Archiv der Kategorie: Sicherheitslücken

Mehrwert für XDR durch Partnerschaften

Originalbeitrag von Trend Micro

Trend Micro schützt seine Kunden seit über drei Jahrzehnten vor Cyber-Bedrohungen. Die langjährige Erfahrung hat aber auch gezeigt, dass keine IT-Umgebung völlig homogen ist. Ob durch Zufall, Übernahmen oder aufgrund des Designs müssen Technologieverantwortliche in der Regel eine gemischte Umgebung aus mehreren Legacy- und Next-Gen-Produkten verschiedener Anbieter verwalten. Im Sicherheitsbereich kann dies zur Entstehung von Silos und Abdeckungslücken führen, wenn diese individuellen Lösungen nicht richtig zusammenarbeiten. Um einen maximalen Wert für Kunden und deren Sicherheitslage liefern zu können, arbeitet Trend Micro mit Partnern zusammen, wo immer dies möglich ist. So gibt es etwa eine solche Zusammenarbeit mit Unternehmen wie Fortinet über eine offene Integration deren Security Orchestration, Automation and Response (SOAR)-Plattform mit Trend Micro XDR.

Erweiterte Detection-and-Response (XDR) stellt laut Gartner den stärksten Trend 2020 in der Sicherheit und der Risikominimierung dar. Der Grund dafür ist, dass die Entdeckung und Reaktion auf Bedrohungen immer schwieriger wird, weil sowohl die Zahl als auch die Raffiniertheit der Angriffe steigt, wobei gleichzeitig die Angriffsfläche in den Unternehmen grösser wird. Einem ESG Report zufolge wenden die Sicherheitsteams von mehr als einem Drittel der Unternehmen die meiste Zeit für Notfälle auf, statt sich um Strategie oder Verbesserungen an den Prozessen zu kümmern.

Trend Micro XDR erweitert die Bedrohungserkennung und -bekämpfung (Detection and Response) über den Endpunkt hinaus, indem Daten über E-Mails, Endpunkte, Server, Clouds, Netzwerke und die Trend Micro-eigenen Bedrohungsdaten miteinander korreliert werden, um weniger, aber aussagekräftigere Alarme zu erzeugen.

Partner erweitern Funktionalität von XDR

Doch ist auch bekannt, dass Kunden neben XDR zum Beispiel auch SIEM- und SOAR-Plattformen betreiben wollen. Diese können für die Mitarbeiter des Security Operations Center (SOC) eine wertvolle Arbeit leisten, indem sie Bedrohungsdaten aus verschiedenen Quellen abrufen und korrelieren und eine Reaktion automatisieren.

Deshalb besteht die XDR Strategie darin, sich über eine einfache API in diese Lösungen von ausgewählten Partnern zu integrieren. Ein solcher Partner ist Fortinet, dessen FortiSOAR-Angebot darauf ausgelegt ist, die Fähigkeit der Kunden zur Erkennung und Reaktion auf Bedrohungen zu verbessern.

Die neue offene Integration für Trend Micro ApexOne mit Fortinets Lösung ermöglicht die Koordination proaktiver Massnahmen und automatisierter Reaktionen über eine einfache API, die über automatisierte Playbooks schnelle Reaktionsmöglichkeiten bietet. Mithilfe von Playbooks können Operation-Teams automatisierte Vorgänge, wie das Erstellen einer Live-Untersuchung, das Ausführen von Aktionen auf Sicherheitsendpunkten und Listen von verwalteten Endpunkt-Sicherheitsagenten, problemlos durchführen.

Der offene Ansatz beider Unternehmen machte es einfach, einen Konnektor zwischen den Produkten zu erstellen, der in Kürze weltweit zugänglich gemacht werden wird. Trend Micro XDR erstellt auf Basis seiner nativen Telemetrie priorisierte Alarme und sendet diese an die SIEM/SOAR-Plattformen der Kunden, wo sie bei Bedarf Daten aus anderen Quellen integrieren können, um eine Bedrohungsreaktion zu optimieren.

Diese Integration ist nur der Anfang der gemeinsamen Partnerschaft und wird bald um weitere Funktionen in Trend Micro XDR erweitert, die über den Endpunkt hinausgehen und für mehr Transparenz und Sicherheit sorgen.

Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Schäden in Fertigungsnetzwerken durch moderne Ransomware

Originalbeitrag von Ryan Flores

Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe. Im dritten Quartal schienen die Angreifer bei ihren Ransomware-Attacken Unternehmen der Fertigungsindustrie besonders häufig ins Visier zu nehmen.

Die Daten aus Trend Micro™ Smart Protection Network™ zeigen, wie sich die Ransomware-Bedrohung auf verschiedene Branchen ausgewirkt hat.

Bild 1. Von Ransomware betroffene Branchen im 3. Quartal 2020 (Daten aus dem Smart Protection Network)

Fertigungsanlagen verwenden grosse Maschinen — Fliessbänder, Öfen, Motoren und dergleichen –, und der Technologiefortschritt sowie der Trend zu Industry 4.0 haben auch die Einführung von Computern in die Produktions- und Betriebsanlagen begünstigt. Die Industriemaschinen werden von Computern gesteuert oder überwacht, und diese sind ihrerseits mit anderen Computern und Netzwerken verbunden, um Daten weiterzuleiten.

Bild 2. Architektur eines Industrial Control Systems (ICS)

Auf Ebene 0 befinden sich die grossen Teile der Hardware. Um diese Maschinen zu steuern und zu überwachen, sind die Computer auf Ebene 2 notwendig. Die Computer für die Mensch-Maschine-Schnittstelle (HMI) und für die übergeordnete Steuerung und Datenerfassung (SCADA) ermöglichen den Bedienern die Übersicht und Kontrolle über die Industriemaschinen, während die Engineering-Arbeitsstation die Entwürfe, Konstruktionsunterlagen, Robotercodes, Programme und Konfigurationen enthält, die für die Erstellung des Endprodukts erforderlich sind.

Auf Ebene 3 gibt es häufig einen zentraler Dateiserver mit den Konstruktionsdateien und Produktdokumenten für den gemeinsamen Zugriff zwischen Engineering-Arbeitsplätzen sowie eine historische Datenbank, die Geräte, Leistungskennzahlen und Produktqualität vorhält. Was passiert aber, wenn ein Ransomware-Angriff in der Lage ist, in die Computer der Ebenen 2 und 3 einzudringen?

Verlust der Einsicht und Kontrolle

Moderne Ransomware ist nicht darauf ausgelegt, infizierte Computer herunterzufahren oder lahm zu legen. Die letzte Ransomware, die infizierte Computer effektiv stilllegte, war die 2017 und 2018 aktive Petya. Die Ransomware-Familien, die danach kamen, waren vorsichtiger bei der Dateiverschlüsselung  und schlossen Systemdateien und ausführbare Dateien gezielt aus, da diese vom Computer zum Booten und Betrieb benötigt werden. Alles andere ist verschlüsselt. Das bedeutet, dass es keine abrupte Abschaltung in der Fabrikhalle gäbe, wenn die Ransomware auf einen der Steuer- und Überwachungscomputer im Operational Technology (OT)-Netzwerk trifft.

Bild 3. Beispiel eines HMI

Als grafische Schnittstelle sind HMIs extrem abhängig von Bilddateien. Jeder in der HMI dargestellte Knopf, jeder Wert, jedes Logo, jede Leitung und jedes Ausrüstungsteil haben eine entsprechende Bilddatei irgendwo im Verzeichnis der HMI-Software. Darüber hinaus werden Konfigurationen, die Werte, Zuordnungen, Logik, Schwellenwerte und Lexika enthalten, in Textdateien zusammen mit den Bilddateien gespeichert. Bei einem Ransomware-Angriff auf eine HMI stellten die Sicherheitsforscher fest, dass 88% der verschlüsselten Dateien JPEG-, BMP- oder GIF-Dateien waren — die Bilder, die von der HMI zum Rendern der Schnittstelle verwendet wurden. Wären all diese Dateien verschlüsselt, würde die Wiederherstellung der betroffenen Systeme nicht nur eine Neuinstallation der ICS-Software erforderlich machen, zusätzlich müsste auch die benutzerdefinierte HMI- oder SCADA-Schnittstelle wiederhergestellt werden.

Ransomware muss nicht direkt auf die Prozesse der ICS-Software abzielen, um das ICS außer Gefecht zu setzen. Durch die Verschlüsselung der Dateien, von denen die HMI, SCADA oder Engineering Workstation (EWS) abhängt, kann Schadsoftware das System unbrauchbar machen. Die Folge wäre der Einsichts- und Kontrollverlust für den Bediener und letztlich ein Produktivitäts- und Umsatzverlust für die Fabrik.

