Archiv der Kategorie: Internet-Bedrohungen

Digitale Transformation nimmt zu, Sicherheit wird weniger

von Trend Micro

Die digitale Transformation hat während des letzten Jahres Fahrt aufgenommen, das ist Tatsache. Die Unternehmensberatung McKinsey stellt fest, dass Unternehmen, die ihre digitale Strategie auf „Ein- bis Dreijahres-Phasen“ eingerichtet hatten, nun auf Schritte in nur Tagen oder Wochen übergehen. Trend Micro wollte herausfinden, ob die Beschleunigung der Migration in die Cloud auch mit dem erforderlichen Sicherheitsbewusstsein einhergeht. Das Ergebnis einer diesbezüglichen Umfrage ist ernüchternd: 84 Prozent der Schweizer Unternehmen haben zwar ihre Cloud-Migration intensiviert, doch fast keines versteht dabei seine Verantwortung für die Sicherheit.

Im Auftrag von Trend Micro befragte Sapio Research im Oktober 2020 insgesamt 2565 Entscheidungsträger in 28 Ländern (davon 70 in der Schweiz) aus verschiedenen Branchen und von Unternehmen aller Grössenordnungen mit Schwerpunkt auf Grossunternehmen.

84% der Schweizer Befragten (88% weltweit) bestätigten, dass ihr Unternehmen die Geschwindigkeit der IT-Modernisierung während des letzten Jahres erhöht hat – verständlich, angesichts des enormen Wandels zu Remote-Arbeitsumgebungen, der Notwendigkeit, Geschäftsprozesse zu verschlanken und neue, innovative Möglichkeiten für die Kundenkommunikation zu finden. Dabei scheinen die befragten Unternehmen in der Schweiz durchaus zuversichtlich zu sein, was die Cybersicherheit in der Cloud angeht:

  • 44 Prozent geben an, dass die Beschleunigung der Cloud-Migration ihren Fokus auf Security-Best-Practices verstärkt hat (51 Prozent weltweit).
  • 76 Prozent sind überzeugt, dass sie die Sicherheit ihrer Remote-Arbeitsumgebung vollständig oder grösstenteils unter Kontrolle haben (87 Prozent weltweit).
  • 72 Prozent glauben, dass sie vollständig oder grösstenteils die Kontrolle über die Sicherheit ihres zukünftigen hybriden Arbeitsplatzes haben werden (83 Prozent weltweit).

Gefährliche Zuversicht

Andererseits scheint bei den Unternehmen grosse Verwirrung darüber zu herrschen, wie effektiv die Cloud-Sicherheitsstrategie ist. Fast die Hälfte der Befragten (53% in Deutschland und 45% weltweit) geben zu, die Sicherheit als ein „sehr signifikantes“ oder „signifikantes“ Hindernis für die Cloud-Einführung zu sehen. Die drei grössten alltäglichen Probleme beim Schutz von Cloud Workloads sind das Festlegen konsistenter Richtlinien (43 Prozent), Herausforderungen beim Ausrollen (31 Prozent), und eine fehlende Integration mit On-Premise-Sicherheitslösungen (30 Prozent).

Bei der Migration zu Cloud-basierten Sicherheitstools werden Datenschutz (54 Prozent), begrenztes Budget (37 Prozent) und Compliance (34 Prozent) von ihnen als die drei wesentlichen Hindernisse wahrgenommen.

Die Umfrage zeigt auch, dass es immer noch einige Missverständnisse rund um das Shared Responsibility Model gibt. Dieses beschreibt, für welche Bereiche der Sicherheit der Cloud Service Provider zuständig ist, und wo der Kunde übernehmen muss. Da beunruhigt die Überzeugung von 91 Prozent (92 Prozent weltweit) der Befragten, die einerseits angaben, das Modell zu verstehen und sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst zu sein. Andererseits doch glauben fast alle (97 Prozent in der Schweiz und weltweit), dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten bietet.

Tatsächlich aber ist es der Kunde, der Verantwortung für den Schutz seiner Daten und Anwendungen in der Cloud übernehmen muss. Die Cloud Security Alliance erklärt: „Indem Sie die Kontrolle über Informationen und Daten behalten, bestimmen Sie selbst, wie und wann Ihre Daten verwendet werden. Ihr Provider hat keinerlei Einblick in Ihre Daten, und der gesamte Datenzugriff wird von Ihnen by-Design kontrolliert.“

Vielleicht liegt es an diesem Missverständnis, dass weltweit nur 55 Prozent zusätzliche Tools von Drittanbietern verwenden, um ihre Cloud-Umgebungen zu sichern. Dies deutet darauf hin, dass es erhebliche Abdeckungslücken geben könnte.

