Schwerpunkte

Trends 2021

Cybersicherheits-Prophylaxe

01. Dezember 2020, 07:03 Uhr   |   | Kommentar(e)

Cybersicherheits-Prophylaxe
© Maxkabakov / 123rf

In Unternehmen kontinuierlich für Cybersicherheit zu sorgen, ist eine Herausforderung. Immer wieder verändern Angreifer ihre Methoden. Darauf vorbereitet zu sein, ist für Unternehmen wichtig, um der Gefahr einer Kompromittierung zu entgegnen. Kudelski Security gibt Tipps, wie man dem vorbeugen kann.

Mobilfunknetze geraten vermehrt in den Fokus
Geräte im Internet of Things (IoT) sind beliebte Ziele für Angreifer. Während der Roll-out von 5G immer weiter voranschreitet, geraten allerdings vermehrt die Mobilfunknetze selbst in den Fokus. Der Grund: Mit 5G stellen Netzbetreiber einen schnellen und zuverlässigen Netzzugang zu Millionen – oder Hunderten von Millionen kleiner Geräte bereit, die oft nicht gut gesichert sind. Damit wird das Risiko, dass diese IoT-Systeme für volumetrische DDoS-Angriffe genutzt werden, weiter zunehmen. Diese Angriffe werden sich nicht nur auf die beabsichtigten Ziele auswirken, sondern können auch Kollateralschäden im Netzwerk des Betreibers verursachen. Für Unternehmen ist das ein Risiko, denn sie sind zunehmend abhängig von Mobilfunknetzen und 5G, schließlich basieren viele Services auf der Technik.

Daher sind erhöhte Sicherheitsstandards notwendig, bereits bei den einzelnen IoT-Geräten. Unternehmen können einen Beitrag für mehr Cybersicherheit leisten, indem sie zum Beispiel in ihrer IT-Infrastruktur ein Scrubbing Center einrichten, das eingehenden Verkehr zentral analysiert und nur legitime Anfragen durchlässt. Das kann unter Umständen auch bewirken, dass weiterer Datenverkehr von Geräten, die den Anschein erwecken, an DDoS-Angriffen beteiligten Datenverkehr verursacht zu haben, unterbunden wird. Ohne weitere Maßnahmen drohen destruktive Angriffe, die sich die Rahmenbedingungen rund um IoT-Geräte und 5G zunutze machen.

Angriffe auf Remote Code Execution-Schwachstellen in Internet-Sicherheitssystemen sind wieder im Kommen
Viele Sicherheits-Tools, die für eine direkte Verbindung mit dem Internet vorgesehen sind, sind zunehmend anfällig für Remote Code Execution (RCE)-Schwachstellen. Noch vor wenigen Jahren kam es bei Angreifern, die RCE-Schwachstellen als primären Vektor für den Erstzugriff ausnutzen, zu einem enormen Rückgang. Stattdessen gingen sie zu einfacheren Methoden wie Phishing-Versuchen und Drive-By-Exploits über, da es als zeitaufwändig und kostspielig galt, Schwachstellen in Systemen mit Internetanschluss zu finden und auszunutzen. Seit jedoch bekannt wurde, wie die Nation State Equation Group 2017 sehr erfolgreich RCE-Schwachstellen von mit dem Internet verbundenen Systemen (wie Routern, VPN-Konzentratoren und Firewalls) ausnutzte, hat diese Art von Angriffen wieder an Popularität gewonnen.

Infolge der Offenlegung durch die Equation Group haben Sicherheitsexperten ihre Aufmerksamkeit auf mit dem Internet verbundene Sicherheitsgeräte und Software gerichtet, die explizit für das Internet konzipiert wurde, was zu einer großen Anzahl gemeldeter (und ausgenutzter) Schwachstellen in VPN-Konzentratoren, Firewalls, Web Application Firewalls, Load Balancern oder MDM-Systemen (Mobile Device Management) geführt hat. In der Regel unterstützen Internet-orientierte Produkte (wie Firewalls und VPN-Lösungen) keine Tools für Endpoint Detection und -Response (EDR) oder Sicherheitstransparenz. Das bedeutet, dass man ihnen, sobald ein Angreifer sie und damit ein Unternehmen erfolgreich ausnutzt, nicht mehr trauen kann. Der einzige Ausweg besteht darin, die Systeme komplett neu aufzubauen oder die Firmware zurückzusetzen, indem der Flash-Speicher gelöscht und neu beschrieben wird.

Grundsätzlich sollten Unternehmen davon ausgehen, dass auch weniger talentierte Angreifer ihre mit dem Internet verbundenen Systeme unterwandern können. Der entscheidende Schritt zur Absicherung ist das schnelle Aufdecken und Ausbessern der Schwachstellen. Deshalb ist es wichtig, sich für Benachrichtigungen zu Schwachstellen von Lösungsanbietern anzumelden und regelmäßig Sicherheitsscans von Internet-Systemen durchzuführen, die zur Verteidigung eines Netzwerks dienen. Da sich EDR-Tools in den Systemen in der Regel nicht installieren lassen, sollten Unternehmen sich außerdem darauf konzentrieren, Schwachstellen in den Systemen zu erkennen, sobald sie ausgenutzt werden. Sie dürfen auch nicht davon ausgehen, dass von Systemen zur Cybersicherheit erzeugter Datenverkehr stets legitim ist. Möglicherweise sind sie nämlich von einem Angreifer kompromittiert, der sie als Kanal für Malware nutzt, um das IT-Team eines Unternehmens zu überlisten.

Angreifer nutzen häufiger unerlaubte OAuth 2.0-Grants
Viele Unternehmen haben mittlerweile bei ihren Mitarbeitern mehr Bewusstsein für Phishing-Versuche geschaffen, den Einsatz von Multi-Faktor-Authentifizierung (MFA) verstärkt und Regeln zur Erkennung anomaler Anmeldungen aufgestellt. Aus diesem Grund versuchen Angreifer nun, Mitarbeiter auszutricksen, damit sie über unerlaubte OAuth 2.0-Grants Zugriff auf ihre Konten zulassen. Im Jahr 2020 nahm Kudelski Security eine Zunahme entsprechender Versuche wahr – ein Trend, der sich in den kommenden Monaten voraussichtlich weiter verstärken wird. Solche OAuth 2.0-Grants werden nicht automatisch widerrufen, wenn Passwörter geändert werden und sie erfordern auch keine zusätzlichen MFA-Aufforderungen, um von Angreifern missbraucht zu werden.

Unternehmen sollten daher einschränken, welche Anwendungen berechtigt sind, OAuth 2.0-Grants für Mitarbeiterkonten zu fordern. Mit Microsoft Azure Active Directory beispielsweise lässt sich einrichten, dass Anwendungen erst einmal genehmigt werden müssen, bevor sie OAuth 2.0-Grants fordern können. Eine weitere Option für mehr Cybersicherheit besteht darin, die Zugriffsrechte via OAuth 2.0 zu beschränken. Dazu gehören zum Beispiel die Möglichkeiten, dass es Mitarbeitern nicht zu erlauben, nicht vertrauenswürdigen Anwendungen über OAuth 2.0 die Möglichkeit zu gewähren, E-Mails zu lesen oder zu schreiben.

Seite 1 von 2

1. Cybersicherheits-Prophylaxe
2. Ransomware-Gruppen drohen immer häufiger mit der Preisgabe von Informationen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau