Archiv der Kategorie: Internet der Dinge

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

Leitlinien zur Sicherheit in Smart Factories: Konzepte und Managementsysteme im IEC62443-Standard

Originalartikel von Trend Micro

Die Sicherheit eines Industrial Control System (ICS) unterscheidet sich von der der IT. Auch OT Security genannt, betraf sie anfangs kritische Infrastrukturen wie die für Strom, Gas und Wasser. Doch im Zuge der Entwicklung hin zu offenen Systemen und Veränderungen bei den Bedrohungen infolge des Trends zu IIoT und Industry 4.0 sind die Sicherheitsbemühungen in verschiedenen Bereichen hinzugekommen. Es heisst, Stuxnet habe 2010 als globaler Auslöser gewirkt. Während des letzten Jahrzehnts haben verschiedene Länder und Industrien aktiv Richtlinien und Rahmenwerke entwickelt, doch mangelt es ihnen an Kohärenz. Bemerkenswert sind die kürzlich entwickelten zwei globale Standards bezüglich der Sicherheit in Smart Factories, nämlich IEC62443 und die NIST CSF, Serie SP800. Diese beiden sollen auch als typische Beispiele für allgemeine Richtlinien für die ICS- und OT-Sicherheit näher erläutert werden, um die für die Sicherheit in Smart Factories erforderlichen Konzepte besser zu verstehen.

Überblick über IEC62443

IEC62443 besteht aus einem Satz von 14 Dokumenten, die Spezifikationen für Sicherheitstechnologien in allgemeinen industriellen Steuerungssystemen (IACS: in dieser Norm Industrial Automation Control System genannt) enthalten. Der Standard wurde von der International Society of Automation (ISA) und der International Electrotechnical Commission (IEC) entwickelt. 8 der 14 Dokumente sind bisher veröffentlicht, und die Überarbeitung und Entwicklung ist im Gange.

IACS behandelt nicht nur technische Aspekte einschliesslich des Systems und der Ausrüstung, die ein System ausmachen, sondern auch organisatorische und verfahrenstechnische Punkte. Es heisst auch, dass Organisationen und Prozesse rund um Technologien als Teil eines Systems betrachtet werden. Die 14 Dokumente sind in Teildokumente mit Unternummern unterteilt: 1-1~4 General, 2-1~5 Policies & Procedure, 3-1~3 System und 4-1~2 Component. Zum Beispiel werden in 4 Component die Anforderungen an die Prozesse in einer Organisation, die ein Produkt entwickelt, und die Anforderungen an das Produkt selbst getrennt wie folgt angegeben: 4-1 Anforderungen an den Lebenszyklus der Sicherheitsproduktentwicklung und 4-2 Technische Sicherheitsanforderungen für IACS.

Bild 1: Übersicht über IEC62443 (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

Die Themen lassen sich in drei Klassen einteilen, wobei jede Aufgabe von den folgenden drei Parteien durchgeführt werden muss: Nutzerunternehmen, das ein System managt/betreibt (Asset Owner), Systemintegrator/Service Provider, der ein System entwirft/baut und Produktlieferant, der die Geräte und Instrumente, die ein System bilden entwickelt/liefert.

<1: General> umfasst die allgemeinen Konzepte und Referenzmodelle.

<2: Policies & Procedure> umfasst die Organisationen und Prozesse für Asset Owner.

<3: System> umfasst Systemdesignverfahren und Funktionsanforderungen für Systemintegratoren.

<4: Component> für Produktlieferanten.

Diese Klassifikation ist allgemein gehalten. In konkreten Fällen kann es vorkommen, dass die Rolle einer Systemregion in 3 von dem Nutzerunternehmen wahrgenommen wird, und in einem anderen Fall wird der Prozess in 2 von einem Systemintegrator oder Dienstleister unter dem Gesichtspunkt des Betriebs und der Wartung abgewickelt.

Bild 2. Asset Owner, Systemintegrator und Produktanbieter (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

Konzept: Defense in Depth

IEC62443-1-1 beinhaltet mehrere Konzepte und Modelle. Unter anderen geht es auch um Defense in Depth, ein wohlbekanntes Konzept in der Welt der Informationssicherheit. Doch es handelt sich nicht um eine einfache Massnahme, über die mehrere Gegenmassnahmen-Technologien zusammen verwendet werden. Es gilt vielmehr, Massnahmen nach Sicherheitsaspekten in Schichten zu trennen und diese dann in unabhängigen Layern zu stapeln. Neben der Technologie sind auch Massnahmen für Personal, Organisationen und Prozesse in verschiedenen Schichten umzusetzen. Wichtig ist, Cybersicherheit in allen Bereichen zu implementieren. Technologisch empfiehlt es sich auch, die Netzwerkumgebung von IACS in Zonen und Leitungskanäle zur Verbindung der Zonen zu separieren und dann die Anlagen durch Trennung in Gruppen mit gemeinsamen Sicherheitsstufen zu verwalten. (mehr dazu in Teil 2).

Managementsystem: Cyber Security Management System (CSMS)

IEC62443-2-1 spezifiziert den Rahmen von Management und Betrieb für Asset Owner. Es handelt sich um einen so genannten PDCA-Zyklus, der mit der Analyse von schwerwiegenden Risiken beginnt, gefolgt von der Risikoanalyse spezifischer Fälle, dem Entwurf von Richtlinien, Umstrukturierung von Organisationen, Schulung, Umsetzung von Managementmassnahmen, Audit und Review. Ein Mechanismus zur Aufrechterhaltung/Verwaltung dieser Sicherheit wird als CSMS bezeichnet, und es gibt auch ein Zertifizierungssystem.

Die Beziehung zwischen IEC62443-2-1 und CSMS-Zertifizierung ist die gleiche wie die Beziehung zwischen ISO27001 und ISMS-Zertifizierung in der Informationssicherheit. Da das CSMS auf der Grundlage des ISMS entwickelt wurde, sind viele Gemeinsamkeiten zwischen ihnen vorhanden, und der Rahmen für den PDCA-Zyklus ist derselbe. Andererseits sind die beiden auf unterschiedliche Ziele ausgerichtet. Die Ziele des ISMS sind alle Information Assets, während für das CSMS nicht nur Informationen, sondern auch das IACS darin enthalten sind. Ein weiterer Unterschied besteht hinsichtlich des vorausgesetzten Vorfalls, denn für ISMS ist das wichtige Anliegen der Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, und CSMS hält die Verfügbarkeit für besonders wichtig.

Bei einer Organisation, die bereits eine ISMS-Zertifizierung erworben hat, kann davon ausgegangen werden, dass ihr das Konzept des CSMS bekannt ist. Es hängt jedoch von der individuellen Situation ab, ob sie eine Zertifizierung erwerben kann.

Bild 3: CSMS (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

IEC und ISO

Wie schon der Name ahnen lässt, liefert International Electrotechnical Commission (IEC) technologische Standards in der Elektrotechnik und Elektronik. Die International Organization for Standardization (ISO) beschäftigt sich mit anderen Bereichen. Als bekannte Beispiele sind die Normen für Trockenzellenbatterien der IEC und die Normen für Schrauben der ISO zu nennen. Im Bereich der Fertigungsindustrie gibt es viele Normen für die Sicherheit im Sinne von Safety. Beispielsweise kommen von der IEC Safety-Standards für elektrische Geräte (IEC60204), Normen für funktionale Safety (IEC61508) und von der ISO die allgemeinen Grundsätze für das Safety-Design von Maschinen (ISO12100) sowie Normen für Systeme und Teile (ISO13849). Darüber hinaus werden in der ISO die Regeln und Mechanismen einer Organisation auch als Managementsystem standardisiert. Neben der ISO27001 (Informationssicherheitsmanagement) werden auch bekannte Themen wie ISO9001 (Qualitätsmanagementsystem) und ISO14001 (Umweltmanagement) sowie allgemeinere Themen wie ISO31000 (Risikomanagement) behandelt.

In der IEC und ISO gibt es viele industrielle technologiebezogene Safety-Normen sowie Leitfäden zur Beschreibung dieser Normen (ISO/IEC Guide 51: 2014 „Safety Aspects – Guidelines for Their Inclusion in Standards“). In diesen Normen wird Risiko als die „Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens“ definiert und Sicherheit als „Vermeiden von Risiken, die nicht tolerierbar sind“. Die Grundhaltung zu Risiken lässt sich folgendermassen beschreiben: Unter der Annahme, dass das Risiko niemals 0 wird, ist zu bestimmen, welche Risiken akzeptiert werden können und bis zu welchem Grad ein Risiko tragbar ist. Dann ist zu überlegen, was getan werden sollte, um inakzeptable Risiken auf ein annehmbares Niveau zu reduzieren.

Fazit

IEC und ISO-Standards sind im Einklang mit Änderungen in der Technologie und der Gesellschaft permanent überarbeitet/weiterentwickelt worden. In einer relativ neuen Richtlinie (ISO Guide 73: Risk Management) wird Risiko als „der Effekt von Unsicherheit auf ein Objekt“ definiert. In der industriellen Welt ist es auch von Bedeutung, wie Sicherheit und Safety integriert und gehandhabt werden sollten. Es gibt den Vorschlag einer neuen Norm (IEC TR 63069: Industrial-Process Measurement, Control and Automation – Framework for Functional Safety and Security).

Ein nächster Teil wird die Level in System-Design und Sicherheit der IEC62443 behandeln.

Lost in Translation: Wenn industrielle Protokollübersetzung schiefgeht

Originalartikel von Marco Balduzzi, Luca Bongiorni, Ryan Flores, Philippe Z Lin, Charles Perine, Rainer Vosseler

Die Übersetzung ermöglicht den weltweiten Informationsaustausch, das gilt auch für Industrial Internet of Things (II0T)-Umgebungen, wo verschiedene Geräte wie Schnittstellen, Sensoren und Maschinen mit unterschiedlichen Protokollen eingesetzt werden. Protokoll-Gateways sind für die Übersetzung dieser verschiedenen Protokolle in industriellen Einrichtungen zuständig. Trend Micro hat in einem Forschungsprojekt die Schlüsselrolle der Protokollübersetzung und die der Protokoll-Gateways untersucht.

Dabei geht es um ein kleines Gerät, das die verschiedenen Protokolle übersetzt, die von Maschinen, Sensoren und Computern verwendet werden, die Smart Factories, Staudämme, Kraftwerke und andere Industrieanlagen betreiben.

Bild. Position eines Protokoll-Gateways am unteren Rand des Kontrollnetzwerks

Versagen die Protokoll-Gateways, so bricht die Kommunikation zwischen den Steuerungssystemen und der Maschinenanlage zusammen. Die Bediener können die Übersicht über das System verlieren, so dass sie nicht mehr erkennen, ob Maschinen oder Generatoren ordnungsgemäss laufen. Ein Ausfall der Übersetzung kann den Bediener auch daran hindern, Befehle zur Fehlerbehebung zu erteilen. Das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“ fasst die Forschungsergebnisse zu den Risiken im Zusammenhang mit Protokoll-Gateways zusammen, sowie die möglichen Auswirkungen eines Angriffs oder der falschen Übersetzung und zeigt Möglichkeiten für die Sicherheit dieser Geräte auf.

Wichtige Erkenntnisse

Die Forscher fanden vielfältige Sicherheitsprobleme und Schwachstellen in den Gateways, die den Betrieb einer Einrichtung auf verschiedene Weise beeinträchtigen kann:

  • Spezifische Szenarien, in denen ein Angreifer Schwachstellen in der Übersetzungsfunktion ausnutzen könnte, um heimlich Befehle zu erteilen, die den operativen Prozess sabotieren können,
  • Authentifizierungsschwachstellen, die den nicht autorisierten Zugang ermöglichen,
  • Schwache Verschlüsselung, die die Entschlüsselung von Konfigurationsdatenbanken erlaubt,
  • Nicht fachgerechte Implementierung von Authentifizierungsmechanismen, wodurch vertrauliche Informationen exponiert werden könnten und
  • Bedingungen für Denial of Service (DoS).

