offiziellen Container-Images mehr als 50 Schwachstellen umfassen. Ein F5 Report von 2019 fand heraus, dass API-Einbrüche entweder bedingt durch grosse Plattformen zustande kommen, die viele Drittanbieter-Integrationen enthalten, oder durch mobile Applikationen und infolge der Fehlkonfigurationen der Anwendungen.

Die Open Web Application Security Project (OWASP) Foundation stellt eine umfassende Liste der Risiken für Webanwendungen und APIs zur Verfügung. Es ist wichtig, dass sich die Entwickler der häufigsten Anwendungssicherheitsrisiken bewusst sind – in der Regel durch unsicheren Code entstanden – damit sie die Bereiche überprüfen können, die sie in jeder Phase der Entwicklungspipeline abdecken müssen. Dies sind die häufigsten Risiken für Anwendungen:

  • Einsatz von Komponenten mit bekannten Schwachstellen. Entwickler verwenden Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule in ihren Anwendungen, um redundante Arbeit zu vermeiden und die benötigte Funktionalität bereitzustellen. Bedrohungsakteure wiederum suchen nach bekannten Schwachstellen in diesen Komponenten, um die Abwehr von Anwendungen zu untergraben und verschiedene Angriffe durchzuführen.
  • Daten-Lecks und Exponierung. Webanwendungen und APIs mit nur ungenügendem Schutz für sensible Daten könnten Bedrohungsakteuren böswillige Aktivitäten ermöglichen, wie Daten- oder Identitätsdiebstahl und Kreditkartenbetrug.
  • Schwache Zugangskontrolle zum Backend. Schwache Backend-Zugangskontrollen sind das Ergebnis unsachgemäss durchgesetzter Einschränkungen der für authentifizierte Benutzer erlaubten Aktionen. Bedrohungsakteure können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen zuzugreifen. Dazu gehören der Zugriff auf andere Benutzerkonten, die Anzeige sensibler Dateien, die Änderung anderer Benutzerdaten und die Änderung von Zugriffsrechten..
  • Injection. SQL, NoSQL, OS und LDAP sind für Einschleusungstaktiken anfällig, die für Angriffe missbraucht werden können, wenn nicht vertrauenswürdige Daten über eine Formulareingabe oder andere Datenübertragungsmethoden an einen Code-Interpreter gesendet werden. Bedrohungsakteure können „feindliche“ Daten verwenden, um den Interpreter dazu zu bringen, bösartige Befehle auszuführen oder nicht autorisierten Datenzugriff zu ermöglichen.
  • Sicherheitsfehlkonfiguration. Dies ist die häufigste Sorge hinsichtlich der Sicherheit von Webanwendungen. Diesbezügliche Probleme treten aufgrund unsicherer Standardkonfigurationen, falsch konfigurierter HTTP-Header, unvollständiger oder Ad-hoc-Konfigurationen, Open-Cloud-Speicher und zu wortreicher Fehlermeldungen auf, die sensible Informationen enthalten. Betriebssysteme, Bibliotheken, Frameworks und Anwendungen sollten aber auch rechtzeitig gepatcht werden.
  • Nicht korrekte Authentifizierung und Autorisierung. Wenn Anwendungsfunktionen hinsichtlich Authentifizierung und Session-Management nicht korrekt implementiert sind, können Bedrohungsakteure diese missbrauchen, um Passwörter und Schlüssel oder Session-Token zu kompromittieren. Sie können auch Benutzer- oder Administratorkonten kapern, über die ein ganzes System kompromittiert werden könnte.
  • Cross-Site Scripting XSS. Angreifer können XSS-Fehler dazu missbrauchen, Skripts in einem Browser auszuführen und Benutzer-Sessions zu kapern, Websites zu entstellen oder den Benutzer auf bösartige Websites umzuleiten. XSS-Fehler treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten in eine neue Webseite einfügt ohne ordnungsgemäße Validierung. Sie können auch zustande kommen, wenn eine Anwendung eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über ein HTML- oder JavaScript-erzeugendes Browser-API aktualisiert.
  • Unichere Deserialisierung. Dieser Fehler, d.h. die unsachgemässe Rückkonvertierung serialisierter Daten in Objekte, die von der Anwendung verwendet werden können, führt häufig zu Remote Code Execution (RCE). Dadurch können Bedrohungsakteure auch Replay-, Injection- und Privilegieneskalations-Angriffe durchführen.
  • Unzureichendes Logging und Monitoring. Beides unterstützt Angreifer dabei, Daten zu ändern, zu extrahieren oder zu vernichten sowie weitere Systeme zu attackieren, Persistenz aufrecht zu erhalten und weitere Systeme ins Visier zu nehmen.

