Schlagwort-Archive: Bedrohung

Pwn2Own Tokio im Herbst – diesmal live aus Toronto

Originalbeitrag von Brian Gorenc

Während der letzten Jahre fand die Herbstveranstaltung des Pwn2Own-Wettbewerbs immer im Rahmen der PacSec Applied Security Conference in Tokio statt. Da in diesem Jahr die Konferenz nur virtuell abgehalten wird, musste auch die ZDI einen Weg finden, die Pwn2Own wie schon im Frühjahr in den virtuellen Raum zu verschieben. Das Problem dabei bestand darin, dass sich die Herbstveranstaltung auf Geräte wie Mobiltelefone, Fernseher, smarte Lautsprecher und drahtlose Router konzentriert – also physische Geräte, deren Hacking virtuell schwierig ist. Dennoch gelang es den Mitarbeitern der ZDI, ein perfektes Setting für den Wettbewerb aufzustellen, sodass das Event vom 3. – 5. November live aus Toronto kommt und zwar gleichzeitig mit der virtuellen PacSec-Konferenz (1. – 6. November). Als Hacking-Ziele stehen 20 Geräte zur Verfügung und mehr als 500.000 US-Dollar als Preisgeld.

Wie schon bei der Frühjahrsveranstaltung des Pwn2Own ist die Remote-Teilnahme wieder möglich, wenn Teilnehmer Reiserestriktionen unterworfen sind, oder Sicherheitsgründe die Präsenz verhindern. Diese Teilnehmer müssen sich trotzdem bis zum 29. Oktober registrieren und ein ausführliches Whitepaper einreichen, in dem sie den kompletten Exploit-Ablauf erklären und Anleitungen für die Ausführung geben. Ein Mitarbeiter der ZDI wird den Exploit durchführen, der gefilmt wird und dem Teilnehmer sowie dem Anbieter zur Verfügung steht. Auf Wunsch arbeitet der ZDI-Mitarbeiter mit Remote-Teilnehmern zusammen, um den Hacking-Versuch in Echtzeit per Telefonanruf oder Videochat zu überwachen. Es gilt zu beachten, dass Änderungen an Exploits/Skripts/etc. nicht möglich sind, was die Gewinnchancen im Falle eines unerwarteten Ereignisses verringern könnte. Ansonsten läuft der Wettbewerb so ab, als ob er in Tokio stattfinden würde. Wer Fragen dazu hat, kann über zdi@trendmicro.com Kontakt aufnehmen.

Facebook kehrt als Partner für die diesjährige Veranstaltung zurück und bietet erneut Oculus Quest und Portal von Facebook-Geräten als Ziele an. Niemand hatte die Geräte während ihrer Eröffnungsshow ins Visier genommen, daher wird es interessant sein zu sehen, ob sich das diesmal ändert. Die Teilnahme von Anbietern bleibt eine Schlüsselkomponente für den Erfolg dieser Wettbewerbe. Wie auch bei den anderen Pwn2Own-Wettbewerben versucht Pwn2Own Tokyo (Live aus Toronto), diese verbraucherorientierten Geräte und ihre Betriebssysteme zu härten, indem Schwachstellen aufgedeckt werden, die dann den Herstellern zur Kenntnis gebracht werden. Wie immer ist es das Ziel, diese Fehler zu beheben, bevor sie aktiv ausgenutzt werden.

Zu den angebotenen Hacking-Zielen gehören unter anderem Mobiltelefone (Google Pixel 4, Samsung Galaxy S20, Apple iPhone 11, Huawei P40 sowie Xiaomi Mi 10), Wearables, drahtlose Router und Fernseher. In diesem Jahr sind Network Attached Storage (NAS)-Server hinzugekommen. Die komplette Liste der Geräte beinhaltet der Originalbeitrag. Der Wettbewerb wird wieder in verschiedenen Kategorien ausgetragen, und es wird auch wieder einen Master of Pwn geben. Alle Einzelheiten zum Pwn2Own Tokyo 2020 liefert die ZDI.

Das Rennen: Hase und Igel in der IT-Security

Von Richard Werner, Business Consultant bei Trend Micro

Quelle: Wikimedia Commons

Jeder kennt die alte Fabel von den Gebrüdern Grimm. Der Wettlauf zwischen Hase und Igel spielte sich angeblich in Buxtehude ab, in der auch obige schöne Skulptur steht, und die Realität in der IT-Security erinnert stark an diesen ungleichen, ja betrügerischen Wettlauf.

Alle Unternehmen haben bereits in Sicherheitsmassnahmen investiert, ihre Mitarbeiter trainiert und Prozesse optimiert. Dennoch gibt es immer wieder mehr oder weniger ernste Zwischenfälle. Die Lage wird auch dadurch erschwert, dass die IT selbst und mit ihr die Security ständig mit Neuerungen konfrontiert ist, wie z.B. Cloud-Computing und IoT (Internet of Things), oder es werden einfach nur Verfahren optimiert, beispielsweise mit Hilfe von künstlicher Intelligenz. Das bedeutet, alles ist ständig in Bewegung oder mit den Worten des BSI: „Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.“

Die Gegner in diesem Rennen um IT-Sicherheit sind nicht so sehr andere Firmen sondern vielmehr Leute, sprich Hacker, Cyberkriminelle oder andere Betrüger, die Firmen/Sicherheitsanbieter dazu zwingen, immer schneller zu werden. Diese Personengruppe misst sich nicht im fairen Wettkampf sondern versucht, die Sicherheit der Systeme mit unlauteren Mittel zu verletzen.

Merke: Wir befinden uns in einem Rennen!

Rollenverteilung

Der Tenor der Fabel selbst ist so gesetzt, dass der Leser sich mit dem vermeintlich schwächeren „klugen“ Igel und nicht mit dem „dummen, arroganten“ Hasen identifiziert. Lässt man allerdings die Attribute weg, so ist es eine Erzählung über einen Hasen, der mit Hilfe von übelstem Betrug gehetzt wird und den Wettlauf deshalb nicht gewinnen kann. Diese Beschreibung trifft auch auf die IT Security, also die Verteidigung der IT zu. Alle Anstrengungen führen letztlich dazu, dass wir, die Hasen, bestenfalls nicht verlieren. Gewinnen können wir jedoch nie. Denn das Gegenüber spielt nie fair, und es sind Betrüger im wahrsten Sinne des Wortes.