Diebstahl von Betriebsinformationen

Netzwerk-Dateifreigaben (Network File Sharing, NFS) sind in Fertigungsumgebungen praktisch eine Notwendigkeit. Auf der betrieblichen Seite nutzen Ingenieure und Konstrukteure sie nicht nur als Mittel zum Austausch von Konstruktions- und Entwicklungsdokumenten, an denen sie arbeiten, sondern auch als Repository für Referenzdateien, Richtlinien, Stücklisten, Werkzeuge und Arbeitsabläufe.

Auf der geschäftlichen Seite setzen Manager und Mitarbeiter auf Netzwerkfreigaben, um Informationen über Verkäufer, Lieferanten, Bestellungen, Rechnungen und Ähnliches zu speichern. Ein dediziertes Lieferketten-Management (SCM)- und/oder Produktlebenszyklus-Management (PLM)-System und die damit verbundenen Datenbanken sind sogar auf Ebene 4 oder 5 zu finden.

Obwohl ein Ransomware-Angriff, der diese Dateispeicher und Datenbanken betrifft, nicht notwendigerweise die Produktionslinie unterbrechen würde, beeinträchtigt dennoch den Geschäftsbetrieb, das Lieferkettenmanagement sowie die Produktentwicklung und das Produktdesign. Dies sind jedoch nur die kurzfristigen Folgen. Moderne Ransomware-Operationen beinhalten auch Datendiebstahl, der dauerhafte Schäden hinterlässt.

Seit der Maze-Ransomware ist es fast schon Standardpraktik der Hintermänner, mithilfe handelsüblicher Dateisicherungswerkzeuge Daten von ihren Opfern zu stehlen. Ursprünglich sollte damit der Druck auf das Opfer erhöht werden, da das Datenleck eine zusätzliche Erpressungsdrohung ermöglicht. Es werden jedoch auch Daten von Ransomware-Opfern im Untergrund verkauft. Dies ist besonders unerfreulich für Unternehmen, da Design- und Konstruktionsdokumente häufig geistiges Eigentum enthalten. Darüber hinaus könnten Informationen über Lieferanten und Zulieferer vertrauliche Lieferkettendaten wie Preis- und Bestellinformationen umfassen.

Fertigungsunternehmen sollten diese Möglichkeiten in Betracht ziehen, falls sie mit einem Ransomware-Vorfall konfrontiert werden. Sobald der Produktions- und Geschäftsbetrieb wiederhergestellt ist, muss eine Bewertung der gestohlenen Daten vorgenommen werden. Danach sollten sie sich die schmerzhafte Frage stellen: Wenn die Daten bekannt oder verkauft werden, welche Auswirkungen hätte dies auf die Produktion, die Geschäftsbeziehungen und die Kunden? Die Antworten darauf müssen die nachfolgenden Aktionen bestimmen und so eine effektivere Reaktionsstrategie ermöglichen.

Post-Intrusion Ransomware

Im Laufe der Jahre gab es einen erheblichen Rückgang von Ransomware-Zwischenfällen, die als E-Mail-Anhänge kamen oder über bösartige Websites installiert wurden. Glaubt man den Schlagzeilen, so sieht es aus, als hätte die Verbreitung von Ransomware überhaupt nicht abgenommen.

Bild 4. Von Trend Micro als Mail-Anhang oder bösartige Website entdeckte Ransomware

Dieser Eindruck liegt daran, dass die Ransomware-Akteure in den letzten Jahren bei  der Wahl ihrer Ziele selektiver geworden sind. Sie kommen von den en masse verbreiteten Spam-Kampagnen mit Ransomware ab und wählen einen restriktiveren Ansatz, der als „Grosswildjagd“ bezeichnet werden kann. Es geht ihnen nicht mehr um Haushalts-Desktops („Kleinwild“), sondern eher um mittlere bis grosse Unternehmen („Grosswild“). Der Grund für diese Interessensverschiebung liegt darin, dass sie hier höhere Profite pro Ansteckung erwarten.