Integration adäquater Sicherheitsebenen in die DevOps-Pipeline

Entwickler, die in traditionellen Entwicklungsteams arbeiten, tendieren dazu, Sicherheit erst im Nachhinein zu bedenken, weil sie sich zu sehr auf die Erstellung von Anwendungen und die Einhaltung von Terminen konzentrieren. Herkömmliche Prozesse führen zu unzureichender Sicherheit und Kommunikationslücken zwischen Entwicklungs- und Sicherheitsteams. Die Behebung von Schwachstellen, die in der Implementierungsphase aufgedeckt werden, kann zudem mehr als sechsmal so teuer sein wie die der in der Entwurfsphase festgestellten, so eine Untersuchung von IBM.

Entwicklungsteams sollten deshalb adäquate Cybersecurity Layer integrieren, die unter anderem Container, Source Code und Abhängigkeiten analysieren. Vor allem die folgenden Aufgaben sind wichtig:

  • Container Scanning. Container-Technologie bringt bei allen Vorteilen auch eine Vielfalt an potenziellen Risiken und Gefahren mit. Werkzeuge zur Analyse von Container-Images können Entwicklungsteams dabei helfen, in allen Phasen des Software-Entwicklungslebenszyklus (SDLC) nach bekannten Schwachstellen, geheimen Schlüsseln, Compliance-Checklisten und Malware-Varianten zu suchen. Solche Tools können Einsichten in die Sicherheitsbelange innerhalb des Containers liefern, bevor diese in die Produktionsumgebung übertragen werden. Um die Risiken weiter zu minimieren, sollte auch der Einsatz von nicht verifizierbarer Software von Drittanbietern reduziert werden, um sicherzustellen, dass keine Schadsoftware in die Container-Umgebung eindringt.
  • Analyse der Software-Zusammensetzung. Code-Blöcke, die möglicherweise von ausserhalb der Organisation stammen und im Allgemeinen während der statischen Analysephase nicht überprüft wurden, sind häufig in die DevOps-Umgebung integriert und werden dort ausgeführt. Mit Tools wie OWASP Dependency-Check lässt sich nach veralteten oder angreifbaren Bibliotheken im Code suchen. Snyk liefert ebenfalls kostenlose Drittanbieter-Verifizierung für quelloffene Projekte.
  • Statisches Application Security Testing (SAST). Auch als Security Code Review oder Code Auditing bekannt, unterstützt SAST Entwickler dabei, in einer frühen Phase Schwachstellen und andere Sicherheitsprobleme im Anwendungscode zu finden.
  • Dynamic Application Security Testing (DAST). DAST, auch Black-Box-Tests genannt, kann Sicherheitslücken und Schwachstellen in Anwendungen finden, und zwar durch den Einsatz von Fault Injection-Techniken wie SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). DAST-Lösungen können dazu beitragen, die Belastbarkeit von Anwendungen, Containern und Clustern zu testen, wenn sie bösartigen Techniken ausgesetzt sind.
  • Interactive Application Security Testing (IAST). IAST führt Laufzeittests für Webanwendungen durch, um Sicherheitslücken zu erkennen. Bereiche, die SAST und DAST möglicherweise nicht abdecken können, lassen sich durch IAST bearbeiten, da dieses Testen Elemente beider Ansätze kombiniert und dadurch mehr Code abdecken, genauere Ergebnisse liefern und eine breitere Palette von Sicherheitsregeln überprüfen kann. Die IAST-Lösungen führen ihre gesamte Analyse in der Anwendung in Echtzeit und überall in den folgenden Bereichen durch: Entwicklungsprozess IDE, QA, kontinuierliche integrierte Umgebung oder sogar in der Produktion.