Merke: Unsere Rolle ist die des Hasen!

Wege aus der Situation

Bei Betrachtung der Situation aus Sicht des Hasen fällt eines auf. Der Hase stellt sich nie die Frage, wie es sein kann, dass ihn der Igel immer wieder besiegt, ohne ihn je zu überholen. Weil der geneigte Leser die Fabel kennt, weiss er auch, was dem Hasen geholfen hätte. Und vielleicht lassen sich diese Ideen auf reale Situation projizieren.

  1. Die erste Option wäre gewesen, ein neues Ziel zu definieren. Der Grund, warum der Igel gewinnen konnte, lag darin, dass der Hase immer zwischen Start und Ziel hin und her lief und damit den Betrug erst ermöglichte. Hätte der Hase nur einmal auf einem anderen Ziel bestanden, wäre der Wettlauf vorbei gewesen. Analog dazu: Auf die Frage, welches die Aufgabe der IT-Security im Unternehmen ist, kommt zumeist die Antwort, „das Unternehmen schützen“. Dies ist das Ziel, dem wir hinterher laufen und bei dem uns der Igel regelmässig sein berühmtes „Ich bin schon da“ entgegenruft. Die Frage ist, ob sich dieses Ziel ändern lässt. Hier ein Vorschlag: Das Ziel wäre, einen erfolgreichen Angriff rechtzeitig zu erkennen. Damit ist er wohlgemerkt nicht verhindert worden. Aber das betroffene Unternehmen hat dann die Möglichkeit, Gegenmassnahmen zu ergreifen, um Schaden abzuwenden. In der IT-Security sind solche Massnahmen unter dem Schlagwort Detection & Response bekannt.
  2. Die zweite Option für den Hasen wäre gewesen, dem Igel einen Vorsprung zu geben. Ihm sozusagen bis zum Ziel hinterher zu laufen, um zu sehen, wie er vorgeht. In diesem Fall hätte der Hase den ganzen Betrug aufdecken und auch die Betrüger entlarven können. Zudem wäre es der Igel gewesen, der plötzlich seine Ressourcen hätte einsetzen müssen. Auch dieses Verfahren kennt die IT-Security. Hier kommen ebenfalls Technologien aus dem Bereich Detection & Response zum Einsatz, mit deren Hilfe ein Angreifer verfolgt werden kann. Die „Gejagten“ versuchen, die Ziele der Angreifer und damit auch Hintergründe zu erforschen, um ggf. auch rechtliche Schritte gegen den/die menschlichen Täter einzuleiten. Das Verfahren birgt allerdings auch jede Menge Risiken und sollte deswegen nur durch Spezialisten und in Zusammenarbeit mit Strafverfolgungsbehörden durchgeführt werden.

Merke: Nur eine geänderte Vorgehensweise ändert auch die Situation.

Umdenken in der IT-Security

Bezüglich der reinen Schutzfunktionen sind die Grenzen in einigermassen gepflegten IT-Umgebungen längst erreicht. Unabhängig davon, ob ein Unternehmen die Security Tools eines oder mehrerer Hersteller für seine Sicherheit einsetzt, lässt sich lediglich ein Schutzniveau unter 100% erreichen. Dabei funktionieren die allermeisten IT Security-Umgebungen wesentlich besser als ihr Ruf. Der Grund, warum es dennoch immer wieder zu erfolgreichen Angriffen kommt und diese in den letzten Jahren sogar zugenommen haben, liegt vor allem darin, dass auch die Igel – pardon Angreifer — aufgerüstet haben. Attacken wie die der Kategorie Emotet verwenden mehrfache fortschrittliche Methoden um ihre Opfer zu kriegen. Hinzu kommt, dass Angriffsmethoden häufig nicht mehr allein von „gewöhnlichen“ Cyberkriminellen erdacht werden, sondern staatliche Institutionen viel Geld investieren, um solche Konzepte zu entwickeln. So lässt sich auch die heutige Emotet-Welle technisch wie auch methodisch auf das Vorgehen der angeblich staatlichen Malware-Varianten Wannacry und NotPetya zurückführen, deren „Vorfahren“ ihrerseits aus dem Leak technischer Informationen der NSA durch eine ominöse Hackergruppe namens Shadow Broker entstammen.

Die Lehre

Die Wahrscheinlichkeit, trotz guter Gegenmassnahmen infiziert zu werden, ist deshalb hoch. Hier ist es dringend geraten, anders als der Hase in der Fabel, die eigenen Ziele zu überdenken. Niemand bestreitet, dass Schutz wichtig ist. Aber das umfassende Erkennen von erfolgreichen Angriffen sowie die Möglichkeit, koordinierte Gegenmassnahmen mit oder ohne Beobachtung des Gegners zu treffen, werden immer essentieller. Es ist deshalb zunehmend wichtiger, Schutzmassnahmen mit Detection & Response-Methoden zu ergänzen. Je umfangreicher Sensoren ein Netzwerk durchleuchten können, desto genauer erkennen sie Methodik und Verbreitung (Detection), und können dadurch umso effektiver gegen die Bedrohung agieren (Response).

Trend Micro bietet daher seinen Kunden XDR an, das neben Standardvorgehen wie „Endpoint Detection und Response“ (EDR) auch die fortschrittliche Koordination von Verteidigungswerkzeugen auf anderen Ebenen eines Unternehmensnetzwerks wie Email, Server oder Cloud-basierte Workloads anbietet. Zusätzlich stellt Trend Micro auch Spezialisten zur Verfügung, die bei der Beurteilung und Auswertung von Erkenntnissen unterstützen können.

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

Sicherheitstraining auf Mitarbeiterpersönlichkeiten abstimmen

Originalartikel von Bharat Mistry

Nachdem in den letzten Monaten der Lockdown wegen der Corona-Pandemie Unternehmen gezwungen hatte, ihre Mitarbeiter ins Home Office zu schicken, könnte für viele diese Regelung permanent gelten und das verteilte Arbeiten zur Norm werden. Angestellte werden oft als schwächstes Glied in der Sicherheitskette eines Unternehmens bezeichnet, sie könnten also zu einer noch grösseren Belastung werden, wenn sie von zu Hause aus arbeiten. Eine neue Studie von Trend Micro stellt bedauerlicherweise fest, dass viele Mitarbeiter, obwohl während des Lockdowns sicherheitsbewusster geworden, schlechte Gewohnheiten beibehalten haben. CISOs, die die Schulung des Benutzerbewusstseins intensivieren wollen, können bessere Ergebnisse erzielen, wenn sie versuchen, ihre Strategien auf die jeweiligen Benutzer-Persönlichkeiten abzustimmen.