Diese Sicherheitslücken könnten die Sicherheit, Prozesse und Ergebnisse einer Anlage erheblich beeinträchtigen. Als Folge der Fehler würde ein Angreifer in der Lage sein, Techniken zur Darstellungs- und Kontrollverhinderung für die Ausrüstung des industriellen Kontrollsystems (ICS) hinter dem Protokoll-Gateway anzuwenden. Dadurch wäre die Integrität des Befehls-, der Daten und des Kontrollprozesses in Gefahr. Bedrohungsakteure könnten über die Lücken Ingenieure daran hindern, Fabriken, Kraftwerke und andere kritische Einrichtungen zu steuern oder zu überwachen, sodass letztendlich die angegriffenen Anlagen wesentliche Leistungen wie Strom und Wasser nicht mehr liefern oder die Qualität und Sicherheit der Produkte einer Fabrik beeinträchtigt werden.

Anwendungsbereich und Auswirkungen

Das Forschungsprojekt ist für ein breites Fachpublikum konzipiert und beschränkt sich nicht lediglich auf die, die einen Betriebstechnik (OT)-Hintergrund haben. Auditoren und Berater können sich auch über die geschäftlichen Auswirkungen der damit verbundenen Schwachstellen und Angriffsszenarien informieren. Die Forschungsteilnehmer verwendeten das MITRE ATT&CK-Framework für industrielle Steuerungssysteme, um mögliche Angriffstechniken sowie die entsprechenden Auswirkungen darzustellen. Alle Einzelheiten liefert das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“.

Empfehlungen

Ausführliche Empfehlungen und eine Sicherheits-Checkliste sollen sicherstellen, dass die Verantwortlichen alle und Schwachstellen angehen können:

  • Beim Kauf der Geräte sollten die Design-Aspekte von Protokoll-Gateways, wie z.B. Unterschiede in den Filterfähigkeiten, berücksichtigt werden.
  • Fachgerechte Konfiguration und Absicherung des Gateways. Diese Geräte können in der Gesamtsicherheit einer Industrieanlage leicht übersehen werden.
  • Protokoll-Gateways sollten als kritische OT-Geräte behandelt werden, um einen besseren Rahmen für einen Sicherheitsplan für ihre Funktion zu schaffen und zu verhindern, dass sie bei den Verteidigungsmassnahmen übersehen werden.

Tücken der Legacy-Technologie: kritische Fehler in programmierbaren Industriemaschinen

Originalbeitrag von Trend Micro

Industrieautomation ermöglicht es Unternehmen aus verschiedenen Bereichen der verarbeitenden Industrie – darunter Automobil, Avionik, Militär, Nahrungsmittel und Getränke sowie Pharmazeutika – ihre Güter in grossen Mengen zu produzieren. In Zusammenarbeit mit der Polytechnischen Universität Mailand (Politecnico di Milano) hat Trend Micro zum Thema Automation und Angreifbarkeit des Codes in der industriellen Programmierung geforscht und bisher unbekannte Designfehler aufgedeckt, die Bedrohungsakteure ausnutzen könnten, um bösartige Funktionalität in Robotern und anderen programmierbaren Industriemaschinen zu verbergen.. Der Bericht „Rogue Automation: Vulnerable and Malicious Code in Industrial Programming” zeigt umfassend, wie Designschwächen in älteren Programmiersprachen Automatisierungsprogramme angreifbar machen.

Die Technologie, die hinter den programmierbaren Industriemaschinen steht, wurde vor Jahrzehnten entwickelt, ist aber nach wie vor das Rückgrat der modernen Fertigung. Aus diesem Grund sind die aufgedeckten Fehler an ihrem Ursprung nur schwer zu beheben und können nur mit speziellen sicheren Netzwerkarchitekturen abgefangen werden.

Sicherheitsrelevante Funktionen in der Industrieautomation

Die wichtigste Erkenntnis aus dem Forschungsprojekt betrifft sicherheitsrelevante Merkmale, die in den Legacy-Programmiersprachen einiger der populärsten Industrierobotik-Plattformen vorhanden sind. Der Bericht zeigt, wie diese Funktionen zu Schwachstellen führen oder von böswilligen Akteuren missbraucht werden können, um neue Arten von sich selbst verbreitender Malware zu entwickeln, die herkömmliche Endpunkt-Scanner nicht erkennen können.

Wenn diese Probleme nicht angegangen werden, könnte ein erfahrener, möglicherweise staatlich unterstützter Angreifer sich in der digitalen Ausrüstung einer Smart Factory festsetzen, um diese zu erkunden und zu überwachen und eine Vielzahl von böswilligen Aktivitäten durchführen – von der Veränderung der Qualität von Produkten und dem Anhalten der Fertigungslinie bis hin zur Beschädigung von Robotern und sogar der Exfiltration von geistigem Eigentum.

Handlungsempfehlungen für die Fertigungsindustrie

Trend Micro hat sich mit Robot Operating System – Industrial (ROS-I), einem Konsortium führender OEM-Hersteller und Forschungsorganisationen, abgestimmt, um praktische Sicherheitsempfehlungen zu erarbeiten, die den Anwendern helfen können, häufige Konfigurations- und Programmierfehler zu vermeiden. Zusammen mit der richtigen Netzwerksicherheitsausrüstung können diese Richtlinien dazu beitragen, den Missbrauch der entdeckten Schwachstellen zu reduzieren. Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) veröffentlichte ebenfalls eine Warnung, in der die Tragweite unserer Erkenntnisse bestätigt und die vorgeschlagene Strategie zur Schadensbegrenzung anerkannt wurde. Die Empfehlungen lassen sich folgendermassen zusammenfassen:

  • Netzwerksegmentierung: Einsatz von geeigneten Netzwerkschutzgeräten um Industrieroboter zu isolieren, die aus anderen Netzwerken kommende Daten verarbeiten müssen.
  • Sichere Programmierung: Fördern sicherer Programmierrichtlinien unter Steuerungsprozessingenieuren und -entwicklern.
  • Automatisierungs-Codemanagement: Kennen und Nachverfolgen des Automatisierungscodes, der von einem Systemintegrator erstellt wurde und in der Fabrik läuft.

Alle Einzelheiten der Forschung finden Interessierte im Whitepaper „Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”.

