Abwehrmaßnahmen auf Netzwerkebene: Neue Formen von Cyber-Attacken abwehren

15. Januar 2020

IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen Seite der Macht, wenn es um die Sicherheit ihrer Daten und Assets geht. Die Diversifizierung und Komplexität von Cyber-Bedrohungen haben ihr Aufgabenfeld unabhängig von Größe und Branche dramatisch erweitert. Aufgeben gilt nicht. Was hilft, ist ein genauer Blick auf die aktuelle Bedrohungslandschaft und auf Technologien, die helfen, das Tempo der Cyber-Kriminellen mitzugehen und langfristig die Nase vorne zu behalten.

Zu den größten Bedrohungen für Unternehmen gehören Brute-Force Angriffe, Passwortdiebstahl, nicht gepatchte Schwachstellen und andere netzwerkbasierte Angriffe auf Endgeräte. Auch Angriffe per E-Mail bleiben ein großes Problem: Die Finanzabteilung und die oberen Managementebenen in Marketing und HR sind die Hauptziele von Spear-Phishing-E-Mails, wobei die Sicherheitsregeln laut einer aktuellen Studie am häufigsten von der Geschäftsleitung verletzt werden (57 Prozent).

Das demotiviert IT- und Sicherheitsteams, die ohnehin bereits überlastet und unterbesetzt sind. Hinzu kommt: Der Mangel an Cyber-Sicherheitskenntnissen ist bedrohlich wie nie – laut der Studie sind 53 Prozent der Befragten IT-Sicherheitsexperten der Meinung, dass die Sicherheit ihrer Organisation darunter leidet. Aufgrund dieses fehlenden Fachwissens glauben 91 Prozent der Sicherheitsexperten, dass die meisten Unternehmen für einen signifikanten Cyber-Angriff anfällig sind, und 94 Prozent denken, dass Cyber-Kriminelle in diesem Wettlauf die Oberhand gewonnen haben.

Bedrohungen für Unternehmen

Einige der größten Bedrohungen und Angriffe, die auf Unternehmen abzielen – unabhängig von Größe und Branchenzugehörigkeit – betreffen internetbasierte Dienste wie RDP (Remote Desktop Protocol), SSH, SMB und HTTP. Brute-Force-Angriffe auf RDP-Dienste machen laut Bitdefender-Telemetrie über 65 Prozent aller netzwerkbasierten Angriffe aus.

Cyber-Kriminelle sondieren oft internetfähige Dienste und Endpunkte für RDP-Verbindungen, bei denen sich jemand außerhalb des Unternehmens remote einwählen kann. Sobald sie sich auf dem Zielcomputer befinden, versuchen sie, die Sicherheitslösung herunterzufahren und manuell Bedrohungen wie Ransomware oder Lateral Movement Tools zu implementieren, um zusätzliche Rechner innerhalb der Infrastruktur zu infiltrieren.

Wenn das RDP nicht ordnungsgemäß konfiguriert und gesichert ist, kann es als Gateway innerhalb des Unternehmens fungieren und den Eindringlingen den Zugriff auf sensible interne Ressourcen ermöglichen. Brute Forcing von Passwörtern ist dabei eine Möglichkeit, um Informationen wie Log-In-Daten zu erhalten oder sogar mehrere verteilte Anfragen an einen Server zu senden, um nach gültigen Zugangsdaten zu suchen.

Es wird auch versucht, ungepatchte Schwachstellen in RDP-Diensten auszunutzen, um Code aus der Ferne auszuführen und die Kontrolle über diese Gateways zu erlangen. Einer der jüngsten Angriffsvektoren, die von Bedrohungsakteuren zur Gefährdung von Unternehmen verwendet werden, ist beispielsweise eine kürzlich aufgetretene wurmfähige Sicherheitslücke im Microsoft RDP-Dienst, die es Angreifern ermöglicht, die Fernsteuerung gefährdeter Systeme zu übernehmen (BlueKeep – CVE-2019-0708).

Diese Art von Angriff ist branchenunabhängig – das Unternehmen muss lediglich einen öffentlich zugänglichen Server betreiben. Im Erfolgsfall können sich Angreifer lateral über die Infrastruktur bewegen und andere Server oder Endpunkte kompromittieren. Damit erreichen sie Persistenz, können auf hochvertrauliche Daten zuzugreifen und diese exfiltrieren oder Malware einsetzen, die das Unternehmen lähmt oder Spuren verwischt.

Bedrohungsakteure bevorzugen auch Angriffe, die auf Webserver über SQL- oder Befehlsinjektion abzielen. Sie können Funktionen zur Ausführung von Code auf der Maschine aktivieren und diese als Gateway oder Drehpunkt für Querbewegungen innerhalb des Unternehmens verwenden.

Ebenso SMB-Exploits – sie sind für Cyber-Kriminelle zu einer häufigen Angriffstaktik geworden, da SMB-Server oft auf Windows-Domain-basierten Netzwerk-Architekturen liegen, so dass alle Mitarbeiter Dokumente aus diesen Netzwerkfreigaben kopieren können. Durch die Gefährdung dieser kleinen und mittleren Server durch Exploits wie EternalBlue oder DoublePulsar können Angreifer sie als Einstiegspunkte nutzen.

Active Directory im Fokus

Die Kompromittierung von Active Directory (AD) ist für Cyber-Kriminelle ebenso interessant: Untersuchungen von Bitdefender haben ergeben, dass Angreifer den AD-Server eines Unternehmens in weniger als zwei Stunden erfolgreich infiltrieren können. Im besagten Fall gelang es ihnen mithilfe eines kompromittierenden E-Mail-Anhangs, der vom Mitarbeiter eines Finanzinstituts geöffnet wurde, ausgewählte Maschinen in der Infrastruktur zu kompromittieren und sich heimlich innerhalb der Infrastruktur zu bewegen.

Wenn sich cyber-kriminelle Gruppen darauf konzentrieren, bestimmte Fachbereiche gezielt anzusprechen und zu kompromittieren, haben sie ein tiefes Verständnis dafür, wie deren Infrastrukturen funktionieren, wo sich kritische Daten befinden können und welche Cybersicherheitsmaßnahmen das Unternehmen möglicherweise bereitstellt. Im Folgenden finden sich die bedeutendsten netzwerkbasierten Angriffe, denen Unternehmen laut der Bitdefender-Telemetrie ausgesetzt sind:

  • Attack.Bruteforce.RDP
  • PrivacyThreat.PasswordStealer.HTTP.Internal
  • PrivacyThreat.PasswordStealer.HTTP
  • Exploit.SMB.ExeCriticalLocation
  • Exploit.HTTP.ShellShock
  • Exploit.HTTP.DirectoryTraversal
  • Exploit.SMB.CVE-2017-0144.EternalBlue
  • sav_malware
  • PrivacyThreat.PrivateDataLeakage.HTTP.Alert
  • Attack.PortScanning
  • Bot.DGA.filtered
  • Exploit.CommandInjection.Gen.8
  • Attack.Bruteforce.FTP
  • Exploit.HTTP.CVE-2017-5638
  • Exploit.CommandInjection.29
  • Attack.LocalFileInclusion.5
  • Exploit.LoginTooLong.SMB
  • Suspicious.TorActivity
  • Attack.LocalFileInclusion.36

Die meisten Angriffe erfolgen mit kostenlosen Open-Source-Tools, was bedeutet, dass es für Cyber-Kriminelle eine geringe Eintrittsbarriere gibt. Bedrohungsakteure, die sehr gezielte Angriffe durchführen wollen, benötigen jedoch fortgeschrittene Netzwerkkenntnisse und benutzerdefinierte Tools, um einen APT-Angriff (Advanced Persistent Threat) durchzuführen.

Wollen Unternehmen dieser dunklen Seite der Macht etwas entgegensetzen, müssen sie sich auf Technologien zur Abwehr von Netzwerkangriffen konzentrieren. Diese identifizieren und kategorisieren die Netzwerkprozesse und weisen auf Seitwärtsbewegungen, Malware-Infektionen, Web-Service-Angriffe, bösartigen Datenverkehr durch Botnets oder TOR/Onion-Verbindungen und Datenschutzverletzungen durch unsichere Passwörter oder sensible Daten hin.

Fortschrittliche Technologien sind ein Muss

Technologien zur Verhaltensanalyse, zur Korrelation mehrerer Ereignisse und zur Analyse von Netzwerken erhöhen die Chancen für Unternehmen, Verletzungen und Datendiebstahl zu vermeiden. Incident Response Narrative, also Use Cases und Anleitungen, wie Bedrohungen zu behandeln sind, sind die Zukunft der IT-Sicherheit. Sie helfen, den akuten Mangel an Sicherheitskenntnissen zu beheben, der die Branche plagt.

Automatisierte Echtzeit-Netzwerkverkehrskontroll- und Präventionstechnologien, die dem Netzwerkverkehr keine Leistungseinbußen hinzufügen, können die Daten im Streaming-Modus scannen und Bedrohungen bereits beim ersten Anzeichen eines fehlerhaften Datenpakets blockieren. Das bedeutet, dass der bösartige Datenverkehr nicht einmal die lokale Anwendung oder Maschine erreicht und den Angriff effektiv stoppt.

Mit einer Event-Korrelations-Engine, die von IoC-Feeds (Indicators of Compromise) gespeist wird, identifiziert und kategorisiert die Abwehrtechnologie verdächtiges Netzwerkverhalten. Auch die Verwendung von Machine-Learning-Algorithmen zur Identifizierung bestimmter Angriffsvektoren – wie Protokolle oder gerätespezifische Anomalie-Erkennung – kann Unternehmen helfen, sich gegen Bedrohungen auf Netzwerkebene zu schützen. Die Möglichkeit, diese netzwerkbasierte Bedrohungsintelligenz mit EDR-Funktionen (Endpoint Detection and Response) zu kombinieren, unterstützt Unternehmen dabei, ihr Netzwerk als Ganzes zu schützen und Transparenz über den gesamten Technologie-Stack, vom Netzwerk bis zum Betriebssystem, zu schaffen.

Die Angriffskette brechen

Fortschrittlichen Netzwerk-Angriffsabwehrtechnologien sind ein Muss, will man den neuen Formen von Cyber-Attacken wirkungsvoll entgegentreten. Diese Technologien können neue Arten von Bedrohungen früher in der Angriffskette erkennen und blockieren, indem sie mehrere Angriffsvektoren korrelieren, die sowohl Signaturen als auch verhaltensbasiertes maschinelles Lernen verwenden.

Einer der vielleicht wichtigsten Aspekte einer Netzwerk-Verteidigungstechnologie, die sich problemlos in die EDR-Plattform einfügt, ist die Fähigkeit, komplexe nicht-deterministische Ereignisse zu erkennen und gleichzeitig neue Seitenbewegungserkennungen von MITRE zu unterstützen. Auf diese Weise können sich Unternehmen ein vollständiges Bild von ihrem gesamten Cybersicherheitsstatus über die gesamte Infrastruktur machen und der dunklen Seite der Macht dauerhaft die Stirn bieten.

Bogdan Botezatu ist Director of Threat Research and Reporting bei Bitdefender.

Bitdefender

Lesen Sie auch