Mehr serverseitige Exploits und Angriffe gegen Industrienetze

Skybox Security veröffentlicht seinen ersten Vulnerability and Threat Trends Report. Der Report beschäftigt sich mit den Schwachstellen, Exploits und Bedrohungen aus dem Jahr 2017 und wurde von den Analysten des Skybox Research Lab erstellt, um Organisationen dabei zu unterstützen, ihre IT-Sicherheitsstrategie mit der derzeitigen Bedrohungslandschaft in Einklang zu bringen.

Ein wichtiger Trend der vergangenen Jahre: Cyberkriminalität ist ein lukrativer Markt geworden. Ein wesentlicher Bestandteil dieses Ansatzes besteht darin, dass Cyberkriminelle den Weg des geringsten Widerstands gehen: Anstatt neue Angriffstools zu entwickeln, werden vorhandene genutzt, um möglichst viele Opfer gleichzeitig anzugreifen und „low hanging fruits“ zu ernten, also vermeintlich leichte Opfer ins Visier zu nehmen. Der Report zeigt, dass nun auch jene Assets zu diesen „Früchten“ gehören, die im Allgemeinen besonders schwierig zu patchen sind.

Anstieg an Exploits bei serverseitigen Anwendungen

Die überwiegende Mehrheit der Exploits betraf 2017 serverseitige Anwendungen (76 Prozent). Im Vergleich zu 2016 ist dies ein Anstieg um 17 Prozentpunkte. Ron Davidson, Chief Technology Officer von Skybox, weist darauf hin, dass der Umgang mit serverseitigen Schwachstellen immer schwieriger ist. Dies liege daran, dass beim Schutz solch höherwertiger Assets mehr berücksichtigt werden müsse als nur die Frage, ob ein Patch verfügbar ist oder nicht. „Von Servern hängen viel mehr Funktionen ab als von Clients“, sagt Davidson. „Unternehmen müssen über die Mittel verfügen, diese serverseitigen Schwachstellen in ihrem Kontext zu verstehen. Dies beinhaltet die Kritikalität der Assets, die umgebende Topologie und Sicherheitskontrollen sowie Informationen zu aktuell ausgenutzten Exploits. Erst dann lassen sich Patches optimal priorisieren und zeitlich einplanen.“

Der Anstieg bei serverseitigen Exploits geht einher mit dem anhaltenden Rückgang von Exploit-Kits für clientseitige Schwachstellen. Lediglich ein Viertel der ausgenutzten Exploits entfiel 2017 auf clientseitige Schwachstellen. Dies ist zum Teil auf das Verschwinden großer Exploit-Kits wie Angler, Neutrino und Nuclear zurückzuführen, für die bislang kein vergleichbarer Ersatz beobachtet werden konnte.

„Das heißt jedoch nicht, dass die Zeiten von Exploit-Kits vorbei sind“, sagt Marina Kidron, Senior Security Analyst und Gruppenleiterin am Skybox Research Lab. „Wenn wir eines über Cyberkriminelle wissen, dann, dass sie ständig ihre Taktiken ändern. Daher ist das nächste große Exploit-Kit höchstwahrscheinlich bereits in der Entwicklung. Wir vermuten auch, dass einige Kits nun ausschließlich von ihren Entwicklern genutzt und nicht mehr mit dem Schwarzmarkt geteilt werden, in der Hoffnung, deren Existenzdauer zu verlängern.“

Auch die Anzahl an neu veröffentlichten Entwürfen von Exploit-Codes hat sich erhöht, im monatlichen Durchschnitt um ganze 60 Prozent. Diese Entwürfe können mit minimalen oder sogar ohne jegliche Anpassungen von Angreifern in voll funktionsfähige Exploits zum Eigengebrauch umgewandelt werden. Ein Beispiel für ein solches Szenario ist der EternalBlue-Exploit der NSA, der von der als „Shadow Brokers“ bekannten Hackergruppierung veröffentlicht und unter anderem bei den WannaCry- und NotPetya-Angriffen verwendet wurde. Solche Leaks bringen fortschrittliche Angriffswerkzeuge in die Hände von weniger qualifizierten Cyberkriminellen und erweitern die Fähigkeiten einer ohnehin bereits gut ausgestatteten Bedrohungslandschaft.

„Organisationen müssen nicht nur mit aktuell kursierenden Exploits Schritt halten, sondern auch Schwachstellen berücksichtigen, für die bereits ein Exploit-Code verfügbar ist”, sagt Kidron. „Obwohl diese keine unmittelbare Bedrohung darstellen, können sie sehr schnell aktiv ausgenutzt werden. Für diesen Fall benötigen Sicherheitsteams sofort griffbereite Intelligence-Daten, die sie in Handlungen umsetzen können.“

In kritischen Infrastrukturen fehlt der Einblick ins Netzwerk

Der Report zeigt außerdem, dass im Jahr 2017 die Zahl der neuen Schwachstellen für Operational Technology (OT) im Vergleich zum Vorjahr um 120 Prozent gestiegen ist. OT umfasst Geräte, die physisches Equipment und Prozesse sowohl überwachen als auch verwalten und wird insbesondere in kritischen Infrastrukturen von Energieerzeugern, Versorgungsunternehmen und der verarbeitenden Industrie eingesetzt. Dieser Anstieg der bekannten Schwachstellen ist besonders besorgniserregend, da viele Organisationen entweder unzureichende oder gar keine Einblicke in ihr OT-Netzwerk haben. In der Regel ist ein Scannen des OT-Netzwerks nicht erlaubt, so dass Schwachstellen in diesen Bereichen unzugänglich bleiben.

„Wir tappen bei OT zu oft im Dunkeln und das bedeutet auch, dass das Cyber-Risiko für eine Organisation nicht vollumfänglich erfasst werden kann“, sagt Kidron. „Selbst wenn Patches für entdeckte Schwachstellen existieren, zögern OT-Ingenieure aus nachvollziehbaren Gründen, das Update zu installieren. Es besteht immer die Gefahr, dass es Dienste stört oder Geräte beschädigt und damit eine Gefahr für Leib und Leben auslöst. Organisationen mit OT-Netzwerken müssen Sicherheitsstrategien in der Schublade haben, die OT-Schwachstellen bewerten und Patches priorisieren. Es geht aber auch darum, diese Prozesse mit denen im IT-Netzwerk zu vereinigen und Risiken dadurch wirklich verstehen und verwalten zu können.“

Verdopplung der Zahl an neu entdeckten Schwachstellen im Jahr 2017

Mit über 14.000 neu registrierten CVEs verdoppelte sich im Jahr 2017 die Anzahl der Schwachstellen, die in der Datenbank der US-amerikanischen MITRE Organisation erfasst wurden. Dieser Anstieg ist größtenteils auf organisatorische Verbesserungen bei MITRE und mehr Forschung durch Dritte – darunter ein herstellerfinanziertes Bug-Bounty-Programm – zurückzuführen. Unabhängig davon ist der Anstieg an Schwachstellen für die IT-Teams eine große Herausforderung. „Für alle, die sich 2017 noch auf traditionelle Priorisierungsmethoden wie CVSS-Scores verlassen haben, ist die Tätigkeit zu einer Sisyphos-Arbeit geworden“, sagt Davidson. „Es ist wahrscheinlich, dass die Zahl registrierter Schwachstellen 2018 weiter steigen wird. Organisationen müssen deshalb einen komplett anderen Ansatz für ihr Schwachstellen-Management wählen.“

Skybox empfiehlt hierfür ein Schwachstellen-Management, das sich auf Bedrohungen fokussiert (Threat Centric Vulnerability Management, TCVM), um sich auch zukünftigen Veränderungen in der Bedrohungslandschaft anzupassen. Beim TCVM-Ansatz analysieren Sicherheitsteams die Schwachstellen aus einer übergreifenden Perspektive auf Unternehmen, Netzwerk und Bedrohungen und konzentrieren sich auf diejenige Teilmenge der Schwachstellen, die am wahrscheinlichsten bei einem Angriff ausgenutzt wird.

Der vollständigen Bericht sollte hier zum Download stehen.