VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Hacker Tunnel

Ein kürzlich veröffentlichter Bericht von Vectra zeigt, dass Finanzdienstleister weltweit immer mehr Cyberangriffen durch raffiniert vorgehende Hacker ausgesetzt sind. Diese nutzen versteckte Tunnel, um sich in Unternehmensnetzwerken einzunisten und wertvolle Daten aus der Ferne abzuschöpfen.

Vectras Spotlight Report 2018 mit dem Titel “Could an Equifax-sized data breach happen again?” zeigt einen Anstieg der Sicherheitsverletzungen in allen Branchen, einschließlich der Finanzdienstleistungen, auf – und das trotz der Tatsache, dass Unternehmen viel Geld für die Cybersicherheit ausgeben.

Sechs Monate lang sammelte die Cyberangriffserkennungsplattform Vectra Cognito Metadaten von Millionen von Einzelgeräten sowie Cloud-Workloads in Rechenzentren und Unternehmensumgebungen. Die Vectra-Studie zeigt, dass Hacker weiterhin nach Schwachstellen Ausschau halten, wie sie im vergangenen Jahr zum spektakulären Datenraub bei Equifax geführt haben.

„Finanzdienstleister hatten ein deutlich höheres Risiko, mit versteckten Command-and-Control-Tunneln konfrontiert zu werden als alle anderen Branchen zusammen. So fanden wir mehr als doppelt so viele versteckte Tunnel zur Datenexfiltration als in anderen Branchen“, berichtet Gérard Bauer, VP EMEA bei Vectra. „Pro 10.000 Geräte in einem Finanzdienstleistungsunternehmen fand Vectra 23 Tunnel, die als verschlüsselter Webverkehr getarnt waren.“

Warum gibt es bei Finanzdienstleistern deutlich mehr versteckte Tunnel als in anderen Branchen?

Tunnel werden verwendet, um eine Netzwerkverbindung zwischen einem internen System und einem externen Host herzustellen. Sie kommen zum Einsatz, wenn die Netzwerkkonnektivität durch Firewalls, die erforderliche Übersetzung von Netzwerkadressen und eine strenge Zugriffskontrolle eingeschränkt ist. Dies alles sind Technologien, die innerhalb von Finanzinstituten eingesetzt werden, um eine strenge Kontrolle über die Bewegung von Datenanwendungen innerhalb und außerhalb des Unternehmens durchsetzen. Tunnel bieten eine Methode, mit der diese Anwendungen kommunizieren und Daten in den kontrollierten Umgebungen ungehindert übertragen werden können.

Tunnelling kann auch die Kommunikation über ein Protokoll ermöglichen, das normalerweise im eingeschränkten Netzwerk nicht unterstützt wird. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation in mehreren Verbindungen verborgen ist, die normale, allgemein erlaubte Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Requests (Anfragen) und Antworten sind dann innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Warum gibt es verdächtige HTTP-Command-and-Control-Kommunikation seltener in der Finanzbranche?

„Verdächtige http-Vorgänge treten auf, wenn Software auf einem internen Host eine oder mehrere nicht genehmigte Webanfragen an eine bösartige Webdomain initiiert“, erläutert Gérard Bauer. „Dabei wird ein Muster gebildet, das typischerweise bei der Command-and-Control-Kommunikation mit einem bösartigen Akteur beobachtet wird.“

Finanzdienstleister verfügen im Allgemeinen über starke Sicherheitszugangskontrollen und Funktionen zur Überwachung des Netzwerkrands. Diese können verdächtige HTTP-Kommunikation erkennen. Dies erfolgt mittels Firewalls mit IP-Reputationslisten bekannter bösartiger Websites sowie mit Perimeter-Sandbox-Technologie. Dabei wird auf der Grundlage zuvor gesehener Malware nach eingehender und ausgehender bösartiger Kommunikation gesucht. Der größte Teil dieser verdächtigen Kommunikation wird am Perimeter blockiert. Solche Technologien werden nicht jede verdächtige Verbindung abfangen, aber sie reduzieren das Gesamtvolumen bösartiger Verbindungen erheblich.

Als Lehrbeispiel erscheint der Equifax-Vorfall wie ein „Geschenk“ für die Cybersicherheitsprofis. Was war die größte Lektion?

Die größte Lektion ist, dass trotz aller Bemühungen, Angriffe zu verhindern, Angreifer immer noch in der Lage sind, Netzwerke erfolgreich zu infiltrieren. Es ist wichtig, Angriffe zu erkennen und darauf zu reagieren, bevor sie Schaden anrichten. Die Erkennung von Angriffen, sobald sie auftreten, erfordert die Fähigkeit, den gesamten Lebenszyklus eines Angriffs nach der Erstinfektion zu überwachen, einschließlich Command-and-Control, Auskundschaftung, Seitwärtsbewegung und des Verhaltens von Angreifern bei der Datenexfiltration.

Versteckte Tunnel sind bei allen Kunden der Finanzbranche vorhanden, die wir getestet haben, da diese versteckten Tunnel von legitimen Anwendungen im täglichen Geschäft verwendet werden. Diese Anwendungen müssen von den Unternehmen gut verstanden und ausgearbeitet werden. Wenn legitime Anwendungen in der Lage sind, Unternehmens-Firewalls zu umgehen, dann ist es für einen Angreifer sehr einfach, dasselbe zu tun“, erklärt Gérard Bauer abschließend. „So lässt sich ein Angriff im normalen Datenverkehr verstecken, um eine Erkennung zu vermeiden. Finanzinstitute sollten die Nutzung von Anwendungen und deren Funktionsweise festlegen. Sie sollten zudem ihren verschlüsselten Verkehr sowie unverschlüsselten Verkehr überwachen, um den Missbrauch durch böswillige Akteure und das Vorhandensein von versteckten Tunneln zu erkennen.“

vectra.ai/dach
 

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt