{"id":15551,"date":"2020-01-20T11:00:00","date_gmt":"2020-01-20T10:00:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15551"},"modified":"2020-01-16T10:17:22","modified_gmt":"2020-01-16T09:17:22","slug":"it-sicherheit-im-ewigen-wettlauf-mit-der-dunklen-seite-der-macht","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15551","title":{"rendered":"IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Autor\/Redakteur: <a href=\"https:\/\/www.bitdefender.de\/\">Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender<\/a>\/gg<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen Seite der Macht, wenn es um die Sicherheit ihrer Daten und Assets geht. Die Diversifizierung und Komplexit\u00e4t von Cyberbedrohungen haben ihr Aufgabenfeld unabh\u00e4ngig von Gr\u00f6\u00dfe und Branche dramatisch erweitert. Aufgeben gilt nicht. Was hilft, ist ein genauer Blick auf die aktuelle Bedrohungslandschaft und auf Technologien, die helfen, das Tempo der Cyberkriminellen mitzugehen und langfristig die Nase vorne zu behalten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/MDDBiB7Y.jpg\" alt=\"\" class=\"wp-image-15552\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/MDDBiB7Y.jpg 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2020\/01\/MDDBiB7Y-300x180.jpg 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Bild: Bitdefender<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">Zu den gr\u00f6\u00dften Bedrohungen f\u00fcr Unternehmen geh\u00f6ren Brute-Force Angriffe, Passwortdiebstahl, nicht gepatchte Schwachstellen und andere netzwerkbasierte Angriffe auf Endger\u00e4te. Auch Angriffe per E-Mail bleiben ein gro\u00dfes Problem: Die Finanzabteilung und die oberen Managementebenen in Marketing und HR sind die Hauptziele von Spear-Phishing-E-Mails, wobei die Sicherheitsregeln laut einer aktuellen Studie am h\u00e4ufigsten von der Gesch\u00e4ftsleitung verletzt werden (<a href=\"https:\/\/www.bitdefender.com\/files\/News\/CaseStudies\/study\/285\/Bitedefender-Hacked-Off-Report.pdf\">57 Prozent)<\/a>. Das demotiviert IT- und Sicherheitsteams, die ohnehin bereits \u00fcberlastet und unterbesetzt sind. Hinzu kommt: Der Mangel an Cybersicherheitskenntnissen ist bedrohlich wie nie \u2013 laut der <a href=\"https:\/\/www.globenewswire.com\/news-release\/2019\/05\/09\/1821287\/0\/en\/Cybersecurity-Skills-Shortage-Worsening-for-Third-Year-In-A-Row-Sounding-the-Alarm-for-Business-Leaders.html\">Studie sind 53 Prozent der Befragten IT-Sicherheitsexperten <\/a>der Meinung, dass die Sicherheit ihrer Organisation darunter leidet. Aufgrund dieses fehlenden Fachwissens glauben 91 Prozent der Sicherheitsexperten, dass die meisten Unternehmen f\u00fcr einen signifikanten Cyberangriff anf\u00e4llig sind, und 94 Prozent denken, dass Cyberkriminelle in diesem Wettlauf die Oberhand gewonnen haben. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Bedrohungen f\u00fcr Unternehmen <\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Einige der gr\u00f6\u00dften Bedrohungen und Angriffe, die auf Unternehmen abzielen \u2013 unabh\u00e4ngig von Gr\u00f6\u00dfe und Branchenzugeh\u00f6rigkeit \u2013 betreffen internetbasierte Dienste wie RDP, SSH, SMB und HTTP. Brute-Force-Angriffe auf RDP-Dienste machen laut Bitdefender-Telemetrie \u00fcber 65 Prozent aller netzwerkbasierten Angriffe aus. Cyberkriminelle sondieren oft internetf\u00e4hige Dienste und Endpunkte f\u00fcr RDP-Verbindungen, bei denen sich jemand au\u00dferhalb des Unternehmens remote einw\u00e4hlen kann. Sobald sie sich auf dem Zielcomputer befinden, versuchen sie, die Sicherheitsl\u00f6sung herunterzufahren und manuell Bedrohungen wie Ransomware oder Lateral Movement Tools zu implementieren, um zus\u00e4tzliche Rechner innerhalb der Infrastruktur zu infiltrieren.