Im Kreuzfeuer: Verteidigung der Geräte in der Schlacht der Botnets

Von Trend Micro

Botnets, diese Netzwerke aus infizierten Geräten (in Bots verwandelt), sind umso erfolgreicher in ihren Angriffen und bösartigen Aktivitäten, je höher die Zahl der Bots ist. Mit der Verbreitung des Internet of Things (IoT) ist eine neue Domäne entstanden, in der die Betreiber der Botnets um Bots kämpfen. Dieser so genannte „Wurmkrieg“ wird von den Benutzern unbemerkt geführt, und die können die Kontrolle über ihre Geräte verlieren, egal welcher Cyberkriminelle am Ende eine Schlacht gewinnt. Die Nutzer müssen die Techniken und Taktiken verstehen, die beim Aufbau von Botnets und der Umwandlung gängiger IoT-Geräte wie Router in Bots zum Einsatz kommen. Trend Micro hat einen Forschungsbericht „Worm War: The Botnet Battle for IoT Territory“ veröffentlicht, in dem die Welt der IoT-Botnets eingehend dargestellt wird.

Der Blog gibt eine Vorschau auf die Hauptfunktionen von Botnet-Malware anhand der drei Quellcodebasen von Botnets, die den Weg für viele Botnet-Malware-Varianten geebnet haben und die Grundlage für den anhaltenden Revierkampf bilden.

Kaiten

Kaiten, auch als Tsunami bekannt, ist die älteste der drei. Die Kommunikation mit den Command-and-Control (C&C)-Servern basiert auf dem IRC-Protokoll (Internet Relay Chat), wobei infizierte Geräte Befehle von einem IRC-Kanal empfangen. Das Skript von Kaiten ermöglicht es der Malware auch, auf mehreren Hardware-Architekturen zu arbeiten, und damit wird sie ein relativ vielseitiges Werkzeug für Cyberkriminelle. Darüber hinaus können neuere Varianten konkurrierende Malware ausschalten und somit ein Gerät vollständig in Beschlag nehmen.

Qbot

Die Malware ist auch als Bashlite, Gafgyt, Lizkebab oder Torlus bekannt und stellt eine relativ alte Familie dar. Dennoch ist sie für Botnet-Entwickler immer noch wichtig. Bemerkenswert im Zusammenhang mit Qbot ist die Tatsache, dass deren Quellcode aus nur ein paar Dateien besteht. Anfänger haben Schwierigkeiten in der Handhabung, deshalb gibt es in cyberkriminellen Foren viele Tutorials und Leitfäden dazu. Qbots Quellcode kann ebenso wie Kaiten mehrere Architekturen unterstützen, doch die Kommunikation mit den C&C-Servern basiert auf TCP und nicht IRC. Neuere Varianten können zudem auch rivalisierende Malware killen.

Mirai

Mirai ist die jüngste Malware unter den dreien. Dennoch ist sie sehr bekannt, weil die Familie zahlreiche Varianten hervorgebracht hat. Sie wurde darauf zugeschnitten, als Distributed Denial-of-Service (DDoS)-Tool angeboten zu werden. Nach Veröffentlichung des Quellcodes wurde Mirai zu einem Wendepunkt für IoT-Malware. Die Botnet-Malware machte sich schnell einen Namen durch den Angriff auf Dyn, einen DNS-Hosting-Provider (Domain Name System), der zur Beeinträchtigung weit verbreiteter Websites und Dienste führte.

Botnet-Kampftaktiken

Kaiten, Qbot und Mirai präsentieren die Fähigkeiten, mit denen Botnet-Malware um die Vorherrschaft über angeschlossene Geräte konkurrieren kann. Um ein Botnet zu entwickeln und seine Grösse aufrechtzuerhalten, müssen Botnet-Malware-Familien und -Varianten in der Lage sein, so viele Geräte wie möglich zu infizieren und gleichzeitig andere Angreifer fernzuhalten. Botnet-Malware kann nach anfälligen Geräten suchen und bekannte Taktiken wie Brute-Force anwenden, um die Kontrolle über ein Gerät zu erlangen. Um die Übernahme zu festigen, eliminiert Botnet-Malware konkurrierende Malware, die möglicherweise bereits auf dem Gerät vorhanden ist, sowie neue Schadsoftware, die darauf abzielen könnte, die Kontrolle über das Gerät zu stehlen.

Alle drei Bot-Quellcodebasen verfügen über diese Fähigkeiten. Und da sie quelloffen sind, ermöglichen sie es böswilligen Akteuren, die Bedrohungslandschaft weiterhin mit konkurrierenden Varianten zu bevölkern.

Bild. Zusammenfassung der drei wichtigsten IoT-Bot-Quellcodebasen

Verteidigung gegen IoT-Botnets

Über welch machtvolle Gerätearmeen Botnets verfügen können, zeigte der berüchtigte Mirai-Angriff 2016, der zum Absturz bekannter Websites führte (etwa Netflix, Twitter und Reddit) und auch den bekannten Sicherheitsblogs „Krebs on Security“ lahmlegte. In kleinerem Rahmen vereinnahmen Botnets IoT-Geräte und -Ressourcen einzelner Nutzer, die ihnen das Leben bequemer und ihre Arbeit leichter machen sollen. Diese Geräte haben an Bedeutung gewonnen, vor allem in einer Zeit, in der das Arbeiten von zu Hause aus zur neuen Norm für Organisationen geworden ist.

Die beste Verteidigungsstrategie gegen feindliche Botnets besteht darin, ihr Schlachtfeld einzugrenzen und Cyberkriminellen die Ressourcen zu verweigern, die ihre Botnets mächtig machen würden. Benutzer können ihren Teil dazu beitragen, indem sie dafür sorgen, dass ihre IoT-Geräte sicher sind. Sie können damit beginnen, diese Schritte zu befolgen:

  • Verwalten von Schwachstellen und Aufspielen der Patches so schnell wie möglich. Schwachstellen sind die wichtigste Art und Weise, wie Malware Geräte infiziert. Die Anwendung von Patches, sobald sie veröffentlicht werden, kann die Chancen für potenzielle Angriffe einschränken.
  • Anwenden sicherer Einstellung. Benutzer müssen sicherstellen, dass sie die sicherste Konfiguration für ihre Geräte verwenden, um die Möglichkeiten für eine Kompromittierung einzuschränken.
  • Starke, schwer zu erratende Passwörter aufsetzen. Botnet-Malware nutzt schwache und gängige Passwörter aus, um Geräte zu übernehmen. Benutzer können diese Taktik umgehen, indem sie Standardpasswörter ändern und starke Passwörter verwenden.