Eine Strategie festlegen

Wie können Unternehmen also einen sicheren Weg einschlagen und die Vorteile der Cloud nutzen, ohne das Cyber-Risiko zu erhöhen? Der richtige Anbieter kann eine wichtige Rolle spielen: Er kann das Patchen automatisieren und Richtlinien an jede VM, jeden Container und jeden Endpunkt weitergeben, um die Sicherheit und Compliance zu optimieren. Virtuelle Patching-Funktionen können auch dazu beitragen, eine der grössten operativen Herausforderungen von IT-Leitern in Bezug auf die Sicherheit von Workloads zu bewältigen – das Abschirmen anfälliger Systeme vor bekannten und unbekannten Bedrohungen, bis ein offizieller Patch bereitgestellt werden kann.

Zu den Sicherheitslösungen für Cloud-Umgebungen, die von den befragten Unternehmen in der Schweiz als am wichtigsten eingestuft wurden, gehören Tools für Netzwerkschutz (31 Prozent), Cloud Security Posture Management (21 Prozent) und Cloud Access Security Broker (CASB, 20 Prozent).

Risiken managen, wenn die IT-Systemverwaltung ausfällt

Originalbeitrag von Greg Young, VP of Cybersecurity

Zwei der effektivsten Möglichkeiten, Risiken zu verwalten und für mehr Sicherheit im Unternehmen zu sorgen, sind Patching und Backup. Ransomware hat Anwender den Stellenwert von Backups gelehrt. Und Patching ist das Ergebnis der Anforderung an das Funktionieren der  Produkte, bzw. deren Sicherheit. Patching wird, wie auch Backup, von Nicht-Sicherheitsteams durchgeführt und fällt in den Bereich des IT-Systemmanagements (ITSM). Doch was ist zu tun, wenn bei einem Angriff die Empfehlung für Unternehmen auf Abschalten des ITSM lautet?

Vielen Unternehmen dürfte im Dezember wegen des Angriffs auf  SolarWinds-Produkte empfohlen worden sein, ihr ITSM-Produkt „vom Netz zu nehmen“. Dies ist ein ungewöhnliches Vorgehen, weil die meisten Schwachstellen mit einem Pre-Patch-Schutz (IPS-Signaturen) gehandhabt werden, der Zeit verschafft, bis der Patch verfügbar ist und mit möglichst geringer Unterbrechung des Betriebs getestet und installiert werden kann.

Patching ist ein Beispiel für die zwei Kräfte, die in der Cybersicherheit wirken: Funktion und Sicherheit. Die Funktionstüchtigkeit war schon immer die „starke“ Kraft, denn ohne Geschäft gibt es nichts zu sichern. Cybersicherheit hat sich angepasst und ist mehr darauf ausgerichtet, auf das Funktionieren des Geschäfts zu wirken, und das sicher. DevOps Security hat als wichtigste die Aufgabe erkannt, dass die Sicherheit in die Geschäftsabläufe integriert und nicht nur hinzugefügt werden muss.

Beim Patching klafft eine Lücke zwischen der Bedeutung der Sicherheit und den geschäftlichen Anforderungen: zwischen dem Sicherheitsgebot, sofort zu patchen, um Schwachstellen zu schliessen, und dem geschäftlichen Gebot, so zu patchen, dass der Geschäftsbetrieb möglichst wenig gestört wird. Dabei geht es nicht nur darum, den Patch aufzuspielen, sondern vor allem sicherzustellen, dass das Patching keine Abläufe beeinträchtigt. Diesen Spagat bewältigen die Ops-Teams mit Hilfe von ITSM-Produkten.

Was ist konkret zu tun?

Die ungewöhnliche Empfehlung, ein Produkt vom Netz zu nehmen, zeigt, dass der Betrieb des Produkts ein sehr hohes Risiko mit sich bringt. Aber auch danach gibt es ein kleineres, aber nicht unbedeutendes Risiko, wenn kein ITSM verfügbar ist.

Die Empfehlung von SolarWinds umfasst des Weiteren, Sicherheitsmassnahmen zu ergreifen, um nach Kompromittierungen zu suchen, die Hosts neu aufzusetzen und dann das wohlbekannte ITSM wieder online zu nehmen. Das dauert natürlich seine Zeit.

Trend Micro rät natürlich nicht dazu, die Empfehlungen zu ignorieren. Doch die mit dieser Aktion verbundenen Risiken sollten bekannt sein und Massnahmen dagegen vorhanden sein:

  1. Ironischerweise stellt Patching das grösste Problem dar, denn ITSM könnte die Patch-Managementlösung des Unternehmens sein. Deshalb muss das Sicherheitsteam prüfen, ob es kritische Patches gibt, die nicht mit dem ITSM-Produkt in Verbindung stehen und installiert werden müssen. Danach sollte entschieden werden, ob dies geschehen soll. Zumindest muss auf jeden Fall gewährleistet sein, dass die IPS-Signaturen für diese anfälligen Produkte inline sind.
  2. System- und Netzwerk Performance Monitoring wird wahrscheinlich nicht verfügbar sein. Hat das SOC keinerlei ITSM-Ansichten für die Bedrohungsjagd, muss es nach anderen Quellen suchen (die vom Hersteller bereitgestellte Überwachung wechseln) oder weniger bevorzugte oder indirekte Überwachungsansichten verwenden.
  3. Nicht alle Ausfälle werden leistungsbezogen sein. Das heisst, nicht alle Leistungsänderungen sind durch einen Funktionsausfall bedingt, weil das ITSM entfernt wurde. Es könnte sich um einen Angriff oder Malware handeln, die die Gelegenheit nutzt, die Umgebung zu infiltrieren, während das ITSM nicht vorhanden ist.

Die Berücksichtigung dieser Punkte kann einige zusätzliche Risiken mindern, während das ITSM abgeschaltet ist und weitere Informationen zu dem Vorfall kommen, die den Bedrohungsjäger in den Opferorganisationen an die Hand gegeben werden. Die nächsten Schritte sind weitaus schwieriger, da Unternehmen alle Spuren dieser Angreifer aus ihren Netzwerken entfernen müssen.

Bis dahin empfiehlt sich insgesamt ein intensiverer Dialog zwischen Sicherheit und Ops, um gemeinsam daran zu arbeiten, die IT-Infrastruktur aufrechtzuerhalten und zu sichern, sollte  das ITSM eine Zeit lang ausfallen.

Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

  • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
  • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
  • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
  • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Detection & Response gegen Viren in Einrichtungen des Gesundheitswesens

Von Richard Werner, Business Consultant bei Trend Micro

Kürzlich schreckte wieder eine Meldung zu einer Reihe möglicherweise koordinierter Ransomware-Angriffe auf Hunderte von Krankenhäusern, medizinischen Einrichtungen und Kliniken in den USA die Öffentlichkeit auf. Immer wieder gibt es dergleichen Erpressungsangriffe, auch in Europa und Deutschland. Berichte zum aktuellen Fall legen nahe, dass der Angriff mit der Ryuk Ransomware erfolgte, die auch TrickBot oder Emotet Trojaner nutzt und diese über Phishing-Mails verbreitet, um dann im Netzwerk Fuss fassen zu können. Trend Micro hat TrickBot in diesem Jahr bereits einige Male in medizinischen Einrichtungen erkannt und geblockt. Es gibt auch Anleitungen zu weiteren konkreten Schritten als Verteidigung gegen die Ransomware. Darüber hinaus jedoch müssen Krankenhäuser und medizinische Einrichtungen eine generelle Sicherheitsstrategie definieren, um Angriffe zu verhindern, aber auch um entsprechend schnell und effizient darauf reagieren zu können.

Einrichtungen im Gesundheitswesen setzen zunehmend auf Digitalisierung und Vernetzung, um ihre Abläufe zu optimieren und die Versorgung der Patienten zu verbessern. Im Rahmen eines Symposium des BSI und der Uniklinik Bonn warnte Arne Schönbohm, Präsident des BSI: „Digitalisierung geht nicht ohne Informationssicherheit. Corona und der damit verbundene Digitalisierungsschub haben uns vor Augen geführt, wie wichtig eine funktionierende und sichere IT ist.“ Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt, so der Präsident weiter. Die Kliniken tragen deshalb eine besondere Verantwortung für ihre IT-Netzwerke.“

Die Bedrohung

Die Sicherheitsforscher von Trend Micro untersuchten die Bedrohungen für Krankenhäuser und machten drei Bereiche aus, in denen das Risiko, von Cyberkriminellen angegriffen zu werden, sehr hoch ist.

