Schlagwort-Archive: Schwachstellen

Boom für IT-Security als Managed Service – die Chance nutzen

Die Nachfrage nach Managed Security Services ist derzeit so hoch wie nie, und das aus vielerlei Gründen: Sei es die aktuelle angespannte Situation gerade für den Mittelstand, der chronische Mangel an qualifizierten Fachkräften oder die hohen Compliance-Anforderungen etwa aufgrund der DSGVO lässt Unternehmen über die Auslagerung ihrer Sicherheit nachdenken. IDC prognostiziert eine jährliche Wachstumsrate von mehr als 14 Prozent. Damit sind Managed Security Services eines der dynamischsten Segmente im Sicherheitsmarkt. So ist es nur verständlich, dass viele IT-Dienstleister diese Chance nutzen wollen, um ihren Kunden auch im Bereich der Sicherheit viel Arbeit und unter Umständen viel Ärger abzunehmen. Der Einstieg in Managed Services für die Sicherheit will aber gut vorbereitet sein, denn er bedeutet einen Transformationsprozess, bei dem viele Fragen zu beantworten sind.

Eine Umstellung auf Managed Service bedeutet für Dienstleister, dass sie die Beziehungen zu ihren Kunden auf eine ganz neue Ebene heben. Hier geht es um eine langfristige Beziehung, die auf einem starken Vertrauensverhältnis beruht. Gerade wenn es um Security geht, ist es wichtig, dass der Kunde nicht nur „auf dem Papier“ sicher ist, sondern sich auch stets so fühlt. Er muss die Gewissheit haben, dass sich ein erfahrener Dienstleister kompetent und dauerhaft um alle Sicherheitsbelange kümmert.

Auf den Sicherheitspartner kommt es an

Ein entscheidender Faktor für den Erfolg als Managed Service Provider (MSP) ist die Wahl des für ihn geeigneten Security-Herstellers als Partner. Dieser sollte ein umfangreiches Portfolio an Lösungen und vernetzten Sicherheitskontrollen mitbringen, die als Service betrieben werden können und Sicherheitsexperten als Unterstützung zur Seite stellen. Trend Micro mit über 30 Jahren Erfahrung im Security-Markt und umfassenden vernetzten Sicherheits-Tools und -lösungen als Schutz vor Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte bietet MSPs gute Unterstützung bei ihren Projekten.

Mit Worry-Free Business Services etwa steht eine umfassende Sicherheitslösung für E-Mail und Endpunkte zur Verfügung, die vollständig als Service betrieben wird. Die Lösung ist speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen mit begrenzten internen Ressourcen ausgerichtet. Sie kann zudem mit Worry-Free XDR um zusätzliche Funktionen für Detection and Response erweitert werden. Damit können gezielte Angriffe auf Endpunkte und E-Mail schneller erkannt und effektiv bekämpft werden.

Mit Managed XDR wiederum besteht die Möglichkeit, dass Bedrohungsexperten die von den Trend Micro Lösungen in der Umgebung bereitgestellten Daten zu Aktivitäten überwachen und analysieren. E-Mails, Endpunkte, Server, cloudbasierte Workloads und/oder Netzwerkquellen werden korreliert, um eine schnellere Erkennungen und eine höhere Transparenz der Quelle und der Verbreitung fortgeschrittener Angriffe zu erreichen.

MSP-Summit: Erfolgsstrategien und Praxis-Know-how

Interessierte können sich im Detail zum MSP-Programm von Trend Micro informieren.

Das Online-Event Managed Service Provider Summit am 24. Juni 2020 richtet sich an Partner in allen Phasen der Transformation zum MSP. Damit möchte Trend Micro seine Partner dabei unterstützen, diese Entwicklung in wiederkehrende Umsätze zu verwandeln. Das Online-Event liefert komprimierte Informationen zu:

  • MSP-Programm und Angebote von Trend Micro
  • Managed Services vom Endpunkt bis zur Cloud mit Trend Micro Cloud One, Worry-Free Services, Cloud App Security, Email Security und mehr
  • Plattformen für Automatisierung und verbesserte Profitabilität, inklusive Demo, Setup und Automatisierung
  • Aus der Praxis: zwei Trend Micro MSP-Partner geben einen Praxiseinblick in ihre erfolgreichen Angebote für One-to-Many bzw. One-to-One Managed Security Services und sprechen im Rahmen einer Paneldiskussion über die Chancen und Herausforderungen
  • Social Selling für Managed Service Provider: Mit Social Media Erfolg pushen – persönlich und für das Unternehmen; Gastsprecher: Evernine Group

Weitere Informationen und Registrierung finden Sie unter https://resources.trendmicro.com/MSP-Summit_2020_DE.html?

Report zeigt Cloud als eines der Hauptziele von Angriffen

Der gerade erschienene Data Breach Investigations Report“ (DBIR) von Verizon bietet seit nunmehr 12 Jahren interessante Einblicke in die aktuellen Trend in der Bedrohungslandschaft. Für den aktuellen Report wurden 32.000 „Vorfälle“ und fast 4.000 Diebstähle weltweit analysiert. Ganz allgemein fällt auf, dass 70% der Diebstähle im letzten Jahr von Tätern ausserhalb des Unternehmens begangen wurden – dies widerspricht der der weit verbreiteten Meinung, Innentäter seien die Hauptakteure. Weitere 22% wurden durch menschliche Fehler möglich. Zwei Haupttrends lassen sich aus dem Bericht herauslesen.

Zum einen steigt die Zahl der Cloud-Assets, die von Einbrüchen betroffen sind: In etwa einem Viertel (24%) dieser Vorfälle sind Bestandteile von Cloud-Systemen oder Services mit involviert. In den meisten Fällen (73%) wurde ein Email- oder Web-Anwendungsserver ins Visier genommen und bei 77% der Events nutzten die Angreifer vorher gestohlene Login-Informationen. Persönliche Daten sind immer häufiger betroffen, oder zumindest werden diese Diebstähle aufgrund gesetzlicher Bestimmungen öfter gemeldet. Bei 58% der Verstösse waren personenbezogene Daten beteiligt,  fast doppelt so viel wie letztes Jahr.

Diese große Beliebtheit von Phishing-Angriffen erklärt Verizon damit, dass Cyberkriminelle immer den schnellsten und einfachsten Weg für eine Kompromittierung wählen. Dies stimmt mit den Beobachtungen von Trend Micro überein. Der „Cloud App Security Report 2019“ zeigte einen jährlichen 35-prozentigen Anstieg der Credential Phishing-Versuche ab 2018.

86% der Übergriffe waren finanziell motiviert, wenngleich Spionage und fortgeschrittene Bedrohungen am meisten Aufsehen erregten. Der Credential-Diebstahl, Angriffe über Social Engineering (d.h. Phishing und Business Email Compromise) und Fehler verursachten die Mehrzahl der Einbrüche (67% oder mehr). Ransomware machte 27% der Malware-Vorfälle aus, und 18% der Unternehmen blockten mindestens eine Ransomware.

Auch erweitert sich die unternehmensweite Angriffsfläche, weil immer mehr Geschäftsprozesse und Daten in Cloud-Systeme migriert werden. Deshalb wird es für Unternehmen immer wichtiger, vertrauenswürdige Sicherheitspartner zu finden, die sie dabei unterstützen, den nativen Schutz zu verbessern, den Cloud Service Provider anbieten.

Zum anderen stellt der DBIR eine steigende Tendenz zu Cloud-basierten Datendiebstählen aufgrund von Fehlkonfigurationen fest. Der Bericht geht davon aus, dass 22 % der Einbrüche aufgrund von menschlichen Fehlern möglich waren, viele davon eben durch Konfigurationsprobleme. Typischerweise werden Cloud-Datenbanken oder Dateispeichersysteme infolge eines Fehlers eines Auftragnehmers oder Inhouse IT-Admins im Internet exponiert.

Auch dies ist ein Bereich, den Trend Micro bereits als Bedrohung für Unternehmen hervorgehoben hat. Tatsächlich identifiziert Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen täglich.

Der langfristige Trend geht in Richtung einer stärkeren Migration in die Cloud, einer höheren Abhängigkeit von Web-Anwendungen für das Arbeiten an Remote-Standorten und zu mehr Komplexität, da Unternehmen in hybride Systeme von mehreren Anbietern investieren. Das bedeutet ein potenziell höheres Cyberrisiko, das CISOs meistern müssen.

Sicherheitsempfehlungen

In erster Linie sind gerade Cloud-Verantwortliche gut beraten, ein tiefes Verständnis dafür zu entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können. Des Weiteren sind Schulungen und Awareness-Programme für Mitarbeiter wichtig. Zudem sollten Best Practices befolgt werden, so etwa die Anwendung von Multi-Faktor-Authentifizierung bei Mitarbeiterkonten, Richtlinien für den Zugang mit den geringsten Privilegien und mehr.

Sicherheitslösungen wie Cloud App Security verbessert den Built-in-Schutz in Office 365, G Suite und für Cloud Dateisharing-Dienste, weil die Lösung Malware und Phishing-Versuche blocken kann. Trend Micro Cloud One – Conformity wiederum liefert automatisierte Sicherheits- und Compliance-Prüfungen, um Fehler bei der Konfiguration zu vermeiden und Cloud Security Posture Management nach Best Practices zu ermöglichen.

Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Unternehmen sind gerade dabei, ihre digitale Transformation auf den Weg zu bringen. Dabei setzen sie auf Vielfalt der heutzutage verfügbaren Cloud-basierten Technologien. Für Chief Security Officer (CSO) und Cloud-IT-Teams kann sich die Verwaltung der Cloud-Computing-Sicherheit für eine bestimmte Installation zuweilen schwierig gestalten, und das gerade wegen der Benutzerfreundlichkeit, Flexibilität und Konfigurierbarkeit von Cloud-Diensten. Administratoren müssen ein Verständnis dafür entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können.

Herkömmliche netzwerkbasierte Sicherheitstechnologien und -mechanismen lassen sich nicht einfach nahtlos in die Cloud migrieren. Gleichzeitig aber sind die Sicherheitsprobleme, vor denen ein Netzwerkadministrator steht, meist gleich: Wie lässt sich ein unbefugter Zugriff auf das Netzwerk verhindern und Datenverluste vermeiden? Wie kann die Verfügbarkeit sichergestellt werden? Wie lässt sich die Kommunikation verschlüsseln oder Teilnehmer in der Cloud authentifizieren? Und schliesslich wie kann das Sicherheits-Team Bedrohungen leicht erkennen und Schwachstellen in  Anwendungen aufdecken?

Geteilte Verantwortlichkeiten

Eigentlich hat Amazon die Konzepte „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“ eingeführt, um die gemeinsame Verantwortung von Anbietern und Kunden für die Sicherheit und Compliance in der Cloud zu klären. Anbieter sind hauptsächlich für den Schutz der Infrastruktur verantwortlich, in der alle in der Cloud angebotenen Services ausgeführt werden. Des Weiteren bestimmt eine gestaffelte Skala je nach dem gekauften Cloud-Service die direkten Verantwortlichkeiten des Kunden.

Praktisch bestimmen die verschiedenen Cloud Service-Modelle — Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) – welche Komponenten (von der physischen Infrastruktur, die die Cloud hostet, bis zu den Daten, die in der Cloud erstellt, verarbeitet und gespeichert werden) in der Verantwortung des Betreibers und welche in der des Kunden liegen, und wer demzufolge für die Sicherheit zu sorgen hat.

In einem PaaS-Modell wie Google App Engine, Microsoft Azure PaaS oder Amazon Web Services Lambda, kaufen Entwickler die Ressourcen für das Erzeugen, Testen und Ablaufen von Software. Daher sind sie als Nutzer generell für Anwendungen und Daten verantwortlich, während der Anbieter für den Schutz der Container-Infrastruktur und des Betriebssystems sorgen muss – mit einem unterschiedlichen Mass an Verantwortung, je nach der erworbenen spezifischen Dienstleistung.

Bild 1. „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“

Die Sicherheit der Cloud gehört zum Angebot des Cloud Providers. Dies wird durch vertragliche Vereinbarungen und Verpflichtungen, einschließlich Service-Level-Agreements (SLAs) zwischen dem Verkäufer und dem Kunden, sichergestellt. Leistungskennzahlen wie Betriebszeit oder Latenzzeit sowie Erwartungen hinsichtlich der Lösung eventuell auftretender Probleme, dokumentierter Sicherheitsfunktionen und unter Umständen sogar Strafen für mangelnde Leistung können in der Regel von beiden Parteien durch die Festlegung akzeptabler Standards gemanagt werden.

Die wichtigsten Herausforderungen für die Sicherheit

Unternehmen migrieren möglicherweise einige Bereiche in die Cloud, indem sie diese vollständig in der Cloud (auch bekannt als „cloud-nativ“) starten oder setzen ihre ausgereifte Cloud-basierte Sicherheitsstrategie um. Unabhängig davon, in welcher Phase sich ein Unternehmen auf seinem Weg in die Cloud befindet, sollten Cloud-Administratoren in der Lage sein, Sicherheitsoperationen durchzuführen, wie z.B. das Management von Schwachstellen, die Identifizierung wichtiger Netzwerkvorfälle, Incident Response aufzusetzen sowie Bedrohungsinformationen zu sammeln und entsprechende  Maßnahmen festzulegen – und das alles unter Einhaltung der relevanten Industriestandards.

Verwalten der Komplexität

Cloud-Implementierungen greifen nicht auf dieselbe Sicherheitsinfrastruktur zu wie On-Premises-Netzwerke. Die Heterogenität der Dienste in der Cloud macht es schwierig, kohärente Sicherheitslösungen zu finden. Cloud-Administratoren müssen jederzeit versuchen, eine hybride Umgebung zu sichern. Die Komplexität der Aufgabe ergibt sich aus der Tatsache, dass die Risiken bei Cloud Computing je nach der spezifischen Cloud-Bereitstellungsstrategie variieren. Dies wiederum hängt von den spezifischen Bedürfnissen der Cloud-Benutzer und ihrer Risikobereitschaft bzw. der Höhe des Risikos ab, welches sie zu übernehmen bereit sind. Aus diesem Grund ist Risikobewertung wichtig, und zwar nicht lediglich gemäss der veröffentlichten Best Practices oder der Einhaltung von Vorschriften entsprechend. Compliance-Richtlinien dienen jedoch als Grundlage oder Rahmen, der dazu beitragen kann, die richtigen Fragen zu den Risiken zu stellen.

Übersicht erhalten

Infolge der Möglichkeit, Cloud-Dienste einfach zu abonnieren, geht der Wechsel innerhalb der Unternehmen immer schneller, und Kaufentscheidungen liegen plötzlich nicht mehr im Zuständigkeitsbereich der IT-Abteilung. Dennoch bleibt die IT-Abteilung weiterhin für die Sicherheit von Anwendungen, die mit Hilfe der Cloud entwickelt wurden, verantwortlich. Die Herausforderung besteht darin, wie sichergestellt werden kann, dass die IT-Abteilung jede Interaktion in der Cloud einsehen und sichern kann, und der Wechsel und Entwicklung trotzdem effizient bleiben.

Sicherheitsrisiken und Bedrohungen in der Cloud

Die Trend Micro-Untersuchung der bekanntesten Sicherheitsfallen in Cloud-Implementierungen ergab, dass Fehlkonfigurationen die größte Schwäche für Cloud-Sicherheit darstellen. Das bedeutet, dass Cloud-Anwender beim Aufsetzen ihrer Cloud-Instanzen häufig wichtige Einstellungen übersehen oder diese unsicher ändern.

Bedrohungsakteure nutzen diese Fehlkonfiguration für verschiedene bösartige Aktivitäten aus – von allgemeinen bis zu sehr gezielten Angriffen auf eine bestimmte Organisation als Sprungbrett in ein anderes Netzwerk. Auch über gestohlene Login-Daten, bösartige Container und Schwachstellen in einem der Software Stacks können sich Cyberkriminelle Zutritt zu Cloud-Implementierungen verschaffen. Zu den Cloud-basierten Angriffen auf Unternehmen zählen auch folgende:

  • Cryptojacking: Bedrohungsakteure stehlen Unternehmen Cloud-Computing-Ressourcen, um nicht autorisiertes Kryptowährungs-Mining zu betreiben. Für den aufkommenden Netzwerkverkehr wird das Unternehmen zur Kasse gebeten.
  • E-Skimming: Dabei verschaffen sich Kriminelle Zugang zu den Webanwendungen eines Unternehmens, um bösartigen Code einzuschleusen, der finanzielle Informationen der Site-Besucher sammelt und damit schliesslich dem Ruf des Unternehmens schadet.
  • Nicht autorisierter Zugang: Dies führt zu Datenveränderungen, -diebstahl oder -exfiltrierung. Der Zweck dieser Aktionen kann der Diebstahl von Betriebsgeheimnissen sein oder Zugang zu Kundendatenbanken, um die dort geklauten Informationen im Untergrund zu verkaufen.