Best Practices

Im Folgenden sind einige Best Practices über die gewährleistet werden kann, dass Anwendungen sicher entwickelt werden.

  • Anwenden des Prinzips der Least Privilege (PLOP). Diese Richtlinie begrenzt die Zugriffsrechte für Benutzer auf die Berechtigungen, die für die Erfüllung ihrer Aufgaben erforderlich sind, wodurch das Risiko des Kontomissbrauchs oder der Entführung von Konten und der Preisgabe sensibler Daten verringert wird.
  • Anwenden automatisierten Testens.  Die Zahl der Software-Schwachstellen hat sich seit 2017 erhöht. Deshalb ist automatisiertes Testen bereits früh im Entwicklungsprozess sehr wichtig, weil damit Fehler oder Lücken gefunden werden, solange sie noch einfach zu beheben sind.
  • Regelmässiges Scannen nach Schwachstellen. Entwickler verwenden häufig externe Bibliotheken oder Packages aus Open-Source-Projekten, wenn sie Software entwickeln. Diese Bibliotheken aber enthalten bekannte Schwachstellen. Um diese so früh wie möglich zu erkennen und  zu beheben, sollten sie regelmässig gescannt werden.
  • Einsatz von Runtime Application Self-Protection (RASP)-Lösungen. Diese Lösungen überwachen den Verkehr der Anwendungen, Container und serverlosen Architekturen, um Angriffe in Echtzeit zu erkennen. Der Einsatz von RASP-Lösungen ermöglicht das Abfangen aller Arten von Datenverkehr, einschliesslich solchen, der auf böswilliges Verhalten hinweist, wie SQL-Injection, Cross-Site-Scripting (XSS), Schwachstellen, Bots und andere Angriffe auf Webanwendungen.
  • Schulungen für funktionsübergreifende Teams bezüglich einer DevSecOps-Kultur. Die DevSecOps-Kultur sollte innerhalb der Organisationen gefördert werden. Dies kann durch die Bildung funktionsübergreifender Teams erreicht werden, die sich auf die Schulung von Entwicklern auf dem Gebiet der Sicherheitsdisziplin sowie auf die Schulung von Sicherheitsexperten zum Software-Entwicklungsprozess spezialisieren. Dadurch können Sicherheitsteams Programmiersprachen besser verstehen und mehr darüber erfahren, wie APIs zur Automatisierung einfacher Prozesse eingesetzt werden können. Solche Fertigkeiten reduzieren zudem letztlich ihre Arbeitsbelastung.
  • Einbeziehen der Anwendungssicherheit in die Datenschutz-Compliance-Strategie. Anwendungssicherheit ist Teil der allgemeinen Bestrebungen einer Organisation, Datenschutzbestimmungen und IT-Standards einzuhalten. Unternehmen können eine effiziente Compliance-Strategie anwenden, die dem „Privacy by Design“-Ansatz folgt. Beispielsweise schliesst eine  adäquate Compliance-Strategie für die Europäische Datenschutz-Grundverordnung (DSGVO) die Durchführung von Vertraulichkeits- und Sicherheitsüberprüfungen mit ein, über die Implementierung von Identitäts- und Authentifizierungs-Massnahmen sowie geeignete Zugangskontrollen, Datenschutz über PLOP und Verschlüsselung u.a.

Regelmässiges Scannen und der Einsatz von fortschrittlichen Sicherheits-Tools, um Malware, Schwachstellen und andere Bedrohungen zu erkennen, ist von entscheidender Bedeutung. Ebenso müssen Unternehmen Richtlinien einführen, die eine strenge Sicherheitskultur ermöglichen.

Trend Micro-Lösungen

Die Service-Plattform Trend Micro Cloud One™ , die Trend Micro™ Hybrid Cloud Security unterstützt, ermöglicht es Entwicklern, Anwendungen auf ihre Art zu entwickeln und zu betreiben. Sie umfasst Mechanismen, die über vorhandene Infrastruktur, Tool-Ketten und Anforderungen hinweg arbeiten.

