IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

Mit Abwehrmaßnahmen auf Netzwerkebene neue Formen von Cyberattacken abwehren.

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen Seite der Macht, wenn es um die Sicherheit ihrer Daten und Assets geht. Die Diversifizierung und Komplexität von Cyberbedrohungen haben ihr Aufgabenfeld unabhängig von Größe und Branche dramatisch erweitert. Aufgeben gilt nicht. Was hilft, ist ein genauer Blick auf die aktuelle Bedrohungslandschaft und auf Technologien, die helfen, das Tempo der Cyberkriminellen mitzugehen und langfristig die Nase vorne zu behalten.

Zu den größten Bedrohungen für Unternehmen gehören Brute-Force Angriffe, Passwortdiebstahl, nicht gepatchte Schwachstellen und andere netzwerkbasierte Angriffe auf Endgeräte. Auch Angriffe per E-Mail bleiben ein großes Problem: Die Finanzabteilung und die oberen Managementebenen in Marketing und HR sind die Hauptziele von Spear-Phishing-E-Mails, wobei die Sicherheitsregeln laut einer aktuellen Studie am häufigsten von der Geschäftsleitung verletzt werden (57 Prozent) [1]. Das demotiviert IT- und Sicherheitsteams, die ohnehin bereits überlastet und unterbesetzt sind. Hinzu kommt: Der Mangel an Cybersicherheitskenntnissen ist bedrohlich wie nie – laut der Studie sind 53 Prozent der Befragten IT-Sicherheitsexperten der Meinung, dass die Sicherheit ihrer Organisation darunter leidet. Aufgrund dieses fehlenden Fachwissens glauben 91 Prozent der Sicherheitsexperten, dass die meisten Unternehmen für einen signifikanten Cyberangriff anfällig sind, und 94 Prozent denken, dass Cyberkriminelle in diesem Wettlauf die Oberhand gewonnen haben.

Bedrohungen für Unternehmen

Einige der größten Bedrohungen und Angriffe, die auf Unternehmen abzielen – unabhängig von Größe und Branchenzugehörigkeit – betreffen internetbasierte Dienste wie RDP, SSH, SMB und HTTP. Brute-Force-Angriffe auf RDP-Dienste machen laut Bitdefender-Telemetrie über 65 Prozent aller netzwerkbasierten Angriffe aus. Cyberkriminelle sondieren oft internetfähige Dienste und Endpunkte für RDP-Verbindungen, bei denen sich jemand außerhalb des Unternehmens remote einwählen kann. Sobald sie sich auf dem Zielcomputer befinden, versuchen sie, die Sicherheitslösung herunterzufahren und manuell Bedrohungen wie Ransomware oder Lateral Movement Tools zu implementieren, um zusätzliche Rechner innerhalb der Infrastruktur zu infiltrieren.

Wenn das RDP nicht ordnungsgemäß konfiguriert und gesichert ist, kann es als Gateway innerhalb des Unternehmens fungieren und den Eindringlingen den Zugriff auf sensible interne Ressourcen ermöglichen. Brute Forcing von Passwörtern ist dabei eine Möglichkeit, um Informationen wie Log-In-Daten zu erhalten oder sogar mehrere verteilte Anfragen an einen Server zu senden, um nach gültigen Zugangsdaten zu suchen. Es wird auch versucht, ungepatchte Schwachstellen in RDP-Diensten auszunutzen, um Code aus der Ferne auszuführen und die Kontrolle über diese Gateways zu erlangen. Einer der jüngsten Angriffsvektoren, die von Bedrohungsakteuren zur Gefährdung von Unternehmen verwendet werden, ist beispielsweise eine kürzlich aufgetretene wurmfähige Sicherheitslücke im Microsoft RDP-Dienst, die es Angreifern ermöglicht, die Fernsteuerung gefährdeter Systeme zu übernehmen (BlueKeep – CVE-2019-0708).

Diese Art von Angriff ist branchenunabhängig – das Unternehmen muss lediglich einen öffentlich zugänglichen Server betreiben. Im Erfolgsfall können sich Angreifer lateral über die Infrastruktur bewegen und andere Server oder Endpunkte kompromittieren. Damit erreichen sie Persistenz, können auf hochvertrauliche Daten zuzugreifen und diese exfiltrieren oder Malware einsetzen, die das Unternehmen lähmt oder Spuren verwischt.
Bedrohungsakteure bevorzugen auch Angriffe, die auf Webserver über SQL- oder Befehlsinjektion abzielen. Sie können Funktionen zur Ausführung von Code auf der Maschine aktivieren und diese als Gateway oder Drehpunkt für Querbewegungen innerhalb des Unternehmens verwenden. Ebenso SMB-Exploits – sie sind für Cyberkriminelle zu einer häufigen Angriffstaktik geworden, da SMB-Server oft auf Windows-Domain-basierten Netzwerk-Architekturen liegen, so dass alle Mitarbeiter Dokumente aus diesen Netzwerkfreigaben kopieren können. Durch die Gefährdung dieser kleinen und mittleren Server durch Exploits wie EternalBlue oder DoublePulsar können Angreifer sie als Einstiegspunkte nutzen.

Kompromittierung von Active Directory

Die Kompromittierung von Active Directory ist für Cyberkriminelle ebenso interessant: Bitdefender-Untersuchungen haben ergeben, dass Angreifer den AD-Server eines Unternehmens in weniger als zwei Stunden erfolgreich infiltrieren können. Im besagten Fall gelang es ihnen mithilfe eines kompromittierenden E-Mail-Anhangs, der vom Mitarbeiter eines Finanzinstituts geöffnet wurde, ausgewählte Maschinen in der Infrastruktur zu kompromittieren und sich heimlich innerhalb der Infrastruktur zu bewegen.

Wenn sich cyberkriminelle Gruppen darauf konzentrieren, bestimmte Fachbereiche gezielt anzusprechen und zu kompromittieren, haben sie ein tiefes Verständnis dafür, wie deren Infrastrukturen funktionieren, wo sich kritische Daten befinden können und welche Cybersicherheitsmaßnahmen das Unternehmen möglicherweise bereitstellt. Im Folgenden finden sich die bedeutendsten netzwerkbasierten Angriffe, denen Unternehmen laut der Bitdefender-Telemetrie ausgesetzt sind:

Attack.Bruteforce.RDP
PrivacyThreat.PasswordStealer.HTTP.Internal
PrivacyThreat.PasswordStealer.HTTP
Exploit.SMB.ExeCriticalLocation
Exploit.HTTP.ShellShock
Exploit.HTTP.DirectoryTraversal
Exploit.SMB.CVE-2017-0144.EternalBlue
sav_malware
PrivacyThreat.PrivateDataLeakage.HTTP.Alert
Attack.PortScanning
Bot.DGA.filtered
Exploit.CommandInjection.Gen.8
Attack.Bruteforce.FTP
Exploit.HTTP.CVE-2017-5638
Exploit.CommandInjection.29
Attack.LocalFileInclusion.5
Exploit.LoginTooLong.SMB
Suspicious.TorActivity
Attack.LocalFileInclusion.36

Die meisten Angriffe erfolgen mit kostenlosen Open-Source-Tools, was bedeutet, dass es für Cyberkriminelle eine geringe Eintrittsbarriere gibt. Bedrohungsakteure, die sehr gezielte Angriffe durchführen wollen, benötigen jedoch fortgeschrittene Netzwerkkenntnisse und benutzerdefinierte Tools, um einen APT-Angriff (Advanced Persistent Threat) durchzuführen. Wollen Unternehmen dieser dunklen Seite der Macht etwas entgegensetzen, müssen sie sich auf Technologien zur Abwehr von Netzwerkangriffen konzentrieren. Diese identifizieren und kategorisieren die Netzwerkprozesse und weisen auf Seitwärtsbewegungen, Malware-Infektionen, Web-Service-Angriffe, bösartigen Datenverkehr durch Botnets oder TOR/Onion-Verbindungen und Datenschutzverletzungen durch unsichere Passwörter oder sensible Daten hin.

Fortschrittliche Technologien sind ein Muss

Technologien zur Verhaltensanalyse, zur Korrelation mehrerer Ereignisse und zur Analyse von Netzwerken erhöhen die Chancen für Unternehmen, Verletzungen und Datendiebstahl zu vermeiden. Incident Response Narrative, also Use Cases und Anleitungen, wie Bedrohungen zu behandeln sind, sind die Zukunft der IT-Sicherheit. Sie helfen, den akuten Mangel an Sicherheitskenntnissen zu beheben, der die Branche plagt.
Automatisierte Echtzeit-Netzwerkverkehrskontroll- und Präventionstechnologien, die dem Netzwerkverkehr keine Leistungseinbußen hinzufügen, können die Daten im Streaming-Modus scannen und Bedrohungen bereits beim ersten Anzeichen eines fehlerhaften Datenpakets blockieren. Das bedeutet, dass der bösartige Datenverkehr nicht einmal die lokale Anwendung oder Maschine erreicht und den Angriff effektiv stoppt.
Mit einer Event-Korrelations-Engine, die von IoC-Feeds (Indicators of Compromise) gespeist wird, identifiziert und kategorisiert die Abwehrtechnologie verdächtiges Netzwerkverhalten. Auch die Verwendung von Machine-Learning-Algorithmen zur Identifizierung bestimmter Angriffsvektoren – wie Protokolle oder gerätespezifische Anomalieerkennung – kann Unternehmen helfen, sich gegen Bedrohungen auf Netzwerkebene zu schützen. Die Möglichkeit, diese netzwerkbasierte Bedrohungsintelligenz mit EDR-Funktionen (Endpoint Detection and Response) zu kombinieren, unterstützt Unternehmen dabei, ihr Netzwerk als Ganzes zu schützen und Transparenz über den gesamten Technologiestack, vom Netzwerk bis zum Betriebssystem, zu schaffen.