Ergebnisse der Studie

Für die Studie „Head in the Clouds“ wurden 13.200 Remote Worker in 27 Ländern befragt. Es zeigt sich, dass 72% die Cybersicherheits-Richtlinien ihrer Organisation seit dem Lockdown bewusster wahrnehmen. 85% geben an, die IT-Anweisungen ernst zu nehmen, und 81% sind der Ansicht, dass Cybersicherheit teilweise in ihrer Verantwortung liegt. Fast zwei Drittel (64%) geben sogar zu, dass die Verwendung von Anwendungen, die nicht für den Arbeitsplatz bestimmt sind, auf einem Firmengerät ein Risiko darstellt.

Doch trotz dieser Erfahrungen aufgrund des Lockdowns befassen sich viele Mitarbeiter mehr mit der Produktivität. Mehr als die Hälfte der Befragten (56%) gibt zu, eine arbeitsfremde App auf einem Firmengerät zu verwenden, und 66% haben Firmendaten auf dieses Gerät hochgeladen. 39% der Umfrageteilnehmer greifen „oft“ oder „immer“ von einem persönlichen Gerät auf Firmendaten zu, und 29% sind der Meinung, dass sie problemlos eine firmenfremde App nutzen können, da IT-gestützte Lösungen „Nonsens“ sind.

Vier Sicherheitspersönlichkeiten

In einem zweiten Teil der Untersuchung werden die vier verschiedenen Mitarbeiterpersönlichkeiten bezüglich deren Sicherheitsverhalten dargestellt. Mit diesem Teil hatte Trend Micro Dr Linda Kaye, Cyberpsychology Academic an der Edge Hill University beauftragt. Sie unterteilt die Persönlichkeiten in vier Kategorien: ängstlich, gewissenhaft, ignorant und tollkühn.

Ängstliche Mitarbeiter können von Schulungs- und Simulationswerkzeugen profitieren sowie von Echtzeit-Feedback über Sicherheitskontrollen und Mentoring.

Gewissenhafte Mitarbeiter brauchen nur sehr wenig Schulung, können aber als Vorbild für gutes Verhalten dienen und zur Zusammenarbeit mit „Kumpels“ aus den anderen Gruppen gut eingesetzt werden.

Ignorante Nutzer benötigen Spieltechniken und Simulationsübungen, um sie in der Ausbildung zu halten, und können auch zusätzliches Eingreifen erfordern, damit sie die Folgen riskanten Verhaltens wirklich verstehen.

Tollkühne Mitarbeiter stellen vielleicht die grösste Herausforderung dar, denn ihr Fehlverhalten ist nicht das Ergebnis von Unwissenheit, sondern einer wahrgenommenen Überlegenheit gegenüber anderen. Möglicherweise müssen Organisationen Prämienregelungen einsetzen, um die Einhaltung der Vorschriften zu fördern, und unter extremen Umständen DLP- und Sicherheitskontrollen verstärken, um ihr risikoreiches Verhalten zu entschärfen.

Wenn Sicherheitsmanager verstehen, dass kein Mitarbeiter dem anderen gleicht, können sie ihren Ansatz nuancierter gestalten. Die Aufteilung des Mitarbeiterstabs in vier Lager sollte eine persönlichere Herangehensweise gewährleisten als die Einheitsschulungen, die die meisten Organisationen heute durchführen. Die Mitarbeiter können die Vorteile von Schulungs- und Simulationsplattformen geniessen, wie Phish Insight von Trend Micro mit seiner vielfältigen Bibliothek von Schulungsinhalten, die auf die unterschiedlichen Unternehmenskulturen, Qualifikationsniveaus und Rollen der Mitarbeiter zugeschnitten sind.

Ähnliche Artikel:

  1. IoT-Sicherheit eine riskante „Nebensache“
  2. Top 12 der Bedrohungen im nächsten Jahr
  3. Trend Micro-Studie: Es fehlt noch an Bewusstsein für IoT-Sicherheit
  4. Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 1
  5. Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2

Sicherheit für die digitale Transformation – Suite vs. Punktlösungen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Die digitale Transformation hat durch die Corona-Pandemie an Schwung gewonnen. Die jeweiligen Projekte sind wichtiger denn je, um mehr Effizienz zu erlangen, Kosten sparen zu können und die Geschäftsagilität zu erhöhen. Sicherheit bleibt aber für viele Organisationen ein großer Stolperstein, weshalb es von entscheidender Bedeutung ist, neue Sichtweisen darüber zu gewinnen, wie der Schutz von Anfang an in Pläne eingearbeitet werden sollte. Wo sind die Sichtbarkeits- und Kontrolllücken beim Schutz hybrider Cloud-Workloads? Hat Kompetenzmangel Fehler in der Cloud-Konfiguration wahrscheinlicher gemacht? Und wie sieht Cloud-Sicherheit aus, wenn Unternehmen in eine neue Normalität eintreten? In von Unsicherheit geprägten Zeiten haben die Experten Antworten gegeben, die CISOs benötigen, um besser informierte strategische Entscheidungen treffen zu können. Trend Micros virtuelle Veranstaltung „Perspectives“ wartete mit hochkarätigen Vorträgen auf, unter anderem von Trend Micro CEO Eva Chen, VP of Security Research, Rik Ferguson, AWS Principal Security Architect, Merritt Baer oder IDC VP, Frank Dickson.

Sehr aufschlussreich waren zudem die Antworten, die von den mehr als 5000 weltweiten Teilnehmern zu zwei Schlüsselfragen zur eigenen Strategie und der digitalen Transformation kamen.

Erstens: Wie sieht Ihre aktuelle Strategie für die Absicherung der Cloud aus?

33% der Befragten verlassen sich komplett auf die nativen Sicherheitsfähigkeiten der Cloud-Plattform (AWS, Azure, Google…), 13% ergänzen die Sicherheit mit auf bestimmte Bereiche (Schutz für Workloads und Container …) ausgerichteten Produkten, und 54% vertrauen auf eine Sicherheitsplattform mit mehrfachen Fähigkeiten, um die Komplexität zu verringern.

Diese Ergebnisse bestätigen die Feststellung von IDC-Analyst Frank Dickson, wonach die meisten Cloud-Kunden mit einer Suite, die eine Reihe von Sicherheitsfunktionen für mehrere Cloud-Umgebungen bietet, besser aufgestellt sind. Für die 15 bis 20 Prozent der Unternehmen, die sich auf nur einen Cloud-Anbieter verlassen, kann der Kauf einer Sicherheitslösung von diesem Hersteller eine ausreichende Abdeckung bieten. Die Suche nach Punktlösungen (die auch Best-of-Breed-Produkte sein können) führt zu zusätzlicher Komplexität über mehrere Cloud-Plattformen hinweg und kann Probleme überdecken, Cybersicherheitsanalysten und Geschäftsanwender irritieren, die Kosten erhöhen und die Effizienz. Die umfassende Suite-Strategie ergänzt den hybriden Multi-Cloud-Ansatz der meisten Organisationen.

Zweitens: Wie setzen Sie sichere digitale Transformation in der Cloud um (Multiple Choice)?

Die Antworten machen deutlich, dass Cloud-Benutzer für viele verfügbare Lösungen zur Verbesserung der Cloud-Sicherheit offen sind. Das Anwendungsmuster folgt den traditionellen Bereitstellungsmodellen für Sicherheit Onpremise. Die am häufigsten angeführte Lösung, Network Security/Cloud-IPS, zeigt, dass Kommunikation mit allem in der Cloud ein vertrauenswürdiges Netzwerk erfordert. Dies ist eine sehr vertraute Praxis, die in Onpremise-Umgebungen bis zur Einführung von Firewalls in den frühen 1990er Jahren von Anbietern wie CheckPoint zurückreicht und durch akademische Forschung unterstützt wird.

Die Häufigkeit der Gefährdung von Daten durch falsch konfigurierte Cloud-Instanzen ist sicherlich ausschlaggebend für das Cloud Security Posture Management. Und dies wird durch die einfache Bereitstellung von Tools wie Cloud One Conformity unterstützt. Die Neuartigkeit von Containern in der Produktionsumgebung erklärt den relativ geringen Einsatz von Container-Sicherheit heute. Doch müssen Unternehmen keine Vielzahl von Einzelprodukten zur Lösung eines Problems in einer Umgebung einsetzen und verwalten. Der Suite-Ansatz vereinfacht die heutige Realität und positioniert die Organisation für die Herausforderungen von morgen.

Die Vorträge können unter Perspectives auch im Nachhinein abgerufen werden.

Ähnliche Artikel:

  1. Einheitliche, automatisierte Sicherheit für die Hybrid Cloud
  2. Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2
  3. Sicherheit für die Cloud-vernetzte Welt im Jahr 2020
  4. IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an
  5. Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Ripple20-Schwachstellen gefährden Millionen von IoT-Geräten

Die israelische Sicherheitsfirma JSOF hat Informationen zu einer Reihe von Schwachstellen veröffentlicht, die sie Ripple20 nennt. Diese Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen. Wichtige Systeme in der Gesundheits-, Öl- und Gasindustrie, im Transportwesen, in der Energiewirtschaft und im verarbeitenden Gewerbe können von diesen Fehlern betroffen sein. Eine Liste bestimmter Hersteller mit anfälligen Geräten ist in dem technischen Bericht von JSOF zu finden.

Die Schwachstellen stammen von einer Software, die von der amerikanischen Firma Treck Inc. entwickelt und Ende der neunziger Jahre auf den Markt gebracht wurde. Die Software beinhaltet einen leichtgewichtigen TCP/IP-Stack und ermöglicht es Unternehmen, ihre Geräte oder Software über TCP/IP-Verbindungen mit dem Internet zu verbinden.

Angesichts der Tatsache, dass diese Software bereits seit vielen Jahren verfügbar und im Einsatz ist und Unternehmen aller Grössenordnungen immer mehr Geräte online bringen, ist es nicht verwunderlich, dass die Auswirkungen von Ripple20 so breit gestreut sind. Die betroffenen Firmen reichen von Ein-Personen- bis hin zu multinationalen Fortune-500-Unternehmen.

IoT- und industrielle Internet of Things (IIoT)-Geräte benötigen leichtgewichtige Netzwerkkomponenten, um Rechenleistung zu sparen. Aber Probleme mit Netzwerk-Kommunikationssoftware von Drittanbietern belasten die Landschaft seit Jahren. Im Jahr 2018 gefährdeten 13 Fehler im FreeRTOS-TCP/IP-Stack die IoT-Geräte in Privathaushalten und in kritischen Infrastrukturen, und 2019 wurden medizinische Geräte und Krankenhausnetzwerke durch eine Reihe von elf Schwachstellen namens Urgent/11 bedroht. Die Schwachstellen befanden sich im IPnet, einer Softwarekomponente eines Drittanbieters, die die Netzwerkkommunikation unterstützt. Ein Angreifer könnte diese Schwachstellen potenziell nutzen, um die Kontrolle über medizinische Geräte aus der Ferne zu übernehmen oder deren Funktionsfähigkeit zu behindern.

Die Schwachstellen

Die in der Software gefundenen Schwachstellen zeichnen sich durch die Breite ihrer Auswirkungen aus – die Software hat sich über die ganze Welt verbreitet und wurde direkt und indirekt von vielen verschiedenen Herstellern verwendet.

Konkret handelt es sich bei Ripple20 um eine Gruppe von 19 Fehlern, die bei erfolgreicher Ausnutzung einem Angreifer erlauben würden, willkürlich Code auf anfälligen Geräten auszuführen, mit denen er sich verbinden kann. Hacker können über lokale Netzwerke oder über das Internet auf anfällige Geräte zugreifen und die vollständige Kontrolle über diese Geräte übernehmen – ein kritisches Problem, wenn es sich dabei auch um solche in Stromnetzen, Produktionsstätten und Krankenhäusern handelt.

Einer dieser Bugs ist eine Schwachstelle im DNS-Protokoll, die von einem erfahrenen Hacker dazu benutzt werden kann, Geräte anzugreifen, die nicht mit dem Internet verbunden sind. JSOF hat weitere mögliche Angriffe skizziert, unter anderem die Nutzung angreifbarer Geräte, um andere Geräte in einem Netzwerk ins Visier zu nehmen oder um im Netzwerk verborgen zu bleiben, und die Verbreitung eines Angriffs, um die Kontrolle über alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen. Treck hat ein Sicherheits-Update zur Behebung dieser Schwachstellen veröffentlicht.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat fünf dieser Schwachstellen mit über acht bewertet, wobei zwei davon eine zehn erhielten (die höchste mögliche Bewertung). Sie empfehlen Benutzern auch, „Abwehrmassnahmen“ gegen diese Schwachstellen zu ergreifen – Installation der Updates von Treck, Minimierung der Exponierung des Netzwerks, Einsatz von Firewalls, Verwendung virtueller privater Netzwerke und interner DNS-Server.

