[datensicherheit.de, 27.08.2020] Laut einer aktuellen Stellungnahme von VECTRA gilt das „Asset Management“ als eine der schwierigsten Herausforderungen, denen sich IT-Abteilungen stellen müssen: „Dank Cloud, IoT und BYOD steigen die Komplexität und die damit verbundenen Sicherheitsherausforderungen stetig.“ In vielen Fällen würden bei der Reaktion auf Vorfälle kompromittierte Assets identifiziert, welche in den Inventaren der Anlagenverwaltung als vor Jahren stillgelegt aufgeführt seien. „Niemand hat den Server jedoch abgeschaltet, er war immer noch eingeschaltet und angeschlossen, wurde nicht gewartet und wurde schließlich vom Angreifer erfolgreich ausgenutzt“, berichtet VECTRA.

Foto: VECTRA

Andreas Müller: Cloud, IoT und BYOD steigernn die Komplexität und damit verbundene Sicherheitsherausforderungen

VECTRA hinterfragt, was genau mit „kritisch“ gemeint ist

Selbst wenn Unternehmen über ein perfektes Inventar all ihrer Systeme verfügten, sei es unwahrscheinlich, dass sie genau wüssten, „welche dieser unzähligen Assets wirklich ,kritisch‘ sind“. Wenn Unternehmen Schwierigkeiten hätten, zu verstehen, welche Systeme im Einsatz sind, wie könne man dann erwarten, „dass sie angeben, welche davon explizit kritisch sind?“
VECTRA wirft die Frage auf, was genau in diesem Zusammenhang mit „kritisch“ gemeint sei: „Handelt es sich um etwas, dessen Daten für Ihr Unternehmen wichtig sind? Diese Definition würde auf so gut wie jedes System in ihrer Umgebung zutreffen.“
Andreas Müller, „Director DACH“ bei VECTRA AI, führt aus: „Betrachten Sie einmal sämtliche Datenlecks, die im Laufe der Jahre allein durch den Verlust von Laptops entstanden sind!“ Sodann hinterfragt er: „Wurden diese Systeme als ,kritisch‘ eingestuft? Oder war das ,nur ein weiterer Laptop‘, den jemand mit nach Hause nahm, um nach dem Ende einer langen Woche seine Arbeit fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung aufgestellt, mit sensiblen Daten geladen und dann im Netzwerk gelassen und vergessen wird?“

VECTRA empfiehlt Fokus auf Bandbreite an IoT-Geräten, welche „APT28“ nutzen, um Angriffe durchzuführen

Wenn Unternehmen dächten, „dass ihre Kernnetzwerk-Infrastruktur einen Großteil der kritischen Geräte unterstützt, dann ist der Bericht von FireEye vom März 2020 über APT41 eine Pflichtlektüre“. Dieser Bericht zeige auf, wie „APT41“ die Cisco-Routing-Infrastruktur eines Unternehmens aktiv ausnutze. Wenn Unternehmen das Routing des Datenverkehrs kontrollieren könnten, seien sie in der Lage, Zugriff auf alle ein Gerät durchlaufenden Daten zu erhalten, ohne den kritischen Endpunkt zu gefährden.
IoT- und nicht-kritische Assets würden immer wieder von „APTs“ (Advanced Persistent Threats), also fortgeschrittenen, hartnäckigen Bedrohungen ausgenutzt. Das beste Beispiel hierfür sei „APT28“, auch bekannt als „Fancy Bear“ oder „Strontium“. „Verschiedene Artikel beschreiben ausführlich einen von Microsoft veröffentlichten Bericht hierzu“, berichtet Müller.
Eine wichtige Sache, auf die man sich nach Meinung von VECTRA AI konzentrieren sollte, sei die Bandbreite an IoT-Geräten, welche „APT28“ nutzt, um den Angriff durchzuführen. Hierzu zählten VoIP-Telefone, Drucker und Videodecoder. Dies offenbare den Wunsch Cyber-Krimineller, IoT-Geräte in einem organisierten Angriff auf breiterer Basis einzusetzen. Es zeige, dass sich die Angreifer wenig darum kümmerten, was nach Definition des Unternehmens „kritisch“ sei, sondern sich stattdessen darauf konzentrierten, „alles zu nutzen, was es ihnen ermöglicht, ihre Ziele zu erreichen“.

VECTRA ruft dazu auf, nicht nur ausgewählte Endpunkte zu schützen, sondern ganzheitliche Ansätze zu verfolgen

Der letzte Punkt ist laut Müller folgender: Netzwerkverteidiger sollten nicht gezwungen sein, willkürliche Entscheidungen auf der Grundlage unvollkommener Informationen darüber zu treffen, welche Assets sie mit den verfügbaren Sicherheitskapazitäten verteidigen würden und welche nicht.
„Sicherheitslösungen sollten Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Zwänge und mit hoher Zuversicht frühzeitig zu erkennen, unabhängig davon, wo die Angreifer operieren wollen.“
Schließlich gehe es darum, „Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige ausgewählte Endpunkte“. Müller empfiehlt abschließend: „Sie sollten eine Lösung haben, die dieses Ziel unterstützt.“

Weitere Informationen unter vectra.ai

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie / Entscheider müssen das Schutzniveau an die deutlich verschärfte Gefahrenlage anpassen

datensicherheit.de, 12.05.2020
Neue Angriffsmethoden auf kritische Industrie-4.0-Umgebungen / Forschungsbericht skizziert fortgeschrittene Angriffsszenarien und gibt Empfehlungen für OT-Betreiber

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich / Mangelhafte Kommunikatiion im Unternehmen problematisch

[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.

Andreas Müller, „Director DACH“, Foto: Vectra

Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa

Angreifer schufen schädliche Office 365-Anwendung

Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.

Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren

Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet

[datensicherheit.de, 04.12.2019] Vectra meldet, dass als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von „Imminent Monitor Remote Access Trojan“ (IM-RAT) das Hosting dieses Hacking-Tools nun abgeschaltet worden sei. Das RAT-Tool habe Cyber-Kriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht.

IM-RAT kann von Käufern nicht mehr verwendet werden

An der von der australischen Bundespolizei (AFP) geleiteten Operation, deren internationale Aktivitäten von Europol und Eurojust demnach koordiniert wurden, waren laut Vectra „zahlreiche Justiz- und Strafverfolgungsbehörden in Europa, Kolumbien und Australien beteiligt“.
Im Zuge der Ermittlungen sei die Verfügbarkeit dieses Instruments beendet worden, „das zuvor bereits in 124 Ländern eingesetzt und an mehr als 14.500 Käufer verkauft worden war“. IM-RAT könne damit von den Käufern nicht mehr verwendet werden.

Netzwerke von 90 Prozent befragter Unternehmen weisen Form bösartigen RDP-Verhaltens auf

„Remote Access Trojaner (RATs) zählen zu einer Reihe von Angriffstools, die in fremde Systeme, Daten und Privatsphären eindringen. Angesichts eines regen legitimen Fernzugriffs über Netzwerke und Hosts hinweg gibt es für RATs viele Möglichkeiten, unentdeckt zu operieren, da sie sich gut verstecken können“, erläutert Andreas Müller, „Director DACH“ bei Vectra.
Es sei zwar erfreulich, dass die Strafverfolgungsbehörden den Verkauf und die Nutzung von RATs durch Kriminelle stoppten, „wobei die Wege und Dienste, die RATs nutzen, für viele Unternehmen offenbleiben und schwer zu überwachen sind“. Es gebe Signaturen für die gängigsten RATs, aber erfahrene Angreifer könnten RATs leicht anpassen oder ihre eigenen RATs mit gängigen Remote-Desktop-Tools wie RDP erstellen. „Dies wurde durch eine kürzlich durchgeführte Analyse von Live-Unternehmensnetzwerken bestätigt, die ergab, dass die Netzwerke von 90 Prozent der befragten Unternehmen eine Form von bösartigem RDP-Verhalten aufweisen“, so Müller.

