Automatisierte Früherkennung von Attacken schützt das RZ
20. Februar 2020Rechenzentren (RZ) mit ihren Daten stellen ein verlockendes Ziel für Angreifer dar. Wenn der Angreifer Glück hat, findet er eine Schwachstelle für den Zugang über das Internet zum RZ. Generell sind daher all die kritischen Angriffsvektoren zu beachten.
Cyber-Angriffe, die auf Rechenzentren abzielen, in der Regel gut geplante Operationen. Dabei gehen die Akteure mit Geduld und Beharrlichkeit an die Sache heran. Dies ist nötig, um „unter dem Radar zu fliegen“. Dies bedeutet, den Angriff auszuführen, ohne dass das Sicherheitsteam etwas bemerkt.
Wer aber die kritischsten Angriffsvektoren und -techniken kennt, die versierte Cyber-Angreifer gegen Rechenzentren einsetzen, der sollte gut gerüstet sein.
- Administrativer Zugang: Administratoren haben weitreichende Zugangsrechte zum Rechenzentrum. Dies macht sie zu attraktiven Zielen für Angreifer. Verwaltungsprotokolle können Angreifern Backdoor-Zugang zum Rechenzentrum verschaffen, ohne dass sie eine Anwendungsschwachstelle direkt ausnutzen müssen. Durch die Verwendung von Standard-Verwaltungstools wie SSH (Secure Shell), Telnet oder RDP (Remote Desktop Protocol) können Angreifer leicht im normalen administrativen Netzwerkverkehr „mitschwimmen“.
- Schließen der lokalen Authentifizierungslücke: Zusätzlich zu den von Administratoren genutzten Standardwegen sind viele Rechenzentren auf lokale Authentifizierungsoptionen angewiesen. Diese können im Notfall für den Zugriff auf die zu verwaltenden Hosts und Workloads genutzt werden. Die lokalen Authentifizierungsoptionen werden jedoch nicht protokolliert. Der Einfachheit halber werden dieselben Zugangsdaten häufig zwischen Hosts und Workloads geteilt. Wenn Angreifer die Zugangsdaten durch die Kompromittierung eines Administrators finden, können sie unauffällig auf das Rechenzentrum zugreifen. Dabei müssen sie nicht befürchten, dass ihre Aktivität protokolliert wird.
- Administrative Hardware-Hintertür: Die lokale Authentifizierung bietet ein Beispiel für eine Hintertür, die Administratoren – und Angreifer – nutzen können, um Zugang zu einem Rechenzentrum zu erhalten. Es gibt jedoch auch andere Beispiele, die den gleichen Ansatz verfolgen, jedoch erweitert, tiefer in die Hardware hinein. Virtualisierung ist heute Standard im Rechenzentrum. Die virtualisierten Umgebungen und Ressourcen laufen dennoch auf physischer Hardware. Virtuelle Datenträger sind letztlich von physischen Datenträgern abhängig. Die physischen Datenträger laufen in physischen Servern.
- Verwaltung physischer Server: Auch diese Systeme haben ihre eigenen Verwaltungsebenen. Diese sind für Lights-Out- und Out-of-Band-Management ausgelegt. Die Verwaltungsebenen haben ihre eigenen Verwaltungsprotokolle, Stromversorgung, Prozessoren und Speicher. Dieser Aufbau ermöglicht es den Administratoren, Festplatten zu „mounten“, also ins Systemverzeichnis einzubinden, und das Re-Imaging eines Servers durchzuführen, selbst wenn der Hauptserver ausgeschaltet ist. Diese Aktionen werden oft über Protokolle wie IPMI (Intelligent Platform Management Interface) durchgeführt. Viele Hardwareanbieter haben zwar ihre eigenen Markenversionen von IPMI, wie z.B. Dell iDRAC oder HPE Integrated Lights-Out (ILO). Alle basieren aber auf IPMI und führen dieselben Funktionen aus. IPMI und die damit verbundenen Protokolle haben gut dokumentierte Schwachstellen. Sie erhalten oft nur langsam Updates und Korrekturen. Darüber hinaus gibt es derzeit eine beunruhigende Anzahl von 92.400 IPMI-Schnittstellen von Hosts, die dem Internet ausgesetzt sind. Die Kombination aus Schwachstellen und Zugangsmöglichkeiten macht IPMI zu einem Hauptangriffsvektor für bösartige Akteure, die versuchen, die Sicherheit des Rechenzentrums zu untergraben.
- Professionelle Angreifer zielen niedrig: Leider enden Hardware-Probleme im Rechenzentrum nicht bei IPMI. Clevere Angreifer, einschließlich staatlicher Akteure, nehmen zunehmend physische Server, Router, Switches und sogar Firewalls ins Visier. Die Angreifer verwenden Root-Kits, die unterhalb der Ebene des Betriebssystems agieren. Dadurch sind sie mit herkömmlichen Methoden äußerst schwer zu erkennen. Diese Techniken ermöglichen es den Angreifern, genau die Geräte zu infizieren, denen die Rechenzentrumsbetreiber vertrauen und die eigentlich das Netzwerk schützen sollen. Die Angreifer nutzen gerade diese Geräte, um Angriffe tiefer in das Netzwerk hinein zu starten.
- Daten im Auge behalten: Das ultimative Ziel der meisten Angriffe ist der Diebstahl von Daten. Je nach ihren Bedürfnissen und Fähigkeiten können die Angreifer eine Vielzahl von Ansätzen nutzen, um Daten aus dem Rechenzentrum zu schleusen. Der gängige Ansatz besteht darin, Daten in großen Mengen aus dem Datenzentrum zu verschieben. Dies erfolgt entweder direkt ins Internet oder in einen Zwischenbereich im Campusnetzwerk. Subtil vorgehende, geduldige Angreifer können versuchen, Daten möglichst langsam herausschleusen. Dadurch ist es weniger wahrscheinlich, dass der Vorgang bemerkt wird oder Verdacht erregt. Sie können ebenso versuchen, die Datenexfiltration in versteckten Tunneln innerhalb des normalerweise erlaubten Datenverkehrs, wie HTTP-, HTTPS- oder DNS-Verkehr, zu verschleiern.
- Vermischung von physischem und virtuellem Kontext: Rechenzentren sind geschäftskritisch für viele Unternehmen. Sie variieren je nach Anwendungen und der Art und Weise, wie die Benutzer mit ihnen interagieren. Das häufigste Modell ist das Rechenzentrum von Privatunternehmen. Angriffe auf diese Rechenzentren sind in der Regel erweiterte Angriffe auf die größere Unternehmensumgebung. Beispielsweise können Angreifer zunächst ein Mitarbeiter-Notebook durch eine Phishing-E-Mail oder mittels Social Engineering kompromittieren. Dies bedeutet, unberechtigt in ein Computersystem einzudringen und dort gespeicherte Daten auszuspähen oder zu manipulieren. Als nächstes versuchen sie in der Regel, eine Persistenz innerhalb des Netzwerks herzustellen, also sich „einzunisten“. Hierzu arbeiten sie sich vom ursprünglichen Opfer auf andere Hosts oder Geräte vor. Um den laufenden Angriff zu steuern, richten Angreifer Hintertüren oder versteckte Tunnel ein. So können sie von innerhalb des Netzwerks nach außen kommunizieren und ins Netzwerk hinein. Im Laufe der Zeit verschaffen sich die Angreifer einen internen Überblick des Netzwerks. Sie finden dabei wertvolle Ressourcen und kompromittieren Geräte und Benutzerdaten.
- Erweiterte Zugriffsrechte: Am begehrtesten für Angreifer sind die Administrator-Zugangsdaten. Diese gewährleisten eine weitgehende Autonomie innerhalb des Netzwerks des Opfers. Administrator-Berechtigungsnachweise sind besonders bei Angriffen auf Rechenzentren wichtig. Der Grund: Administratoren sind oft die einzigen Personen sind, die auf die Daten im großen Stil zugreifen können. Der entscheidende Punkt ist, dass ein Angriff typischerweise in einem ausgereiften Stadium ist, wenn ein privates Rechenzentrum betroffen ist. Der versteckte Command-and-Control-Verkehr, die Auskundschaftung, die seitliche Bewegung, die Kompromittierung von Benutzer- und Admin-Zugangsdaten sind alles Voraussetzungen, um in das Rechenzentrum einzudringen.
Resümee
Die meisten Sicherheitsvorkehrungen für Rechenzentren konzentrieren sich auf den Schutz der virtualisierten Schichten des Rechenzentrums. Cyber-Angreifer unterwandern jedoch zunehmend die physische Infrastruktur, auf die das Rechenzentrum angewiesen ist. Somit ist es nach Meinung von Vectra unerlässlich, die Fähigkeit zu haben, Cyber-Angriffe zu erkennen, die auf Rechenzentren abzielen.
„Dies erfordert den Einsatz fortschrittlicher Modelle zur Erkennung von Angreifern. Damit lassen sich versteckte Angriffe auf Anwendungs-, Daten- und Virtualisierungsebenen im RZ sowie auf die darunterliegende physische Infrastruktur aufdecken. Sicherheitsteams können auf diese Weise kritische Schwachstellen auf jeder Ebene des virtualisierten Rechenzentrums angehen. Dies gilt selbst dann, wenn die Angreifer legitime Dienste und Protokolle für ihre illegalen Aktionen nutzen“, wie Andreas Müller, Director DACH bei Vectra es auf den Punkt bringt. (rhh)