VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Cybercrime Totenkopf 725880445 500

Sicherheitsforscher haben die Entdeckung der APT (Advanced Persistent Threat) Slingshot gemeldet. Als Angriffsvektor bei dieser anspruchsvollen Cyberspionagekampagne dienten kompromittierte Router des Herstellers Mikrotik. 

Vectra hat sich diese aktuelle Cyberbedrohung näher angesehen, um aufzuzeigen, wie sich Unternehmen vor solchen Angriffen besser schützen können. Zudem haben die Sicherheitsexperten ergründet, wie diese Router gehackt wurden und welche Lektionen daraus abgeleitet werden können.

Dazu erklärt Gérard Bauer, VP EMEA bei Vectra: "Angesichts der Komplexität, der gut getarnten Vorgehensweise und der funktionsreichen Konstruktion von Slingshot dürften die Akteure über umfassende technische Fähigkeiten verfügen. Die Angriffsziele, darunter Einzelpersonen und Regierungsbehörden, deuten auf einen nationalstaatlich initiierten Angriff hin."

Welche Lektionen können aus diesem Angriff abgeleitet werden?

  • Produktentwickler müssen ihr digitales Supply Chain-Risiko besser verwalten. Hier gilt es, Fragen zu stellen, einschließlich, wie und wo Softwarebibliotheken und -module, die in ihren Produkten zum Einsatz kommen, kompromittiert werden könnten und wie dies erkannt werden kann. Welche Qualitätssicherung gibt es bei der Auswahl und Verwendung von Drittanbieter-Code und welche Herkunft hat der Code? Gibt es reguläre Maßnahmen wie eine digitale Signatur und Zertifikate zur Validierung des Codes und wurde nichts manipuliert?
  • Patchen, Patchen, Patchen. Es ist eine altbekannte Weisheit, aber sicherzustellen, dass immer die neuesten Code-Versionen verwendet werden, reduziert das Risiko bekannter Sicherheitslücken.
  • Verbindungen und Benutzer im Heimnetz weisen in der Regel eine geringe Verteidigung auf, weshalb sie von Kriminellen oft ins Visier genommen werden. Angreifer können einen kompromittierten PC benutzen, um in eine Unternehmensumgebung zu gelangen. Mobilität und BYOD bringen Risiken mit sich, die eine rasche Erkennung und Reaktion auf die subtilen Indikatoren für Kompromittierungen innerhalb des Unternehmensnetzwerks erfordern. Die meisten Unternehmen verfügen über eine Perimeterabwehr (meist Firewalls) und eine Antiviren-Endpunktlösung auf ihren PCs. Viele Unternehmen bleiben jedoch blind für schädliche Aktivitäten, die in ihrem internen Netzwerk stattfinden, wenn Angreifer die Daten orchestrieren, umkonfigurieren und verschieben, sich Privilegien aneignen sowie Daten stehlen oder manipulieren. Die Tatsache, dass Slingshot eine sechs Jahre alte Kampagne ist, zeigt, dass die Lücke in der Bedrohungserkennung besonders bei fortschrittlichen Angriffen nach wie vor besteht.
  • IoT- und Infrastrukturgeräte sind oft leichter zu kompromittieren und zum Koordinieren von Angriffen zu verwenden. Sub-OS-Root-Kits umgehen vollständig die Sicherheitskontrollen auf Betriebssystemebene, und viele IoT-Geräte haben schlechte Sicherheitsarchitekturen. Abgesehen davon, dass Betriebssystem und Firmware auf dem neuesten Stand gehalten werden, ist es wichtig, bösartiges Verhalten von IoT- und Infrastrukturgeräten zu erkennen. Die Sicherheitsforscher von Vectra demonstrierten beispielsweise, wie man eine IP-Kamera in eine Netzwerk-Backdoor verwandelt, ohne deren Betrieb zu beeinträchtigen.

Wie können sich Unternehmen gegen diese Art von Angriffen verteidigen?

Kein Verteidigungsansatz ist vollkommen. Aus diesem Grund müssen Unternehmen ihre Erkennungs- und Reaktionsfähigkeiten ausbauen, um sicherzustellen, dass sie über eine anpassungsfähige Sicherheitsarchitektur verfügen, die Bedrohungen schnell erkennt und darauf reagiert. Eine gesunde Paranoia ist notwendig, was bedeutet, zu einer „Wir sind bereits kompromittiert“-Mentalität überzugehen.

Während herkömmliche Signaturansätze beim Aufspüren zuvor nicht gesehener und unbekannter Bedrohungen nutzlos sind, gibt es mehrere Möglichkeiten, um unsichtbare APTs zu entdecken, die im Unternehmen aktiv sind. Dazu ist ein verhaltensbasierter Ansatz erforderlich, um die sehr schwachen Kompromittierungssignale zu erkennen, die auf die Aktivität von Angreifern nach dem Eindringen innerhalb des Netzwerks hinweisen. Die Herausforderung besteht darin, dass die Aufgabe arbeitsintensiv, langsam und wenig effektiv ist, wenn sie manuell durchgeführt wird. Unternehmen, die diese „Erkennungslücke“ angehen, tendieren daher zunehmend zu automatisierten Tools zur Bedrohungssuche, die autonom operieren können.

Mithilfe von KI können Unternehmen verborgenes Verhalten von Angreifern erkennen, korrelieren und Beweise liefern sowie den Kontext des Angriffs abrufen. All dies lässt sich in den Reaktionsprozess für Sicherheitsvorfälle integrieren, um die Einleitung von Gegenmaßnahmen teilweise oder vollständig zu automatisieren. In dieser Hinsicht kann KI den Sicherheitsanalytikern Zeit einsparen, um schnelle, fundierte Entscheidungen zu treffen und gleichzeitig eine agile Reaktion auf aktive Bedrohungen zu ermöglichen. Auf diese Weise lässt sich die Verweildauer von Angreifern – und letztlich das Geschäftsrisiko – effektiv reduzieren.

Wie können sich Privatnutzer vor diesem Angriff schützen?

Private Nutzer, die zu Hause eine Internetverbindung herstellen, müssen ihre Geräte-Firmware und ihr Betriebssystem stets auf dem neuesten Stand halten. Dasselbe gilt für ihre Computer, zusätzlich zum Einsatz eines zuverlässigen Antiviren-Tools.

vectra.ai
 

GRID LIST
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
WannaCry

WannaCry: Auch nach einem Jahr noch gefährlich

Ein Jahr nach „WannaCry“ erinnert Avast an den bislang größten Angriff von…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security