Modelle des Maschinellen Lernens zum Einsatz gekommen

Bei den Ermittlungen seien Modelle des Maschinellen Lernens zum Einsatz gekommen, „die entwickelt wurden, um das einzigartige Verhalten von RATs zu identifizieren“. Diese Art der Verhaltenserkennung sei effektiver, anstatt zu versuchen, die Signatur jeder RATs perfekt mit dem Fingerabdruck zu erfassen.
Durch die Analyse einer großen Anzahl von RATs könne ein überwachtes Maschinelles Lernmodell eben lernen, „wie sich der Verkehr dieser Tools vom normalen legitimen Fernzugriffsverkehr unterscheidet“. Müller erläutert: „Auf diese Weise lässt sich RAT-typisches Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“

Weitere Informationen zum Thema:

VECTRA
INDUSTRY RESEARCH / 2019 Spotlight Report on RDP

datensicherheit.de, 20.04.2017
Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 18.09.2019] Der am 17. September 2019 bekanntgewordene Fall der freien Verfügbarkeit von möglicherweise Millionen von Patientendaten im Internet hat offensichtlich für erhebliches Aufsehen gesorgt. Dabei ist laut einer Stellungnahme von Vectra „in diesem Fall nicht einmal davon auszugehen, dass Kriminelle beteiligt waren, sondern dass es hier in erster Linie um Pannen und unklare Zuständigkeiten geht“. Der Anbieter von IT-Sicherheitsplattformen auf Basis Künstlicher Intelligenz (KI) und Maschinellen Lernens hat nach eigenen Angaben in der Vergangenheit „schon mehrfach die IT-Sicherheitsvorkehrungen im Healthcare-Bereich analysiert“.

Foto: Vectra

Andreas Müller: Proaktiv nach Schatten-IT-Systemen suchen!

Seit Langem beobachteter unseliger Trend

„Und täglich grüßt das Murmeltier. Schon wieder wurden Daten von Systemen verfügbar gemacht, weil sie nicht ordnungsgemäß gesichert wurden. Es ist ein unseliger Trend, den wir schon lange beobachten – mal mit großen, mal mit kleinen Auswirkungen“, kommentiert Andreas Müller, „Regional Director DACH“ bei Vectra.

Unsichere oder schlecht konfigurierte Cloud-Systeme

Die Anzahl der Datenpannen und unbeabsichtigten Veröffentlichungen, die sich daraus ergeben, dass Daten von unsicheren oder schlecht konfigurierten Cloud-Systemen öffentlich verfügbar sind, steigt laut Müller kontinuierlich an – und dabei seien nicht einmal die bösen Absichten von Hackern der Hintergrund. Beteiligt seien meist nur Leute, die im Internet stöberten – „um zu sehen, was offen verfügbar ist“.

Große Lücke bei Verantwortung für Sicherheit der Patientendaten

Gesundheitsdienstleister und das große Netzwerk der Dienstleister, auf welche sie sich verließen, hätten „eine große Lücke in der Verantwortung für die Sicherheit der Patienteninformationen geschaffen“. Die Software der Anbieter werde mit der Annahme erstellt, dass der Gesundheitsdienstleister sein Netzwerk sichern werde, und der Gesundheitsdienstleister erwerbe Software und Services mit der Annahme, dass der Software-Anbieter bzw. der Service-Anbieter sichere Software und Dienste bereitstellten. „Wie sich immer wieder herausstellt, scheint beides nicht zu stimmen“, so Müller.

Systeme ohne den Rat des IT-Sicherheitsteams eingeführt

Nicht selten würden Systeme von medizinischem Personal mit einer bestimmten Anforderung ohne den Rat des IT-Sicherheitsteams eingeführt. Es sei ein kompliziertes Netzwerk, das die IT-Sicherheit dazu zwinge, proaktiv nach Schatten-IT-Systemen zu suchen, welche Daten genau so verfügbar machten, „wie es im aktuellen Fall wohl leider geschehen ist“.