Die zu sichernden Bereiche in der Cloud

Bei der Festlegung der Anforderungen an ihre Cloud, sollten Cloud Builder bereits von Anfang an Sicherheit mit berücksichtigen. So lassen sich die Bedrohungen und Risiken vermeiden. Durch die Absicherung jedes der folgenden Bereiche, sofern relevant, können IT-Teams aktuelle und zukünftige Cloud-Implementierungen sicher steuern.

Netzwerk (Traffic Inspection, Virtual Patching)

Ein kritischer Teil des Sicherheitspuzzles, die Netzwerkverkehrs-Inspektion, kann die Verteidigungslinie gegen Zero-Day-Angriffe und Exploits für bekannte Schwachstellen bilden sowie über virtuelles Patching schützen. Eine Firewall in der Cloud unterscheidet sich nur geringfügig von einer herkömmlichen, da die Hauptherausforderung bei der Ausführung darin besteht, die Firewall so zu implementieren, dass Netzwerkverbindungen oder vorhandene Anwendungen nicht unterbrochen werden, unabhängig davon, ob es sich um eine virtuelle private Cloud oder ein Cloud-Netzwerk handelt.

Bild 2. Netzwerksicherheit in der Cloud muss den gesamten Unternehmensverkehr „sehen“ können, unabhängig von dessen Quelle.

Cloud-Instanz (Workload-Sicherheit zur Laufzeit)

Die Begriffe in der Sicherheit und die Paradigmen ändern sich, um dem Verständnis der zu schützenden Komponenten Rechnung zu tragen. In der Cloud bezeichnet das Konzept der Workload eine Einheit von Fähigkeiten oder das Arbeitsaufkommen, das in einer Cloud-Instanz ausgeführt wird. Der Schutz von Workloads vor Exploits, Malware und unbefugten Änderungen stellt eine Herausforderung dar, da sie in Server-, Cloud- oder Container-Umgebungen ausgeführt werden. Workloads werden nach Bedarf dynamisch gestartet, aber jede Instanz sollte sowohl für den Cloud-Administrator sichtbar sein als auch durch eine Sicherheitsrichtlinie geregelt werden.

Bild 3. Workloads sollten auf Bedrohungen überwacht werden, unabhängig von ihrer Art oder dem Ursprung.

DevOps (Container-Sicherheit)

Der Container hat sich in den letzten Jahren zur zentralen Software-Einheit in Cloud-Services entwickelt. Durch die Verwendung von Containern wird sichergestellt, dass Software unabhängig von der tatsächlichen Computing-Umgebung zuverlässig ablaufen kann. Deren Replikation kann kompliziert werden, wenn beispielsweise bestimmte Codes, Werkzeuge, Systembibliotheken oder sogar Softwareversionen auf eine bestimmte Art und Weise da sein müssen.

Bild 4. Container bestehen aus verschiedenen Code Stacks und Komponenten und sollten nach Malware und Schwachstellen gescannt werden.

Insbesondere für Entwickler und Operations-Teams wird die Integration der Sicherheit während der Softwareentwicklung immer wichtiger, da zunehmend Cloud-first App-Entwicklung eingesetzt wird. Das bedeutet, dass Container auf Malware, Schwachstellen (auch in Softwareabhängigkeiten), Geheimnisse oder Schlüssel und sogar auf Compliance-Verletzungen gescannt werden müssen. Je früher diese Sicherheitsüberprüfungen während des Builds stattfinden, — am besten im Continuous-Integration-and-Continuous-Deployment-Workflow (CI/CD) — desto besser.

Applikationen (Serverlos, APIs, Web Apps)

Auf einigen serverlosen oder Container-Plattformen lässt sich traditionelle Sicherheit nicht einsetzen. Dennoch müssen einfache und komplexe Anwendungen selbst genauso gut gesichert werden wie die anderen Bereiche. Für viele Unternehmen stellt die schnelle und effiziente Programmierung und Bereitstellung neuer Anwendungen einen wichtigen Treiber für ihren Weg in die Cloud dar. Aber diese Anwendungen sind auch möglicher Eintrittspunkt für Laufzeitbedrohungen wie das Einschleusen von Code, automatisierte Angriffe und Befehlsausführung aus der Ferne. Finden Angriffe statt, so müssen Cloud-Administratoren auf die Details zugreifen können.

Dateispeicher

Unternehmen betrachten die Cloud hauptsächlich oder teilweise als Möglichkeit, Storage von den On-Premise-Servern dahin auszulagern. Cloud-Speicher für Dateien oder Objekte können zur Quelle für Infektionen werden, wenn aus irgendeinem Grund eine bekannte bösartige Datei hochgeladen wurde. Deshalb sollte Scanning für jede Art von Datei, unabhängig von deren Grösse, verfügbar sein und zwar idealerweise bevor sie gespeichert wird. Nur so lässt sich das Risiko minimieren, dass andere Nutzer auf eine bösartige Datei zugreifen und sie ausführen können.