Weitere Einzelheiten zu den IoT-Botnets finden Sie im Whitepaper Worm War: The Botnet Battle for IoT Territory.

ISO/SAE 21434: Cyberbedrohungen für vernetzte Autos ausbremsen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Vernetzte Fahrzeuge sind die Zukunft. Weltweit soll ihre Zahl von 2018 bis 2022 um 270% zulegen, und in ein paar Jahren geschätzte 125 Millionen erreichen. Diese Fahrzeuge ähneln zunehmend eher Hochleistungscomputern mit Rädern als herkömmlichen Autos und beinhalten Fähigkeiten wie Internetzugang, applikationsbasiertes Remote Monitoring und Verwaltung, fortschrittliche Fahrerunterstützung und autonome Fahrfähigkeiten. Dadurch sind sie aber auch dem Diebstahl sensibler Daten und der Fernmanipulation ausgesetzt, was zu ernsthaften physischen Sicherheitsproblemen führen könnte. Ein neuer Forschungsbericht von Trend Micro stellt dar, was die Branchenbeteiligten tun müssen, damit die Cybersecurity-Lücke für das gesamte Automotive-Ökosystem geschlossen wird. Ein neuer Standard liefert Leitlinien für die Cybersicherheit.

Download

Moderne Automobile leisten weit mehr, als nur ihre Insassen von A nach B zu transportieren. Sie sind vollgepackt mit Rechenleistung, Sensoren, Infotainment-Systemen und Konnektivität, um das Fahrerlebnis, die Verkehrssicherheit, die Fahrzeugwartung und vieles mehr zu verbessern. Unter anderem verfügen sie über Systeme, die eine Verbindung zu anderen Fahrzeugen, mobilen Geräten, Verkehrsinfrastrukturen und Cloud-Systemen für verschiedene Zwecke herstellen, wie Sicherheitsüberwachung des Verkehrs und Fußgänger, Remote Monitoring und Verwaltung der Fahrzeuge oder Notfall-Benachrichtigungssysteme. All dies schafft eine Komplexität, die wiederum zu neuen Cyber-Sicherheitslücken führt.

Zum Beispiel gibt es heute in vielen modernen Fahrzeugen mehr als 100 Motorsteuergeräte (Engine Control Units, ECUs), vollgepackt mit Software, die alles vom Motor über die Aufhängung bis hin zu den Bremsen kontrolliert. Kapert ein Angreifer die Ausführung eines beliebigen Steuergeräts, könnte er sich lateral auf ein beliebiges Ziel im Fahrzeug zubewegen und damit möglicherweise aus der Ferne lebensbedrohliche Unfälle verursachen.

Der Bericht zeigt die drei grundlegenden Probleme auf, die die Sicherheit von vernetzten Autos zur Herausforderung werden lässt:

  • Schwachstellen: Die Branche arbeitet mit einem stark gegliederten Supply Chain-System. Wenn eine Schwachstelle in einer Komponente entdeckt wird, müssen alle beteiligten Ebenen einen Fix veröffentlichen, bis er den Originalausrüstungshersteller (OEM) erreicht. Diese Fehlerbehebungen müssen auch auf Interoperabilität geprüft werden, was bedeutet, dass die Firmware aller Steuergeräte aktualisiert werden müsste. Dies führt nicht nur zu Verzögerungen bei der Bereitstellung von Updates, sondern ein Software-Update für ein Fahrzeug kann auch bis zu 20 Stunden dauern.
  • Protokolle: Einige der Protokolle, die für ECU-Verbindungen verwendet werden, sind nicht für Cybersicherheitsfunktionen ausgelegt. Beispielsweise sind die Datenübertragungen nicht verschlüsselt, und Sender und Empfänger sind nicht authentifiziert.
  • Unsichere Produkte und Dienstleistungen auf dem Sekundärmarkt: Internet of Vehicles (IoV)-Geräte, die in Autos installiert sind, wie z.B. Bluetooth- oder Wi-Fi-fähige Multimediageräte, sind einfach erhältlich. Die meisten dieser Geräte laufen jedoch mit ungesicherter oder veralteter Firmware, sodass Angreifer die nicht gepatchten Systeme zum Eindringen ausnutzen und sich lateral bewegen können, um bösartigen Code an die Systeme des Fahrzeugs zu senden.
    Darüber hinaus können einige inoffizielle Werkstätten die ECU modifizieren, um die Motorleistung zu erhöhen. Die Manipulation der Software – trotz der vorhandenen Industriestandardverfahren zum Schutz der Diagnosesoftware – kann eine Reihe von Schwachstellen während und nach der Änderung der Codes entstehen lassen.

Diese Schwachstellen wurden bereits vor Jahren in Forschungsarbeiten aufgezeigt, doch nun da die Zahl der vernetzten Fahrzeuge zunimmt, zeichnen sich nun Angriffe aus der realen Welt ab. Die Angriffsszenarien zielen auf alles, von Benutzeranwendungen über Netzwerkprotokolle bis hin zum CAN-Bus, der On-Board-Software und mehr.

Standards als Abhilfe

Intelligente Transportsysteme (ITS) erfordern eine Abstimmung zwischen den Herstellern, um in der realen Welt eine Chance auf Erfolg zu haben. Kein grosser Autohersteller, multimodaler Anbieter oder MaaS-Anbieter (Mobility as a Service) wird es riskieren, in eine Lösung eines einzigen Anbieters zu investieren. Erfolgreiche ITS erfordern interoperable Komponenten, insbesondere für das Management von Fragen der Cybersicherheit.