  • Krankenhausbetrieb — Dazu gehören Cyberbedrohungen für täglich verwendete kritische Systeme, wie etwa Mitarbeiterplanungsdatenbanken, Paging-Systeme, Gebäudekontrollsysteme, Inventur-, Gehalts- und Administrationssysteme etc.
  • Vertraulichkeit der Daten —Das sind verschiedene Datentypen wie persönlich identifizierbare Informationen (PII), sowohl von Patienten als auch Angestellten, einschliesslich Diagnose- und Behandlungsdaten, Versicherungs- und finanzielle Informationen, Forschung und Daten von Arzneimitteltests; Gehaltsinformationen, geistiges Eigentum und andere.
  • Gesundheit der Patienten — Dazu gehören Cyberbedrohungen für medizinische Geräte und Systeme, die bei der Behandlung, fürs Monitoring und die Diagnose genutzt werden, aber auch Bedrohungen für Informationssysteme des Krankenhauses.

Es gibt drei potenzielle Gefahren: Manipulation von Geräten, Angriffe auf medizinische Einrichtungen sowie Erpressung von Patienten und Krankenhäusern. Weltweit sind etwa 24,3 Millionen Datensätze von Patienten frei im Internet zugänglich. Die Bedrohung durch Daten-Leaks mit der Offenlegung von Patientendatensätzen im Internet habe eine „neue Qualität“ erreicht, warnt das BSI in seinem Jahresbericht 2020.

Bei dem Symposium zur Sicherheit von Krankeneinrichtungen mahnte Prof. Wolfgang Holzgreve, Ärztlicher Direktor und Vorstandsvorsitzender des UKB: „Die virtuelle und die reelle Welt haben eines gemeinsam – gegen Viren hilft schliesslich nur Prävention.“ Diese Aussage lässt sich als medizinischer Laie relativieren: Prävention ist nicht das Einzige, was hilft, aber eine vernünftige Prävention ist der mit Abstand einfachste und effizienteste Weg mit einer Virusinfektion umzugehen. Das zeigt die aktuelle Pandemie gerade sehr deutlich. Der Zweck jeder Prävention ist es deshalb die Anzahl der Betroffenen so niedrig wie möglich zu halten um im Ernstfall schnell und effizient zu agieren.

Prävention ist nicht alles

Dies gilt für die „virtuelle“ IT Welt genauso. Präventive Vorgehensweisen sorgen dafür, dass möglichst viele Problemherde im Vorfeld erkannt und „gelöscht“ werden können. Dennoch ist es unmöglich, auf alles vorbereitet zu sein, und es ist eher eine Frage der Statistik, wann und in welchem Ausmass eine Infektion stattfindet. In einem solchen Fall ist es wichtig, alle betroffenen Systeme so schnell wie möglich zu entdecken (Track & Trace) und von „gesunden“ Systemen zu isolieren, um eine laterale Bewegung (Super Spreader) zu unterbinden. Diese Strategie in Verbindung mit entsprechender Technologie nennt sich Detection & Response und muss über alle möglichen Eintritts- und Verbreitungspunkte angewendet werden – so genanntes „Cross Layer Detection & Response“ oder XDR.

Sobald das Problem eingedämmt ist, erfolgt eine Analyse, um die betroffenen Systeme so schnell wie möglich wiederherzustellen. Nach Abschluss aller Massnahmen und Untersuchungen wird dann auch die Prävention angepasst oder — um die Analogie zur Epidemie wieder herzustellen – Gegenmittel entwickelt, also „digitale Impfungen“, die eine weitere Ausbreitung nicht nur im eigenen Netz sondern weltweit unterbinden können, vorausgesetzt natürlich, dass die dort zuständigen Verantwortlichen diese digitalen Schutzmassahmen auch einsetzen.

Diese Prozesse lassen sich weitestgehend automatisieren. So können digitale Impfungen innerhalb von Minuten in einem Netzwerk erzeugt und verteilt und innerhalb von Stunden herstellerübergreifend global ausgerollt werden — selbst bei vollkommen unbekannten Angriffsmustern.

Fazit

Das ist der Grund, warum es in der IT Welt eben keine grossen Massenangriffe über eine Malware mehr gibt, sondern jeweils einzelne Aktionen oder Kampagnen mit sehr individuell angepassten Methoden für die Kompromittierung. Deshalb wird die Forderung immer dringlicher, die eigene Umgebung durch Detection & Resonse in die Lage zu versetzen, solche Angriffe zu erkennen.

Zur Prävention gehört es des Weiteren auch, sich darauf vorzubereiten, nicht vorbereitet zu sein. Diese völlig legitime Fragestellung beinhaltet im Ernstfall, auf Experten zurückzugreifen und sich beraten zu lassen. Diese Vorgehensweise ist in modernen XDR-Konzepten ebenso umsetzbar und auf die individuellen Bedürfnisse einer Unternehmung anpassbar, wie auch die technischen Lösungen selbst.

