Schlagwort-Archive: Bedrohung

Report zeigt Cloud als eines der Hauptziele von Angriffen

Der gerade erschienene Data Breach Investigations Report“ (DBIR) von Verizon bietet seit nunmehr 12 Jahren interessante Einblicke in die aktuellen Trend in der Bedrohungslandschaft. Für den aktuellen Report wurden 32.000 „Vorfälle“ und fast 4.000 Diebstähle weltweit analysiert. Ganz allgemein fällt auf, dass 70% der Diebstähle im letzten Jahr von Tätern ausserhalb des Unternehmens begangen wurden – dies widerspricht der der weit verbreiteten Meinung, Innentäter seien die Hauptakteure. Weitere 22% wurden durch menschliche Fehler möglich. Zwei Haupttrends lassen sich aus dem Bericht herauslesen.

Zum einen steigt die Zahl der Cloud-Assets, die von Einbrüchen betroffen sind: In etwa einem Viertel (24%) dieser Vorfälle sind Bestandteile von Cloud-Systemen oder Services mit involviert. In den meisten Fällen (73%) wurde ein Email- oder Web-Anwendungsserver ins Visier genommen und bei 77% der Events nutzten die Angreifer vorher gestohlene Login-Informationen. Persönliche Daten sind immer häufiger betroffen, oder zumindest werden diese Diebstähle aufgrund gesetzlicher Bestimmungen öfter gemeldet. Bei 58% der Verstösse waren personenbezogene Daten beteiligt,  fast doppelt so viel wie letztes Jahr.

Diese große Beliebtheit von Phishing-Angriffen erklärt Verizon damit, dass Cyberkriminelle immer den schnellsten und einfachsten Weg für eine Kompromittierung wählen. Dies stimmt mit den Beobachtungen von Trend Micro überein. Der „Cloud App Security Report 2019“ zeigte einen jährlichen 35-prozentigen Anstieg der Credential Phishing-Versuche ab 2018.

86% der Übergriffe waren finanziell motiviert, wenngleich Spionage und fortgeschrittene Bedrohungen am meisten Aufsehen erregten. Der Credential-Diebstahl, Angriffe über Social Engineering (d.h. Phishing und Business Email Compromise) und Fehler verursachten die Mehrzahl der Einbrüche (67% oder mehr). Ransomware machte 27% der Malware-Vorfälle aus, und 18% der Unternehmen blockten mindestens eine Ransomware.

Auch erweitert sich die unternehmensweite Angriffsfläche, weil immer mehr Geschäftsprozesse und Daten in Cloud-Systeme migriert werden. Deshalb wird es für Unternehmen immer wichtiger, vertrauenswürdige Sicherheitspartner zu finden, die sie dabei unterstützen, den nativen Schutz zu verbessern, den Cloud Service Provider anbieten.

Zum anderen stellt der DBIR eine steigende Tendenz zu Cloud-basierten Datendiebstählen aufgrund von Fehlkonfigurationen fest. Der Bericht geht davon aus, dass 22 % der Einbrüche aufgrund von menschlichen Fehlern möglich waren, viele davon eben durch Konfigurationsprobleme. Typischerweise werden Cloud-Datenbanken oder Dateispeichersysteme infolge eines Fehlers eines Auftragnehmers oder Inhouse IT-Admins im Internet exponiert.

Auch dies ist ein Bereich, den Trend Micro bereits als Bedrohung für Unternehmen hervorgehoben hat. Tatsächlich identifiziert Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen täglich.

Der langfristige Trend geht in Richtung einer stärkeren Migration in die Cloud, einer höheren Abhängigkeit von Web-Anwendungen für das Arbeiten an Remote-Standorten und zu mehr Komplexität, da Unternehmen in hybride Systeme von mehreren Anbietern investieren. Das bedeutet ein potenziell höheres Cyberrisiko, das CISOs meistern müssen.

Sicherheitsempfehlungen

In erster Linie sind gerade Cloud-Verantwortliche gut beraten, ein tiefes Verständnis dafür zu entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können. Des Weiteren sind Schulungen und Awareness-Programme für Mitarbeiter wichtig. Zudem sollten Best Practices befolgt werden, so etwa die Anwendung von Multi-Faktor-Authentifizierung bei Mitarbeiterkonten, Richtlinien für den Zugang mit den geringsten Privilegien und mehr.

Sicherheitslösungen wie Cloud App Security verbessert den Built-in-Schutz in Office 365, G Suite und für Cloud Dateisharing-Dienste, weil die Lösung Malware und Phishing-Versuche blocken kann. Trend Micro Cloud One – Conformity wiederum liefert automatisierte Sicherheits- und Compliance-Prüfungen, um Fehler bei der Konfiguration zu vermeiden und Cloud Security Posture Management nach Best Practices zu ermöglichen.

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.

Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Unternehmen sind gerade dabei, ihre digitale Transformation auf den Weg zu bringen. Dabei setzen sie auf Vielfalt der heutzutage verfügbaren Cloud-basierten Technologien. Für Chief Security Officer (CSO) und Cloud-IT-Teams kann sich die Verwaltung der Cloud-Computing-Sicherheit für eine bestimmte Installation zuweilen schwierig gestalten, und das gerade wegen der Benutzerfreundlichkeit, Flexibilität und Konfigurierbarkeit von Cloud-Diensten. Administratoren müssen ein Verständnis dafür entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können.

Herkömmliche netzwerkbasierte Sicherheitstechnologien und -mechanismen lassen sich nicht einfach nahtlos in die Cloud migrieren. Gleichzeitig aber sind die Sicherheitsprobleme, vor denen ein Netzwerkadministrator steht, meist gleich: Wie lässt sich ein unbefugter Zugriff auf das Netzwerk verhindern und Datenverluste vermeiden? Wie kann die Verfügbarkeit sichergestellt werden? Wie lässt sich die Kommunikation verschlüsseln oder Teilnehmer in der Cloud authentifizieren? Und schliesslich wie kann das Sicherheits-Team Bedrohungen leicht erkennen und Schwachstellen in  Anwendungen aufdecken?

Geteilte Verantwortlichkeiten

Eigentlich hat Amazon die Konzepte „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“ eingeführt, um die gemeinsame Verantwortung von Anbietern und Kunden für die Sicherheit und Compliance in der Cloud zu klären. Anbieter sind hauptsächlich für den Schutz der Infrastruktur verantwortlich, in der alle in der Cloud angebotenen Services ausgeführt werden. Des Weiteren bestimmt eine gestaffelte Skala je nach dem gekauften Cloud-Service die direkten Verantwortlichkeiten des Kunden.