Compliance und Governance

Datenschutzregularien wie die europäische Datenschutz-Grundverordnung (DSGVO), Industriestandards wie der Payment Card Industry Data Security Standard (PCI-DSS) und Gesetze wie Health Insurance Portability and Accountability Act (HIPAA) haben direkte Auswirkungen auf Unternehmen, die Daten vor allem in der Cloud verarbeiten und speichern. Cloud-Administratoren müssen die Compliance-Anforderungen mit den Vorteilen der Agilität der Cloud abgleichen. Dabei muss Sicherheitstechnologie Unternehmen die Gewissheit geben, dass ihre Installationen den besten Sicherheitspraktiken entsprechen; andernfalls können die Geldstrafen, die sich aus unbeabsichtigten Verstössen ergeben können, die Kosteneinsparungen leicht zunichtemachen.

Cloud-Sicherheitstechnologien

Bei so vielen „beweglichen“ Teilen muss ein Unternehmen, das über eine Cloud-Sicherheitsstrategie nachdenkt, darauf achten, die notwendigen Sicherheitstechnologien zu straffen, vom Schutz vor Malware und Intrusion Prevention bis hin zu Schwachstellenmanagement und Endpoint Detection and Response. Die Gesamtsicherheitslösung muss die Anzahl der Tools, Dashboards und Fenster, die als Grundlage für die IT-Analyse dienen, klein halten. Gleichzeitig muss sie in der Lage sein, die abstrakten Netzwerkgrenzen des ganzen Cloud-Betriebs des Unternehmens überzeugend zu visualisieren — unabhängig davon, ob eine Aktivität, wie z.B. die On-the-Fly-Tool-Entwicklung durch einen der Entwickler, von der IT bewilligt wurde oder nicht.

Trend MicroTM Hybrid Cloud Security kann beispielsweise DevOps-Teams dabei unterstützen, sicher zu entwickeln, schnell zu liefern und überall auszuführen. Die Lösung bietet funktionsstarke, schlanke, automatisierte Sicherheit innerhalb der DevOps Pipeline und liefert mehrere XGenTM Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud-Workloads zur Laufzeit. Sie wird von der Cloud OneTM Platform unterstützt, die Unternehmen eine einheitliche Übersicht über die hybriden Cloud-Umgebungen liefert, sowie Sicherheit in Echtzeit durch Netzwerksicherheit, Workload-Sicherheit, Container-Sicherheit, Anwendungssicherheit, File Storage Security sowie Conformity-Dienste.

Unternehmen, die Security as Software für Workloads, Container Images sowie Datei- und Objektspeicher zur Laufzeit benötigen bietet Deep SecurityTM und Deep Security Smart Check Scans für Workloads und Container Images nach Malware und Schwachstellen während der Entwicklung-Pipeline.

Sicherheit bei Smart Manufacturing

In Zeiten von Industrie 4.0 setzen Unternehmen zunehmend auf intelligente Fertigungstechnologien (Smart Manufacturing). Dies bringt zahlreiche Vorteile mit sich, wie z.B. eine höhere Produktivität bei geringeren Kosten, aber damit gehen auch neue Angriffsvektoren einher, über die Bedrohungsakteure in intelligenten Fertigungsanlagen Fuss fassen oder sich lateral bewegen können. Im aktuellen Bericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ analysiert das Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit dem Politecnico di Milano (POLIMI) die Angriffsoberflächen für Industrie 4.0 sowie die Vielfalt spezifischer Angriffe auf heutige Roboter und die möglichen Folgen der Angriffe.

Smart Manufacturing beruht auf einer engen Integration zwischen IT- und Operational Technology (OT)-Systemen. Enterprise Resource Planning (ERP)-Software hat sich in Richtung Supply Chain Management (SCM) weiterentwickelt, das über Unternehmens- und Ländergrenzen hinweg alle Arten von Input sammelt und Endprodukte, Zahlungen und Funktionalität auf globaler Ebene liefert.

Supply Chain und Softwareentwicklung in Industrie 4.0

Jede Synergie erfüllt ein Geschäftsziel: Optimierung knapper Ressourcen über verschiedene Quellen hinweg; Minimierung der Herstellungs-, Liefer- und Lagerhaltungskosten über Regionen hinweg, Kontinuität des Betriebs durch Diversifizierung der Lieferanten oder Maximierung des Verkaufs über mehrere Lieferkanäle. Die Supply Chain beinhaltet nicht nur Rohmaterialien für die Fertigung, sondern auch Zulieferer von Komponenten, externe Mitarbeiter für nicht zum Kerngeschäft gehörende Funktionen, Open-Source-Software zur Optimierung der Entwicklungskosten und Subunternehmer für die Ausführung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes Element der Supply Chain stellt eine Angriffsfläche dar.

Softwareentwicklung ist seit langem eine Teamleistung. Nicht nur die Designs müssen im gesamten Team klar sein, auch das Testen erfordert eine enge Zusammenarbeit zwischen Architekten, Designern, Entwicklern und der Produktion. Teams identifizieren Geschäftsanforderungen und stellen dann eine Lösung aus Komponenten zusammen, die aus öffentlich zugänglichen Bibliotheken stammen. Diese Bibliotheken können weitere Abhängigkeiten von Fremdcode unbekannter Herkunft enthalten. Vereinfachtes Testen hängt von der Qualität der gemeinsam genutzten Bibliotheken ab, aber gemeinsam genutzte Bibliotheksroutinen können nicht entdeckte (oder absichtlich versteckte) Fehler aufweisen, die erst in einer anfälligen Produktionsumgebung zum Vorschein kommen. Wer testet GitHub? Das Ausmass dieser Schwachstellen ist gewaltig.