Empfehlungen für Schritte für den Schutz vor der aktuellen Bedrohung durch die aktuelle Ransomware:

  • Sicherstellen, dass alle Domain Controller den Patch gegen die Zerologon-Schwachstelle enthalten. Angreifer nutzen die Lücke, um sich einen Zugang auf Domänenebene zu verschaffen.
  • Neue Ryuk-Updates zeigen, dass die Schadsoftware versucht, Dateien über administrative Windows-Freigaben zu verschlüsseln. Deshalb sollten diese entweder vollständig deaktiviert oder der Zugang über die Firewalls geblockt werden.
  • Deaktivieren der Powershell über Group Policy, weil das Tools häufig in Angriffen auf das Netzwerk genutzt wird.
  • Regelmässige Backups aller Daten erstellen und mit einem Passwort und Air Gap die Kopien offline schützen.

Mehr als Extended Support: virtuelles Patching entscheidend für die Sicherheit von Windows Servern

Originalartikel von Mohamed Inshaff

Kürzlich gab die US National Security Agency (NSA) ein seltenes Security Advisory heraus, in dem die Behörde Unternehmen dringend aufforderte, eine Reihe kritischer Schwachstellen zu patchen. Die Top 25-Liste enthielt Softwarefehler, die am häufigsten von staatlich unterstützten chinesischen Hackern missbraucht wurden. Fast alle CVEs waren 2020 veröffentlicht worden. Das zeigt erneut, dass viele Organisationen ihre Systeme immer noch nicht zeitnah patchen, obwohl das Ergebnis staatlich gesponserter Sicherheitsvorfälle zur Katastrophe führen kann. Abhilfe kann hier virtuelles Patching schaffen.

In der Liste der NSA sind auch Fehler aus den Jahren 2015, 2017 und 2018 aufgeführt. Sie betreffen sehr unterschiedliche Systeme wie Oracle WebLogic Server, Adobe ColdFusion und Pulse Secure VPNs. Doch eines der am häufigsten genannten Produkte ist der Microsoft Windows Server. Unter den fünf kritischen CVEs in der NSA-Liste sticht die Sicherheitslücke namens Zerologon hervor. Es handelt sich um einen kritischen Elevation of Privilege-Fehler, der Windows 2008 und neuere Versionen betrifft und für den bereits im August ein Patch zur Verfügung stand. Angreifer könnten über die Lücke aus der Ferne die Kontrolle über eine Domäne übernehmen und damit ein gesamtes Netzwerk beschädigen.

Cyberkriminelle hatten schnell Exploits dafür entwickelt und diese in Angriffen eingesetzt, indem sie Zerologon mit VPN Exploits und Commodity Tools verbanden, um Ransomware und andere Payloads schnell abzulegen.

Das Problem beim Patchen

Die Gründe dafür, dass Organisationen häufig nicht umgehend patchen, sind vielfältig. Viele setzen möglicherweise ältere Betriebssysteme ein, die sie aufgrund von Kompatibilitätsproblemen mit unternehmenskritischen Anwendungen nicht aktualisieren. Andere können sich möglicherweise die Ausfallzeit nicht leisten, um Patches vor deren Aufspielen zu testen. Einige Firmen sind schlichtweg überfordert von der schieren Anzahl der Patches, die sie über mehrere Systeme hinweg anwenden und priorisieren müssen.

Andere wählen möglicherweise Extended Support-Optionen von Anbietern wie Microsoft, die versprechen, Sicherheits-Updates zu erheblichen Mehrkosten auch nach dem offiziellen End-of-Life-Datum zur Verfügung zu stellen. Trend Micros Nachforschungen haben jedoch ergeben, dass Organisationen selbst mit diesen umfangreichen Support-Paketen immer noch einigen Bedrohungen ausgesetzt sein können.

Wie wirkt Virtual Patching

Um potenziellen Bedrohungen zu begegnen und auch um Compliance-Anforderungen wie Cyber Essentials Plus, PCI DSS usw. in einem nicht mehr unterstützten System wie Windows Server 2008 zu erfüllen, sind zusätzlich zu Antimalware weitere Sicherheitsmechanismen erforderlich, um netzwerkgebundene Angriffe und verdächtige Aktivitäten zu erkennen und vor ihnen zu schützen. Die Lösung von Trend Micro ist virtuelles Patching: ein mehrschichtiger Schutz gegen bekannte und unbekannte Schwachstellen.