Hier setzt ein neuer Standard an. ISO/SAE 21434 Road vehicles – Cybersecurity engineering ist ein langes und detailliertes Dokument zur Verbesserung der automobilen Cybersicherheit und Risikominderung in der gesamten Supply Chain – vom Fahrzeugdesign und -Engineering bis hin zur Stilllegung.

Als langjähriger Mitstreiter in der Automobilindustrie begrüsst Trend Micro den neuen Standard als eine Möglichkeit, Security-by-Design in einem Bereich zu verbessern, der zunehmend von Angreifern unter die Lupe genommen wird. Tatsächlich haben acht der zehn weltweit führenden Automobilunternehmen Lösungen von Trend Micro für ihre Unternehmens-IT übernommen.

Um ISO/SAE 21434 zu folgen und die vernetzten Autos zu schützen, benötigen Organisationen eine umfassende Visibilität und Kontrolle über das gesamte vernetzte Auto-Ökosystem, einschliesslich Fahrzeug-, Netzwerk- und Backend-Systeme. Unernehmen sollten auch die Schaffung eines Vehicle Security Operations Center (VSOC) in Erwägung ziehen, um die aus allen drei Bereichen eingehenden Benachrichtigungen zu verwalten und einen Überblick über das gesamte Ökosystem aus der Vogelperspektive zu erhalten.

Empfehlungen

In jedem dieser Schlüsselbereiche sollten die folgenden Fähigkeiten in Betracht gezogen werden:

Fahrzeug: Erkennung fahrzeuginterner Schwachstellen und deren mögliche Ausnutzung, einschliesslich der Schwachstellen in kritischen Geräten, die das fahrzeuginterne Netzwerk mit externen Netzwerken verbinden, z.B. fahrzeuginterne Infotainment-Systeme (IVI) und telematische Steuereinheiten (TCUs).

Netzwerk: Anwendung von Netzwerksicherheitsrichtlinien, Überwachung des Datenverkehrs, um Bedrohungen zu erkennen und zu verhindern, einschliesslich Verbindungen zwischen Fahrzeug- und Backend-Cloud und Datenzentren.

Backend: Sichern der Rechenzentren, Cloud und Container vor bekannten und unbekannten Bedrohungen und Bugs, ohne die Leistung zu beeinträchtigen.

Fahrzeug-SOC: Schnelle und effektive Massnahmen ergreifen durch Korrelation der am Endpunkt, Netzwerk und Backend erkannten Bedrohungen mit individuellen Benachrichtigungen von jedem einzelnen Punkt, so dass umfassende Elemente aus der Vogelperspektive betrachtet werden können.

In unsicheren Zeiten für die Branche zahlt es sich aus, allen möglichen Änderungen in den lokalen Gesetzen, die durch die neue ISO/SAE-Norm kommen könnten, einen Schritt voraus zu sein.

Incident Response Playbook: Schnell und gezielt reagieren ist entscheidend

von Trend Micro

Um heutzutage wettbewerbsfähig zu sein, müssen Unternehmen mit den neuesten technologischen Trends Schritt halten. Ohne die parallele Entwicklung einer Sicherheitsinfrastruktur und einem klaren Prozess für eine Reaktion auf Angriffe könnten diese Technologien jedoch zum fatalen Vektor für Cyber-Bedrohungen werden. Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Ein gutes Playbook stellt eine große Hilfe beim Aufsetzen des Incident Response-Ablaufs dar.

Laut einer von IBM und Ponemon durchgeführten Studie kostet ein Datendiebstahl das betroffene Unternehmen durchschnittlich 3,92 Millionen Dollar. Diese Kosten können variieren, je nachdem, wie schnell ein Unternehmen einen Datendiebstahl entdeckt und darauf reagiert.

Der 2020 Data Breach Investigations Report von Verizon kam zu dem Ergebnis, dass die meisten Datenschutzverletzungen im Jahr 2019 zwar nur Tage oder weniger dauerten, doch immerhin ein Viertel der Fälle zog sich über Monate oder länger hin. Die Eindämmung wiederum brauchte im Durchschnitt etwa gleich lang.

Insgesamt zeigen die Zahlen im Bericht im Vergleich zu den Vorjahren eine Verbesserung bei der Aufdeckung von Dateneinbrüchen und der Reaktion darauf. Der Bericht weist aber auch darauf hin, dass diese Verbesserung darauf zurückzuführen sein könnte, dass mehr von Managed Security Service Providern (MSSPs) entdeckte Verletzungen in ihre Untersuchungen einbezogen wurden.

Organisationen sollten natürlich danach streben, die Einbrüche zu verhindern. Gleichzeitig ist die Vorbereitung auf solche Vorfälle und die Erstellung von Abläufen zur Verkürzung der Dauer eines Dateneinbruchs jedoch ein wesentlicher und realistischer Ansatz für den Umgang mit aktuellen Bedrohungen.

Vorbereitung auf die Bedrohungen

Das Wissen darüber, womit ein Unternehmen zu rechnen hat, ist der erste Schritt bei der Vorbereitung und die Reaktion auf potenzielle Cyberangriffe. In der Vergangenheit waren die Bedrohungen viel einfacher gestrickt und weitgehend durch die von ihnen ausgenutzten Technologien definiert. Doch nun, da Unternehmen auf fortschrittlichere Netzwerk- und Dateninfrastrukturen zurückgreifen, ist die Angriffsfläche grösser, und die Auswirkungen der Bedrohungen haben sich verstärkt.

Der Sicherheitsbericht für 2019 von Trend Micro weist auf die Komplexität und Persistenz der heutigen Bedrohungen hin. Ransomware-Angriffe zielen immer häufiger auf hochkarätige Ziele, wobei die Kriminellen weniger neue Familien entwickeln. 2019 gab es mit 95 neuen Ransomware-Familien weniger als die Hälfte im Vergleich zu 2018 (222). Auch Phishing-bezogene Aktivitäten nahmen ab.

2019 gab es eine Reihe Aufsehen erregender Angriffe auf E-Commerce Sites wie Magecart Group 12 und FIN6, wobei tausende Online-Shops infiziert wurden, um Zahlungsinformationen der Kunden zu stehlen.