Application Security von Cloud One liefert diagnostische Einzelheiten zu Code-Schwachstellen sowie Schutz vor automatisierten Angriffen über Bedrohungen wie SQL Injection und RCE zur Laufzeit. Darüber hinaus gibt es eine vollständige Abdeckung und Berichterstattung über jede Angriffsinstanz sowie Einblicke in die Identität eines Angreifers und die Angriffsmethodik.

Cloud One bietet ausserdem die folgenden Cloud-Sicherheitstechnologien an:

Pwn2Own Tokio im Herbst – diesmal live aus Toronto

Originalbeitrag von Brian Gorenc

Während der letzten Jahre fand die Herbstveranstaltung des Pwn2Own-Wettbewerbs immer im Rahmen der PacSec Applied Security Conference in Tokio statt. Da in diesem Jahr die Konferenz nur virtuell abgehalten wird, musste auch die ZDI einen Weg finden, die Pwn2Own wie schon im Frühjahr in den virtuellen Raum zu verschieben. Das Problem dabei bestand darin, dass sich die Herbstveranstaltung auf Geräte wie Mobiltelefone, Fernseher, smarte Lautsprecher und drahtlose Router konzentriert – also physische Geräte, deren Hacking virtuell schwierig ist. Dennoch gelang es den Mitarbeitern der ZDI, ein perfektes Setting für den Wettbewerb aufzustellen, sodass das Event vom 3. – 5. November live aus Toronto kommt und zwar gleichzeitig mit der virtuellen PacSec-Konferenz (1. – 6. November). Als Hacking-Ziele stehen 20 Geräte zur Verfügung und mehr als 500.000 US-Dollar als Preisgeld.

Wie schon bei der Frühjahrsveranstaltung des Pwn2Own ist die Remote-Teilnahme wieder möglich, wenn Teilnehmer Reiserestriktionen unterworfen sind, oder Sicherheitsgründe die Präsenz verhindern. Diese Teilnehmer müssen sich trotzdem bis zum 29. Oktober registrieren und ein ausführliches Whitepaper einreichen, in dem sie den kompletten Exploit-Ablauf erklären und Anleitungen für die Ausführung geben. Ein Mitarbeiter der ZDI wird den Exploit durchführen, der gefilmt wird und dem Teilnehmer sowie dem Anbieter zur Verfügung steht. Auf Wunsch arbeitet der ZDI-Mitarbeiter mit Remote-Teilnehmern zusammen, um den Hacking-Versuch in Echtzeit per Telefonanruf oder Videochat zu überwachen. Es gilt zu beachten, dass Änderungen an Exploits/Skripts/etc. nicht möglich sind, was die Gewinnchancen im Falle eines unerwarteten Ereignisses verringern könnte. Ansonsten läuft der Wettbewerb so ab, als ob er in Tokio stattfinden würde. Wer Fragen dazu hat, kann über zdi@trendmicro.com Kontakt aufnehmen.

Facebook kehrt als Partner für die diesjährige Veranstaltung zurück und bietet erneut Oculus Quest und Portal von Facebook-Geräten als Ziele an. Niemand hatte die Geräte während ihrer Eröffnungsshow ins Visier genommen, daher wird es interessant sein zu sehen, ob sich das diesmal ändert. Die Teilnahme von Anbietern bleibt eine Schlüsselkomponente für den Erfolg dieser Wettbewerbe. Wie auch bei den anderen Pwn2Own-Wettbewerben versucht Pwn2Own Tokyo (Live aus Toronto), diese verbraucherorientierten Geräte und ihre Betriebssysteme zu härten, indem Schwachstellen aufgedeckt werden, die dann den Herstellern zur Kenntnis gebracht werden. Wie immer ist es das Ziel, diese Fehler zu beheben, bevor sie aktiv ausgenutzt werden.

Zu den angebotenen Hacking-Zielen gehören unter anderem Mobiltelefone (Google Pixel 4, Samsung Galaxy S20, Apple iPhone 11, Huawei P40 sowie Xiaomi Mi 10), Wearables, drahtlose Router und Fernseher. In diesem Jahr sind Network Attached Storage (NAS)-Server hinzugekommen. Die komplette Liste der Geräte beinhaltet der Originalbeitrag. Der Wettbewerb wird wieder in verschiedenen Kategorien ausgetragen, und es wird auch wieder einen Master of Pwn geben. Alle Einzelheiten zum Pwn2Own Tokyo 2020 liefert die ZDI.