Die Host-basierten Intrusion Detection and Prevention (IDS/IPS)-Fähigkeiten von Deep Security und Cloud One – Workload Security können kritische Server vor Netzwerkangriffsvektoren schützen. Die Lösungen können auch die Integrität von Systemdateien, Registry-Einstellungen und anderen kritischen Anwendungsdateien überwachen, um nicht geplante oder verdächtige Änderungen anzuzeigen.

Mit einen einzigen modularen Agenten können die Server automatisch auf Schwachstellen sowohl im Betriebssystem als auch in Unternehmensanwendungen gescannt werden und die nicht gepatchten Server ohne Reboot schützen.

Virtual Patching bedeutet eine zusätzliche Schutzschicht, mit der Organisationen

  • Zeit erkaufen, bis der Hersteller-Patch aufgespielt ist,
  • Unnötige Ausfallzeiten verhindern,
  • Vorschriften einhalten können und
  • Schutz erhalten, auch über die erweiterten Support-Programme der Anbieter hinaus.

Kürzlich analysierte Trend Micro Windows Server 2008 R2, dessen Support im Januar 2020 eingestellt wurde. Seither hat Trend Micro nahezu 200 IPS-Regeln (also virtuelle Patches) in Deep Security veröffentlicht, von denen sich 67 auf Betriebssystemfehler bezogen. Unternehmen mit Extended Support für das Produkt wurden 23 virtuelle Patches empfohlen, 14 davon waren kritisch.

Cyberkriminelle spielen um Gewinne aus verbrecherischen Aktivitäten

Originalbeitrag von Erin Johnson, Vladimir Kropotov und Fyodor Yarochkin

Im Halbjahresbericht zur Sicherheit 2020 zeigte Trend Micro auf, wie sich die COVID-19-Pandemie auf die Sicherheitsbranche auswirkt. Sie hat nicht nur die Art verändert, wie der Betrieb abläuft (und dementsprechend die Mitarbeiter agieren), sondern auch bestimmte kriminelle Aktivitäten gefördert, vor allem während der Zeit der Kontaktbeschränkungen. Einige dieser Tätigkeiten beziehen sich auf „Freizeitaktivitäten“, doch verbringen die Cyberkriminellen ihre Zeit anders als der Normalbürger, denn deren Beschäftigungen führen zu noch mehr Kriminalität. Das Untergrund-Monitoring der Sicherheitsforscher zeigte mehrere Arten der „Unterhaltung“, einschliesslich solcher, die Preise anbot, die aus dem kriminellen Betrieb stammen.

Cyberkriminelle scheinen mit dem Fortschreiten der Pandemie bestimmte Arten von Online-Wettbewerben zu bevorzugen. Dazu gehören:

  • Online Rap-Wettbewerbe
  • Pokerturniere
  • Gedichtwettbewerbe
  • Persönliche Sportturniere

Oberflächlich betrachtet erscheint dies alles wie ein unschuldiger Spass, an dem auch normale Menschen teilnehmen. Unter dem Deckmantel von Spass und Spiel jedoch verbirgt sich ein weitaus beunruhigenderes Szenario: Bei diesen scheinbar legitimen Aktivitäten werden kriminell erworbene Güter als Preise verliehen. Diese reichen von Kreditkarten-Dumps bis hin zu persönlich identifizierbaren Informationen (PII).

Viele dieser Preise werden mit arglistigen Mitteln erworben und können dazu verwendet werden, mehr Cyberkriminalität zu fördern. Beispielsweise werden PII häufig für Identitätsdiebstahl verwendet, während Kreditkarten-Dumps dazu dienen, Kreditkartenbetrug zu begehen.

Nicht nur die Preise sondern auch die Rechtmässigkeit einiger der Aktivitäten selbst sind fragwürdig. Beispielsweise sind Pokerturniere möglicherweise nicht legal, da Online-Poker in einigen Ländern verboten ist. Die Quarantänebeschränkungen während der Pandemie haben jedoch die Häufigkeit von Untergrund-Pokerturnieren erhöht. Einige Mitglieder eines Untergrundforums schlugen sogar vor, die Häufigkeit der Turniere von wöchentlich auf täglich zu erhöhen, da aufgrund der Covid-19-Restriktionen mehr freie Zeit zur Verfügung steht. Pokerturniere sind im Untergrund überaus populär geworden.