Fazit: Die Angriffskette brechen

Fortschrittlichen Netzwerk-Angriffsabwehrtechnologien sind ein Muss, will man den neuen Formen von Cyberattacken wirkungsvoll entgegentreten. Diese Technologien können neue Arten von Bedrohungen früher in der Angriffskette erkennen und blockieren, indem sie mehrere Angriffsvektoren korrelieren, die sowohl Signaturen als auch verhaltensbasiertes maschinelles Lernen verwenden. Einer der vielleicht wichtigsten Aspekte einer Netzwerk-Verteidigungstechnologie, die sich problemlos in die EDR-Plattform einfügt, ist die Fähigkeit, komplexe nicht-deterministische Ereignisse zu erkennen und gleichzeitig neue Seitenbewegungserkennungen von MITRE zu unterstützen. Auf diese Weise können sich Unternehmen ein vollständiges Bild von ihrem gesamten Cybersicherheitsstatus über die gesamte Infrastruktur machen und der dunklen Seite der Macht dauerhaft die Stirn bieten.

Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender

[1] Quelle: Bitdefender-Studie »Hacked Off!«, Oktober 2019, https://www.bitdefender.com/files/News/CaseStudies/study/285/Bitedefender-Hacked-Off-Report.pdf

 

2292 Artikel zu „IT-Sicherheit“

5G und IT-Sicherheit: Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr »Dinge« digitalisiert werden, gilt es immer größere Datenmengen zu bewegen – und 5G ist dafür die mobile Technologie. 5G ist dabei weit mehr als nur ein besseres Mobilfunksignal, es ist ein technologischer Schritt, vergleichbar mit dem Beginn des Jet-Zeitalters, und wird den Unternehmen große neue Umsatzmöglichkeiten eröffnen. Gleichzeitig ist 5G in der…

Risiken ermitteln und minimieren – IT-Sicherheit nachhaltig steigern

Ohne Risikoanalyse, Risikobewertung und ein kontinuierliches Risikomanagement bei der IT-Sicherheit kommt kein Unternehmen aus, egal in welcher Branche es tätig ist. Nur wer die Schwachstellen kennt, kann gezielte Sicherheitsmaßnahmen implementieren. In vielen Branchen gibt es darüber hinaus noch weitere Vorschriften zu beachten.

IT-Sicherheitsbudgets sind höher, wenn Top-Tier-Management in Entscheidungen involviert ist

72 Prozent der Führungskräfte in Cybersicherheitsbudgets involviert – und geben dabei mehr aus Kostenfreies Tool nutzen, um Anhaltspunkt für notwendiges Budget zu erhalten   Bei jeweils mehr als der Hälfte der mittelständischen (65 Prozent) und großer (68 Prozent) Unternehmen ist das Top-Tier-Management in die Entscheidungen zum Thema Cybersicherheit involviert [1]. Diese Einbindung korreliert auch in…

Unternehmen fordern strengere gesetzliche Vorgaben für IT-Sicherheit

Besserer Schutz vor Cyberangriffen in der Wirtschaft notwendig. Phishing, Erpressung, Manipulation: 13 Prozent hatten kürzlich einen IT-Sicherheitsvorfall. Unternehmen nutzen verstärkt künstliche Intelligenz für Angriffserkennung oder Authentifizierung.   Fast jedes zweite Unternehmen in Deutschland (47 Prozent) fordert höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft. Das hat eine repräsentative Ipsos-Umfrage im Auftrag des TÜV-Verbands unter…

