Archiv der Kategorie: Encryption

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Sicherheit für IoT Apps

von Trend Micro

Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer grösseren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.

Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schliesslich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.

Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.

Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)

Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:

  • Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
  • Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
  • Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
  • Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmässig aktualisiert und gepatcht werden müssen.
  • Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
  • Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.

Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmassnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.

Schutz vor den Bedrohungen

Mit dem zunehmenden Einsatz von Geräten  gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Massnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:

  • Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
  • Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermässig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
  • Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
  • Das Betriebssystem von Anwendungen und Geräten regelmässig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmässig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schliessen.
  • Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmässig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Massnahme. Auf diese Weise können Administratoren den regelmässigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmässigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmassnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
  • Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
  • Ändern aller standardmässigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
  • Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.

Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.