Eindämmung und Lösungen

Entdeckung ist der erste Schritt zur Vermeidung von Angriffen, die diese Schwachstellen missbrauchen. In einigen Fällen sind sich die Eigentümer von Assets möglicherweise nicht bewusst, dass diese Schwachstellen in ihrer Umgebung existieren. Produkte wie EdgeIPSTM und EdgeFireTM können beim Entdecken von Ripple20-Schwachstellen unterstützen, indem sie den Netzwerkverkehr scannen.

Es gibt auch einige andere Taktiken, die bei der Eindämmung von Ripple20 helfen können:

  • Netzwerksegmentierung: Eine angemessene interne Segmentierung und Mikrosegmentierung sollte in der OT-Netzwerkumgebung durchgeführt werden. Verantwortliche können EdgeFireTM für die interne Segmentierung durch kommunikationsgesteuerte NAT- und ICS-Protokolle verwenden. EdgeIPSTM kann eine tiefgreifende Mikrosegmentierung durchführen.
  • Netzwerk-Policy für die Kontrolle: Ohne eine angemessene Lösung kann das Prinzip des Null-Vertrauens nicht erreicht werden. EdgeFireTM und EdgeIPSTM bieten Netzwerkzugriffs-Whitelists für M2M-Kommunikation über IP-Adressen, ICS-Protokolle und Befehle.
  • Vorbeugung: Bei Gefahren mit hohem Potenzial aktualisieren EdgeIPSTM und EdgeFireTM den 6/30-Regelsatz, um Schwachstellen zu verhindern.

Der Originalbeitrag beinhaltet auch die Indicators of Compromise und eine Auflistung der Ripple20-Schwachstellen.

PowerShell-basierte Malware und Angriffe aufspüren, erkennen und vereiteln

Während herkömmliche Malware und Angriffe auf eigens erstellte ausführbare Dateien angewiesen sind, liegt dateilose Malware im Speicher, um herkömmlichen Scannern und Erkennungsmethoden zu entgehen. PowerShell, ein legitimes Verwaltungstool für Systemadministratoren bietet eine ideale Tarnung für Bedrohungsakteure, bei der Erstellung von Payloads, die stark von einer tiefen Windows-Integration abhängen. Trend Micro hat mehrere Berichte über dieses Methoden veröffentlicht, dessen Verbreitung durch Telemetriedaten weiter validiert wurde.

PowerShell ist eine Skripting-Sprache und eine Befehlszeilen-Shell auf Basis von .NET-Klassen. Sie unterstützt Systemadmins dabei, Aufgaben im Management von Betriebssystemen zu automatisieren. PowerShell ermöglicht einen einfacheren und schnelleren Zugriff auf das Betriebssystem, sodass Administratoren sowohl lokal als auch aus der Ferne Managementaufgaben für ein System wahrnehmen können.

PowerShell als effizienter Angriffsvektor

Mit Viren infizierte Dateien und bösartige Trojaner sind etablierte Malware-Typen, und die Entwickler verfügen über verschiedene defensive Erkennungs- und Abwehrtechniken, um sich dagegen zu wehren. Browser überprüfen heruntergeladene Dateien, Anwendungen benötigen vor der Installation genehmigte Berechtigungen, und Sicherheitssoftware kann Dateien scannen, um sie auf bekannte Signaturen zu überprüfen. Sogar Malware, die über Microsoft Office-Makros kommt, wird durch Standardeinstellungen blockiert, die eine automatische Ausführung nicht mehr zulassen.

Angreifer können dateilose Malware verwenden, um diese Schutzmechanismen zu umgehen, indem sie Payloads in laufende Anwendungen einschleusen oder Skripting einsetzen. PowerShell ist ein idealer Kanal für die Durchführung dieser Angriffe, da die Shell weit verbreitet ist und über das .NET-Framework auf alle Teile eines Hosts zugreifen kann. Darüber hinaus ist es einfach, Skripts zu entwickeln für die Übermittlung von Payloads, und weil PowerShell eine vertrauenswürdige Anwendung ist, kann sie fast immer Skripts ungehindert ausführen.

Bekannte Angriffe und Infektionen mithilfe von PowerShell

Die Ressourcen für die Verwendung und den Missbrauch von PowerShell sind online einfach verfügbar, so dass böswillige Akteure mit mehr oder weniger raffinierten Methoden darauf zurückgreifen. Seit den ersten Berichten 2014 haben Cyberkriminelle verschiedene Kampagnen durchgeführt und dabei zur Infektion der Systeme Techniken des Social Engineering eingesetzt. Sie kombinierten PowerShell mit anderen Exploits oder replizierten offenbar andere Routinen.

Eine der berüchtigten Kompromittierungen über PowerShell stand im Zusammenhang mit der Veröffentlichung interner Emails des US-Demokratischen Nationalkomitees durch die mutmasslich russische Gruppe Pawn Storm im Jahr 2016. Der Equifax-Diebstahl 2017 zeigte deutlich das Ausmass des Schadens, den böswillige Akteure verursachen können, wenn sie PowerShell für den Missbrauch einer nicht gepatchten Schwachstelle nutzen. 2018 verschickte eine weitere Cyberspionagegruppe APT33 Spear Phishing-Mails an Ziele in der Luftfahrt- und Ölindustrie. Die Anhänge führten einen PowerShell-Befehl aus, der Malware herunterlud und Persistenz im Netzwerk des Opfers herstellte.

Eindämmung und Best Practices

Administratoren können lernen, Aktivitäten zu verfolgen, die enttarnten Events und Payloads zu finden, sie zu überwachen und sich mit ihrem Verhalten vertraut zu machen. PowerShell bietet viele Möglichkeiten zur Aktivitätsprotokollierung. Diese Funktionen lassen sich auch dafür nutzen, den Missbrauch dieses Tools zu erkennen, sich dagegen zu wappnen und die Wirkung zu entschärfen. Diese Protokollierungsfunktionen werden über die Active Directory Group Policy für eine unternehmensweite Implementierung aktiviert. Einzelheiten zu der Handhabung der Funktionen finden Interessierte im Originalbeitrag.

Bei Einbrüchen im Zusammenhang mit PowerShell bedarf es einer hohen Anzahl von Ereignissen, um den für die Analyse von Sicherheitsvorfällen erforderlichen Detaillierungsgrad zu erreichen. In einigen Fällen kann ein einzelner PowerShell-Befehl (Cmdlet) über 30 Events erzeugen. Ein Angriff kann grössere Befehle mit Skriptblöcken und Ausführungen beinhalten, die Ereignisse erzeugen, die jeden Sicherheitsanalysten überfordern können.

Bild 1. Beispiel eines PowerShell-Ereignisprotokolls

Das Log Inspection-Modul in Trend Micro™ Deep Security™ kann verschiedene Betriebssystem- und Anwendungs-Logs über die verschiedenen Hosts und Anwendungen im Netzwerk sammeln, analysieren und anreichern. Es ermöglicht die Korrelation zwischen ihnen, um bei der Aufdeckung von Problemen zu helfen. Auch gibt es von Trend Micro die Rule 1010002 – Microsoft PowerShell Command Execution, die der Analyse aller PowerShell-Ereignisse gewidmet ist.

Bedrohungsakteure versuchen auch immer wieder, PowerShell-Befehle zu verschleiern, indem sie sie codieren. Diese lassen sich jedoch aus den generierten Event decodieren, und die PowerShell Log Inspection-Regel entdeckt und charakterisiert das Event entsprechend.

MITRE ATT&CK

Das MITRE ATT&CK-Framework stellt ein unschätzbares Tool für Cybersicherheitsforscher dar. Durch die umfangreiche Datensammlung und Forschung dient das Framework als Verifizierungsmassnahme zur Bewertung von Techniken, die von den böswilligen Gruppen eingesetzt werden, sowie zur Verfolgung der dokumentierten Entwicklungen der Gruppen. PowerShell-Events, die von Deep Security generiert werden, helfen bei der Angriffsanalyse, indem sie eine Klassifizierung gemäss den entsprechenden ATT&CK-Techniken, die durch das Framework definiert sind, zugewiesen bekommen. Die Trend Micro PowerShell-Regel wurde anhand der MITRE 2019 APT 29 Evaluation geprüft und deckt eine grosse Anzahl der Kriterien ab.

Bild 2. Angebotene MITRE ATT&CK Techniken

Fazit

Die Bequemlichkeit, die das PowerShell-Framework bietet, erleichtert zwar die Aufgaben der Systemadministratoren, bietet aber Cyberkriminellen eine grosse Angriffsfläche. Der Missbrauch legitimer Tools und Funktionen wie PowerShell ist nicht neu, aber er wird sich als cyberkriminelle Taktik in Kombination mit anderen Techniken weiter entwickeln. Dateilose Bedrohungen über PowerShell sind zwar nicht so sichtbar wie herkömmliche Malware und Angriffe, aber sie lassen sich verhindern. Zu allen Themen liefert der Originalbeitrag weitere Einzelheiten sowie Anleitungen für Systemadministratoren.

Auch „traditionelle“ Best Practices, wie etwa Updaten und Patchen von Systemen, helfen gegen diese Angriffe. Aber die sich weiter entwickelnden Sicherheitstechnologien, die eine generationsübergreifende und vernetzte Verteidigung einsetzen, sowie die Entwicklung einer Kultur der Sicherheit und des Sicherheitsbewusstseins bei den Anwendern ermöglichen es IT-Managern und Administratoren, sich dagegen zu verteidigen.

Trend Micro-Lösungen

Trend Micro™ Deep Security™ kann Systeme und Nutzer vor Malware und Angriffen über PowerShell schützen. Die Lösung bietet Netzwerk- und Systemsicherheit, und in Kombination mit Vulnerability Protection kann die Lösung Nutzersysteme vor einer Vielfalt aufkommender Bedrohungen, die Schwachstellen missbrauchen, schützen.

Smart Protection Suites beinhaltet einige Fähigkeiten wie High-Fidelity Machine Learning und Webreputations-Services, die die Auswirkung von persistenten, dateilosen Bedrohungen minimieren. Trend Micro Apex One™ nutzt eine Vielfalt von Erkennungstechniken sowie Verhaltensanalyse, um gegen bösartige Skripts, Einschleusen, Ransomware, Memory- und Browser-Angriffe zu schützen.

Zusätzlich bietet Apex One Endpoint Sensor kontextspezifische Endpunkt-Erkennung und Reaktion (EDR), die Ereignisse überwacht und Prozesse oder Ereignisse mit böswilligen Aktivitäten schnell untersucht. Trend Micro Deep Discovery umfasst einen Email Inspection-Layer, der bösartige Anhänge und URLs erkennen kann. Die Lösung entdeckt Remote-Skripts, auch wenn diese nicht auf den physischen Endpunkt heruntergeladen werden.

Schlagabtausch: der unvermeidliche Cyber-Rüstungswettlauf

von Richard Werner, Business Consultant

Eine treibende Kraft bestimmt die cyberkriminelle Wirtschaft und die Bedrohungslandschaft: Gut gegen Böse, oder besser gesagt, Gesetzeshüter, Forscher, Anbieter und Cybersicherheits-Experten auf der einen Seite und Cyberkriminelle auf der anderen. Dieses Katz-und-Maus-Spiel wird seit fast zwei Jahrzehnten ausgetragen, aber im Zuge der technologischen Innovationen und des gesellschaftlichen Wandels im Allgemeinen scheint es sich in den letzten Jahren beschleunigt zu haben. Nach einer neuen eingehenden Analyse der Cyberkriminalität im Untergrund der letzten Jahre gelangen die Sicherheitsforscher zu dem Schluss, dass die Massnahmen der Strafverfolgungsbehörden die Gegner im Untergrund in Unruhe versetzen. Im Gegenzug aber entwickeln die Kriminellen jedoch ihre Werkzeuge und Taktiken weiter, um eine neue Art von Angriffen zu Geld zu machen.

Die guten Nachrichten zuerst: Die neue Analyse des kriminellen Untergrunds ergab, dass die Schliessung von Dark-Web-Marktplätzen durch die Polizei in den letzten Jahren definitiv Wirkung zeigt. Die Zerschlagung grosser Websites wie AlphaBay, Evolution und Hansa hat bei den Online-Händlern zu Unsicherheit und Paranoia geführt. Obwohl viele Sites noch immer in Betrieb sind, so z.B. Nulled, Joker’s Stash und Hackforums, gibt es keinen einzigen dominanten Anbieter mehr in der Spur der Silk Road. Darüber hinaus klagen die Nutzer über anhaltende Anmeldeprobleme und DDoS-Angriffe, die vermutlich das Werk von Strafverfolgungsbehörden sind.

Als Gesamteffekt dieser Bemühungen der Polizeibehörden hat sich Misstrauen in das Dark Web eingeschlichen. Händler sind nicht nur vor Betrügereien der Administratoren auf der Hut, sondern befürchten auch, dass die Polizei diese Seiten bereits infiltriert haben könnte. Es ist ermutigend zu sehen, dass die viele harte Arbeit und die jahrelange Zusammenarbeit zwischen Polizei und Unternehmen des privaten Sektors wie etwa Trend Micro Wirkung zeigt.

Die Kriminellen schlagen zurück

Cyberkriminelle sind jedoch bekanntermassen einfallsreich und agil. Als Reaktion auf diese Untergrabung des Vertrauens Online entstand eine neue Website namens DarkNet Trust, wo sich der Ruf von Anbietern verifizieren lässt, indem Profile auf verschiedenen Untergrundseiten durchsucht und Benutzernamen und PGP-Fingerabdrücke überprüft werden können. Des Weiteren stellte Joker’s Stash auf Blockchain-DNS um, um der polizeilichen Überwachung zu entgehen, und der P2P-Markt OpenBazaar wirbt mit einer Android- und iOS-App, die es den Benutzern erlaubt, privat zu chatten. Viele Cyberkriminelle nutzen inzwischen den vor allem bei Gamern beliebten Instant Messaging-Dienst Discord, um anonym zu kommunizieren, und viele Dark-Foren und -Marktplätze haben sogar ihre eigenen Discord-Server aufgebaut. Andere benutzen die legitime E-Commerce-Plattform Shoppy.gg, um ihre Waren zu verkaufen.

Cyberkriminelle sind wie eh und je anpassungsfähig und zielen auf Organisationen, die dank veränderter Arbeitsweisen neuen Bedrohungen ausgesetzt sind. Das aufgrund der COVID-bezogenen Beschränkungen weit verbreitete Home Office hat dazu geführt, dass viele Mitarbeiter Rechner benutzen, die nicht so gut geschützt sind wie ihre Pendants im Unternehmen. Zudem sind Nutzer zu Hause stärker abgelenkt, und IT-Sicherheitsteams haben Mühe, all diese neuen Endpunkte zu ermitteln und zu patchen, insbesondere da VPNs mit hoher Belastung zu kämpfen haben.

Es ist damit zu rechnen, dass es weiterhin Betrügereien mit staatlichen Konjunkturfonds geben wird und dass ein breites Interesse an neuen Informationen über das Virus besteht. VPN-Malware und insbesondere DDoS-Dienste werden in der Untergrundwirtschaft ebenfalls stark nachgefragt werden, und immer mehr Angebote von Botnets bestehend aus kompromittierten Heimnetzwerken als Service tauchen auf. Die Sicherheitsforscher gehen auch von der Zunahme gezielter Angriffe aus, die über potenziell ungesicherte Heimcomputer in Unternehmensnetzwerke einzudringen versuchen. Diese Bedrohungen stellen eine Art umgekehrtes BYOD-Szenario dar: Statt dass Nutzer ihre Geräte in den Unternehmensbereich mitbringen, wird das Unternehmensnetzwerk jetzt mit dem Heimnetzwerk zusammengeführt.

Weiterentwicklung der Tools

Wie sieht also die Zeit nach COVID-19 aus? Es ist interessant festzustellen, dass in den letzten fünf Jahren in vielen Bereichen die Preise erheblich gesunken sind: So ist beispielsweise der Preis für Kryptographie-Services von etwa 1000 $/Monat im Jahr 2015 auf heute nur noch 20 $ gesunken. In anderen Bereichen bleiben die Preise jedoch stabil und in einigen steigen sie gar. Fortnite Logins können heute im Durchschnitt für etwa 1.000 $ verkauft werden. Man kann davon ausgehen, dass relativ neue Entwicklungen wie IoT-Botnets und Cyber-Propaganda-Services den kriminellen Verkäufern auch in den kommenden Jahren viel Geld einbringen werden.

Im Moment machen Cyberkriminelle auch hohe Profite mit dem Verkauf von „Access-as-a-Service“. Dies hat sich von Angeboten im Zusammenhang mit dem Remote-Desktop-Protokoll (RDP) zum Verkauf von Zugang zu gehackten Geräten und Unternehmensnetzwerken entwickelt. Ein Bedrohungsakteur verscherbelte Zugriff auf eine US-Versicherungsgesellschaft für 1.999 $ und zu einer europäischen Softwarefirma für 2.999 $.

Der potenziell grösste Wachstumsbereich in der cyberkriminellen Wirtschaft liegt jedoch langfristig in der KI. Künstliche Intelligenz wird bereits in Bot-Services wie Luckybot eingesetzt, die behaupten, Würfel-Wurfmuster auf Glücksspiel-Websites vorhersagen und komplexe Roblox CAPTCHAs lösen zu können. Es wird auch ein potenziell lukrativer Markt für Sextorsions-Angriffe auf der Basis von Deep Fakes entstehen.

Fazit

Die gute Nachricht ist, dass gleichzeitig auch Sicherheitshersteller wie Trend Micro Neuerungen einführen, um nicht nur laufende Angriffe besser aufzudecken, sondern auch Wege zu finden, wie man die Hintermänner aufspüren und ausschalten kann. Es besteht kaum eine Chance, dass dieses Wettrüsten jemals enden wird, aber zumindest haben die letzten Jahre gezeigt, dass wir etwas bewirken und es den Bösewichten schwerer machen können, schnelles Geld zu verdienen.

Den gesamten Bericht finden Interessierte hier.

Wie Angreifer Gesichtserkennungsgeräte austricksen

Die Corona-Pandemie hat Unternehmen auf der ganzen Welt vor Fragen gestellt, wie sie die Arbeitsweise ihrer Büros ändern können, um auch im Zeitalter des Social Distancings eine sichere Zusammenarbeit zu gewährleisten. Eine Richtlinie dafür, die von vielen Unternehmen umgesetzt wird, ist die Installation von freihändigen Zugangskontrollen an den Firmeneingängen, um den Kontakt der Mitarbeiter mit unter Umständen kontaminierten Oberflächen zu reduzieren. Natürlich erfordert die Verwaltung der Zugangskontrollen leistungsfähige Werkzeuge, um die Authentifizierung schnell und effizient durchzuführen. Zu diesem Zweck greifen viele Unternehmen auf Edge-Computergeräte zurück.

Edge Computing ist ein relativ neuer Begriff und bedeutet, dass Ressourcen mit höherer Leistung näher an den Geräten am „Rand“ (Edge) des Netzwerks liegen (etwa IP-Kameras, die Bilder für die Zugangskontrolle aufnehmen), um Verzögerungen zu verringern und die Effizienz zu erhöhen. Im Gegensatz dazu sammeln in einem Cloud-orientierten Internet der Dinge (IoT)-System viele stromsparende Geräte am Edge des Netzwerks Daten und schicken sie an eine Cloud-Lösung, die die Daten verarbeitet und Befehle aufsetzt. Edge Computing-Geräte sind bereits in vielen verschiedenen Industriezweigen im Einsatz – Lastwagen sind mit Geräten ausgestattet, die Temperatur und Umgebung überwachen und aufrechterhalten, Automationssysteme in Fabriken beginnen, hochleistungsfähige Geräte einzusetzen, und sogar moderne Aufzüge haben Edge Computing-Lösungen installiert.

Wie sicher sind Zugangskontrollgeräte?

Zugangskontrollgeräte verwalten Ein- und Ausgänge für die Räumlichkeiten eines Unternehmens. Wie bereits erwähnt, suchen viele Unternehmen nach Lösungen für einen kontaktlosen Zutritt, vor allem Edge-Geräte für Gesichtserkennung oder kleine Geräte wie RFID-Karten. Diese Geräte dienen als erste Verteidigungslinie, um Eindringlinge von Büros fernzuhalten, die vielen verschiedenen Arten von Angriffen ausgesetzt sein können.

Doch es gibt verschiedene Möglichkeiten, wie ein Eindringling die Zugangskontrollgeräte mit Gesichtserkennung austricksen oder hacken kann:

Verwendung statischer Bilder. Einige dieser Zugangskontrollgeräte akzeptieren auch statische Aufnahmen, wie etwa ein Bild auf einem Handy. Dies ist eine kritische Schwäche, da persönliche Fotos in sozialen Medien verfügbar sind. Wenn ein Angreifer den Namen eines Mitarbeiters der anvisierten Firma kennt, kann er im Internet möglicherweise klare Fotos von dessen Gesicht finden.

Verwendung von Produktinformationen auf dem Gerät. Auf vielen Geräten sind wichtige Informationen direkt aufgedruckt, zum Beispiel Seriennummern oder Herstellerbezeichnungen. Hacker können diese Informationen nutzen, um sich weiteren Zugang zu den Geräten zu verschaffen, unter Umständen um das Passwort zu stehlen und die Türsteuerung zu manipulieren.

Nutzung exponierter Anschlüsse. Bei Zugangskontrollgeräten handelt es sich häufig um Tablets, die über Anschlüsse für die Übertragung von Informationen oder Strom verfügen. Viele haben solide Gehäuse, die die Geräte vor Eingriffen schützen, aber es gibt einige wenige, bei denen die Anschlüsse ungeschützt sind. Wenn ein USB-Port exponiert bleibt, könnten sich Hacker Zugang zu den Türkontrollen verschaffen. Sie wären auch in der Lage, tiefer in das Gerät einzudringen und Daten wie Bilder und Benutzernamen herunterzuladen oder einen neuen Benutzer zum Gerät hinzuzufügen und ihm Zugang zum Firmengelände zu gewähren.

Kommunikation belauschen. Die meisten Zugangskontrollgeräte werden über einen Server und kundenspezifische Software des Herstellers verbunden und verwaltet. Die Kommunikation zwischen Gerät und Server kann leicht abgefangen und manipuliert werden, wenn sie nicht verschlüsselt oder gesichert ist, so dass ein Bedrohungsakteur Daten wie Bilder und Informationen des Benutzers sammeln kann. Ausserdem kann sich ein Hacker als der Server ausgeben und Aktualisierungen auf den Geräten erzwingen und neue Benutzer hinzufügen oder neue Administratoren für das Gerät installieren.

Gerätesicherheit

Im Vergleich zu gewöhnlichen smarten Geräten sind Edge Computing-Geräte leistungsfähiger und können sogar wertvolle Daten enthalten. Vor allem Zugangskontrollgeräte spielen eine wichtige Rolle für die Unternehmenssicherheit, und ein erfolgreicher Angriff kann schwerwiegende Folgen haben. Um Unternehmen bei der Eindämmung solcher Angriffe zu unterstützen, hat Trend Micro einige Empfehlungen zur Sicherung dieser Geräte:

  • Prüfen, ob Anschlüsse exponiert sind, und darauf achten, dass die Kommunikation sicher abläuft. Die Cybersicherheit muss bei der Wahl eines Zugangskontrollgeräts im Vordergrund stehen.
  • Da viele dieser Geräte mit weit verbreiteter Hard- und Software ausgestattet sind, sollte ein Unternehmen die Schwachstellen, die ihre Geräte betreffen, immer im Griff haben und die neuesten Sicherheitsupdates installieren, sobald diese verfügbar sind.
  • Zugangskontrollgeräte werden normalerweise in öffentlichen Bereichen platziert. Es ist wichtig, das Gerät physisch zu sichern, um sicherzustellen, dass niemand auf Anschlüsse zugreifen oder sensible Informationen sehen kann, die auf dem Gerät aufgedruckt sind.
  • Unternehmen sollten auch Endpoint-Schutz auf Geräten installieren, um sie vor Schwachstellen und Cyberattacken zu schützen. Produkte mit Funktionen für Deep Packet Inspection wie Trend Micro Deep Discovery Inspector™ können verhindern, dass ein Angreifer versucht, sich als das Edge-Gerät oder Server auszugeben. Diese Netzwerk-Monitoring-Systeme können auch nicht autorisierten Netzwerkverkehr von unbekannten Netzwerkendpunkten erkennen und verhindern.