Praktisch bestimmen die verschiedenen Cloud Service-Modelle — Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) – welche Komponenten (von der physischen Infrastruktur, die die Cloud hostet, bis zu den Daten, die in der Cloud erstellt, verarbeitet und gespeichert werden) in der Verantwortung des Betreibers und welche in der des Kunden liegen, und wer demzufolge für die Sicherheit zu sorgen hat.

In einem PaaS-Modell wie Google App Engine, Microsoft Azure PaaS oder Amazon Web Services Lambda, kaufen Entwickler die Ressourcen für das Erzeugen, Testen und Ablaufen von Software. Daher sind sie als Nutzer generell für Anwendungen und Daten verantwortlich, während der Anbieter für den Schutz der Container-Infrastruktur und des Betriebssystems sorgen muss – mit einem unterschiedlichen Mass an Verantwortung, je nach der erworbenen spezifischen Dienstleistung.

Bild 1. „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“

Die Sicherheit der Cloud gehört zum Angebot des Cloud Providers. Dies wird durch vertragliche Vereinbarungen und Verpflichtungen, einschließlich Service-Level-Agreements (SLAs) zwischen dem Verkäufer und dem Kunden, sichergestellt. Leistungskennzahlen wie Betriebszeit oder Latenzzeit sowie Erwartungen hinsichtlich der Lösung eventuell auftretender Probleme, dokumentierter Sicherheitsfunktionen und unter Umständen sogar Strafen für mangelnde Leistung können in der Regel von beiden Parteien durch die Festlegung akzeptabler Standards gemanagt werden.

Die wichtigsten Herausforderungen für die Sicherheit

Unternehmen migrieren möglicherweise einige Bereiche in die Cloud, indem sie diese vollständig in der Cloud (auch bekannt als „cloud-nativ“) starten oder setzen ihre ausgereifte Cloud-basierte Sicherheitsstrategie um. Unabhängig davon, in welcher Phase sich ein Unternehmen auf seinem Weg in die Cloud befindet, sollten Cloud-Administratoren in der Lage sein, Sicherheitsoperationen durchzuführen, wie z.B. das Management von Schwachstellen, die Identifizierung wichtiger Netzwerkvorfälle, Incident Response aufzusetzen sowie Bedrohungsinformationen zu sammeln und entsprechende  Maßnahmen festzulegen – und das alles unter Einhaltung der relevanten Industriestandards.

Verwalten der Komplexität

Cloud-Implementierungen greifen nicht auf dieselbe Sicherheitsinfrastruktur zu wie On-Premises-Netzwerke. Die Heterogenität der Dienste in der Cloud macht es schwierig, kohärente Sicherheitslösungen zu finden. Cloud-Administratoren müssen jederzeit versuchen, eine hybride Umgebung zu sichern. Die Komplexität der Aufgabe ergibt sich aus der Tatsache, dass die Risiken bei Cloud Computing je nach der spezifischen Cloud-Bereitstellungsstrategie variieren. Dies wiederum hängt von den spezifischen Bedürfnissen der Cloud-Benutzer und ihrer Risikobereitschaft bzw. der Höhe des Risikos ab, welches sie zu übernehmen bereit sind. Aus diesem Grund ist Risikobewertung wichtig, und zwar nicht lediglich gemäss der veröffentlichten Best Practices oder der Einhaltung von Vorschriften entsprechend. Compliance-Richtlinien dienen jedoch als Grundlage oder Rahmen, der dazu beitragen kann, die richtigen Fragen zu den Risiken zu stellen.

Übersicht erhalten

Infolge der Möglichkeit, Cloud-Dienste einfach zu abonnieren, geht der Wechsel innerhalb der Unternehmen immer schneller, und Kaufentscheidungen liegen plötzlich nicht mehr im Zuständigkeitsbereich der IT-Abteilung. Dennoch bleibt die IT-Abteilung weiterhin für die Sicherheit von Anwendungen, die mit Hilfe der Cloud entwickelt wurden, verantwortlich. Die Herausforderung besteht darin, wie sichergestellt werden kann, dass die IT-Abteilung jede Interaktion in der Cloud einsehen und sichern kann, und der Wechsel und Entwicklung trotzdem effizient bleiben.

Sicherheitsrisiken und Bedrohungen in der Cloud

Die Trend Micro-Untersuchung der bekanntesten Sicherheitsfallen in Cloud-Implementierungen ergab, dass Fehlkonfigurationen die größte Schwäche für Cloud-Sicherheit darstellen. Das bedeutet, dass Cloud-Anwender beim Aufsetzen ihrer Cloud-Instanzen häufig wichtige Einstellungen übersehen oder diese unsicher ändern.

Bedrohungsakteure nutzen diese Fehlkonfiguration für verschiedene bösartige Aktivitäten aus – von allgemeinen bis zu sehr gezielten Angriffen auf eine bestimmte Organisation als Sprungbrett in ein anderes Netzwerk. Auch über gestohlene Login-Daten, bösartige Container und Schwachstellen in einem der Software Stacks können sich Cyberkriminelle Zutritt zu Cloud-Implementierungen verschaffen. Zu den Cloud-basierten Angriffen auf Unternehmen zählen auch folgende:

  • Cryptojacking: Bedrohungsakteure stehlen Unternehmen Cloud-Computing-Ressourcen, um nicht autorisiertes Kryptowährungs-Mining zu betreiben. Für den aufkommenden Netzwerkverkehr wird das Unternehmen zur Kasse gebeten.
  • E-Skimming: Dabei verschaffen sich Kriminelle Zugang zu den Webanwendungen eines Unternehmens, um bösartigen Code einzuschleusen, der finanzielle Informationen der Site-Besucher sammelt und damit schliesslich dem Ruf des Unternehmens schadet.
  • Nicht autorisierter Zugang: Dies führt zu Datenveränderungen, -diebstahl oder -exfiltrierung. Der Zweck dieser Aktionen kann der Diebstahl von Betriebsgeheimnissen sein oder Zugang zu Kundendatenbanken, um die dort geklauten Informationen im Untergrund zu verkaufen.

Die zu sichernden Bereiche in der Cloud

Bei der Festlegung der Anforderungen an ihre Cloud, sollten Cloud Builder bereits von Anfang an Sicherheit mit berücksichtigen. So lassen sich die Bedrohungen und Risiken vermeiden. Durch die Absicherung jedes der folgenden Bereiche, sofern relevant, können IT-Teams aktuelle und zukünftige Cloud-Implementierungen sicher steuern.

Netzwerk (Traffic Inspection, Virtual Patching)

Ein kritischer Teil des Sicherheitspuzzles, die Netzwerkverkehrs-Inspektion, kann die Verteidigungslinie gegen Zero-Day-Angriffe und Exploits für bekannte Schwachstellen bilden sowie über virtuelles Patching schützen. Eine Firewall in der Cloud unterscheidet sich nur geringfügig von einer herkömmlichen, da die Hauptherausforderung bei der Ausführung darin besteht, die Firewall so zu implementieren, dass Netzwerkverbindungen oder vorhandene Anwendungen nicht unterbrochen werden, unabhängig davon, ob es sich um eine virtuelle private Cloud oder ein Cloud-Netzwerk handelt.

