IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

Quelle: Bubbers BB / Shutterstock.com
LinkedInXingPocketWhatsAppFlipboard

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen Seite der Macht, wenn es um die Sicherheit ihrer Daten und Assets geht. Die Diversifizierung und Komplexität von Cyberbedrohungen haben ihr Aufgabenfeld unabhängig von Größe und Branche dramatisch erweitert. Aufgeben gilt nicht.

Was hilft, ist ein genauer Blick auf die aktuelle Bedrohungslandschaft und auf Technologien, die helfen, das Tempo der Cyberkriminellen mitzugehen und langfristig die Nase vorne zu behalten.

Anzeige

Zu den größten Bedrohungen für Unternehmen gehören Brute-Force Angriffe, Passwortdiebstahl, nicht gepatchte Schwachstellen und andere netzwerkbasierte Angriffe auf Endgeräte. Auch Angriffe per E-Mail bleiben ein großes Problem: Die Finanzabteilung und die oberen Managementebenen in Marketing und HR sind die Hauptziele von Spear-Phishing-E-Mails, wobei die Sicherheitsregeln laut einer aktuellen Studie am häufigsten von der Geschäftsleitung verletzt werden (57 Prozent) (1). Das demotiviert IT- und Sicherheitsteams, die ohnehin bereits überlastet und unterbesetzt sind. Hinzu kommt: Der Mangel an Cybersicherheitskenntnissen ist bedrohlich wie nie – laut der Studie sind 53 Prozent der Befragten IT-Sicherheitsexperten der Meinung, dass die Sicherheit ihrer Organisation darunter leidet. Aufgrund dieses fehlenden Fachwissens glauben 91 Prozent der Sicherheitsexperten, dass die meisten Unternehmen für einen signifikanten Cyberangriff anfällig sind, und 94 Prozent denken, dass Cyberkriminelle in diesem Wettlauf die Oberhand gewonnen haben.

Bedrohungen für Unternehmen

Einige der größten Bedrohungen und Angriffe, die auf Unternehmen abzielen – unabhängig von Größe und Branchenzugehörigkeit – betreffen internetbasierte Dienste wie RDP, SSH, SMB und HTTP. Brute-Force-Angriffe auf RDP-Dienste machen laut Bitdefender-Telemetrie über 65 Prozent aller netzwerkbasierten Angriffe aus. Cyberkriminelle sondieren oft internetfähige Dienste und Endpunkte für RDP-Verbindungen, bei denen sich jemand außerhalb des Unternehmens remote einwählen kann. Sobald sie sich auf dem Zielcomputer befinden, versuchen sie, die Sicherheitslösung herunterzufahren und manuell Bedrohungen wie Ransomware oder Lateral Movement Tools zu implementieren, um zusätzliche Rechner innerhalb der Infrastruktur zu infiltrieren.

Wenn das RDP nicht ordnungsgemäß konfiguriert und gesichert ist, kann es als Gateway innerhalb des Unternehmens fungieren und den Eindringlingen den Zugriff auf sensible interne Ressourcen ermöglichen. Brute Forcing von Passwörtern ist dabei eine Möglichkeit, um Informationen wie Log-In-Daten zu erhalten oder sogar mehrere verteilte Anfragen an einen Server zu senden, um nach gültigen Zugangsdaten zu suchen. Es wird auch versucht, ungepatchte Schwachstellen in RDP-Diensten auszunutzen, um Code aus der Ferne auszuführen und die Kontrolle über diese Gateways zu erlangen. Einer der jüngsten Angriffsvektoren, die von Bedrohungsakteuren zur Gefährdung von Unternehmen verwendet werden, ist beispielsweise eine kürzlich aufgetretene wurmfähige Sicherheitslücke im Microsoft RDP-Dienst, die es Angreifern ermöglicht, die Fernsteuerung gefährdeter Systeme zu übernehmen (BlueKeep – CVE-2019-0708).

Diese Art von Angriff ist branchenunabhängig – das Unternehmen muss lediglich einen öffentlich zugänglichen Server betreiben. Im Erfolgsfall können sich Angreifer lateral über die Infrastruktur bewegen und andere Server oder Endpunkte kompromittieren. Damit erreichen sie Persistenz, können auf hochvertrauliche Daten zuzugreifen und diese exfiltrieren oder Malware einsetzen, die das Unternehmen lähmt oder Spuren verwischt.

Bedrohungsakteure bevorzugen auch Angriffe, die auf Webserver über SQL- oder Befehlsinjektion abzielen. Sie können Funktionen zur Ausführung von Code auf der Maschine aktivieren und diese als Gateway oder Drehpunkt für Querbewegungen innerhalb des Unternehmens verwenden. Ebenso SMB-Exploits – sie sind für Cyberkriminelle zu einer häufigen Angriffstaktik geworden, da SMB-Server oft auf Windows-Domain-basierten Netzwerk-Architekturen liegen, so dass alle Mitarbeiter Dokumente aus diesen Netzwerkfreigaben kopieren können. Durch die Gefährdung dieser kleinen und mittleren Server durch Exploits wie EternalBlue oder DoublePulsar können Angreifer sie als Einstiegspunkte nutzen.

Die Kompromittierung von Active Directory ist für Cyberkriminelle ebenso interessant: Bitdefender-Untersuchungen haben ergeben, dass Angreifer den AD-Server eines Unternehmens in weniger als zwei Stunden erfolgreich infiltrieren können. Im besagten Fall gelang es ihnen mithilfe eines kompromittierenden E-Mail-Anhangs, der vom Mitarbeiter eines Finanzinstituts geöffnet wurde, ausgewählte Maschinen in der Infrastruktur zu kompromittieren und sich heimlich innerhalb der Infrastruktur zu bewegen.

Wenn sich cyberkriminelle Gruppen darauf konzentrieren, bestimmte Fachbereiche gezielt anzusprechen und zu kompromittieren, haben sie ein tiefes Verständnis dafür, wie deren Infrastrukturen funktionieren, wo sich kritische Daten befinden können und welche Cybersicherheitsmaßnahmen das Unternehmen möglicherweise bereitstellt. Im Folgenden finden sich die bedeutendsten netzwerkbasierten Angriffe, denen Unternehmen laut der Bitdefender-Telemetrie ausgesetzt sind:

Attack.Bruteforce.RDP
PrivacyThreat.PasswordStealer.HTTP.Internal
PrivacyThreat.PasswordStealer.HTTP
Exploit.SMB.ExeCriticalLocation
Exploit.HTTP.ShellShock
Exploit.HTTP.DirectoryTraversal
Exploit.SMB.CVE-2017-0144.EternalBlue
sav_malware
PrivacyThreat.PrivateDataLeakage.HTTP.Alert
Attack.PortScanning
Bot.DGA.filtered
Exploit.CommandInjection.Gen.8
Attack.Bruteforce.FTP
Exploit.HTTP.CVE-2017-5638
Exploit.CommandInjection.29
Attack.LocalFileInclusion.5
Exploit.LoginTooLong.SMB
Suspicious.TorActivity
Attack.LocalFileInclusion.36

Die meisten Angriffe erfolgen mit kostenlosen Open-Source-Tools, was bedeutet, dass es für Cyberkriminelle eine geringe Eintrittsbarriere gibt. Bedrohungsakteure, die sehr gezielte Angriffe durchführen wollen, benötigen jedoch fortgeschrittene Netzwerkkenntnisse und benutzerdefinierte Tools, um einen APT-Angriff (Advanced Persistent Threat) durchzuführen. Wollen Unternehmen dieser dunklen Seite der Macht etwas entgegensetzen, müssen sie sich auf Technologien zur Abwehr von Netzwerkangriffen konzentrieren. Diese identifizieren und kategorisieren die Netzwerkprozesse und weisen auf Seitwärtsbewegungen, Malware-Infektionen, Web-Service-Angriffe, bösartigen Datenverkehr durch Botnets oder TOR/Onion-Verbindungen und Datenschutzverletzungen durch unsichere Passwörter oder sensible Daten hin.

Fortschrittliche Technologien sind ein Muss

Technologien zur Verhaltensanalyse, zur Korrelation mehrerer Ereignisse und zur Analyse von Netzwerken erhöhen die Chancen für Unternehmen, Verletzungen und Datendiebstahl zu vermeiden. Incident Response Narrative, also Use Cases und Anleitungen, wie Bedrohungen zu behandeln sind, sind die Zukunft der IT-Sicherheit. Sie helfen, den akuten Mangel an Sicherheitskenntnissen zu beheben, der die Branche plagt.

Automatisierte Echtzeit-Netzwerkverkehrskontroll- und Präventionstechnologien, die dem Netzwerkverkehr keine Leistungseinbußen hinzufügen, können die Daten im Streaming-Modus scannen und Bedrohungen bereits beim ersten Anzeichen eines fehlerhaften Datenpakets blockieren. Das bedeutet, dass der bösartige Datenverkehr nicht einmal die lokale Anwendung oder Maschine erreicht und den Angriff effektiv stoppt.

Mit einer Event-Korrelations-Engine, die von IoC-Feeds (Indicators of Compromise) gespeist wird, identifiziert und kategorisiert die Abwehrtechnologie verdächtiges Netzwerkverhalten. Auch die Verwendung von Machine-Learning-Algorithmen zur Identifizierung bestimmter Angriffsvektoren – wie Protokolle oder gerätespezifische Anomalieerkennung – kann Unternehmen helfen, sich gegen Bedrohungen auf Netzwerkebene zu schützen. Die Möglichkeit, diese netzwerkbasierte Bedrohungsintelligenz mit EDR-Funktionen (Endpoint Detection and Response) zu kombinieren, unterstützt Unternehmen dabei, ihr Netzwerk als Ganzes zu schützen und Transparenz über den gesamten Technologiestack, vom Netzwerk bis zum Betriebssystem, zu schaffen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit: Die Angriffskette brechen

Fortschrittlichen Netzwerk-Angriffsabwehrtechnologien sind ein Muss, will man den neuen Formen von Cyberattacken wirkungsvoll entgegentreten. Diese Technologien können neue Arten von Bedrohungen früher in der Angriffskette erkennen und blockieren, indem sie mehrere Angriffsvektoren korrelieren, die sowohl Signaturen als auch verhaltensbasiertes maschinelles Lernen verwenden. Einer der vielleicht wichtigsten Aspekte einer Netzwerk-Verteidigungstechnologie, die sich problemlos in die EDR-Plattform einfügt, ist die Fähigkeit, komplexe nicht-deterministische Ereignisse zu erkennen und gleichzeitig neue Seitenbewegungserkennungen von MITRE zu unterstützen. Auf diese Weise können sich Unternehmen ein vollständiges Bild von ihrem gesamten Cybersicherheitsstatus über die gesamte Infrastruktur machen und der dunklen Seite der Macht dauerhaft die Stirn bieten.


Bogdan

Botezatu

Bitdefender -

Director of Threat Research and Reporting

Anzeige

Weitere Artikel

Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Cyber & Cloud Security
US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services
Business Software
Hypershield: Sicherheit für das KI-Zeitalter
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.