Industrieroboter als Gefahr

Innerhalb des Herstellungsbetriebs legt die Verschmelzung von IT und OT zusätzliche Angriffsflächen frei. Industrieroboter liefern ein deutliches Beispiel. Diese Präzisionsmaschinen sind darauf programmiert, anspruchsvolle Aufgaben schnell und fehlerfrei auszuführen. Programmierbare Roboter können verschiedene Materialkonfigurationen ohne Unterbrechungen produzieren. Sie werden überall in der Fertigung, im Lager, in Distributionszentren, in der Landwirtschaft, im Bergbau und bald auch in Lieferfahrzeugen eingesetzt. Die Supply Chain ist automatisiert worden.

Die Protokolle, von denen Industrieroboter abhängen, gehen von der Annahme aus, dass die Umgebung isoliert ist, und ein Controller die Maschinen an einem Standort steuert. Da die Verbindung zwischen dem Controller und den gesteuerten Robotern fest verdrahtet war, war eine Identifizierung des Operators oder eine Überprüfung der Nachricht nicht erforderlich. Jedes Gerät ging davon aus, dass alle seine Verbindungen extern verifiziert wurden. Die Protokolle enthielten keine Sicherheits- oder Datenschutzkontrollen. Dann übernahm Industrie 4.0 die drahtlose Kommunikation.

Die Angriffe

Zu den möglichen Eintrittspunkten für einen Angriff auf ein Smart Manufacturing-System zählen Engineering Workstations (ein von Domänen-Usern gemeinsam genutztes System, das mit der Produktionshalle verbunden ist), kundenspezifische industrielle Internet-of-things (IIoT)-Geräte mit besserer Automatisierungsflexibilität als klassische Automatisierungshardware wie PLCs oder auch Manufacturing Execution System (MES)-Datenbanken mit kritischen Daten (die DB ist implizit für den Rest des Systems vertrauenswürdig).

Dieser Wechsel zur drahtlosen Kommunikation, der die Kosten für die Kabelverlegung in der Fabrik einsparte, öffnete die Netzwerke für alle Arten von Angriffen. Die Bedrohungsakteure fälschen Befehle, modifizieren Spezifikationen, ändern oder unterdrücken Fehleralarme, modifizieren Ausgabestatistiken und schreiben Logs neu. Die Folgen können gewaltig und doch nahezu unbemerkt sein.

Sicherheitsempfehlungen

Unternehmen müssen konkrete Schritte unternehmen, um ihre Systeme zu schützen:

  • Auf Netzwerkebene sollte Deep Packet Inspection eingesetzt werden, die die wichtigen, relevanten OT-Protokolle unterstützt, um verdächtige Payloads zu entdecken.
  • Auf den Endpunkten sollten regelmässige Integritätsüberprüfungen stattfinden, um bei jeder modifizierten Softwarekomponente Alerts zu erhalten.
  • Für IIoT-Geräte sind Code-Signaturen erforderlich. Sie sollten sich jedoch nicht nur auf die endgültige Firmware beschränken, sondern auch alle anderen Abhängigkeiten einschliessen, um sie vor Bibliotheken Dritter zu schützen, die bösartige Funktionen verbergen könnten.
  • Die Risikoanalyse für Automatisierungssoftware sollte je nach Bedarf massgeschneidert werden. In Systemen, in denen z.B. kollaborative Roboter Seite an Seite mit Menschen arbeiten, sollte die Sicherheit auf der Firmware-Ebene implementiert werden.

Darüber hinaus ist es empfehlenswert, dass Unternehmen sich nicht nur vor aktuellen, sondern auch vor möglichen künftigen Bedrohungen schützen, indem sie das gleiche Level für die Sicherheitsvorkehrungen wählen, wie auch bei den sicheren Coding-Praktiken und Abwehrmassnahmen für Nicht-OT-Software wie mobile Anwendungen, Webanwendungen und Cloud-Umgebungen.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Prinzipien für die Cloud Migration – das „Was“ bei der Sicherheit

Originalbeitrag von Jason Dablow

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht zuletzt von den umgesetzten Sicherheitskonzepten für diese „neue“ Welt: Nach der Verteilung der Verantwortlichkeiten für Cloud-Security stellt der Blogeintrag die prinzipiellen Bereiche dar, die zur Sicherheit gehören und bereits vor der Inbetriebnahme von Workloads abgedeckt werden müssen.

Als Grundlage für die Ausführungen dient der Grundpfeiler „Security“ des Well-Architected Framework von AWS Amazon. Hier werden die Sicherheitskonzepte für ein Cloud-Design dargestellt.

Bild. Die fünf Grundpfeiler des Well-Architected Framework von AWS

Das Sicherheits-Framework umfasst sieben Prinzipien:

  • Eine starke Identitätsgrundlage aufbauen
  • Nachvollziehbarkeit ermöglichen
  • Sicherheit in allen Schichten anwenden
  • Automatisieren von Best Practices für die Sicherheit
  • Schutz für Daten In-Transit und At-Rest
  • Personen von Daten fernhalten
  • Auf Sicherheitsvorfälle vorbereitet sein

Eine Reihe dieser Prinzipien lässt sich mit Hilfe nativer Cloud-Services umsetzen, die auch am einfachsten zu implementieren sind. Das Framework liefert aber keine Anregungen dazu, wie diese Services aufzusetzen oder zu konfigurieren sind. So mag das Framework Multifaktor-Authentifizierung als erforderlichen Schritt für die Identity und Access Management-Policy nennen, doch ist dies nicht standardmäßig aktiviert. Das Gleiche gilt für Dateiobjekt-Verschlüsselung. Sie kann eingesetzt werden, ist aber nicht unbedingt bereits aktiviert.