Bild 1: Angriffskampagne auf E-Commerce Site Magecart Group 12 und FIN6

Obige Bedrohungen verdeutlichen die Sicherheitslücken in den heute verwendeten Technologien. Sie zeigen auch, wie Trends und Schwächen von Branchen, Geräten oder Plattformen die Bedrohungslandschaft prägen. Organisationen haben eine Vielzahl von Grundlagen abzudecken, wenn sie neue Anwendungen und Software einführen, die Abläufe verbessern und Innovationen vorantreiben sollen. Neben der Kenntnis der aktuellen Bedrohungen sollten die Mitarbeiter auch alle von ihrer Organisation verwendeten Technologien genau verstehen lernen.

Während ein vielschichtiger Schutz bei der Erkennung und Verhinderung von Cyberattacken helfen kann, sollten alle Mitarbeiter, die für die Wartung der Unternehmensinfrastruktur zuständig sind, auch über Kenntnisse darüber verfügen, wie sie auf einen Einbruch und einen aktiven Angriff reagieren sollen.

Incident Response

Bedrohungen, die die Verteidigungslinien von Unternehmen angreifen, erfordern eine effektive Strategie zur Reaktion auf Vorfälle (Incident Response). Es ist der Prozess oder der Plan, den Organisationen als Leitfaden für die Handhabung und Eindämmung von Verstössen oder Cyberangriffen verwenden.

Das Ziel von Incident Response besteht darin, das Unternehmen nach einem Angriff wieder zum Laufen zu bringen. Dazu gehört die Identifizierung und Qualifizierung der Bedrohung, die ihre Verteidigungsmechanismen überwunden hat. Ein Störfall impliziert auch, dass die Präventionsmechanismen der Organisation versagt haben und verstärkt werden müssen.

Ein charakteristisches Merkmal von Incident Response ist, dass die Reaktion erfolgreich sein kann, ohne den Bedrohungsakteur hinter dem Angriff identifizieren zu müssen. Incident Response erfolgt „live“ oder während eines laufenden Angriffs mit der Absicht, diesen zu stoppen. Im Gegensatz dazu erfolgt etwa Computer-Forensik im Nachhinein und kann in die Tiefe gehen, weil die Bedrohung zurückgegangen ist.

Es gibt zwei weithin als Standard akzeptierte Incident Response Frameworks: NIST (National Institute of Standards and Technology) und SANS (SysAdmin, Audit, Network, and Security). Sie sind einander sehr ähnlich und decken eine breite Basis ab, von der Vorbereitung auf einen Angriff bis zum Sicherstellen, dass sich der Vorfall nicht wiederholt.

SANS

NIST

Bild 2: Incident Response-Schritte bei SANS und NIST

Der zweite Teil beschreibt ein Playbook mit den einzelnen konkreten Schritten, die ein Unternehmen beim Aufsetzen von Incident Response gehen muss.

Ähnliche Artikel:

  1. Trend Micro als „Leader“ für Cross-Layer Detection and Response
  2. Der Security-RückKlick 2020 KW 14
  3. Sicherheit von 5G-Konnektivität im Unternehmen
  4. Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen
  5. Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren

Sicherheit für die digitale Transformation – Suite vs. Punktlösungen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Die digitale Transformation hat durch die Corona-Pandemie an Schwung gewonnen. Die jeweiligen Projekte sind wichtiger denn je, um mehr Effizienz zu erlangen, Kosten sparen zu können und die Geschäftsagilität zu erhöhen. Sicherheit bleibt aber für viele Organisationen ein großer Stolperstein, weshalb es von entscheidender Bedeutung ist, neue Sichtweisen darüber zu gewinnen, wie der Schutz von Anfang an in Pläne eingearbeitet werden sollte. Wo sind die Sichtbarkeits- und Kontrolllücken beim Schutz hybrider Cloud-Workloads? Hat Kompetenzmangel Fehler in der Cloud-Konfiguration wahrscheinlicher gemacht? Und wie sieht Cloud-Sicherheit aus, wenn Unternehmen in eine neue Normalität eintreten? In von Unsicherheit geprägten Zeiten haben die Experten Antworten gegeben, die CISOs benötigen, um besser informierte strategische Entscheidungen treffen zu können. Trend Micros virtuelle Veranstaltung „Perspectives“ wartete mit hochkarätigen Vorträgen auf, unter anderem von Trend Micro CEO Eva Chen, VP of Security Research, Rik Ferguson, AWS Principal Security Architect, Merritt Baer oder IDC VP, Frank Dickson.

Sehr aufschlussreich waren zudem die Antworten, die von den mehr als 5000 weltweiten Teilnehmern zu zwei Schlüsselfragen zur eigenen Strategie und der digitalen Transformation kamen.

Erstens: Wie sieht Ihre aktuelle Strategie für die Absicherung der Cloud aus?

33% der Befragten verlassen sich komplett auf die nativen Sicherheitsfähigkeiten der Cloud-Plattform (AWS, Azure, Google…), 13% ergänzen die Sicherheit mit auf bestimmte Bereiche (Schutz für Workloads und Container …) ausgerichteten Produkten, und 54% vertrauen auf eine Sicherheitsplattform mit mehrfachen Fähigkeiten, um die Komplexität zu verringern.

Diese Ergebnisse bestätigen die Feststellung von IDC-Analyst Frank Dickson, wonach die meisten Cloud-Kunden mit einer Suite, die eine Reihe von Sicherheitsfunktionen für mehrere Cloud-Umgebungen bietet, besser aufgestellt sind. Für die 15 bis 20 Prozent der Unternehmen, die sich auf nur einen Cloud-Anbieter verlassen, kann der Kauf einer Sicherheitslösung von diesem Hersteller eine ausreichende Abdeckung bieten. Die Suche nach Punktlösungen (die auch Best-of-Breed-Produkte sein können) führt zu zusätzlicher Komplexität über mehrere Cloud-Plattformen hinweg und kann Probleme überdecken, Cybersicherheitsanalysten und Geschäftsanwender irritieren, die Kosten erhöhen und die Effizienz. Die umfassende Suite-Strategie ergänzt den hybriden Multi-Cloud-Ansatz der meisten Organisationen.

Zweitens: Wie setzen Sie sichere digitale Transformation in der Cloud um (Multiple Choice)?

