VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Cybercrime Totenkopf 725880445 500

Sicherheitsforscher haben die Entdeckung der APT (Advanced Persistent Threat) Slingshot gemeldet. Als Angriffsvektor bei dieser anspruchsvollen Cyberspionagekampagne dienten kompromittierte Router des Herstellers Mikrotik. 

Vectra hat sich diese aktuelle Cyberbedrohung näher angesehen, um aufzuzeigen, wie sich Unternehmen vor solchen Angriffen besser schützen können. Zudem haben die Sicherheitsexperten ergründet, wie diese Router gehackt wurden und welche Lektionen daraus abgeleitet werden können.

Dazu erklärt Gérard Bauer, VP EMEA bei Vectra: "Angesichts der Komplexität, der gut getarnten Vorgehensweise und der funktionsreichen Konstruktion von Slingshot dürften die Akteure über umfassende technische Fähigkeiten verfügen. Die Angriffsziele, darunter Einzelpersonen und Regierungsbehörden, deuten auf einen nationalstaatlich initiierten Angriff hin."

Welche Lektionen können aus diesem Angriff abgeleitet werden?

  • Produktentwickler müssen ihr digitales Supply Chain-Risiko besser verwalten. Hier gilt es, Fragen zu stellen, einschließlich, wie und wo Softwarebibliotheken und -module, die in ihren Produkten zum Einsatz kommen, kompromittiert werden könnten und wie dies erkannt werden kann. Welche Qualitätssicherung gibt es bei der Auswahl und Verwendung von Drittanbieter-Code und welche Herkunft hat der Code? Gibt es reguläre Maßnahmen wie eine digitale Signatur und Zertifikate zur Validierung des Codes und wurde nichts manipuliert?
  • Patchen, Patchen, Patchen. Es ist eine altbekannte Weisheit, aber sicherzustellen, dass immer die neuesten Code-Versionen verwendet werden, reduziert das Risiko bekannter Sicherheitslücken.
  • Verbindungen und Benutzer im Heimnetz weisen in der Regel eine geringe Verteidigung auf, weshalb sie von Kriminellen oft ins Visier genommen werden. Angreifer können einen kompromittierten PC benutzen, um in eine Unternehmensumgebung zu gelangen. Mobilität und BYOD bringen Risiken mit sich, die eine rasche Erkennung und Reaktion auf die subtilen Indikatoren für Kompromittierungen innerhalb des Unternehmensnetzwerks erfordern. Die meisten Unternehmen verfügen über eine Perimeterabwehr (meist Firewalls) und eine Antiviren-Endpunktlösung auf ihren PCs. Viele Unternehmen bleiben jedoch blind für schädliche Aktivitäten, die in ihrem internen Netzwerk stattfinden, wenn Angreifer die Daten orchestrieren, umkonfigurieren und verschieben, sich Privilegien aneignen sowie Daten stehlen oder manipulieren. Die Tatsache, dass Slingshot eine sechs Jahre alte Kampagne ist, zeigt, dass die Lücke in der Bedrohungserkennung besonders bei fortschrittlichen Angriffen nach wie vor besteht.
  • IoT- und Infrastrukturgeräte sind oft leichter zu kompromittieren und zum Koordinieren von Angriffen zu verwenden. Sub-OS-Root-Kits umgehen vollständig die Sicherheitskontrollen auf Betriebssystemebene, und viele IoT-Geräte haben schlechte Sicherheitsarchitekturen. Abgesehen davon, dass Betriebssystem und Firmware auf dem neuesten Stand gehalten werden, ist es wichtig, bösartiges Verhalten von IoT- und Infrastrukturgeräten zu erkennen. Die Sicherheitsforscher von Vectra demonstrierten beispielsweise, wie man eine IP-Kamera in eine Netzwerk-Backdoor verwandelt, ohne deren Betrieb zu beeinträchtigen.

Wie können sich Unternehmen gegen diese Art von Angriffen verteidigen?

Kein Verteidigungsansatz ist vollkommen. Aus diesem Grund müssen Unternehmen ihre Erkennungs- und Reaktionsfähigkeiten ausbauen, um sicherzustellen, dass sie über eine anpassungsfähige Sicherheitsarchitektur verfügen, die Bedrohungen schnell erkennt und darauf reagiert. Eine gesunde Paranoia ist notwendig, was bedeutet, zu einer „Wir sind bereits kompromittiert“-Mentalität überzugehen.

Während herkömmliche Signaturansätze beim Aufspüren zuvor nicht gesehener und unbekannter Bedrohungen nutzlos sind, gibt es mehrere Möglichkeiten, um unsichtbare APTs zu entdecken, die im Unternehmen aktiv sind. Dazu ist ein verhaltensbasierter Ansatz erforderlich, um die sehr schwachen Kompromittierungssignale zu erkennen, die auf die Aktivität von Angreifern nach dem Eindringen innerhalb des Netzwerks hinweisen. Die Herausforderung besteht darin, dass die Aufgabe arbeitsintensiv, langsam und wenig effektiv ist, wenn sie manuell durchgeführt wird. Unternehmen, die diese „Erkennungslücke“ angehen, tendieren daher zunehmend zu automatisierten Tools zur Bedrohungssuche, die autonom operieren können.

Mithilfe von KI können Unternehmen verborgenes Verhalten von Angreifern erkennen, korrelieren und Beweise liefern sowie den Kontext des Angriffs abrufen. All dies lässt sich in den Reaktionsprozess für Sicherheitsvorfälle integrieren, um die Einleitung von Gegenmaßnahmen teilweise oder vollständig zu automatisieren. In dieser Hinsicht kann KI den Sicherheitsanalytikern Zeit einsparen, um schnelle, fundierte Entscheidungen zu treffen und gleichzeitig eine agile Reaktion auf aktive Bedrohungen zu ermöglichen. Auf diese Weise lässt sich die Verweildauer von Angreifern – und letztlich das Geschäftsrisiko – effektiv reduzieren.

Wie können sich Privatnutzer vor diesem Angriff schützen?

Private Nutzer, die zu Hause eine Internetverbindung herstellen, müssen ihre Geräte-Firmware und ihr Betriebssystem stets auf dem neuesten Stand halten. Dasselbe gilt für ihre Computer, zusätzlich zum Einsatz eines zuverlässigen Antiviren-Tools.

vectra.ai
 

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security