IT-Sicherheit: 4 Tipps gegen interne Risiken

Vielen Unternehmen ist gar nicht klar, wie viele Bedrohungen für die IT-Sicherheit vor allem intern entstehen. Allzu oft können sie nicht ermitteln, worin die Ursache eines Problems genau besteht oder verlieren den Überblick über den Umfang und die Vielzahl der Implikationen, die aus einem IT-Sicherheitsproblem entstehen können. Vor allem interne Risiken sind ein kontinuierliches, sich…

Führungskräfte und die IT-Sicherheit – ein brisantes Verhältnis

Neue Zahlen belegen, dass viele Manager Sicherheitsregeln ignorieren. Zwei Fragen: Wer hat die meisten Informationen in einem Unternehmen, die weitesten Rechte zum Datenzugriff und wird deshalb bevorzugt gehackt? Klar, das Topmanagement. Wer sollte sich daher konsequent schützen und schützen lassen? Eben. Doch Sicherheit kann unbequem sein und neue Untersuchungen zeigen einen gefährlichen Trend: Viele leitende…

Den Mythen der IT-Sicherheit auf der Spur

Rund um das Thema IT-Sicherheit kursieren immer noch zahlreiche falsche Vorstellungen.   Die hohe Bedeutung von IT-Sicherheit stellt kaum jemand mehr in Frage. Doch wer ist dafür verantwortlich und wie ist sie realisierbar? Hier gibt es nach wie vor viele Irrtümer. Bromium räumt mit fünf gängigen auf. Cyber-Security ist in erster Linie ein Thema für…

Steigende Gehälter in der IT-Sicherheit

Die Nachfrage nach IT-Security ebbt nicht ab und die Gehälter für die Sicherheitsexperten steigen kontinuierlich. Laut einer aktuellen Auswertung der Vergütungsanalysten von Compensation Partner verdienen Beschäftigte in der IT-Security über 63.000 Euro (brutto) jährlich. Führungskräfte bekommen in diesem Bereich über 100.000 Euro im Jahr. Die lukrativste Stadt ist München und im Branchenvergleich dominieren das Verkehrs-…

2019: Ausgaben für IT-Sicherheit steigen um 10 Prozent

Technologien und Lösungen zur Verbesserung der IT-Sicherheit sind gefragt wie nie: Im laufenden Jahr geben Unternehmen in Deutschland voraussichtlich 4,6 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit aus – ein Allzeithoch und 10 Prozent mehr als im bisherigen Rekordjahr 2018. Für das Jahr 2020 ist ein weiteres Wachstum um 7,5 Prozent auf…

Umgang mit Passwörtern bleibt Hauptproblem für IT-Sicherheit in Unternehmen

Dritter jährlicher »Global Password Security Report« belegt weit verbreitete Wiederverwertung von Passwörtern trotz höherer Investitionen in Sicherheitstools wie Multifaktor-Authentifizierung.   Die Studie von LastPass von LogMeIn liefert Einblicke, wie Mitarbeiter mit Passwörtern umgehen und zeigt neue Trends im Bereich Identitäts- und Zugriffsmanagement in Unternehmen weltweit auf. Zu den wichtigsten Ergebnissen des diesjährigen Reports gehört, dass…

Das Erkennen von IT-Sicherheitsbedrohungen ist Aufgabe des Managements

Die Zunahme und Komplexität an Angriffen erfordern mehr Fachkräfte für IT-Sicherheit. Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW GROUP: »In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn…

Firmeninterne IT-Sicherheitsteams halbieren Kosten eines Sicherheitsvorfalls

Folgekosten von Cyberattacken im Vergleich zum Vorjahr auf 1,41 Millionen US-Dollar gestiegen; mit SOCs nur 675.000 US-Dollar. 34 Prozent der Unternehmen mit Datenschutzbeauftragten, die von einem Datenverstoß betroffen waren, erlitten keine finanziellen Verluste.   Mit der Einführung eines internen IT-Sicherheitsteams lassen sich die durchschnittlichen Kosten eines Cybersicherheitsvorfalls deutlich reduzieren: So schätzen Unternehmen, die über ein…

Bei IT-Sicherheit unbedingt den Faktor »Mensch« einrechnen

Hacker greifen bei ihren Raubzügen auf unterschiedlichste Methoden zurück, denen klassische IT-Schutzmaßnahmen längst nicht mehr gewachsen sind. Die Schulung der Mitarbeiter in punkto IT-Sicherheit und die Schaffung eines entsprechenden Bewusstseins für die Gefahren sind wichtige Punkte im Kampf gegen Cyber-Kriminelle. Noch besser ist allerdings eine IT-Security-Lösung, die solche Attacken ins Leere laufen lässt.