Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

Ein Kommentar von Max Rahner, Sales Director DACH bei Claroty

[datensicherheit.de, 10.06.2020] Der jährliche Verizon Data Breach Investigation Report (DBIR) ist seit seiner ersten Veröffentlichung im Jahr 2008 zu einer bedeutenden Ressource für IT-Sicherheitsexperten geworden. Der aktuelle Report 2020 ist insofern bemerkenswert, da viele seiner Erkenntnisse nicht nur für die IT-Security relevant sind, sondern auch für die OT-Security (Sicherheit von Operational-Technology-Netzwerken). Entsprechend wollen wir die wichtigsten Ergebnisse aus der OT-Perspektive genauer betrachten.

OT-Sicherheitsvorfälle sind (noch) selten, aber besorgniserregend

Zum ersten Mal überhaupt untersucht der DBIR 2020 die Rolle der Informationstechnologie (IT) gegenüber der operativen Technologie (OT) bei Sicherheitsvorfällen. 4 Prozent der beobachteten Sicherheitsverletzungen betrafen die OT, im Vergleich zu 96 Prozent bei der IT. Dieser Prozentsatz mag zwar relativ unbedeutend erscheinen, der Bericht charakterisiert ihn jedoch als einen beachtenswerten Grund zur Besorgnis für Unternehmen mit robusten OT-Umgebungen.

Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

In einem Experiment haben die Autoren des Reports die Anfälligkeit von Servern mit einer bestimmten Schwachstelle mit der Anfälligkeit von zufällig ausgewählten Servern verglichen. Dabei zeigte sich, dass die Server etwa mit Exim- oder Eternal Blue-Sicherheitslücken auch deutlich anfälliger für alte, andere Schwachstellen waren. Das bedeutet, dass Unternehmen mit einem langfristigen, gut priorisierten Patch-Management-System weitaus seltener Opfer von Exploits werden. Der Bericht zeigt zudem, dass Patches, die nicht innerhalb von drei Monaten nach ihrer Veröffentlichung aufgespielt werden, in der Regel überhaupt nicht installiert werden. Entsprechend wichtig ist ein konsequentes, regelmäßiges und zeitnahes Patch-Management.

Gerade in OT-Umgebungen stellen Identifizierung von Schwachstellen und die Priorisierung von Patches eine große Herausforderung dar. Wichtig ist hierbei eine tiefe Transparenz. Viele Tools zur Erfassung von Informationen über OT-Assets sind allerdings nur in der Lage, grundlegende Attribute wie IP-Adresse und Hersteller zu identifizieren, nicht aber präzise Daten wie das genaue Modell und die Firmware-Version. Diese sind jedoch für ein effektives Patch-Management sowie eine Risikoberechnung und -minderung unerlässlich.

Max Rahner, Bild: Claroty

Angreifer nutzen am liebsten den einfachen Weg

Eine Analyse der Angriffspfade bei beobachteten Zwischenfällen ergab, dass die überwiegende Mehrheit der Angriffe in weniger als fünf Schritten erfolgt. Dies deutet darauf hin, dass die Angreifer bevorzugt niedrig hängende Früchte suchen, die es ihnen ermöglichen, relativ einfache Angriffe durchzuführen, um hochwertige Ziele zu kompromittieren. Entsprechend machen zusätzliche Barrieren, die Angriffe komplexer und zeitaufwändiger machen, Ziele wesentlich unattraktiver. So ist beispielsweise die Zwei-Faktor-Authentifizierung zwar an sich ein unvollkommener Sicherheitsmechanismus, aber sie fügt dem Angriffspfad einen zusätzlichen Schritt hinzu. Der Data Breach Investigation Report stellt fest, dass die Differenz zwischen zwei und drei Schritten oder drei und vier Schritten im Hinblick auf die Verbesserung des Sicherheitsstatus einen wesentlichen Unterschied macht. Dies gilt sowohl für IT- als auch für OT-Umgebungen.

OT-bezogene Sicherheitsvorfälle konzentrieren sich weitgehend auf bestimmte Branchen

Bei den untersuchten OT-Sicherheitsvorfällen stechen zwei Branchen deutlich heraus: die verarbeitende Industrie sowie Energie- und Versorgungsunternehmen (inklusive Bergbau, Öl- und Gasförderung).

