Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Hacker Tunnel

Ein kürzlich veröffentlichter Bericht von Vectra zeigt, dass Finanzdienstleister weltweit immer mehr Cyberangriffen durch raffiniert vorgehende Hacker ausgesetzt sind. Diese nutzen versteckte Tunnel, um sich in Unternehmensnetzwerken einzunisten und wertvolle Daten aus der Ferne abzuschöpfen.

Vectras Spotlight Report 2018 mit dem Titel “Could an Equifax-sized data breach happen again?” zeigt einen Anstieg der Sicherheitsverletzungen in allen Branchen, einschließlich der Finanzdienstleistungen, auf – und das trotz der Tatsache, dass Unternehmen viel Geld für die Cybersicherheit ausgeben.

Sechs Monate lang sammelte die Cyberangriffserkennungsplattform Vectra Cognito Metadaten von Millionen von Einzelgeräten sowie Cloud-Workloads in Rechenzentren und Unternehmensumgebungen. Die Vectra-Studie zeigt, dass Hacker weiterhin nach Schwachstellen Ausschau halten, wie sie im vergangenen Jahr zum spektakulären Datenraub bei Equifax geführt haben.

„Finanzdienstleister hatten ein deutlich höheres Risiko, mit versteckten Command-and-Control-Tunneln konfrontiert zu werden als alle anderen Branchen zusammen. So fanden wir mehr als doppelt so viele versteckte Tunnel zur Datenexfiltration als in anderen Branchen“, berichtet Gérard Bauer, VP EMEA bei Vectra. „Pro 10.000 Geräte in einem Finanzdienstleistungsunternehmen fand Vectra 23 Tunnel, die als verschlüsselter Webverkehr getarnt waren.“

Warum gibt es bei Finanzdienstleistern deutlich mehr versteckte Tunnel als in anderen Branchen?

Tunnel werden verwendet, um eine Netzwerkverbindung zwischen einem internen System und einem externen Host herzustellen. Sie kommen zum Einsatz, wenn die Netzwerkkonnektivität durch Firewalls, die erforderliche Übersetzung von Netzwerkadressen und eine strenge Zugriffskontrolle eingeschränkt ist. Dies alles sind Technologien, die innerhalb von Finanzinstituten eingesetzt werden, um eine strenge Kontrolle über die Bewegung von Datenanwendungen innerhalb und außerhalb des Unternehmens durchsetzen. Tunnel bieten eine Methode, mit der diese Anwendungen kommunizieren und Daten in den kontrollierten Umgebungen ungehindert übertragen werden können.

Tunnelling kann auch die Kommunikation über ein Protokoll ermöglichen, das normalerweise im eingeschränkten Netzwerk nicht unterstützt wird. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation in mehreren Verbindungen verborgen ist, die normale, allgemein erlaubte Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Requests (Anfragen) und Antworten sind dann innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Warum gibt es verdächtige HTTP-Command-and-Control-Kommunikation seltener in der Finanzbranche?

„Verdächtige http-Vorgänge treten auf, wenn Software auf einem internen Host eine oder mehrere nicht genehmigte Webanfragen an eine bösartige Webdomain initiiert“, erläutert Gérard Bauer. „Dabei wird ein Muster gebildet, das typischerweise bei der Command-and-Control-Kommunikation mit einem bösartigen Akteur beobachtet wird.“

Finanzdienstleister verfügen im Allgemeinen über starke Sicherheitszugangskontrollen und Funktionen zur Überwachung des Netzwerkrands. Diese können verdächtige HTTP-Kommunikation erkennen. Dies erfolgt mittels Firewalls mit IP-Reputationslisten bekannter bösartiger Websites sowie mit Perimeter-Sandbox-Technologie. Dabei wird auf der Grundlage zuvor gesehener Malware nach eingehender und ausgehender bösartiger Kommunikation gesucht. Der größte Teil dieser verdächtigen Kommunikation wird am Perimeter blockiert. Solche Technologien werden nicht jede verdächtige Verbindung abfangen, aber sie reduzieren das Gesamtvolumen bösartiger Verbindungen erheblich.

Als Lehrbeispiel erscheint der Equifax-Vorfall wie ein „Geschenk“ für die Cybersicherheitsprofis. Was war die größte Lektion?

Die größte Lektion ist, dass trotz aller Bemühungen, Angriffe zu verhindern, Angreifer immer noch in der Lage sind, Netzwerke erfolgreich zu infiltrieren. Es ist wichtig, Angriffe zu erkennen und darauf zu reagieren, bevor sie Schaden anrichten. Die Erkennung von Angriffen, sobald sie auftreten, erfordert die Fähigkeit, den gesamten Lebenszyklus eines Angriffs nach der Erstinfektion zu überwachen, einschließlich Command-and-Control, Auskundschaftung, Seitwärtsbewegung und des Verhaltens von Angreifern bei der Datenexfiltration.

Versteckte Tunnel sind bei allen Kunden der Finanzbranche vorhanden, die wir getestet haben, da diese versteckten Tunnel von legitimen Anwendungen im täglichen Geschäft verwendet werden. Diese Anwendungen müssen von den Unternehmen gut verstanden und ausgearbeitet werden. Wenn legitime Anwendungen in der Lage sind, Unternehmens-Firewalls zu umgehen, dann ist es für einen Angreifer sehr einfach, dasselbe zu tun“, erklärt Gérard Bauer abschließend. „So lässt sich ein Angriff im normalen Datenverkehr verstecken, um eine Erkennung zu vermeiden. Finanzinstitute sollten die Nutzung von Anwendungen und deren Funktionsweise festlegen. Sie sollten zudem ihren verschlüsselten Verkehr sowie unverschlüsselten Verkehr überwachen, um den Missbrauch durch böswillige Akteure und das Vorhandensein von versteckten Tunneln zu erkennen.“

vectra.ai/dach
 

GRID LIST
Smart Office

Sind Smart Offices sicher?

Check Point Software Technologies Ltd. (NASDAQ: CHKP) hebt die Transformation und…
Tb W190 H80 Crop Int 5c4191ce91e5342d8e46ea25524df323

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien…
Cyber Attack

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency…
DDoS

DDoS-Angriff auf Labour Partei

Es ist bekannt geworden, dass die UK Labour-Partei auf einer ihrer digitalen Plattformen…
Hacker 2020

Sicherheitsvorhersagen für das Jahr 2020

Check Point Software Technologies Ltd. (NASDAQ: CHKP) wagt einen Ausblick auf die…
Security Meeting

Höhlen Führungskräfte die IT-Sicherheit aus?

Zwei Fragen: Wer hat die meisten Informationen in einem Unternehmen, die weitesten Rechte…