Interview mit Nathan Howe, Zscaler: „Das Internet macht Unternehmen angreifbar“

22. Juni 2021

Die Angriffsfläche von Unternehmen, die „Attack Surface“, hat sich mit der Dominanz des Internets vergrößert. Die Studie „Exposed“ gibt Einblick, was Unternehmen über ihre Infrastruktur im Internet preisgeben. Line-of.biz (LoB) hat mit Nathan Howe, den Vice President of Emerging Technologies bei Zscaler, gesprochen, warum der Einblick in die Angriffsfläche eines Unternehmens entscheidend für die Sicherheitslage sein kann.

Die moderne Arbeitswelt hat zu einer Zunahme von Benutzern, Geräten und Anwendungen geführt, die außerhalb von kontrollierten Netzwerkgrenzen über das Internet verbunden sind. Der Fokus auf das Netzwerk hat sich somit reduziert, während die Abhängigkeit vom Internet als Bindegewebe für das unternehmerische Handeln zugenommen hat. Dazu hat man bei Zscaler in einer Studie untersucht, wie sich diese Entwicklung auf die Angriffsfläche von Unternehmen auswirkt.

LoB: Was war die wichtigste Erkenntnis aus dem Report?
Howe: Meine größte Erkenntnis ist die enorme Menge an Informationen, die Organisationen offen über ihre IT-Infrastruktur im Internet bereitstellen. Hier sind viel mehr Informationen exponiert, als für die Funktionalität nötig wäre. Konnektivität zu Services oder Anwendungen liegt in der Natur des Internets, aber der Report zeigte uns, dass – manches Mal vielleicht unbeabsichtigt – viel mehr geteilt wird, als technisch nötig wäre. Ich betrachte die schiere Menge an offen dargelegten Informationen als potenzielle Angriffsfläche einer jeden Organisation.

Nathan Howe Zscaler Klein
Nathan Howe, den Vice President of Emerging Technologies bei Zscaler; Quelle: Zscaler

LoB: lässt sich das auf einen einfachen Nenner bringen?
Howe: Die Gleichung ist einfach: Je weniger Organisationen von ihrer IT-Infrastruktur preisgeben, desto weniger sind sie den Risiken von potenziellen Sicherheitslücken ausgesetzt. Unsere über ein Jahr durchgeführte Studie zeigt, dass 329.000 Server und 214.000 Ports im Internet „offen“ auffindbar waren. Darüber hinaus wurden 202.000 potenzielle Common Vulnerabilities and Exposures (CVEs) in der Stichprobe von 1.500 Unternehmen gefunden. Daraus ergibt sich, dass die Unternehmen im Durchschnitt 135 bekannten Schwachstellen ausgesetzt waren, von denen jede ein potenzielles Risiko für das Unternehmen darstellt. Von den entdeckten und potenziellen CVEs sind 49 Prozent als „kritisch“ oder „hoch“ eingestuft.

LoB: Warum ist das so riskant?
Howe: Lassen Sie mich eine Analogie verwenden, um zu verdeutlichen, warum ich diese Menge an öffentlichen Informationen für ein potenzielles Problem halte. Wenn jemand sein Haus verlässt, stellt er sicher, dass alle Fenster und Türen verschlossen sind, um Eindringlinge daran zu hindern, seine Räume zu betreten. Nur autorisierte Mitglieder der Familie können die Haustüre mit ihrem Schlüssel öffnen. Wenn eine Organisation ihre virtuellen Türen im Internet weit geöffnet hat, kann jeder eintreten – ohne dass ein Schlüssel benötigt wird.

LoB: Wie kommt es zu dieser Angriffsfläche?
Howe: Wir wollen das Bewusstsein innerhalb von Organisationen schärfen, dass sie sich vielleicht gar nicht wissen, was sie dem Internet preisgeben. Unternehmen sollten den Überblick über alle ihre Infrastruktur- und Service-Assets behalten und ihre Türen für Eindringlinge geschlossen halten, so dass niemand unbefugt in der Netzwerkumgebung herumschnüffeln kann. Unsere Studie zeigt auf, welche Infrastruktur von Unternehmen offen zugänglich im Internet exponiert ist – also welche Türen und Fenster geöffnet sind und zum Eintreten einladen. Wir sprechen einerseits von offenen und lauschenden Ports auf mit dem Internet verbundenen Servern, die aufgrund der Notwendigkeit einer Verbindung geöffnet sein müssen, aber andererseits auch von falsch konfigurierten Diensten. So werden beispielsweise Datenbanken und Infrastrukturdetails, wie Versionsnummer, öffentlich zugänglich gemacht. Dadurch können böswillige Akteure Informationen über die Infrastruktur einer Organisation sammeln. Wir sprechen von Enumeration, wenn herausgefunden wird was in einem Netzwerk läuft und an welchem Standort welche Hardware oder Server laufen. Wenn Angreifer diese Erkenntnisse mit bekannten Schwachstellen verknüpfen, lassen sich Türen ins Netzwerk leicht öffnen, um dort Fuß zu fassen.

LoB: Was ist dabei das entscheidende Element?
Howe: Organisationen müssen Einblick in die Informationslandschaft bekommen, die das Internet sieht. Um nur ein Beispiel zu nennen: VPN-Verbindungen wurden von außen immer als relativ sicher wahrgenommen, auch wenn sie einen Eingangspfad ins Unternehmen darstellen und das gesamte Netzwerk öffnen. Im Laufe des letzten Jahres wurde VPN von verschiedenen Seiten angegriffen, so dass wir heute mit unterschiedlichsten Schwachstellen gegen einen solch exponierten Dienst konfrontiert sind.

LoB: Warum sind öffentliche Informationen für einen Malware-Akteur von Vorteil?
Howe: Wenn ein Angreifer Open Source Intelligence, kurz OSINT, nutzt, um Informationen über die Infrastruktur eines Unternehmens zu sammeln, kann er einen gezielten Angriffsplan auf vorhandene Schwachstellen ausrichten. Die Informationen über Konnektivität und Hardware sowie Dienste, wie Cloud-Workloads oder Webangebote bilden Punkte, die sich zu einem Gesamtbild der Infrastruktur zusammenfügen lassen. Durch die Verbindung von Punkten zwischen einem Satz von Informationen und einem anderen lassen sich Vermutung über die Verwundbarkeit einer Infrastruktur anstellen. Diese Informationen helfen Angreifern beispielsweise bei der Erstellung einer Ransomware-Payload, die auf diese Schwachstellen in identifizierten Systemen setzt.

LoB: Worin liegt das grundlegende Übel?
Howe: Leider ist die Verfügbarkeit dieser Informationen ein Nebeneffekt der Art und Weise, wie das Transmission Control Protocol/Internet Protocol (TCP/IP) und das Internet aufgebaut sind. Um eine Verbindung zu ermöglichen, sind offene Systeme erforderlich die auf Verbindungsanfragen warten. Es ist dieser lauschende – offene – Service oder Port, den ein Computer dann anruft. Dieser Handshake zum Einrichten der Konnektivität wird als selbstverständlich vorausgesetzt und dann so erweitert, dass diese Dienste im Internet verfügbar gemacht werden. Das bedeutet, dass jeder im Internet eine Verbindung zu diesen offenen Servern oder Ports herstellen kann. Mit unserem Report wollen wir ein Bewusstsein dafür schaffen, dass nicht alle Informationen öffentlich exponiert werden müssen.

LoB: Was ist Ihre Empfehlung für Organisationen?
Howe: Basierend auf den Ergebnissen unseres Berichts empfehle ich Unternehmen ihre offenen Türen und Fenster zu überprüfen. In einem zweiten Schritt sollten sie ihre Infrastruktur dahingehend bewerten, was tatsächlich aus Gründen der Funktionalität wirklich dem gesamten Internet ausgesetzt werden muss – und was eben nicht. Wenn sich Unternehmen dieser potenziellen Angriffsfläche bewusst sind, können sie Maßnahmen ergreifen um ihre Infrastruktur angemessen zu schützen. Heute bietet das Least Privilege-Prinzip des Zero Trust Network Access eine Möglichkeit, die Angriffsfläche einer Organisation zu reduzieren.

LoB: Wo liegt darin der Vorteil?
Howe: Nur autorisierte Benutzer erhalten über einen vertrauenswürdigen Mikrotunnel, der auf Zugriffsrichtlinien basierend eingerichtet wird, Zugang zu einer Anwendung, unabhängig ob die App in der Cloud oder im Unternehmensrechenzentrum gehostet wird. Ein solches Zugangskonzept bedeutet, dass Organisationen ihre Infrastruktur verstecken und im Internet unsichtbar werden. Und was im Internet nicht zu sehen ist, kann auch nicht angegriffen werden.

LoB: Welche Bedeutung bekommt ein solches Konzept in den heutigen Multi-Cloud-Umgebungen?
Howe: Es ist so einfach, ein neues Amazon Web Services (AWS)-Design durch verschiedene Beteiligte innerhalb einer Organisation einzurichten, und das IT-Team ist sich dem möglicherweise nicht einmal bewusst. Zero Trust bietet einen Sicherheitsmechanismus nicht nur für die Konnektivität zwischen Benutzer und App, sondern auch für das gesamte Cloud Security Posture Management, da es Fehlkonfigurationen nachverfolgen und die Einhaltung von Compliance-Vorschriften überwachen kann. Mit der identitätsbasierten Mikrosegmentierung zwischen Workloads können laterale Bewegungen in Cloud-Infrastrukturen eliminiert werden. Aufgrund der einfachen Einrichtung von Cloud-Umgebungen sollten sich Unternehmen nur bewusst sein, dass sie damit potenziell ihre Angriffsfläche vergrößern. Ein Tool zur Überprüfung der Angriffsfläche einer Organisation ist der erste Schritt, um das Bewusstsein zu schärfen. (rhh)

Zscaler

Lesen Sie auch