Wie bei allen im DBIR aufgeführten Branchen war die häufigste Motivation für die beobachteten Vorfälle mit Auswirkungen auf die verarbeitende Industrie ein potenzieller finanzieller Gewinn (73 %). Allerdings spielt in diesem Sektor auch Cyberspionage mit 27 Prozent eine große Rolle. Der starke Bedarf an Lösungen zur Überwachung von und zum Schutz vor Insider-Bedrohungen wird durch die Tatsache unterstrichen, dass hinter 25 Prozent der Verstöße im verarbeitenden Gewerbe interne Bedrohungen stehen und 13 Prozent der Verstöße auf den Missbrauch von Mitarbeiterprivilegien oder Datenmissbrauch zurückzuführen sind. Bei Angriffen von außen machen staatlich unterstützte Angreifer mit 38 Prozent den Löwenanteil aus. Insofern sollten Unternehmen in dieser Branche sich gut auf raffinierte, gut ausgestattete Angreifer vorbereiten, deren vornehmliches Ziel der Diebstahl von geistigem Eigentum und anderer sensibler Daten ist. Wie der Bericht kurz und bündig formuliert, „ist es billiger und einfacher, etwas zu stehlen, als es selbst zu entwickeln.“

Der DBIR fasst Bergbau, und Öl- und Gasförderung sowie Versorgungsunternehmen für eine gemeinsame Betrachtung der beobachteten Vorfälle und Verstöße zusammen. Auch hier spielen mit 28 Prozent Insider-Bedrohungen eine große Rolle. Die Bewertung der Motive ist in diesen Branchen jedoch deutlich schwieriger: Finanzielle Motive dominieren mit Werten zwischen 63 und 95 Prozent, jedoch spielt auch Spionage mit einer Bandbreite von 8 bis 43 Prozent eine große Rolle. Eine präzise Interpretation dieser Werte ist kaum möglich, jedoch liegen die Werte in aller Regel deutlich über den 10 Prozent im Mittel aller Branchen. Die Angriffsmuster, denen sich Unternehmen in diesem Sektor ausgesetzt sehen, sind sehr unterschiedlich und häufig auch überlappend. Deshalb war die quantitative Bestimmung der vorherrschenden Angriffsvektoren statistisch unmöglich. Entsprechend lautet die schlichte Empfehlung an alle CISOs in diesem Bereich: „Alles sichern!“

Weitere Informationen zum Thema:

datensicherheit.de, 21.05.2020
Verizon Business: Data Breach Investigations Report 2020 vorgestellt

40 Prozent der Security-Experten gehen davon aus, dass staatliche Cyberangriffe bereits Menschenleben gekostet haben / Venafi-Umfrage im Rahmen der Black Hat-Konferenz 2018  in Las Vegas

[datensicherheit.de, 15.09.2018] Venafi, Anbieter von Lösungen für den Schutz von Maschinenidentitäten, gibt die Ergebnisse einer Umfrage unter 515 IT-Sicherheitsexperten zu den Themen Cyberkrieg und nationale Sicherheit bekannt. Die Umfrage wurde vom 4. bis 9. August 2018 auf der Black Hat-Konferenz in Las Vegas durchgeführt.

Der Umfrage zufolge sagen 86 Prozent der IT-Sicherheitsexperten, dass sich die Welt derzeit mitten in einem Cyberkrieg befindet. Darüber hinaus glauben 40 Prozent der Befragten, dass ein nationalstaatlicher Cyberangriff bereits Menschenleben gefordert hat.

Bild: Venafi

Jeff Hudson, CEO von Venafi

„Unter dem Strich ändert sich der Begriff Krieg von etwas, das man mit Kugeln und Waffen am Boden macht, zu etwas, das man mit Bits und Bytes macht“, erklärt Jeff Hudson, CEO von Venafi. „Im Wesentlichen geht es in diesem Krieg darum, Informationen zu kompromittieren und zu kontrollieren. Sobald Sie das vollständig verstanden haben, ist es ziemlich einfach zu sehen, dass wir uns gerade in einem Cyberkrieg befinden.“

Weitere Ergebnisse der Umfrage sind:

• 80 Prozent der Befragten Security-Experten glauben, dass Angriffe, die die Wahlinfrastruktur stören, kriegerische Handlungen im Cyberkrieg sind. Das schließt Wahlautomaten und Maschinen ein, die Wahldaten übertragen, speichern, tabellieren und validieren.
• 86 Prozent der Umfrageteilnehmer glauben, dass Fehlinformationskampagnen, die darauf abzielen, die öffentliche Meinung für politische Ergebnisse zu manipulieren, Handlungen im Cyberkrieg sind.
• Nur 3 Prozent sagen, dass Cyberangriffe nie Menschenleben kosten werden.