Bild 2. Netzwerksicherheit in der Cloud muss den gesamten Unternehmensverkehr „sehen“ können, unabhängig von dessen Quelle.

Cloud-Instanz (Workload-Sicherheit zur Laufzeit)

Die Begriffe in der Sicherheit und die Paradigmen ändern sich, um dem Verständnis der zu schützenden Komponenten Rechnung zu tragen. In der Cloud bezeichnet das Konzept der Workload eine Einheit von Fähigkeiten oder das Arbeitsaufkommen, das in einer Cloud-Instanz ausgeführt wird. Der Schutz von Workloads vor Exploits, Malware und unbefugten Änderungen stellt eine Herausforderung dar, da sie in Server-, Cloud- oder Container-Umgebungen ausgeführt werden. Workloads werden nach Bedarf dynamisch gestartet, aber jede Instanz sollte sowohl für den Cloud-Administrator sichtbar sein als auch durch eine Sicherheitsrichtlinie geregelt werden.

Bild 3. Workloads sollten auf Bedrohungen überwacht werden, unabhängig von ihrer Art oder dem Ursprung.

DevOps (Container-Sicherheit)

Der Container hat sich in den letzten Jahren zur zentralen Software-Einheit in Cloud-Services entwickelt. Durch die Verwendung von Containern wird sichergestellt, dass Software unabhängig von der tatsächlichen Computing-Umgebung zuverlässig ablaufen kann. Deren Replikation kann kompliziert werden, wenn beispielsweise bestimmte Codes, Werkzeuge, Systembibliotheken oder sogar Softwareversionen auf eine bestimmte Art und Weise da sein müssen.

Bild 4. Container bestehen aus verschiedenen Code Stacks und Komponenten und sollten nach Malware und Schwachstellen gescannt werden.

Insbesondere für Entwickler und Operations-Teams wird die Integration der Sicherheit während der Softwareentwicklung immer wichtiger, da zunehmend Cloud-first App-Entwicklung eingesetzt wird. Das bedeutet, dass Container auf Malware, Schwachstellen (auch in Softwareabhängigkeiten), Geheimnisse oder Schlüssel und sogar auf Compliance-Verletzungen gescannt werden müssen. Je früher diese Sicherheitsüberprüfungen während des Builds stattfinden, — am besten im Continuous-Integration-and-Continuous-Deployment-Workflow (CI/CD) — desto besser.

Applikationen (Serverlos, APIs, Web Apps)

Auf einigen serverlosen oder Container-Plattformen lässt sich traditionelle Sicherheit nicht einsetzen. Dennoch müssen einfache und komplexe Anwendungen selbst genauso gut gesichert werden wie die anderen Bereiche. Für viele Unternehmen stellt die schnelle und effiziente Programmierung und Bereitstellung neuer Anwendungen einen wichtigen Treiber für ihren Weg in die Cloud dar. Aber diese Anwendungen sind auch möglicher Eintrittspunkt für Laufzeitbedrohungen wie das Einschleusen von Code, automatisierte Angriffe und Befehlsausführung aus der Ferne. Finden Angriffe statt, so müssen Cloud-Administratoren auf die Details zugreifen können.

Dateispeicher

Unternehmen betrachten die Cloud hauptsächlich oder teilweise als Möglichkeit, Storage von den On-Premise-Servern dahin auszulagern. Cloud-Speicher für Dateien oder Objekte können zur Quelle für Infektionen werden, wenn aus irgendeinem Grund eine bekannte bösartige Datei hochgeladen wurde. Deshalb sollte Scanning für jede Art von Datei, unabhängig von deren Grösse, verfügbar sein und zwar idealerweise bevor sie gespeichert wird. Nur so lässt sich das Risiko minimieren, dass andere Nutzer auf eine bösartige Datei zugreifen und sie ausführen können.

Compliance und Governance

Datenschutzregularien wie die europäische Datenschutz-Grundverordnung (DSGVO), Industriestandards wie der Payment Card Industry Data Security Standard (PCI-DSS) und Gesetze wie Health Insurance Portability and Accountability Act (HIPAA) haben direkte Auswirkungen auf Unternehmen, die Daten vor allem in der Cloud verarbeiten und speichern. Cloud-Administratoren müssen die Compliance-Anforderungen mit den Vorteilen der Agilität der Cloud abgleichen. Dabei muss Sicherheitstechnologie Unternehmen die Gewissheit geben, dass ihre Installationen den besten Sicherheitspraktiken entsprechen; andernfalls können die Geldstrafen, die sich aus unbeabsichtigten Verstössen ergeben können, die Kosteneinsparungen leicht zunichtemachen.

Cloud-Sicherheitstechnologien

Bei so vielen „beweglichen“ Teilen muss ein Unternehmen, das über eine Cloud-Sicherheitsstrategie nachdenkt, darauf achten, die notwendigen Sicherheitstechnologien zu straffen, vom Schutz vor Malware und Intrusion Prevention bis hin zu Schwachstellenmanagement und Endpoint Detection and Response. Die Gesamtsicherheitslösung muss die Anzahl der Tools, Dashboards und Fenster, die als Grundlage für die IT-Analyse dienen, klein halten. Gleichzeitig muss sie in der Lage sein, die abstrakten Netzwerkgrenzen des ganzen Cloud-Betriebs des Unternehmens überzeugend zu visualisieren — unabhängig davon, ob eine Aktivität, wie z.B. die On-the-Fly-Tool-Entwicklung durch einen der Entwickler, von der IT bewilligt wurde oder nicht.

Trend MicroTM Hybrid Cloud Security kann beispielsweise DevOps-Teams dabei unterstützen, sicher zu entwickeln, schnell zu liefern und überall auszuführen. Die Lösung bietet funktionsstarke, schlanke, automatisierte Sicherheit innerhalb der DevOps Pipeline und liefert mehrere XGenTM Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud-Workloads zur Laufzeit. Sie wird von der Cloud OneTM Platform unterstützt, die Unternehmen eine einheitliche Übersicht über die hybriden Cloud-Umgebungen liefert, sowie Sicherheit in Echtzeit durch Netzwerksicherheit, Workload-Sicherheit, Container-Sicherheit, Anwendungssicherheit, File Storage Security sowie Conformity-Dienste.

Unternehmen, die Security as Software für Workloads, Container Images sowie Datei- und Objektspeicher zur Laufzeit benötigen bietet Deep SecurityTM und Deep Security Smart Check Scans für Workloads und Container Images nach Malware und Schwachstellen während der Entwicklung-Pipeline.