Insgesamt bot etwa die Hälfte der untersuchten kriminellen Online-Plattformen eine Art Covid-19-bezogenes Unterhaltungsprogramm an. Einige schienen ziemlich unschuldig, wie etwa ein Geschichtenwettbewerb mit Geldpreisen, während andere Belohnungen krimineller Natur anboten. Einige Untergrund-Pokerclubs gewähren aktiven Spielern zusätzliche Forenprivilegien, wie etwa Rabatte auf Treuhand-Serviceprovisionen für den Geldwechsel. So erhielten im Juni Teilnehmer einen 50-prozentigen Rabatt auf diese Dienste.

Auch Rap- oder Gedicht-Wettbewerbe haben an Beliebtheit zugenommen und wurden mit ähnlichen Preisen ausgestattet, etwa Teilnahmegebühren bei Pokertournieren.

Gestohlene Preise für die kriminellen Spiele

Die Aktivitäten selbst stellen im Allgemeinen kein Problem dar, doch die ausgelobten Preise für die Gewinner sind das kriminelle Element dabei. Sie werden üblicherweise von den Foren-Teilnehmern im Untergrund gestiftet und fördern Kriminalität.

Unter anderem gehören folgende Preise dazu:

  • Zugang zu Cloud-basierten Logdateien von gestohlenen Daten, einschliesslich PII und gestohlenen Kreditkarten.
  • Lizenzen für Linken Sphere, einen angepassten Browser, der gestohlene Anmeldedaten und Systemfingerabdrücke verwendet, um die Erkennung durch ein Anti-Betrugssystem zu vermeiden. Kriminelle verwenden diese normalerweise, um gestohlene Kreditkarten oder Zugangsdaten zu Zahlungssystemen zu vermarkten.
  • Eine VISA Gold Card (mit einer siebenmonatigen Garantie), die über gescannte, aus einer Leckage stammende IDs registriert ist.
  • Ein Skript zur Automatisierung der Erstellung von geklonten Websites und E-Shops. Untergrundakteure verwenden diese oft, um Benutzeranmeldeinformationen, PII, Kreditkarten, elektronische Geldbörsen und andere monetäre Werte zu sammeln, indem sie Benutzer dazu verleiten, sich anzumelden und auf einer geklonten Version einer Website einzukaufen.
  • Eine Lizenz für Software zur Verhinderung der Erkennung von Kreditkartenbetrug, zusammen mit 50 benutzerdefinierten Konfigurationen. Diese Software wird zusammen mit gestohlenen Zahlungsinformationen verwendet, um den rechtmäßigen Kreditkartenbesitzer nachzuahmen und gleichzeitig die Erkennung durch Anti-Betrugssysteme zu vermeiden.
  • Geldpreise, die ursprünglich aus kriminellen Aktivitäten stammen, sowie viele andere Preise.

Viele weitere Details zum Thema bietet der Originalbeitrag.

Fazit

Die Preise – und ihre Verwendung für weitere böswillige Aktivitäten – stellen eine Belastung für Einzelpersonen und Organisationen dar, die bereits unter der Pandemie leiden.

Die Mittel für den Lebensunterhalt und die Finanzen der Menschen als Aktivposten zu behandeln, der gegen Unterhaltung eingetauscht wird, ist zynisch, umso mehr unter den gegenwärtigen Umständen. Darüber hinaus sind die spezifischen (kriminalitätsfördernden) Software-Lizenzen, die als Preise angeboten werden, sehr wertvoll – vor allem auch für Cyberkriminelle. Die Anti-Betrugs-Erkennungssoftware Linken Sphere kostet etwa 100 US-Dollar pro Monat, bzw. 500 US-Dollar für ein sechsmonatiges Abonnement.

Diese Bedrohungen sind nicht neu – Kreditkartenbetrug, Identitätsdiebstahl und gestohlene Software gibt es schon seit Jahren. Doch kriminell erworbene Assets, die als Preise für die persönliche Unterhaltung verwendet werden, sind ein Phänomen, das die Mentalität dieser Kriminellen zeigt: Die gestohlenen Assets sind einfach Vermögenswerte, die vergeben, gehandelt oder verschenkt werden können. Für die Opfer ist es jedoch ganz anders, da ihr Lebensunterhalt wie gedruckte Scheine in einem soziopathischen Monopolspiel herumgereicht wird.

Die Mission von Trend Micro besteht darin, das Internet zu einem sichereren Ort zu machen, und wir werden weiterhin proaktiv die kriminellen Aktivitäten im Internet bekämpfen.

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.