Die Antworten machen deutlich, dass Cloud-Benutzer für viele verfügbare Lösungen zur Verbesserung der Cloud-Sicherheit offen sind. Das Anwendungsmuster folgt den traditionellen Bereitstellungsmodellen für Sicherheit Onpremise. Die am häufigsten angeführte Lösung, Network Security/Cloud-IPS, zeigt, dass Kommunikation mit allem in der Cloud ein vertrauenswürdiges Netzwerk erfordert. Dies ist eine sehr vertraute Praxis, die in Onpremise-Umgebungen bis zur Einführung von Firewalls in den frühen 1990er Jahren von Anbietern wie CheckPoint zurückreicht und durch akademische Forschung unterstützt wird.

Die Häufigkeit der Gefährdung von Daten durch falsch konfigurierte Cloud-Instanzen ist sicherlich ausschlaggebend für das Cloud Security Posture Management. Und dies wird durch die einfache Bereitstellung von Tools wie Cloud One Conformity unterstützt. Die Neuartigkeit von Containern in der Produktionsumgebung erklärt den relativ geringen Einsatz von Container-Sicherheit heute. Doch müssen Unternehmen keine Vielzahl von Einzelprodukten zur Lösung eines Problems in einer Umgebung einsetzen und verwalten. Der Suite-Ansatz vereinfacht die heutige Realität und positioniert die Organisation für die Herausforderungen von morgen.

Die Vorträge können unter Perspectives auch im Nachhinein abgerufen werden.

Ähnliche Artikel:

  1. Einheitliche, automatisierte Sicherheit für die Hybrid Cloud
  2. Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2
  3. Sicherheit für die Cloud-vernetzte Welt im Jahr 2020
  4. IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an
  5. Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Botnet Malware-Varianten zielen auf exponierte Docker Server

Originalbeitrag von Augusto Remillano II, Patrick Noel Collado und Karen Ivy Titiwa

Kürzlich entdeckten die Sicherheitsforscher Varianten von zwei existierenden Linux Botnet Malware-Arten, die exponierte Docker-Server im Visier hatten: XORDDoS (Backdoor.Linux.XORDDOS.AE) und Kaiji DDoS (DDoS.Linux.KAIJI.A). Für beide Malware-Arten sind Docker-Server als Ziel neu. XORDDoS war dafür bekannt, Linux Hosts in Cloud-Systemen anzugreifen, und die erst vor kurzem entdeckte Kaiji-Malware griff IoT-Geräte an. Die Hintermänner nutzten normalerweise Botnets für Brute-Force-Attacken, nachdem sie nach offenen Secure Shell (SSH)- und Telnet-Ports gescannt hatten. Jetzt suchen sie auch nach Docker-Servern mit exponierten Ports (2375). Dies ist einer der beiden Ports, die das Docker API nutzt, und dient der nicht verschlüsselten und nicht authentifizierten Kommunikation.

Es besteht jedoch ein bemerkenswerter Unterschied zwischen den Angriffsmethoden der beiden Malware-Varianten. Während der XORDDoS-Angriff den Docker-Server infiltrierte, um alle auf ihm gehosteten Container zu infizieren, setzt der Kaiji-Angriff einen eigenen Container ein, in dem die DDoS-Malware liegt.

Diese Malware-Varianten begünstigen Distributed Denial of Service (DDoS), einen Angriffstyp, der darauf abzielt, ein Netzwerk, eine Website oder einen Dienst zu deaktivieren, zu unterbrechen oder herunterzufahren. Dazu werden mehrere Systeme verwendet, um das Zielsystem mit Datenverkehr zu überlasten, bis es für andere Benutzer unzugänglich wird.

Analyse der beiden Varianten

Die XORDDoS-Infektion begann damit, dass die Angreifer nach Hosts mit exponierten Docker-API-Port suchten (2375). Dann sandten sie einen Befehl, der die auf dem Docker-Server gehosteten Container auflistete. Danach führten die Angreifer eine Befehlsfolge für alle Container aus und infizierten sie alle mit der Malware.

Ähnlich wie bei der XORDDoS-Malware zielt Kaiji auch auf exponierte Docker-Server zur Verbreitung. Der Betreiber scannte auch das Internet nach Hosts mit dem exponierten Port 2375. Nachdem er ein Ziel gefunden hatte, pingt er den Docker-Server an, bevor er einen bösartigen ARM-Container einsetzt, der das Kaiji-Binary ausführt. Die technischen Einzelheiten zu den beiden Angriffen finden Interessierte im Originalbeitrag.

Schutz für Docker-Server

Es zeigt sich, dass die Bedrohungsakteure ihre Werke ständig um neue Fähigkeiten erweitern, so dass sie ihre Angriffe auf andere Eintrittspunkte ausrichten können. Da sie relativ bequem in der Cloud eingesetzt werden können, sind Docker-Server eine immer beliebtere Option für Unternehmen. Sie sind jedoch auch ein attraktiven Ziel für Cyberkriminelle, die ständig auf der Suche nach Systemen sind, die sie ausnutzen können.

Einige Empfehlungen für die Absicherung von Docker-Servern:

  • Absichern des Container Hosts: Dafür eignen sich Monitoring Tools und Host Container in einem auf Container zugeschnittenen Betriebssystem.
  • Absichern der Netzwerkumgebung. Dafür sollte ein Intrusion Prevention System (IPS) und Webfiltering zum Einsatz kommen, um Übersicht zu bieten und den internen sowie externen Verkehr beobachten zu können.
  • Absichern des Management-Stacks. Hier sollte die Container Registry überwacht und gesichert werden sowie die Kubernetes-Installation abgesperrt sein.
  • Absichern der Build Pipeline. Implementieren eines gründlichen und konsistenten Zugangskontrollschemas sowie starker Endpunktkontrollmechanismen.
  • Befolgen der empfohlenen Best Practices.
  • Einsatz von Sicherheits-Tools, um Container zu scannen und zu schützen.

Trend Micro™ Hybrid Cloud Security bietet automatisierte Sicherheit und Schutz für physische, virtuelle und Cloud Workloads. Die Lösung umfasst folgendes: