Thought Leadership
Das Tor-Projekt stellt eines der bekanntesten Werkzeuge zur Verfügung, mit dem Nutzer im Internet anonym bleiben können. Tor wird aus vielen verschiedenen Gründen genutzt, sowohl für harmlose als auch für bösartige Zwecke.
Wenn man jedoch den Tor-Verkehr in Unternehmensnetzwerken zulässt, öffnet man Tür – und Tor – für eine Vielzahl von Missbrauchsmöglichkeiten und Sicherheitsrisiken. Um diese zu verhindern bzw. zu vermeiden wird emppfohlen, Tor in Unternehmensnetzwerken zu blockieren.
Chancen und Risiken von Tor
Tor bietet seinen Nutzern Anonymität – sowohl für gutartige als auch für kriminelle Zwecke. Politische Aktivisten nutzen Tor, um ihre Meinung zu äußern, ohne von ihrer Regierung beobachtet zu werden. Cyberkriminelle nutzen Tor, um ihre Identität vor den Strafverfolgungsbehörden zu verbergen und die Verteidigung zu umgehen. Tor ist aber auch berüchtigt dafür, dass es den Betrieb von Dark-Web-Marktplätzen wie Silk Road ermöglicht, wo Kunden eine breite Palette illegaler Waren wie Drogen, Waffen und gefälschte Ausweisdokumente erwerben können. Malware-Autoren sind in Tor regelmäßig aktiv, um Denial-of-Service-Angriffe (DoS), heimliche Auskundschaftung, Ausnutzung von Schwachstellen, Command-and-Control-Kommunikation und Datenexfiltration durchzuführen.
Unternehmen sind über diese Risiken des Tor-Verkehrs zunehmend besorgt. So können Mitarbeiter auf Tor zurückgreifen, um Inhaltssperren zu umgehen (z.B. die Sperrung von Erwachseneninhalten oder Glücksspielseiten), wie sie von den Diensten Palo Alto Networks DNS Security und Advanced URL Filtering bereitgestellt werden. Benutzer können auch geografische Beschränkungen von Diensten umgehen oder illegale Waren unkontrolliert über Tor kaufen. Um zu unterstreichen, wie wichtig es ist, den Tor-Verkehr im Unternehmen zu überwachen oder zu blockieren, hat Unit 42 innerhalb eines Monats 6.617.473 Sessions von oder zu 691 Geräten in 204 Kundennetzwerken beobachtet.
Das Fazit der Bedrohungsforscher
Da Cyberkriminelle Tor häufig für kriminelle Zwecke nutzen, ist es ratsam, den Tor-Datenverkehr in Unternehmen generell zu blockieren.
Threat Prevention Lösungen sorgen unter anderem dafür, Tor-Datenverkehr zu filtern. Kunden können so etwa eine verifizierte und integrierte Tor Exit IP External Dynamic Listen nutzen, um Verbindungen von Tor Exit Nodes zu blockieren. Zusätzlich lässt sich der Tor-Verkehr im Unternehmensnetzwerk mit dem Traffic-Klassifizierungssystem App-ID blockieren. Darüber hinaus können Unternehmen Cortex XDR nutzen, um auf Tor-bezogene Aktivitäten auf Endgeräten, im Netzwerk oder in der Cloud aufmerksam zu machen und darauf zu reagieren.
www.paloaltonetworks.de