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p class=\"wp-block-paragraph\">Wenn das RDP nicht ordnungsgem\u00e4\u00df konfiguriert und gesichert ist, kann es als Gateway innerhalb des Unternehmens fungieren und den Eindringlingen den Zugriff auf sensible interne Ressourcen erm\u00f6glichen. Brute Forcing von Passw\u00f6rtern ist dabei eine M\u00f6glichkeit, um Informationen wie Log-In-Daten zu erhalten oder sogar mehrere verteilte Anfragen an einen Server zu senden, um nach g\u00fcltigen Zugangsdaten zu suchen. Es wird auch versucht, ungepatchte Schwachstellen in RDP-Diensten auszunutzen, um Code aus der Ferne auszuf\u00fchren und die Kontrolle \u00fcber diese Gateways zu erlangen. Einer der j\u00fcngsten Angriffsvektoren, die von Bedrohungsakteuren zur Gef\u00e4hrdung von Unternehmen verwendet werden, ist beispielsweise eine wurmf\u00e4hige Sicherheitsl\u00fccke im Microsoft RDP-Dienst, die es Angreifern erm\u00f6glicht, die Fernsteuerung gef\u00e4hrdeter Systeme zu \u00fcbernehmen (<a href=\"https:\/\/businessinsights.bitdefender.com\/bluekeep-exploit-code-released-blocked-by-hypervisor-introspection\">BlueKeep &#8211; CVE-2019-0708<\/a>). <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Art von Angriff ist branchenunabh\u00e4ngig \u2013 das Unternehmen muss lediglich einen \u00f6ffentlich zug\u00e4nglichen Server betreiben. Im Erfolgsfall k\u00f6nnen sich Angreifer lateral \u00fcber die Infrastruktur bewegen und andere Server oder Endpunkte kompromittieren. Damit erreichen sie Persistenz, k\u00f6nnen auf hochvertrauliche Daten zuzugreifen und diese exfiltrieren oder Malware einsetzen, die das Unternehmen l\u00e4hmt oder Spuren verwischt. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bedrohungsakteure bevorzugen auch Angriffe, die auf Webserver \u00fcber SQL- oder Befehlsinjektion abzielen. Sie k\u00f6nnen Funktionen zur Ausf\u00fchrung von Code auf der Maschine aktivieren und diese als Gateway oder Drehpunkt f\u00fcr Querbewegungen innerhalb des Unternehmens verwenden. Ebenso SMB-Exploits \u2013 sie sind f\u00fcr Cyberkriminelle zu einer h\u00e4ufigen Angriffstaktik geworden, da SMB-Server oft auf Windows-Domain-basierten Netzwerk-Architekturen liegen, so dass alle Mitarbeiter Dokumente aus diesen Netzwerkfreigaben kopieren k\u00f6nnen. Durch die Gef\u00e4hrdung dieser kleinen und mittlelgro\u00dfen Server durch Exploits wie EternalBlue oder DoublePulsar k\u00f6nnen Angreifer sie als Einstiegspunkte nutzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Kompromittierung von Active Directory ist f\u00fcr Cyberkriminelle ebenso interessant: <a href=\"https:\/\/labs.bitdefender.com\/2019\/06\/an-apt-blueprint-gaining-new-visibility-into-financial-threats\/\">Bitdefender-Untersuchungen <\/a>haben ergeben, dass Angreifer den AD-Server eines Unternehmens in weniger als zwei Stunden erfolgreich infiltrieren k\u00f6nnen. Im besagten Fall gelang es ihnen mithilfe eines kompromittierenden E-Mail-Anhangs, der vom Mitarbeiter eines Finanzinstituts ge\u00f6ffnet wurde, ausgew\u00e4hlte Maschinen in der Infrastruktur zu kompromittieren und sich heimlich innerhalb der Infrastruktur zu bewegen.