Traditionelle Sicherheitsdenkweise kann die Cloud-basierte Transformation gefährden

Originalartikel von Gurmail Singh

Cloud Computing verändert Organisationen auf der ganzen Welt und macht sie wendiger, kosteneffizienter und reaktionsfähiger. Doch bleibt Sicherheit ein permanentes Hindernis. Dabei können veraltete Vorstellungen darüber, wie Sicherheit in der Cloud aussehen sollte, den falschen Eindruck erwecken, dass eine Migration von Natur aus risikoreicher sei als die Aufbewahrung von Daten On-Premise. De facto aber gibt es Cloud-fähige Lösungen, die eine ebenso sichere Umgebung wie herkömmliche Lösungen bieten, wenn nicht eine gar noch sichere.

Eine kürzlich von Trend Micro beauftragte Studie für CLOUDSEC Online zeigte etwa für Grossbritannien, dass nahezu die Hälfte (47%) der IT-Leiter ihre Sicherheitsstrategien nicht aktualisiert haben, um auch Cloud-Umgebungen mit einzubeziehen.

Diese Denkweise könnte ernste Probleme nach sich ziehen, weil traditionelle Sicherheitswerkzeuge nicht für die Cloud konzipiert sind. Und das bedeutet, dass ihr Einsatz in diesen Umgebungen gefährliche Sicherheitslücken und Leistungsengpässe verursachen kann. Zu den Herausforderungen gehören die folgenden:

Geteilte Verantwortlichkeiten: Beim Einsatz eines Sicherheitstools, das nicht für die Cloud konzipiert ist, wird der Kunde seinen Anteil der Cloud-Verantwortung nicht wahrnehmen.

Mehrschichtige Sicherheit: Für Unternehmen, die für jede Sicherheitsherausforderung ein anderes Tool verwenden, kann sich deren Management sehr komplex und damit schwierig gestalten – Fehlmanagement und mangelnde Akzeptanz sind die Folgen.

Sichtbarkeit: Ein Schlüsselmanko von traditionellen Tools ist die nicht vorhandene Fähigkeit, Einsichten über physische, virtuelle, Cloud-VM und Container-Umgebungen hinweg zu bieten.

Manuell: Traditionelle Tools sind klobig, nicht automatisiert und erfordern manuelle Eingriffe, was dazu führen kann, dass sich menschliche Fehler einschleichen.

Lizenzierung: Organisationen zahlen unter Umständen mehr als nötig, wenn sie nicht Cloud-Tools mit dynamischer Lizenzierung für Cloud-Nutzungsszenarien (PAYG, auf Stunden-, Monats- oder Jahresbasis je nach Anwendungsfall und Betriebsmodell oder Unternehmensverträge) wählen.

Fehlkonfiguration: Dies ist eine der grössten Gefahren für Cloud-Daten. Falsche Konfigurationen werden nicht erkannt, wenn ein Unternehmen nicht auf Cloud-fähige Sicherheit setzt.

DevSecOps: erfordert straffe Sicherheit, die über APIs in CI/CD-Pipelines eingebaut wird. Dabei könnten traditionelle Werkzeuge zu einem Hindernis für Innovation und schnelle Entwicklung werden.

Multi-Cloud: Diese Umgebungen erfordern die Fähigkeit, alle verschiedenen Sicherheitstools unter einen Hut zu bringen, sprich auf einer Konsole sichtbar, überwachbar und zentral zu kontrollieren.

Fähigkeiten: sind sehr gefragt in der Cybersicherheits-Branche. Leider bringen On-Premise Sicherheitswerkzeuge mehr Komplexität und die Notwendigkeit manueller Bedienung mit sich – das Gegenteil von dem, was Organisationen mit begrenzten internen Sicherheits-Skills heute benötigen.

Was nun?

Die Umfrage zeigte, dass der Mangel an Integration zwischen Sicherheitswerkzeugen für beide Umgebungen für ein Drittel (33 %) der Teilnehmer das grösste Problem in ihrer alltäglichen Arbeit darstellt und gleichzeitig auch das grösste Hindernis für den Einsatz von Cloud-Sicherheit (43 %).

Die Lösung ist eine Plattform, die umfassenden Schutz für physische, virtuelle Cloud- und Container-Umgebungen bietet, einschliesslich von Tools zur Erkennung wichtiger Konfigurationsfehler. Es bedeutet einen hohen Grad an Automatisierung, um die Einhaltung von Compliance zu erleichtern und die betriebliche Effizienz zu verbessern. Trend Micro Cloud One ist ein Beispiel einer solchen Lösung.