Hilfe bietet hier eine Trend Micro-eigene Wissensdatenbank mit Hunderten von Cloud-Regeln, die auf das Well-Architected Framework (und andere) abgestimmt sind. Zur Multifaktor-Authentifizierung etwa gibt es dort einen Artikel, der die vier „R“ beschreibt: Risiko, Reason (umfasst das Was der Regel), Rationale (umfasst das Warum) und Referenzen dazu, warum Multifaktor-Authentifizierung (MFA) eine Sicherheits-Best Practices ist. Weitere Details zu diesem Beispiel enthält der Originalbeitrag.

Live Webinare von Trend Micro

Treffen Sie im Mai unsere Experten zu verschiedenen Themen in unseren für Sie aufbereiteten Webinaren.
Melden Sie sich noch heute an.

Schutz vor Schwachstellen mit virtuellem Patching – Trend Micro Deep Security
Datum: 11. Mai, Zeit: 11:00 – 11:30 Uhr –> Anmelden
Referent: Elias Kickinger, Sales Engineer
oder alternativ
Datum: 25. Mai, Zeit: 14:00 – 14:30 Uhr –> Anmelden
Referent: Elias Kickinger, Sales Engineer

Sicherheitslücken und wie sie geschlossen werden können – das ist in der IT-Welt kein neues Thema. Umso mehr überrascht es, dass das Problem auch heute nicht gelöst ist und periodisch an die Oberfläche schwappt, immer dann, wenn eine alte Betriebssystemvariante, wie z.B. Windows Server 2008, abgekündigt wird. Dabei gibt es Methoden, die damit verbundenen Risiken zu beseitigen oder zumindest einzudämmen. Die erfolgreichste in diesem Zusammenhang – „virtuelles Patchen“.

Erweiterte Bedrohungsabwehr und Datensicherheit für Office 365, Gmail und Cloud-Filesharing Dienste – Trend Micro Cloud App Security
Datum: 20. Mai, Zeit: 14:00 – 14:30 Uhr –> Anmelden
Referent: Daniel Bühler, Technical Consultant
oder alternativ
Datum: 29. Mai, Zeit: 11:00 – 11:30 Uhr –> Anmelden
Referent: Daniel Bühler, Technical Consultant

Beim Einsatz von cloudbasierten Unternehmensanwendungen wie Microsoft® Office 365, Box, Dropbox und Google Drive müssen Unternehmen in puncto Sicherheit noch wachsamer sein als je zuvor. Diese Anwendungen werden zwar in einer sicheren Umgebung bereitgestellt, aber Unternehmen tragen gemeinsam die Verantwortung für den Schutz der Inhalte der Anwendungen.

Endpunktsicherheit neu definiert – Apex One, automatische und intelligente Komplettlösung von Trend Micro (onPremise oder SaaS)
Datum: 19. Mai, Zeit: 10:00 – 10:30 Uhr –> Anmelden
Referent: Daniel Bühler, Technical Consultant
oder alternativ
Datum: 27. Mai, Zeit: 14:00 – 14:30 Uhr –> Anmelden
Referent: Daniel Bühler, Technical Consultant

Trend Micro™ Apex One™ bietet fortschrittliche, automatisierte Erkennung und Abwehr der ständig wachsenden Vielzahl von Bedrohungen, einschließlich dateiloser Angriffe und Ransomware. Das fortschrittliche EDR-Toolset, starke SIEM-Integration und offene APIs bieten Ihnen sofort verwertbare Erkenntnisse, erweiterte Untersuchungsmöglichkeiten und zentrale Transparenz. Apex One stellt Erkennung, Abwehr und Untersuchung von Bedrohungen in einem einzigen Agenten bereit. Sie sind nicht länger auf mehrere Anbieter und Konsolen angewiesen und können die Flexibilität von SaaS- und On-Premises-Optionen nutzen.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Untersuchung: Fehlkonfigurationen als größtes Risiko für den sicheren Cloud-Betrieb

Originalbeitrag von Morton Swimmer, Fyodor Yarochkin, Joey Costoya, Roel Reyes, Trend Micro Research

Bis 2021 werden über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen, so die Prognose der Marktforscher von Gartner. Mit zunehmender Verbreitung von Cloud-Plattformen aber sehen sich IT- und DevOps-Teams auch mit zusätzlichen Risiken und Unsicherheiten in Bezug auf die Sicherung ihrer Cloud-Instanzen konfrontiert. Es gibt viele Faktoren, die zur Gefährdung von Workloads und Anwendungen führen können, einschließlich von Fehlkonfigurationen, unsachgemäßem Einsatz von Technologie, mangelnder Erfahrung im Betrieb und in der Sicherung von Cloud-Systemen oder auch nur ein bloßes Versehen seitens der Entwickler oder Cloud-Ingenieure. Außerdem sind die Komponenten von Cloud-Systemen auf vielfältige Weise miteinander verbunden, so dass potenzielle Angriffsvektoren schwer nachzuvollziehen sind.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ fand Trend Micro Bedrohungen und Sicherheitslücken in mehreren Schlüsselbereichen des Cloud-Computings. Der Bericht bestätigt erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. So identifiziert die Sicherheitsplattform Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag. Die Zahl verdeutlicht, wie weit verbreitet dieses Problem ist.