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p class=\"wp-block-paragraph\">Wenn sich cyberkriminelle Gruppen darauf konzentrieren, bestimmte Fachbereiche gezielt anzusprechen und zu kompromittieren, haben sie ein tiefes Verst\u00e4ndnis daf\u00fcr, wie deren Infrastrukturen funktionieren, wo sich kritische Daten befinden k\u00f6nnen und welche Cybersicherheitsma\u00dfnahmen das Unternehmen m\u00f6glicherweise bereitstellt. Im Folgenden finden sich die bedeutendsten netzwerkbasierten Angriffe, denen Unternehmen laut der Bitdefender-Telemetrie ausgesetzt sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Attack.Bruteforce.RDP<\/li><li>PrivacyThreat.PasswordStealer.HTTP.Internal<\/li><li>PrivacyThreat.PasswordStealer.HTTP<\/li><li>Exploit.SMB.ExeCriticalLocation<\/li><li>Exploit.HTTP.ShellShock<\/li><li>Exploit.HTTP.DirectoryTraversal<\/li><li>Exploit.SMB.CVE-2017-0144.EternalBlue<\/li><li>sav_malware<\/li><li>PrivacyThreat.PrivateDataLeakage.HTTP.Alert<\/li><li>Attack.PortScanning<\/li><li>Bot.DGA.filtered<\/li><li>Exploit.CommandInjection.Gen.8<\/li><li>Attack.Bruteforce.FTP<\/li><li>Exploit.HTTP.CVE-2017-5638<\/li><li>Exploit.CommandInjection.29<\/li><li>Attack.LocalFileInclusion.5<\/li><li>Exploit.LoginTooLong.SMB<\/li><li>Suspicious.TorActivity<\/li><li>Attack.LocalFileInclusion.36<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die meisten Angriffe erfolgen mit kostenlosen Open-Source-Tools, was bedeutet, dass es f\u00fcr Cyberkriminelle eine geringe Eintrittsbarriere gibt. Bedrohungsakteure, die sehr gezielte Angriffe durchf\u00fchren wollen, ben\u00f6tigen jedoch fortgeschrittene Netzwerkkenntnisse und benutzerdefinierte Tools, um einen APT-Angriff (Advanced Persistent Threat) durchzuf\u00fchren. Wollen Unternehmen dieser dunklen Seite der Macht etwas entgegensetzen, m\u00fcssen sie sich auf Technologien zur Abwehr von Netzwerkangriffen konzentrieren. Diese identifizieren und kategorisieren die Netzwerkprozesse und weisen auf Seitw\u00e4rtsbewegungen, Malware-Infektionen, Web-Service-Angriffe, b\u00f6sartigen Datenverkehr durch Botnets oder TOR\/Onion-Verbindungen und Datenschutzverletzungen durch unsichere Passw\u00f6rter oder sensible Daten hin. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Fortschrittliche Technologien sind ein Muss <\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Technologien zur Verhaltensanalyse, zur Korrelation mehrerer Ereignisse und zur Analyse von Netzwerken erh\u00f6hen die Chancen f\u00fcr Unternehmen, Verletzungen und Datendiebstahl zu vermeiden. Incident Response Narrative, also Use Cases und Anleitungen, wie Bedrohungen zu behandeln sind, sind die Zukunft der IT-Sicherheit. Sie helfen, den akuten Mangel an Sicherheitskenntnissen zu beheben, der die Branche plagt. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Automatisierte Echtzeit-Netzwerkverkehrskontroll- und Pr\u00e4ventionstechnologien, die dem Netzwerkverkehr keine Leistungseinbu\u00dfen hinzuf\u00fcgen, k\u00f6nnen die Daten im Streaming-Modus scannen und Bedrohungen bereits beim ersten Anzeichen eines fehlerhaften Datenpakets blockieren. Das bedeutet, dass der b\u00f6sartige Datenverkehr nicht einmal die lokale Anwendung oder Maschine erreicht und den Angriff effektiv stoppt. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit einer Event-Korrelations-Engine, die von IoC-Feeds (Indicators of Compromise) gespeist wird, identifiziert und kategorisiert die Abwehrtechnologie verd\u00e4chtiges Netzwerkverhalten. Auch die Verwendung von Machine-Learning-Algorithmen zur Identifizierung bestimmter Angriffsvektoren \u2013 wie Protokolle oder ger\u00e4tespezifische Anomalieerkennung \u2013 kann Unternehmen helfen, sich gegen Bedrohungen auf Netzwerkebene zu sch\u00fctzen. Die M\u00f6glichkeit, diese netzwerkbasierte Bedrohungsintelligenz mit EDR-Funktionen (Endpoint Detection and Response) zu kombinieren, unterst\u00fctzt Unternehmen dabei, ihr Netzwerk als Ganzes zu sch\u00fctzen und Transparenz \u00fcber den gesamten Technologiestack, vom Netzwerk bis zum Betriebssystem, zu schaffen. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Fazit: Die Angriffskette brechen<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Fortschrittlichen Netzwerk-Angriffsabwehrtechnologien sind ein Muss, will man den neuen Formen von Cyberattacken wirkungsvoll entgegentreten. Diese Technologien k\u00f6nnen neue Arten von Bedrohungen fr\u00fcher in der Angriffskette erkennen und blockieren, indem sie mehrere Angriffsvektoren korrelieren, die sowohl Signaturen als auch verhaltensbasiertes maschinelles Lernen verwenden. Einer der vielleicht wichtigsten Aspekte einer Netzwerk-Verteidigungstechnologie, die sich problemlos in die EDR-Plattform einf\u00fcgt, ist die F\u00e4higkeit, komplexe nicht-deterministische Ereignisse zu erkennen und gleichzeitig neue Seitenbewegungserkennungen von MITRE zu unterst\u00fctzen. Auf diese Weise k\u00f6nnen sich Unternehmen ein vollst\u00e4ndiges Bild von ihrem gesamten Cybersicherheitsstatus \u00fcber die gesamte Infrastruktur machen und der dunklen Seite der Macht dauerhaft die Stirn bieten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>IT-Sicherheitsexperten in Unternehmen befinden sich im ewigen Wettlauf mit der dunklen Seite der Macht, wenn es um die Sicherheit ihrer Daten und Assets geht. Die Diversifizierung und Komplexit\u00e4t von Cyberbedrohungen haben ihr Aufgabenfeld unabh\u00e4ngig von Gr\u00f6\u00dfe und Branche dramatisch erweitert. Aufgeben gilt nicht. Was hilft, ist ein genauer Blick auf die aktuelle Bedrohungslandschaft und auf Technologien, die helfen, das Tempo der Cyberkriminellen mitzugehen und langfristig die Nase vorne zu behalten.<\/p>\n","protected":false},"author":1,"featured_media":15552,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[791,13289,13278,13293,13288,7905,136,13276,13287,5940,5824,1060,6785,13292,13290,13291,13284,13281,13295,13283,13280,4419,4186,13277,4980,893,1458,2828,1027,3753,3392,13282,13279,13286,1957,13285,36,3437,3537,3731,13294,5151],"class_list":["post-15551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-apt","tag-attack-bruteforce-ftp","tag-attack-bruteforce-rdp","tag-attack-localfileinclusion-5","tag-attack-portscanning","tag-bedrohung","tag-bitdefender","tag-bluekeep","tag-bot-dga-filtered","tag-botnetz","tag-brute-force","tag-e-mail","tag-edr","tag-exploit-commandinjection-29","tag-exploit-commandinjection-gen-8","tag-exploit-http-cve-2017-5638","tag-exploit-http-directorytraversal","tag-exploit-http-shellshock","tag-exploit-logintoolong-smb","tag-exploit-smb-cve-2017-0144-eternalblue","tag-exploit-smb-execriticallocation","tag-http","tag-incident-response","tag-injection","tag-ioc","tag-kostenlos","tag-malware","tag-mitre","tag-open-source","tag-passwort","tag-phishing","tag-privacythreat-passwordstealer-http","tag-privacythreat-passwordstealer-http-internal","tag-privacythreat-privatedataleakage-http-alert","tag-rdp","tag-sav_malware","tag-sicherheit","tag-smb","tag-sql","tag-ssh","tag-suspicious-toractivity","tag-tor"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15551"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15551\/revisions"}],"predecessor-version":[{"id":15553,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15551\/revisions\/15553"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15552"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}