Die Grosswildjagd ist komplizierter und erfordert mehr Zeit zum Beobachten, Aufspüren und Anpirschen an die Beute. Aus diesem Grund werden die meisten Ransomware-Familien, die grosse Industriezweige (wie die verarbeitende Industrie) angreifen, als „Post-Intrusion Ransomware“ bezeichnet. Die Angreifer verschaffen sich bereits vor der Installation der Ransomware auf anderem Wege Zugang zum Netzwerk.

Bild 5. Verbreitung verschiedener Ransomware-Familien in Fertigungsnetzwerken im 3. Quartal 2020

Die meisten verschiedenen Ransomware-Familien, die im 3. Quartal 2020 die Fertigungsindustrie anvisierten, gehören zur Post-Intrusion-Ransomware. Sodinokibi, die Ransomware, die für die meisten Produktionsnetzwerke im 3. Quartal verantwortlich war, wird installiert, nachdem Angreifer Zugang zu anfälligen Oracle WebLogic-Servern erlangt haben. Gandcrab wird normalerweise installiert, nachdem Angreifer anfällige öffentlich zugängliche MySQL-Server ausgenutzt haben. Die Ryuk-Ransomware wird installiert, nachdem Emotet-Malware bereits in Netzwerken Fuss gefasst hat. Angreifer, die Sodinokibi, Medusalocker, Crysis und eine Reihe anderer Ransomware installieren, sind dafür bekannt, dass sie schwache RDP-Zugangsdaten missbrauchen.

Ein Ransomware-Vorfall ist kein einzelnes Ereignis. Er legt mehrere Sicherheitsprobleme offen, die es den Angreifern ermöglichen, Zugang zu einem Netzwerk zu erlangen, sich lateral zu bewegen und die Schlüssel-Assets für ihre Lösegeldforderung zu identifizieren.

Sowohl die jüngsten Daten zur Fertigungsindustrie als auch das Muster der Ransomware in ICS-Systemen deuten darauf hin, dass es möglicherweise Löcher in der entmilitarisierten Zone (DMZ) und der Netzwerksegmentierung gibt und eine Kompromittierung aus dem IT-Netz in das OT-Netz gelangen kann. Ein weiteres mögliches Problem besteht darin, dass es Fernzugriffsverbindungen direkt in das OT-Netzwerk gibt, die schwach oder bei den Schutzmassnahmen nicht berücksichtigt sind. Eine echte Wiederherstellung darum erst, wenn die Sicherheitsschwachstellen, die die Ransomware-Infektion überhaupt erst ermöglicht haben, behoben sind.

Sicherheit für Fertigungsnetzwerke

Während der letzten paar Jahre hat sich gezeigt, dass Fertigungsnetzwerke genauso einfach zu kompromittieren sind wie jedes andere Netzwerk einer anderen Branche. Selbst mit der spezialisierten Ausrüstung, Software sowie Protokoll- und Netzwerksegmentierung gelingt es Angreifern routinemässig ICS-Systeme zu erpressen.

Bewährte Standard-Sicherheitspraktiken und -lösungen funktionieren, aber sie müssen in einer Weise eingesetzt werden, die genau auf die Produktionsumgebung abgestimmt ist. Abgesehen von den Standardfähigkeiten von Sicherheitslösungen sind die folgenden zusätzlichen Anforderungen vorhanden, die Sicherheitsbeauftragte in der Fertigungsindustrie bei der Bewertung von Sicherheitslösungen beachten müssen:

  • Niedrige Latenzzeit. Die Lösungen sollten zeitempfindliche Produktionsprozesse nicht beeinträchtigen.
  • Protokolle, die mit OT-Protokollen im Feld vertraut sind. Sicherheitsprodukte sollten den Verkehr von und zu ICS-Systemen einwandfrei identifizieren und überwachen.
  • Integrierte Überwachung und Erkennung in IT- und OT-Netzwerken. Sicherheitsstrategien brauchen Produkte, die zusammenarbeiten und Daten zwischen Netzwerksegmenten austauschen können, um so die Benutzerfreundlichkeit zu erhöhen und die Überwachung und Reaktion zu vereinfachen.

Weitere Sicherheitslösungen für die Fertigungsindustrie bietet Trend Micro.

Sicherheit für IoT Apps

von Trend Micro

Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer grösseren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.

Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schliesslich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.

Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.

Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)

Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:

  • Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
  • Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
  • Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
  • Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmässig aktualisiert und gepatcht werden müssen.
  • Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
  • Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.

Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmassnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.

Schutz vor den Bedrohungen

Mit dem zunehmenden Einsatz von Geräten  gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Massnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:

  • Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
  • Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermässig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
  • Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
  • Das Betriebssystem von Anwendungen und Geräten regelmässig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmässig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schliessen.
  • Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmässig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Massnahme. Auf diese Weise können Administratoren den regelmässigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmässigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmassnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
  • Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
  • Ändern aller standardmässigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
  • Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.

Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.

Detection & Response gegen Viren in Einrichtungen des Gesundheitswesens

Von Richard Werner, Business Consultant bei Trend Micro

Kürzlich schreckte wieder eine Meldung zu einer Reihe möglicherweise koordinierter Ransomware-Angriffe auf Hunderte von Krankenhäusern, medizinischen Einrichtungen und Kliniken in den USA die Öffentlichkeit auf. Immer wieder gibt es dergleichen Erpressungsangriffe, auch in Europa und Deutschland. Berichte zum aktuellen Fall legen nahe, dass der Angriff mit der Ryuk Ransomware erfolgte, die auch TrickBot oder Emotet Trojaner nutzt und diese über Phishing-Mails verbreitet, um dann im Netzwerk Fuss fassen zu können. Trend Micro hat TrickBot in diesem Jahr bereits einige Male in medizinischen Einrichtungen erkannt und geblockt. Es gibt auch Anleitungen zu weiteren konkreten Schritten als Verteidigung gegen die Ransomware. Darüber hinaus jedoch müssen Krankenhäuser und medizinische Einrichtungen eine generelle Sicherheitsstrategie definieren, um Angriffe zu verhindern, aber auch um entsprechend schnell und effizient darauf reagieren zu können.

Einrichtungen im Gesundheitswesen setzen zunehmend auf Digitalisierung und Vernetzung, um ihre Abläufe zu optimieren und die Versorgung der Patienten zu verbessern. Im Rahmen eines Symposium des BSI und der Uniklinik Bonn warnte Arne Schönbohm, Präsident des BSI: „Digitalisierung geht nicht ohne Informationssicherheit. Corona und der damit verbundene Digitalisierungsschub haben uns vor Augen geführt, wie wichtig eine funktionierende und sichere IT ist.“ Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt, so der Präsident weiter. Die Kliniken tragen deshalb eine besondere Verantwortung für ihre IT-Netzwerke.“

Die Bedrohung

Die Sicherheitsforscher von Trend Micro untersuchten die Bedrohungen für Krankenhäuser und machten drei Bereiche aus, in denen das Risiko, von Cyberkriminellen angegriffen zu werden, sehr hoch ist.

  • Krankenhausbetrieb — Dazu gehören Cyberbedrohungen für täglich verwendete kritische Systeme, wie etwa Mitarbeiterplanungsdatenbanken, Paging-Systeme, Gebäudekontrollsysteme, Inventur-, Gehalts- und Administrationssysteme etc.
  • Vertraulichkeit der Daten —Das sind verschiedene Datentypen wie persönlich identifizierbare Informationen (PII), sowohl von Patienten als auch Angestellten, einschliesslich Diagnose- und Behandlungsdaten, Versicherungs- und finanzielle Informationen, Forschung und Daten von Arzneimitteltests; Gehaltsinformationen, geistiges Eigentum und andere.
  • Gesundheit der Patienten — Dazu gehören Cyberbedrohungen für medizinische Geräte und Systeme, die bei der Behandlung, fürs Monitoring und die Diagnose genutzt werden, aber auch Bedrohungen für Informationssysteme des Krankenhauses.

Es gibt drei potenzielle Gefahren: Manipulation von Geräten, Angriffe auf medizinische Einrichtungen sowie Erpressung von Patienten und Krankenhäusern. Weltweit sind etwa 24,3 Millionen Datensätze von Patienten frei im Internet zugänglich. Die Bedrohung durch Daten-Leaks mit der Offenlegung von Patientendatensätzen im Internet habe eine „neue Qualität“ erreicht, warnt das BSI in seinem Jahresbericht 2020.

Bei dem Symposium zur Sicherheit von Krankeneinrichtungen mahnte Prof. Wolfgang Holzgreve, Ärztlicher Direktor und Vorstandsvorsitzender des UKB: „Die virtuelle und die reelle Welt haben eines gemeinsam – gegen Viren hilft schliesslich nur Prävention.“ Diese Aussage lässt sich als medizinischer Laie relativieren: Prävention ist nicht das Einzige, was hilft, aber eine vernünftige Prävention ist der mit Abstand einfachste und effizienteste Weg mit einer Virusinfektion umzugehen. Das zeigt die aktuelle Pandemie gerade sehr deutlich. Der Zweck jeder Prävention ist es deshalb die Anzahl der Betroffenen so niedrig wie möglich zu halten um im Ernstfall schnell und effizient zu agieren.

Prävention ist nicht alles

Dies gilt für die „virtuelle“ IT Welt genauso. Präventive Vorgehensweisen sorgen dafür, dass möglichst viele Problemherde im Vorfeld erkannt und „gelöscht“ werden können. Dennoch ist es unmöglich, auf alles vorbereitet zu sein, und es ist eher eine Frage der Statistik, wann und in welchem Ausmass eine Infektion stattfindet. In einem solchen Fall ist es wichtig, alle betroffenen Systeme so schnell wie möglich zu entdecken (Track & Trace) und von „gesunden“ Systemen zu isolieren, um eine laterale Bewegung (Super Spreader) zu unterbinden. Diese Strategie in Verbindung mit entsprechender Technologie nennt sich Detection & Response und muss über alle möglichen Eintritts- und Verbreitungspunkte angewendet werden – so genanntes „Cross Layer Detection & Response“ oder XDR.

Sobald das Problem eingedämmt ist, erfolgt eine Analyse, um die betroffenen Systeme so schnell wie möglich wiederherzustellen. Nach Abschluss aller Massnahmen und Untersuchungen wird dann auch die Prävention angepasst oder — um die Analogie zur Epidemie wieder herzustellen – Gegenmittel entwickelt, also „digitale Impfungen“, die eine weitere Ausbreitung nicht nur im eigenen Netz sondern weltweit unterbinden können, vorausgesetzt natürlich, dass die dort zuständigen Verantwortlichen diese digitalen Schutzmassahmen auch einsetzen.

Diese Prozesse lassen sich weitestgehend automatisieren. So können digitale Impfungen innerhalb von Minuten in einem Netzwerk erzeugt und verteilt und innerhalb von Stunden herstellerübergreifend global ausgerollt werden — selbst bei vollkommen unbekannten Angriffsmustern.

Fazit

Das ist der Grund, warum es in der IT Welt eben keine grossen Massenangriffe über eine Malware mehr gibt, sondern jeweils einzelne Aktionen oder Kampagnen mit sehr individuell angepassten Methoden für die Kompromittierung. Deshalb wird die Forderung immer dringlicher, die eigene Umgebung durch Detection & Resonse in die Lage zu versetzen, solche Angriffe zu erkennen.

Zur Prävention gehört es des Weiteren auch, sich darauf vorzubereiten, nicht vorbereitet zu sein. Diese völlig legitime Fragestellung beinhaltet im Ernstfall, auf Experten zurückzugreifen und sich beraten zu lassen. Diese Vorgehensweise ist in modernen XDR-Konzepten ebenso umsetzbar und auf die individuellen Bedürfnisse einer Unternehmung anpassbar, wie auch die technischen Lösungen selbst.

Empfehlungen für Schritte für den Schutz vor der aktuellen Bedrohung durch die aktuelle Ransomware:

  • Sicherstellen, dass alle Domain Controller den Patch gegen die Zerologon-Schwachstelle enthalten. Angreifer nutzen die Lücke, um sich einen Zugang auf Domänenebene zu verschaffen.
  • Neue Ryuk-Updates zeigen, dass die Schadsoftware versucht, Dateien über administrative Windows-Freigaben zu verschlüsseln. Deshalb sollten diese entweder vollständig deaktiviert oder der Zugang über die Firewalls geblockt werden.
  • Deaktivieren der Powershell über Group Policy, weil das Tools häufig in Angriffen auf das Netzwerk genutzt wird.
  • Regelmässige Backups aller Daten erstellen und mit einem Passwort und Air Gap die Kopien offline schützen.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Neue Tricks der mobilen Joker-Malware: Github verbirgt die Payload

Originalartikel von Zhengyu Dong, Mobile Threats Analyst

Die Sicherheitsforscher von Trend Micro entdeckten kürzlich eine neue Version der persistenten mobilen Malware Joker. Das Sample in Google Play nutzte Github-Seiten und -Repositories, um der Entdeckung zu entgehen. Joker ist für eine ganze Reihe bösartiger Aktivitäten verantwortlich, angefangen vom ungewünschten Anmelden von Nutzern bei Bezahldiensten und Kompromittieren von SMS-Nachrichten bis zum Diebstahl von Kontakten.

Joker sucht seit seiner Entdeckung 2017 immer wieder mobile Nutzer heim. Im Januar 2020 entfernte Google 1700 infizierte Anwendungen aus dem Play Store. Und im September fand der Sicherheitsanbieter Zscaler 17 Samples, die in den Store hochgeladen worden waren.

Die Autoren der Malware haben ständig kleine Änderungen vorgenommen, um Schlupflöcher in Googles Verteidigung zu finden. Zu den früher ausprobierten Techniken gehört Verschlüsselung, um Strings vor den Analyse-Engines zu verstecken sowie „Versionierung“, das heisst das Hochladen einer sauberen Version der App, um dann bösartigen Code über Updates hinzuzufügen. Die neueste Technik nutzt Gibhub-Seiten und -Repositories, um der Entdeckung zu entgehen.

Die analysierte App verspricht Hintergrundmuster in HD- und 4K-Qualität. Sie wurde über tausendmal heruntergeladen, und Google hat sie mittlerweile aus dem Play Store entfernt.

Bild. Wallpaper-App, die die Joker-Malware ablegt.

Es ist die Version, die als neue Technik Github missbraucht, um die bösartige Payload zu speichern, im Gegensatz zu früher, als die Payload über eingefügten Code ausgeliefert wurde. Die Github-Seiten und –Repositories in Verbindung zur Malware sind alle abgeschaltet worden.

Eine ausführliche technische Analyse der neuen Joker-Version und des Infektionsablaufs liefert der Originalbeitrag.

Pwn2Own Tokio: Drei Tage erfolgreichen Hackings

Originalbeitrag von Dustin Childs

Der Sieger und Master des Pwn2Own Tokio Hacking-Wettbewerbs steht nun fest. Bereits zum zweiten Mal in diesem von COVID-19 bestimmten Jahr waren es ZDI-Schwachstellenforscher, die drei Tage lang auf Anweisungen der über Online-Plattformen zugeschalteten Teilnehmer virtuell die Hacking-Versuche vorführten. Insgesamt gab es 136.500$ Preisgeld für den erfolgreichen „Missbrauch“ 23 einzigartiger Bugs für sechs unterschiedliche Geräte. Gewinner des Wettbewerbs und neuer „Master of Pwn“ ist das Team Flashback gefolgt von DEVCORE.

Flashback, auch bekannt als Pedro Ribeiro (@pedrib1337) und Radek Domanski (@RabbitPro) hatten mit zwei verschiedenen Hacking-Versuchen Erfolg und erhielten dafür insgesamt 40.000$: Sie nahmen zuerst die WAN-Schnittstelle des Netgear Nighthawk R7800 Router ins Visier und verwendeten eine aus zwei Bugs bestehende Verbindung, um den Router zu kompromittieren und einen Backdoor dort abzulegen, der auch einem Fabriks-Reset widerstand. Beim zweiten Mal kompromittierten sie die WAN-Schnittstelle auf einem drahtlosen Router mithilfe von drei Bugs. Als Folge konnten sie beliebigen Code auf dem TP-Link AC1750 Smart WLAN-Router ausführen.

Die Zweitplatzierten, DEVCORE, nahmen sich das Synology DiskStation DS418Play NAS vor. Der erste Einbruchsversuch misslang, doch dann erlangten sie über einen Heap Overflow Root-Zugang zum Server. Am nächsten Tag konnten sie erfolgreich ihre Fehlerkombination zur Codeausführung auf einem Western Digital My Cloud Pro Series PR4100 NAS zeigen. Insgesamt erhielten sie 37.500$ für ihre Vorführungen.

Die endgültige Rangliste der Teilnehmer sieht folgendermassen aus:

Wie nach jedem Pwn2Own-Wettbewerb erhielten die Anbieter die Einzelheiten zu den Schwachstellen und haben nun 120 Tage Zeit, Sicherheits-Patches dafür zu erstellen.

Weitere Einzelheiten zu den Ereignissen der drei Tage finden Interessierte im ZDI-Blog.