„World-Write“ für Amazon S3 Buckets

Amazon Web Services (AWS) hat sich zu einem der wichtigsten Anbieter für Cloud-Infrastruktur entwickelt. Dabei ist Amazon Simple Storage Service (Amazon S3) wahrscheinlich das am weitesten verbreitete Produkt.

Die Untersuchung hat ergeben, dass eines der häufigsten Risiken darin besteht, dass Anwender Amazon S3 Buckets mit dem Recht „World-Write“ konfigurieren – ein Fehler, der nicht autorisierten Nutzern Schreibprivilegien für das Bucket zugesteht. Telemetriedaten aus dem Trend MicroTM Smart Protection NetworkTM zeigten auch, dass während des gesamten Jahres 2019 Angriffe auf Websites mit „World-Write“-Rechten für die Buckets erfolgten –einige mit dem Einschleusen bösartigen Codes und Datendiebstahl aus Website-Formularen.

Des Weiteren stießen die Forscher auf als bösartig eingestufte Dateien, die in Amazon S3-Buckets gehostet wurden. Viele von ihnen verwenden das alte Adressierungsschema, dem zufolge der Bucket einen generischen Amazon S3-Hostnamen verwendet, im Gegensatz zum virtuell gehosteten Schema, bei dem der Name des Buckets im Hostnamen enthalten ist. Dies stellt Sicherheitsfilter vor Probleme, denn das Blockieren des Hostnamens einer bösartigen Website mit altem Adressierungsschema führt unweigerlich dazu, dass auch andere nicht bösartige Websites blockiert werden.

Containertechnologie ist ein weiterer sehr erfolgreicher Bereich im Cloud-Computing der letzten Jahre. Software wie Docker, Kubernetes und AWS Lambda haben die Containertechnologie vorangebracht, denn sie bieten leichtgewichtige und effiziente Cloud-Bereitstellungsmöglichkeiten. Doch auch hier kommt es häufig zu Ausfällen oder Fehlern bei der Konfiguration, so dass Systeme der Gefahr von Angriffen ausgesetzt sind, die sich diese Fehlkonfigurationen zunutze machen. Einzelheiten zu den Risiken der jeweiligen Container beschreibt der Originalbeitrag.

Unsachgemäßes Credential-Management

Die Verwendung von Credentials ist einer der wichtigsten Aspekte des Cloud Computing, wenn auch oft vernachlässigt. Da sich ein Cloud-System nicht wie ein Rechenzentrum physisch absichern lässt, ist der Bedarf an starker Credential-Sicherheit noch deutlicher. Eine Herausforderung bei der Sicherung von Credentials besteht darin, dass viele Prozesse auf Daten und andere Ressourcen zugreifen müssen, die eine Authentifizierung erfordern. Dies bedeutet, dass Benutzer sowohl die Daten als auch die Credentials vor unbefugtem Zugriff schützen müssen.

Programmierer machen häufig den Fehler, ihre Zugangsinformationen unbeabsichtigt in öffentlichen Repositories wie GitHub zu publizieren. Vertrauliche Daten wie API-Schlüssel sind manchmal in Codeteilen online zu finden und können dann von einem Angreifer dazu verwendet werden, um das Account, zu dem die Credentials gehören, zu übernehmen. Er kann dann wiederum den kompromittierten Account für eine Reihe bösartiger Zwecke einsetzen, so etwa den Diebstahl von Kundendaten, die er schließlich im Untergrund verkauft.

Ein weiteres Problem ist, dass viele unerfahrene Programmierer oft irreführende Cloud-Tutorials befolgen, die die harte Kodierung von Anmeldedaten im Code selbst propagieren. Dies aber wird zu einem Risiko, sobald der Code in einem Repository veröffentlicht wird, wo er für jedermann zugänglich ist.

Empfehlungen

IT-Mitarbeiter können die Vorteile von Cloud-nativen Tools nutzen, um diese Risiken zu minimieren. Sie sollten sich laut des Berichts aber nicht ausschließlich auf diese Werkzeuge verlassen.

Trend Micro empfiehlt verschiedene Best Practices, um Cloud-Instanzen abzusichern:

  • Umsetzung des „Least-Privilege-Prinzips“: Beschränkung des Zugangs auf diejenigen, die ihn benötigen.
  • Das Modell der geteilten Verantwortung verstehen: Obwohl Cloud-Anbieter über eigene Sicherheitsmaßnahmen verfügen, sind Kunden für die Sicherung ihrer Daten selbst verantwortlich.
  • Prüfen von falsch konfigurierten und ungeschützten Systemen: Tools wie Conformity können schnell und einfach Fehlkonfigurationen in Cloud-Umgebungen erkennen.
  • Integration von Sicherheitsmaßnahmen in die DevOps-Kultur: Das Thema Sicherheit sollte von Anfang an in den DevOps-Prozess integriert werden.

Fazit

Mit zunehmender Verbreitung der Cloud-Services ist es von entscheidender Bedeutung, dass sich Organisationen umfassend über die Bedrohungen, denen sie ausgesetzt sind, informiert und angemessen auf die Sicherung ihrer Cloud-Systeme vorbereitet sind. Die Bedrohungen, die Trend Micro im Rahmen dieser Untersuchung analysiert hat, decken nicht alle Risiken in der Cloud ab, aber  einige der wichtigsten. Dies ist besonders wichtig für IT- und Sicherheitspersonal, das sowohl die Struktur der Cloud als auch die zu ihrer Absicherung erforderlichen Strategien verstehen muss.

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.