Das Rennen: Hase und Igel in der IT-Security

Von Richard Werner, Business Consultant bei Trend Micro

Quelle: Wikimedia Commons

Jeder kennt die alte Fabel von den Gebrüdern Grimm. Der Wettlauf zwischen Hase und Igel spielte sich angeblich in Buxtehude ab, in der auch obige schöne Skulptur steht, und die Realität in der IT-Security erinnert stark an diesen ungleichen, ja betrügerischen Wettlauf.

Alle Unternehmen haben bereits in Sicherheitsmassnahmen investiert, ihre Mitarbeiter trainiert und Prozesse optimiert. Dennoch gibt es immer wieder mehr oder weniger ernste Zwischenfälle. Die Lage wird auch dadurch erschwert, dass die IT selbst und mit ihr die Security ständig mit Neuerungen konfrontiert ist, wie z.B. Cloud-Computing und IoT (Internet of Things), oder es werden einfach nur Verfahren optimiert, beispielsweise mit Hilfe von künstlicher Intelligenz. Das bedeutet, alles ist ständig in Bewegung oder mit den Worten des BSI: „Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.“

Die Gegner in diesem Rennen um IT-Sicherheit sind nicht so sehr andere Firmen sondern vielmehr Leute, sprich Hacker, Cyberkriminelle oder andere Betrüger, die Firmen/Sicherheitsanbieter dazu zwingen, immer schneller zu werden. Diese Personengruppe misst sich nicht im fairen Wettkampf sondern versucht, die Sicherheit der Systeme mit unlauteren Mittel zu verletzen.

Merke: Wir befinden uns in einem Rennen!

Rollenverteilung

Der Tenor der Fabel selbst ist so gesetzt, dass der Leser sich mit dem vermeintlich schwächeren „klugen“ Igel und nicht mit dem „dummen, arroganten“ Hasen identifiziert. Lässt man allerdings die Attribute weg, so ist es eine Erzählung über einen Hasen, der mit Hilfe von übelstem Betrug gehetzt wird und den Wettlauf deshalb nicht gewinnen kann. Diese Beschreibung trifft auch auf die IT Security, also die Verteidigung der IT zu. Alle Anstrengungen führen letztlich dazu, dass wir, die Hasen, bestenfalls nicht verlieren. Gewinnen können wir jedoch nie. Denn das Gegenüber spielt nie fair, und es sind Betrüger im wahrsten Sinne des Wortes.

Merke: Unsere Rolle ist die des Hasen!

Wege aus der Situation

Bei Betrachtung der Situation aus Sicht des Hasen fällt eines auf. Der Hase stellt sich nie die Frage, wie es sein kann, dass ihn der Igel immer wieder besiegt, ohne ihn je zu überholen. Weil der geneigte Leser die Fabel kennt, weiss er auch, was dem Hasen geholfen hätte. Und vielleicht lassen sich diese Ideen auf reale Situation projizieren.

  1. Die erste Option wäre gewesen, ein neues Ziel zu definieren. Der Grund, warum der Igel gewinnen konnte, lag darin, dass der Hase immer zwischen Start und Ziel hin und her lief und damit den Betrug erst ermöglichte. Hätte der Hase nur einmal auf einem anderen Ziel bestanden, wäre der Wettlauf vorbei gewesen. Analog dazu: Auf die Frage, welches die Aufgabe der IT-Security im Unternehmen ist, kommt zumeist die Antwort, „das Unternehmen schützen“. Dies ist das Ziel, dem wir hinterher laufen und bei dem uns der Igel regelmässig sein berühmtes „Ich bin schon da“ entgegenruft. Die Frage ist, ob sich dieses Ziel ändern lässt. Hier ein Vorschlag: Das Ziel wäre, einen erfolgreichen Angriff rechtzeitig zu erkennen. Damit ist er wohlgemerkt nicht verhindert worden. Aber das betroffene Unternehmen hat dann die Möglichkeit, Gegenmassnahmen zu ergreifen, um Schaden abzuwenden. In der IT-Security sind solche Massnahmen unter dem Schlagwort Detection & Response bekannt.
  2. Die zweite Option für den Hasen wäre gewesen, dem Igel einen Vorsprung zu geben. Ihm sozusagen bis zum Ziel hinterher zu laufen, um zu sehen, wie er vorgeht. In diesem Fall hätte der Hase den ganzen Betrug aufdecken und auch die Betrüger entlarven können. Zudem wäre es der Igel gewesen, der plötzlich seine Ressourcen hätte einsetzen müssen. Auch dieses Verfahren kennt die IT-Security. Hier kommen ebenfalls Technologien aus dem Bereich Detection & Response zum Einsatz, mit deren Hilfe ein Angreifer verfolgt werden kann. Die „Gejagten“ versuchen, die Ziele der Angreifer und damit auch Hintergründe zu erforschen, um ggf. auch rechtliche Schritte gegen den/die menschlichen Täter einzuleiten. Das Verfahren birgt allerdings auch jede Menge Risiken und sollte deswegen nur durch Spezialisten und in Zusammenarbeit mit Strafverfolgungsbehörden durchgeführt werden.

Merke: Nur eine geänderte Vorgehensweise ändert auch die Situation.

Umdenken in der IT-Security

Bezüglich der reinen Schutzfunktionen sind die Grenzen in einigermassen gepflegten IT-Umgebungen längst erreicht. Unabhängig davon, ob ein Unternehmen die Security Tools eines oder mehrerer Hersteller für seine Sicherheit einsetzt, lässt sich lediglich ein Schutzniveau unter 100% erreichen. Dabei funktionieren die allermeisten IT Security-Umgebungen wesentlich besser als ihr Ruf. Der Grund, warum es dennoch immer wieder zu erfolgreichen Angriffen kommt und diese in den letzten Jahren sogar zugenommen haben, liegt vor allem darin, dass auch die Igel – pardon Angreifer — aufgerüstet haben. Attacken wie die der Kategorie Emotet verwenden mehrfache fortschrittliche Methoden um ihre Opfer zu kriegen. Hinzu kommt, dass Angriffsmethoden häufig nicht mehr allein von „gewöhnlichen“ Cyberkriminellen erdacht werden, sondern staatliche Institutionen viel Geld investieren, um solche Konzepte zu entwickeln. So lässt sich auch die heutige Emotet-Welle technisch wie auch methodisch auf das Vorgehen der angeblich staatlichen Malware-Varianten Wannacry und NotPetya zurückführen, deren „Vorfahren“ ihrerseits aus dem Leak technischer Informationen der NSA durch eine ominöse Hackergruppe namens Shadow Broker entstammen.

Die Lehre

Die Wahrscheinlichkeit, trotz guter Gegenmassnahmen infiziert zu werden, ist deshalb hoch. Hier ist es dringend geraten, anders als der Hase in der Fabel, die eigenen Ziele zu überdenken. Niemand bestreitet, dass Schutz wichtig ist. Aber das umfassende Erkennen von erfolgreichen Angriffen sowie die Möglichkeit, koordinierte Gegenmassnahmen mit oder ohne Beobachtung des Gegners zu treffen, werden immer essentieller. Es ist deshalb zunehmend wichtiger, Schutzmassnahmen mit Detection & Response-Methoden zu ergänzen. Je umfangreicher Sensoren ein Netzwerk durchleuchten können, desto genauer erkennen sie Methodik und Verbreitung (Detection), und können dadurch umso effektiver gegen die Bedrohung agieren (Response).

Trend Micro bietet daher seinen Kunden XDR an, das neben Standardvorgehen wie „Endpoint Detection und Response“ (EDR) auch die fortschrittliche Koordination von Verteidigungswerkzeugen auf anderen Ebenen eines Unternehmensnetzwerks wie Email, Server oder Cloud-basierte Workloads anbietet. Zusätzlich stellt Trend Micro auch Spezialisten zur Verfügung, die bei der Beurteilung und Auswertung von Erkenntnissen unterstützen können.