Wie dateilose Angriffe funktionieren und Persistenz in Systemen herstellen

Um mit den besseren Sicherheitsmassnahmen Schritt zu halten, entwickeln cyberkriminelle Akteure immer bessere Techniken, mit deren Hilfe sie der Entdeckung entgehen können. Eine der erfolgreichsten Umgehungstechniken sind dateilose Angriffe, die keine bösartige Software erfordern, um in ein System einzudringen. Anstatt sich auf ausführbare Dateien zu verlassen, missbrauchen diese Bedrohungen Tools, die sich bereits im System befinden, um die Angriffe zu initiieren.

Im Sicherheitsbericht für 2019 stellt Trend Micro fest, dass dateilose Bedrohungen immer häufiger werden. Durch die Nachverfolgung nicht dateibasierter Indikatoren und mittels Technologien wie Endpoint Detection-and-Response hat der Anbieter im vergangenen Jahr mehr als 1,4 Millionen dateilose Sicherheitsvorkommnisse blockiert. Dieser Trend war zu erwarten angesichts der Möglichkeiten der Verschleierung und Persistenz, die dateilose Bedrohungen einem Angreifer bieten.

Funktionsweise von dateilosen Angriffen

Der Begriff „dateilos“ legt nahe, dass die Bedrohung oder Technik keine Datei im Hauptspeicher einer Maschine benötigt. Dateilose Funktionalität kann an der Ausführung, am Informationsdiebstahl oder an der Persistenz beteiligt sein. Ein Angriffsablauf muss nicht zwangsläufig wirklich “ dateilos“ erfolgen, es können auch lediglich einige Teile in irgendeiner Form dateilose Techniken benötigen.

Dateilose Bedrohungen hinterlassen nach ihrer Ausführung keine Spuren, so dass es schwierig ist, sie zu erkennen und zu entfernen. Diese Techniken ermöglichen es Angreifern, auf das System zuzugreifen, um dann dort bösartige Aktivitäten auszuführen. Durch die Manipulation von Exploits, legitimen Tools, Makros und Skripts können Angreifer Systeme kompromittieren, Privilegien erhöhen oder sich lateral im Netzwerk bewegen.

Dateilose Angriffe vermeiden sehr effizient ihre Entdeckung durch herkömmliche Sicherheitssoftware, denn die sucht nach Dateien auf der Festplatte eines Rechners, um dann zu beurteilen, ob sie bösartig sind. Diese Art der Bedrohungen sind nicht sichtbar, da sie im Hauptspeicher eines Systems ausgeführt werden können, sich in der Registry befinden oder häufig in Whitelists aufgeführte Tools wie PowerShell, Windows Management Instrumentation (WMI) und PsExec missbrauchen können.

Viele dateilose Bedrohungen missbrauchen das Task-Automatisierungs- und Konfigurationsmanagement-Framework PowerShell, das in vielen Windows-Betriebssystemen integriert ist. Das Microsoft-Framework greift auf Anwendungsprogrammierschnittstellen (APIs) zu, die wichtige System- und Anwendungsfunktionen ausführen. Für Angreifer ist es attraktiv, weil es ihnen ermöglicht, Payloads zu verteilen und bösartige Befehle dateilos auszuführen.

WMI ist eine weitere bekannte Windows-Anwendung, die zur Ausführung von Systemaufgaben für Endpunkte verwendet wird, und ist deshalb ideal geeignet für die Durchführung von Angriffen. Die Hintermänner missbrauchen WMI für die Ausführung von Code, laterale Bewegung und Persistenz; WMI-Repositorys können auch dazu verwendet werden, bösartige Skripts zu speichern, die in regelmäßigen Intervallen aufgerufen werden können. Unternehmensnetzwerke nutzen PowerShell und WMI in der Regel für die Automatisierung von Systemverwaltungsaufgaben. Angreifer machen sich diese Tools häufig zunutze, da sie zur Umgehung signaturbasierter Erkennungssysteme, zur Aufrechterhaltung der Persistenz, zur Exfiltrierung von Daten und für weitere böswillige Zwecke eingesetzt werden können.

Dateilose Angriffe sind nicht neu, doch gehören sie immer häufiger zum Arsenal vieler Angreifer. Eine Zusammenfassung zum Thema bietet die Infografik:

Schutz vor dateilosen Bedrohungen

Die Vielfalt der dateilosen Techniken ermöglicht persistente Angriffe, die die Integrität der Geschäftsinfrastruktur eines Unternehmens beeinträchtigen können. Trotz des Fehlens einer eigenständigen binären oder ausführbaren Datei können Anwender dateilose Bedrohungen verhindern.

Die Bekämpfung dateiloser Angriffe erfordert einen vielschichtigen und tiefgreifenden Schutzansatz, der nicht von traditionellen, dateibasierten Gegenmassnahmen zur Eindämmung von Bedrohungen abhängig ist.

  • Unternehmen sollten Systeme sichern, ungenutzte oder unwichtige Anwendungen deinstallieren und den Netzwerkverkehr überwachen.
  • Durch den Einsatz von Mechanismen zur Verhaltensüberwachung können ungewöhnliche Änderungen an Software und Anwendungen wie PowerShell und WMI nachverfolgt werden.
  • Benutzerdefinierte Sandbox- und Intrusion Detection und Prevention-Systeme können auch dazu beitragen, verdächtigen Datenverkehr wie C&C-Kommunikation oder Datenexfiltrierung zu verhindern.

Darüber hinaus bietet die Trend Micro XDR-Lösung Layer-übergreifende Detection and Response über Emails, Endpunkte, Server, Cloud Workloads und Netzwerke hinweg. Sie nutzt starke KI-Fähigkeiten und Sicherheits-Analytics, um eine breite Vielfalt von Bedrohungen wie dateilose Angriffe zu erkennen, zu untersuchen und darauf zu reagieren.

Trend Micro™ Apex One™ nutzt eine Vielzahl an Fähigkeiten der Bedrohungserkennung wie etwa Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Memory- sowie Browser-Angriffen mit Bezug zu dateilosen Bedrohungen schützen. Apex One Endpoint Sensor bietet kontextbezogene Endpunkterecherche und Response (EDR), die Vorfälle überwacht und schnell untersucht, welche Prozesse und Events bösartige Aktivitäten anstoßen.

Trend Micro Deep Discovery beinhaltet einen Layer für Email-Inspektion, der Unternehmen schützen kann, indem er bösartige Anhänge und URLs erkennt. Deep Discovery kann Remote Skripts auch dann entdecken, wenn sie nicht auf einen physischen Endpunkt heruntergeladen werden.

Prinzipien für die Cloud Migration – das „Was“ bei der Sicherheit

Originalbeitrag von Jason Dablow

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht zuletzt von den umgesetzten Sicherheitskonzepten für diese „neue“ Welt: Nach der Verteilung der Verantwortlichkeiten für Cloud-Security stellt der Blogeintrag die prinzipiellen Bereiche dar, die zur Sicherheit gehören und bereits vor der Inbetriebnahme von Workloads abgedeckt werden müssen.

Als Grundlage für die Ausführungen dient der Grundpfeiler „Security“ des Well-Architected Framework von AWS Amazon. Hier werden die Sicherheitskonzepte für ein Cloud-Design dargestellt.

Bild. Die fünf Grundpfeiler des Well-Architected Framework von AWS

Das Sicherheits-Framework umfasst sieben Prinzipien:

  • Eine starke Identitätsgrundlage aufbauen
  • Nachvollziehbarkeit ermöglichen
  • Sicherheit in allen Schichten anwenden
  • Automatisieren von Best Practices für die Sicherheit
  • Schutz für Daten In-Transit und At-Rest
  • Personen von Daten fernhalten
  • Auf Sicherheitsvorfälle vorbereitet sein

Eine Reihe dieser Prinzipien lässt sich mit Hilfe nativer Cloud-Services umsetzen, die auch am einfachsten zu implementieren sind. Das Framework liefert aber keine Anregungen dazu, wie diese Services aufzusetzen oder zu konfigurieren sind. So mag das Framework Multifaktor-Authentifizierung als erforderlichen Schritt für die Identity und Access Management-Policy nennen, doch ist dies nicht standardmäßig aktiviert. Das Gleiche gilt für Dateiobjekt-Verschlüsselung. Sie kann eingesetzt werden, ist aber nicht unbedingt bereits aktiviert.

Hilfe bietet hier eine Trend Micro-eigene Wissensdatenbank mit Hunderten von Cloud-Regeln, die auf das Well-Architected Framework (und andere) abgestimmt sind. Zur Multifaktor-Authentifizierung etwa gibt es dort einen Artikel, der die vier „R“ beschreibt: Risiko, Reason (umfasst das Was der Regel), Rationale (umfasst das Warum) und Referenzen dazu, warum Multifaktor-Authentifizierung (MFA) eine Sicherheits-Best Practices ist. Weitere Details zu diesem Beispiel enthält der Originalbeitrag.

Prinzipien für die Cloud Migration – Zuständigkeiten in der Sicherheit

Originalartikel von Jason Dablow und Mark Nunnikhoven, Vice President, Cloud Research

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht nur IT-Teams, Betrieb und Sicherheit sind involviert sondern auch Fach-, Finanz- und andere Abteilungen der Unternehmens. Best Practices, Fallbeispiele und Überlegungen rund um eine erfolgreiche Cloud-Migration sollen Unternehmen bei einem Cloud-Projekt helfen. Dazu gehören selbstverständlich auch die Sicherheitskonzepte für diese „neue“ Welt und damit auch die Zuteilung von Verantwortlichkeiten für Security.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ bestätigt Trend Micro erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. Trotz des klaren Betriebsmodells der Cloud machen die Teams weiterhin einfache Fehler oder übersehen, die von ihnen genutzten Dienste in der Cloud richtig zu konfigurieren.

Eine der Ursachen für Fehlkonfigurationen liegt im Missverständnis darüber, wer (Provider oder Unternehmen) wofür zuständig ist. In einem solchen Szenario erwarten Sicherheitsteams, zuständig für die Cloud im Unternehmen, von ihrem Provider, dass er Kontrollmechanismen zur Verfügung stellt und Monitoring für bestimmte Aspekte durchführt, obwohl diese Bereiche eigentlich in die Verantwortung des Teams fallen.

Ein leider häufig anzutreffendes Beispiel hierfür ist, wenn Teams virtuelle Maschinen oder Instanzen in der Cloud mit einem vorkonfigurierten Bereitstellungsdienst verwenden. In diesen Fällen hat der Cloud-Anbieter die Schritte vereinfacht, die erforderlich sind, um gängige Konfigurationen in der Cloud zum Laufen zu bringen. Doch sobald die Konfiguration läuft, liegt es in der Verantwortung des Teams im Unternehmen, die Lösung zu patchen, zu härten und zu warten.

Sicherheit in der Cloud funktioniert gemäß dem Shared Responsibility Model, das festlegt, wer für eine jede operative Aufgabe in der Cloud verantwortlich ist. Dabei ist Sicherheit nur eine Teilmenge dieser Aufgaben.

Das Modell an sich ist recht einfach:

Es gibt sechs Bereiche, in denen eine tagtägliche Arbeit erforderlich ist — angefangen von der physischen Sicherheit (Gebäude, in dem die Systeme sicher untergebracht sind, bezahlt werden usw.) bis hin zur Infrastruktur, Virtualisierung, Betriebssystemen, Anwendungen und Daten.

In einer traditionellen On-Premise-Umgebung ist das Unternehmen für alle sechs Bereiche verantwortlich. Diese Arbeit wird normalerweise auf mehrere Teams aufgeteilt, aber letztendlich unterstehen sie alle einer Person innerhalb der Organisation, in der Regel dem CIO. Bei einer Migration in die Cloud, wird mindestens die Hälfte der Verantwortlichkeiten an den Cloud-Provider übergeben.

Bei Services auf Infrastrukturebene (IaaS), wie etwa die Instanzen oder virtuellen Maschinen, übernehmen Unternehmen die Verantwortung auf der Ebene des Betriebssystems. Die Konfiguration und Wartung des Betriebssystems liegt vollständig bei dem Team des Unternehmens.

Je mehr es um abstraktere oder SaaS-artige Dienste geht, desto weniger Verantwortlichkeiten tragen die Firmen selbst.  Das bedeutet, dass sie sich auf weniger Bereiche konzentrieren können, um die Sicherheit zu gewährleisten.

Vertrauen und Prüfen

Natürlich sollte sich kein Sicherheitsprofi lediglich auf die Zusage des Cloud-Service Providers verlassen, ohne zu verifizieren, ob er die Verantwortung gemäß des Modells wahrnimmt. Dafür gibt es Compliance-Attestierungen, etwa PCI-DSSSOC1 oder ISO 27001. Auch kann ein Unternehmen jederzeit eine Kopie der Audit-Ergebnisse für ein bestimmtes Compliance-Framework von seinem Provider anfordern.

Eine weitere Ursache für Fehlkonfigurationen liegt in einfachen Fehlern. Die Cloud ist ein Verstärker, denn mit einem einzigen API-Call lässt sich das Äquivalent eines ganzen Rechenzentrums starten. Die Kehrseite der Medaille ist, dass kleinere Teams für eine größere Vielfalt an technischen Stacks und Diensten verantwortlich sind. Einfache Fehler, die zu unnötigen Risiken führen, sind da unvermeidlich. Hier gilt es, soweit wie möglich zu automatisieren. Dadurch werden Fehler insgesamt reduziert, und die Fehler, die dennoch vorkommen, sind konsistent und leichter zu beheben.