Anfang des Monats veranstaltete DEF CON, die weltweit größte Hacking-Konferenz, ein Voting Machine Hacking Village, das sich auf die Infrastruktur und eine breite Palette von Wahlsystemen konzentrierte. Laut den Teilnehmern sind die Backend-Systeme, die sensible Stimmdaten enthalten, besonders anfällig für Manipulationen und Angriffe durch den Nationalstaat.

Im Juli veröffentlichte eine Grand Jury in den USA eine detaillierte Anklage gegen die internationale Einmischung bei den US-Präsidentschaftswahlen 2016. Details in der Anklageschrift deuten darauf hin, dass nationalstaatliche Akteure mit verschlüsselten Verbindungen und andere Angriffsmethoden Schwachstellen in der Wahlinfrastruktur ausgenutzt haben. Angriffe, die sich in verschlüsselten Tunneln verstecken, sind, ohne ein umfassendes Programm zum Schutz der Maschinenidentitäten schwer zu erkennen und zu unterbinden.

Weitere Informationen zum Thema:

Venafi
Webseite: Venafi Black Hat Survey – Cyber War Results

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 21.09.2017
Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg

Plattform für Austausch und Vernetzun

[datensicherheit.de, 15.04.2013] IT-Sicherheits- und Informationssicherheitsexperten in Österreich verfügen ab sofort mit der Gründung des (ISC)² Austria Chapter über eine neues Forum, um sich beruflich zu entwickeln und um Informationen, Erfahrung und Wissen auszutauschen. Die gemeinnützige Organisation wird von (ISC)² IT-Sicherheitsexperten, die Zertifizierungen in Security Management erworben haben, geführt. Sie haben das Chapter gegründet, um dem Mangel an Experten und Fachkräften in der Informationssicherheit mit einem Programm von „Hörsaal“-Meetings und themenzentrierten Veranstaltungen zu begegnen. Damit steht der Informationssicherheits-Community in Österreich eine einzigartige Möglichkeit zur Verfügung, um zusammen zu kommen und zu Netzwerken. Das Chapter ist offen für alle, die in der Informationssicherheits-Branche arbeiten oder eine Karriere starten möchten.

Copyright: (ISC)² Austria Chapter

Gernot Goluch, Präsident des (ISC)² Austria Chapter

„Wir bieten eine offene Community an, in der aktuelle Themen der IT-Industrie wie BYOD, Cloud Security, CyberCrime, Security Management und andere in persönlichen Gesprächen in einer herzlichen und komfortablen Atmosphäre diskutiert werden können. In unserer Organisation können wir einander außerdem beraten und natürlich gehen wir auch davon aus, dass Mitglieder von der Möglichkeit profitieren werden potentielle Mitarbeiter oder Arbeitgeber zu finden,“ sagt Gernot Goluch, Präsident des (ISC)² Austria Chapter. „Es ist für diese Community eine wichtige Zeit sich zusammen zu finden, da die österreichische IT-Industrie den Mangel an Fachkräften spürt und dieser Mangel Implikationen auf unsere Arbeit und die Sicherheit von Unternehmen in der Zukunft haben wird.“

Das österreichische Chapter hielt ein Kick-Off-Meeting am Anfang des Jahres ab, um die Gründung bekannt zu geben, auf der ersten Veranstaltungen konnten insgesamt 39 Mitglieder registriert werden. Das Chapter hat ein Programm von Veranstaltungen entwickelt und unterstützt außerdem ein neues Industrie-fokussiertes Programm auf der ARES-Konferenz in Regensburg.

Die Organisation ist Teil eines internationalen Netzwerks von mehr als 80 Chaptern weltweit, darunter 20 im Raum EMEA. Sie arbeitet eng mit den Chaptern in den Nachbarländern Deutschland und Schweiz zusammen, um eine starke DACH Community aufzubauen.

„Ich wünsche mir, dass jedes unserer Mitglieder nach einem Chapter-Meeting mit dem Gefühl nach Hause geht, dass er persönlich aus seinem Mitwirken am Chapter profitieren konnte. Sei es durch Weiterbildung, durch Austausch neuer Ideen oder durch Diskussion über auftretende Probleme“, formuliert Gernot Goluch den Anspruch an künftige Veranstaltungen.

Weitere Informationen zum Thema:

(ISC)² Austria Chapter
Welcome to the (ISC)² Austria Chapter!