Cloud-Sicherheitsverantwortliche im Unternehmen

  • InfoSec – Die Abteilung muss wohl an erster Stelle genannt werden, ist sie doch für die gesamte Informationssicherheit innerhalb einer Organisation zuständig. Und da es auch im Rahmen der Cloud-Migration um den Umgang mit „Informationen“ geht, muss InfoSec involviert sein, wenn es um den Zugang zum Monitoring der mit einer Organisation verbundenen Sicherheit und Risiken geht.
  • Cloud Architekt – Diese Position ist wichtig, um nicht den Fehler zu begehen, einfach die alten Prinzipien des On-Premise-Betriebs in die Cloud zu übertragen. Eine agile Plattform, die für die Automatisierung jedes Vorgangs, einschließlich der Sicherheit, gebaut wurde, sollte im Mittelpunkt stehen.
  • IT / Cloud Ops – Dabei kann es sich um dieselben oder verschiedene Teams handeln. Wenn mehr und mehr Ressourcen in die Cloud verlagert werden, wird ein IT-Team weniger Verantwortung für die physische Infrastruktur haben, da diese nun ein Cloud-Anbieter betreibt. Sie werden selbst eine „Migration“ durchlaufen müssen, um neue Fähigkeiten für den Betrieb und die Sicherung einer hybriden Umgebung zu erlernen.

Aktuell: Netflix-Betrugsmasche in Zeiten des Coronavirus

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Trend Micro Research untersuchte eine neue Betrugsmasche und Phishing-Taktik, die über den Facebook Messenger ausgeführt wird.

Es geht um Nachrichten, die ein kostenloses zweimonatiges Netflix Premium-Abo versprechen:

Bild 1. Schnappschuss der betrügerischen SMS

Eine Short URL (hxxps://bit[.]ly/34phlJE) wird über Facebook Messenger geschickt und leitet die nichtsahnenden Opfer auf zwei mögliche Seiten um.

Erstes Szenario

Ist der Nutzer bereits in sein Facebook-Konto eingeloggt, wird er einfach weiter auf eine gefälschte Netflix-Seite umgeleitet:

Bild 2. Betrügerische Netflix-Seite

Die Seite greift die Facebook-Anmeldeinfos des Opfers ab und erzeugt ein aktives Abo für eine App namens „NeTflix“ in Facebook. Die App ist lediglich ein Hinweis darauf, dass der Nutzer bereits kompromittiert ist. Klickt ein bereits abonnierter Nutzer abermals auf den bösartigen Link, so wird er auf eine zweite Seite umgeleitet (siehe zweites Szenario).

Zweites Szenario

Nutzer, die nicht in ihrem Facebook-Konto angemeldet sind, werden auf die Facebook-Anmeldeseite umgeleitet und nach Angabe ihrer Login-Infos an die betrügerische Seite aus dem ersten Szenario weiter geleitet.

Klickt der Nutzer den „Not now“-Button an, wird er zur gefälschten Netflix-Seite geleitet. Hier findet er ein gefälschtes Netflix-Angebot und eine Umfrage mit Fragen zu COVID-19 und den eigenen Sauberkeitsgepflogenheiten. Die Betrüger nutzten kostenlose, neu erstellte Domänen, die keinen Bezug zu Netflix haben.

Bild 3. Betrügerisches Netflix-Angebot

Zuletzt wird der Nutzer aufgefordert, die Umfrage mit zwanzig Freunden oder fünf Gruppen zu teilen oder diese aufzufordern, die Umfrage ebenfalls auszufüllen, bevor er fortfahren kann und das gefälschte kostenlose Netflix-Abo erhält.

Unabhängig davon, ob Benutzer am Ende der Umfrage auf ‚Senden‘ oder ‚Weiter‘ klicken, werden sie auf dieselbe Seite weitergeleitet – eine Facebook-Freigabeaufforderung. In diesem nächsten Schritt werden die Opfer erneut angehalten, bösartige Links über „Teilen“ für Facebook-Kontakte zu verbreiten. Danach soll sich der Nutzer bei Facebook anmelden. Nach der Anmeldung werden sie zu einem automatisch generierten Beitrag weitergeleitet. Wenn Sie auf „Post“ klicken, wird ein Status über den bösartigen Link auf der Facebook-Seite des Nutzers gepostet.

Trend Micro hat die folgenden URLs als bösartig erkannt und sie bereits blockiert:

  • hxxp://bit[.]ly/3ec3SsW — flixx.xyz
  • hxxp://bit[.]ly/2x0fzlU — smoothdrive.xyz
  • hxxp://bit[.]ly/39ZIS5F — flixa.xyz

Empfehlungen

Diese Art von Angriffen lassen sich vermeiden:

  • Keine Links oder geteilte Dateien aus unbekannten Quellen anklicken.
  • Prüfen, ob die geteilte Information aus einer legitimen Quelle stammt.
  • Prüfen der URLs oder Websites, die nach persönlichen Informationen fragen.
  • Keine persönlichen Informationen oder Anmeldedaten an nicht verifizierte Sites geben.

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen liefern die entsprechenden Blogeinträge. Darüber hinaus sind dies die aktuellen Zahlen zu COVID-19 bezogenen Bedrohungen im ersten Quartal 2019.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Untersuchung: Fehlkonfigurationen als größtes Risiko für den sicheren Cloud-Betrieb

Originalbeitrag von Morton Swimmer, Fyodor Yarochkin, Joey Costoya, Roel Reyes, Trend Micro Research

Bis 2021 werden über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen, so die Prognose der Marktforscher von Gartner. Mit zunehmender Verbreitung von Cloud-Plattformen aber sehen sich IT- und DevOps-Teams auch mit zusätzlichen Risiken und Unsicherheiten in Bezug auf die Sicherung ihrer Cloud-Instanzen konfrontiert. Es gibt viele Faktoren, die zur Gefährdung von Workloads und Anwendungen führen können, einschließlich von Fehlkonfigurationen, unsachgemäßem Einsatz von Technologie, mangelnder Erfahrung im Betrieb und in der Sicherung von Cloud-Systemen oder auch nur ein bloßes Versehen seitens der Entwickler oder Cloud-Ingenieure. Außerdem sind die Komponenten von Cloud-Systemen auf vielfältige Weise miteinander verbunden, so dass potenzielle Angriffsvektoren schwer nachzuvollziehen sind.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ fand Trend Micro Bedrohungen und Sicherheitslücken in mehreren Schlüsselbereichen des Cloud-Computings. Der Bericht bestätigt erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. So identifiziert die Sicherheitsplattform Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag. Die Zahl verdeutlicht, wie weit verbreitet dieses Problem ist.

„World-Write“ für Amazon S3 Buckets

Amazon Web Services (AWS) hat sich zu einem der wichtigsten Anbieter für Cloud-Infrastruktur entwickelt. Dabei ist Amazon Simple Storage Service (Amazon S3) wahrscheinlich das am weitesten verbreitete Produkt.

Die Untersuchung hat ergeben, dass eines der häufigsten Risiken darin besteht, dass Anwender Amazon S3 Buckets mit dem Recht „World-Write“ konfigurieren – ein Fehler, der nicht autorisierten Nutzern Schreibprivilegien für das Bucket zugesteht. Telemetriedaten aus dem Trend MicroTM Smart Protection NetworkTM zeigten auch, dass während des gesamten Jahres 2019 Angriffe auf Websites mit „World-Write“-Rechten für die Buckets erfolgten –einige mit dem Einschleusen bösartigen Codes und Datendiebstahl aus Website-Formularen.

Des Weiteren stießen die Forscher auf als bösartig eingestufte Dateien, die in Amazon S3-Buckets gehostet wurden. Viele von ihnen verwenden das alte Adressierungsschema, dem zufolge der Bucket einen generischen Amazon S3-Hostnamen verwendet, im Gegensatz zum virtuell gehosteten Schema, bei dem der Name des Buckets im Hostnamen enthalten ist. Dies stellt Sicherheitsfilter vor Probleme, denn das Blockieren des Hostnamens einer bösartigen Website mit altem Adressierungsschema führt unweigerlich dazu, dass auch andere nicht bösartige Websites blockiert werden.

Containertechnologie ist ein weiterer sehr erfolgreicher Bereich im Cloud-Computing der letzten Jahre. Software wie Docker, Kubernetes und AWS Lambda haben die Containertechnologie vorangebracht, denn sie bieten leichtgewichtige und effiziente Cloud-Bereitstellungsmöglichkeiten. Doch auch hier kommt es häufig zu Ausfällen oder Fehlern bei der Konfiguration, so dass Systeme der Gefahr von Angriffen ausgesetzt sind, die sich diese Fehlkonfigurationen zunutze machen. Einzelheiten zu den Risiken der jeweiligen Container beschreibt der Originalbeitrag.

Unsachgemäßes Credential-Management

Die Verwendung von Credentials ist einer der wichtigsten Aspekte des Cloud Computing, wenn auch oft vernachlässigt. Da sich ein Cloud-System nicht wie ein Rechenzentrum physisch absichern lässt, ist der Bedarf an starker Credential-Sicherheit noch deutlicher. Eine Herausforderung bei der Sicherung von Credentials besteht darin, dass viele Prozesse auf Daten und andere Ressourcen zugreifen müssen, die eine Authentifizierung erfordern. Dies bedeutet, dass Benutzer sowohl die Daten als auch die Credentials vor unbefugtem Zugriff schützen müssen.

Programmierer machen häufig den Fehler, ihre Zugangsinformationen unbeabsichtigt in öffentlichen Repositories wie GitHub zu publizieren. Vertrauliche Daten wie API-Schlüssel sind manchmal in Codeteilen online zu finden und können dann von einem Angreifer dazu verwendet werden, um das Account, zu dem die Credentials gehören, zu übernehmen. Er kann dann wiederum den kompromittierten Account für eine Reihe bösartiger Zwecke einsetzen, so etwa den Diebstahl von Kundendaten, die er schließlich im Untergrund verkauft.

Ein weiteres Problem ist, dass viele unerfahrene Programmierer oft irreführende Cloud-Tutorials befolgen, die die harte Kodierung von Anmeldedaten im Code selbst propagieren. Dies aber wird zu einem Risiko, sobald der Code in einem Repository veröffentlicht wird, wo er für jedermann zugänglich ist.

Empfehlungen

IT-Mitarbeiter können die Vorteile von Cloud-nativen Tools nutzen, um diese Risiken zu minimieren. Sie sollten sich laut des Berichts aber nicht ausschließlich auf diese Werkzeuge verlassen.

Trend Micro empfiehlt verschiedene Best Practices, um Cloud-Instanzen abzusichern:

  • Umsetzung des „Least-Privilege-Prinzips“: Beschränkung des Zugangs auf diejenigen, die ihn benötigen.
  • Das Modell der geteilten Verantwortung verstehen: Obwohl Cloud-Anbieter über eigene Sicherheitsmaßnahmen verfügen, sind Kunden für die Sicherung ihrer Daten selbst verantwortlich.
  • Prüfen von falsch konfigurierten und ungeschützten Systemen: Tools wie Conformity können schnell und einfach Fehlkonfigurationen in Cloud-Umgebungen erkennen.
  • Integration von Sicherheitsmaßnahmen in die DevOps-Kultur: Das Thema Sicherheit sollte von Anfang an in den DevOps-Prozess integriert werden.

Fazit

Mit zunehmender Verbreitung der Cloud-Services ist es von entscheidender Bedeutung, dass sich Organisationen umfassend über die Bedrohungen, denen sie ausgesetzt sind, informiert und angemessen auf die Sicherung ihrer Cloud-Systeme vorbereitet sind. Die Bedrohungen, die Trend Micro im Rahmen dieser Untersuchung analysiert hat, decken nicht alle Risiken in der Cloud ab, aber  einige der wichtigsten. Dies ist besonders wichtig für IT- und Sicherheitspersonal, das sowohl die Struktur der Cloud als auch die zu ihrer Absicherung erforderlichen Strategien verstehen muss.

Aktuell: Coronavirus hat Hochkonjunktur in Untergrundforen und -märkten

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neben den aktuellen Kampagnen, beherrscht das Coronavirus auch die Untergrundforen.

Update 1. April

Untergrundforen und cyberkriminelle Marktplätze funktionieren auf dieselbe Weise wie legitime Handelsplätze: Die Anbieter achten auf die Weltnachrichten und Märkte und verdienen Geld, indem sie die jeweiligen Marktbedürfnisse bedienen.

Bild 1. Ein beliebtes Untergrundforum hat begrenzte Coronavirus-Preise geschaffen, bei denen man ein Toilettenpapier oder ein „Coronavirus“-Symbol kaufen kann, um es dem Benutzerprofil hinzuzufügen.

Wie immer bei Naturkatastrophen oder großen Weltereignissen missbrauchen Cyberkriminelle auch die aktuelle Coronavirus-Pandemie (COVID-19) in Untergrundforen und bieten im Zusammenhang mit COVID-19 Phishing, Exploits und Malware an. So verlangt ein Forumsnutzer 200 $ für einen privaten Build eines Coronavirus Phishing Exploits und weitere 700 $ für ein Code Signaturzertifikat.

Bild 2. Coronavirus Phishing Exploit in einem russischen Untergrundforum

Des Weiteren nutzen Cyberkriminelle die Tatsache aus, dass die Menschen in vielen Ländern zum Teil Mühe haben, sich mit dem Notwendigen zu versorgen. Toilettenpapier und Gesichtsmasken sind sehr gefragt. Das Trend Micro Forward-Looking Threat Research (FTR) Team stellte fest, dass in zahlreichen Untergrundforen inzwischen Artikel wie N95-Masken, Toilettenpapier, Ventilatoren, Thermometer und andere krisenspezifische Artikel verkauft werden. Es gibt Angebote für N95-Masken für je 5 $ und Toilettenpapierrollen für 10 $. Bei sinkenden Lagerbeständen gibt es Diskussionen in den Untergrundforen, ob jetzt ein guter Zeitpunkt wäre, in Bitcoins zu investieren. Der Wert der Bitcoins ist innerhalb eines Monats von 8.914 $ (27. Februar) auf 6.620 $ (27. März) gesunken.

Bild 3. Angebot von N95-Masken in einem Forum

Einige Verkäufer verwenden „Coronavirus“ als Stichwort im Titel oder im Text ihrer Werbung, um den Verkauf zu steigern. Auch wird darüber diskutiert, wie das Virus für Social-Engineering-Betrügereien eingesetzt werden kann. Um etwa die Verifizierung bei großen Transaktionen zu umgehen, könnte der Nutzer erwähnen, dass das überwiesene Geld für ein vom Virus betroffenes Familienmitglied bestimmt war oder dass eine Ausgangssperre ihn daran hinderte, die Transaktion persönlich abzuschließen.

Bild 4. Darkweb-Marktplatz bietet „coronavirus Sale” für Marijuana an

Auch Untergrundverkäufer haben Umsatzeinbuße, weil weniger Menschen Geld ausgeben. Die Untergrundgeschäfte, die abhängig sind von Strohmännern (Money Mules) und Dropshipping, gehen ebenfalls zurück, da die Strohmänner aus Angst vor dem Virus nicht mehr mitmachen. In mehreren Foren wird auch diskutiert, wie man sich vor COVID-19 schützen kann, wie man Handdesinfektionsmittel herstellt, wie mit den Ausgangssperren in den Städten zurechtzukommen ist und andere Fragen im Zusammenhang mit dem Virus.

Die Daten aus dem Trend Micro Smart Protection Network zeigen die Vielfalt der Bedrohungen, die COVID-19 zur Manipulation der Ziele einsetzen. Die Grafik hebt hervor, dass Spam der am häufigsten genutzte Vektor ist

Bild 5. Verteilung der Bedrohungen, die auf COVID-19 beruhen

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen im März liefern die entsprechenden Blogeinträge.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Fehlkonfigurierter AWS Cloud-Speicher: Daten von britischen Pendlern exponiert

Originalartikel von Trend Micro

Daten von britischen Pendlern, die das kostenlose WLAN in von Network Rail gemanagten Bahnhöfen (darunter London Bridge, Chelmsford, Colchester, Harlow Mill, Wickford, und Waltham Cross) nutzen, wurden aufgrund eines ungesicherten Cloud-Speichers von Amazon Web Services (AWS) unbeabsichtigt öffentlich einsehbar. Dies berichtet der Sicherheitsforscher Jeremy Fowler. Zu den exponierten Daten gehören solche zu Reisegewohnheiten der Pendler und Kontaktinformationen wie Email-Adressen oder Geburtsdaten. Ungefähr 10.000 Benutzer waren betroffen. Der Forscher entdeckte die Datenbank im Internet und stellte fest, dass sie nicht passwortgeschützt war. Die ungesicherte Datenbank könnte einen sekundären Einstiegspunkt für eine Malware-Infektion darstellen, so der Sicherheitsexperte.

Die undichte Stelle wurde dem WLAN-Provider C3UK gemeldet. Dieser erklärte, er sei der Meinung gewesen, der Speicher sei nur für ihn und das Sicherheitsteam zugänglich, und er wusste nicht, dass die Informationen öffentlich einsehbar wurden.

Die Firma hat inzwischen die exponierte Datenbank gesichert und behauptet, es handele sich dabei um eine Sicherungskopie der eigentlichen Datenbank. Der Anbieter gab auch bekannt, das Büro des britischen Datenschutzbeauftragten (Information Commissioner’s Office, ICO) nicht über den Vorfall zu informieren, da die exponierten Daten weder gestohlen wurden, noch hätten Dritte darauf zugegriffen.

Sicherheit für Cloud-Speicher

Die Risiken, die von ungesicherten Daten ausgehen, machen deutlich, wie wichtig es ist, die Compliance zu den Vorschriften zum Schutz der Daten und der Privatsphäre zu gewährleisten, so wie es die Datenschutz-Grundverordnung (DSGVO), der Datensicherheitsstandard der Zahlungskartenindustrie (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA) vorgeben. Diese Vorschriften fordern von den Unternehmen eine adäquate Sicherung von persönlich identifizierbaren Informationen, wobei jede Verletzung von Compliance-Anforderungen zu einer Geldstrafe führen kann.

Um Cloud-Speicherplattformen bestmöglichst zu schützen, sollten Unternehmen Best Practices für die stärkere Kontrolle der Authentifizierung und des Identitäts- und Zugriffsmanagements umsetzen. Zudem ist eine sorgfältige Konfiguration der Sicherheitseinstellungen von zentraler Bedeutung.

Zusätzlich unterstützen Sicherheitslösungen, die speziell für Cloud-Umgebungen konzipiert sind, Unternehmen beim Schutz ihrer Daten. Trend Micro Cloud One™ Cloud Conformity Security ist darauf ausgerichtet, Sicherheit für die Cloud-Infrastruktur in Echtzeit zu gewährleisten. Zudem unterstützt sie durch die Automatisierung von Sicherheits- und Konformitätsprüfungen Unternehmen bei der Einhaltung von Vorschriften wie DSGVO, PCI-DSS, HIPAA und bei der Umsetzung der branchenüblichen Best Practices für Cloud-Plattformen und -Dienste. Auch bietet die Lösung vollständige Transparenz, ein vereinfachtes Reporting und nahtlose Workflow-Integration.

Der Einsatz weiterer Lösungen für die Cloud fügt eine zusätzliche Schutzschicht hinzu. Trend Micro™ Cloud One™ File Storage Security sichert Cloud-Datei- und Objekt-Storage. Trend Micro™ Hybrid Cloud Security sichert hybride Umgebungen für physische, virtuelle und Cloud-Workloads. Trend Micro™ Deep Security™ for Cloud dient der proaktiven Erkennung auch von unbekannten Bedrohungen, während Trend Micro™ Deep Security as a Service speziell auf den Schutz von AWS, Azure und VMware-Systemen ausgerichtet ist.