Die Sicherheitslage hat sich 2022 weiter verschärft.  Etay Maor, Senior Director, Security Strategy für Cato Networks, schildert Best Practices für 2023.

Autor: Etay Maor, Senior Director, Security Strategy für Cato Networks,

 

Keine Entwarnung: Der rasche Übergang zu einer Cloud-basierten Infrastruktur hat die Angriffsfläche für Cyberangriffe und die Zahl der kritischen Fehlerquellen deutlich erhöht. Das gilt für Unternehmen, Behörden und Regierungsinstitutionen gleichermaßen.

Tatsächlich nutzen laut Cloudwards.net 94 % der Unternehmen Cloud-Dienste, während Techjury.net angibt, dass 67 % der Unternehmensinfrastruktur heute Cloud-basiert sind. Welche Statistik auch immer die zutreffendere sein mag, eines ist sicher: Die Bedrohung durch Cyberkriminalität ist immens und kostet Firmen jährlich Summen in Milliardenhöhe.

 

Der „Cyber Attack Trends: 2022 Mid-Year Report“ von Checkpoint vermeldete bereits für das erste Halbjahr 2022 einen Anstieg der Cyberangriffe um 42 % im Vergleich zu 2021. Unternehmen haben sich im Jahr 2022 in hohem Maße auf Cloud-Dienste verlassen, um Produkte, Dienste, Systeme, Tools und Maschinen zu verwalten. Das hat dazu geführt, dass die Cybercrime Community in diesem Bereich äußerst aktiv war.

 

Einige meiner Beobachtungen für das Jahr 2022 habe ich hier zusammengefasst:

 

Angriffe auf kritische Infrastrukturen

Das Jahr begann mit einem Ransomware-Angriff, der kritische Dienste in Bernalillo County, New Mexico, lahmlegte. Dies wiederum führte dazu, dass Überwachungskameras und automatische Türen im Metropolitan Detention Center (MDC) nicht mehr ordnungsgemäß funktionierten und Gefangene unerwartet eingeschlossen wurden.

 

Im April haben Cyberkriminelle mehrere Regierungssysteme in Costa Rica angegriffen. Dazu zählten auch solche, die Informationen zu Exporten, Renten, Steuern, Sozialversicherungen und sogar Covid-19-Tests überwacht haben. In der Folge sahen sich die Behörden gezwungen, den Ransomware-Angriff zum nationalen Notfall zu erklären.

 

Im Juni 2022 attackierte eine Gruppe von Hackern die Produktionsanlagen mehrerer Stahlwerke im Iran und verursachte in einem dieser Werke sogar einen Brand. Dies zeigt überdeutlich, dass Cyberkriminelle in der Lage sind, Schaden in der physischen Welt anzurichten. Anhand dieser Angriffe lässt sich gut illustrieren, welche Macht und Kontrolle von Cyberangriffen ausgehen kann, wenn sie kritische Infrastrukturen lahmlegen und Regierungen panisch reagieren.

 

Crime-as-a-Service

Im Laufe des Jahres 2022 haben sich sogenannte Initial Access Broker (IABs) zu einer nicht zu unterschätzenden Bedrohung entwickelt. Ihnen ist es gelungen, über den Verkauf von Zugangsdaten zu Unternehmensnetzen im Darknet ein regelrechtes Wirtschaftssystem aufzubauen – von dem die kriminelle Unterwelt sattsam profitiert hat. Im August berichteten Sophos-Forscher, dass ein führendes Automobilunternehmen innerhalb von nur zwei Wochen von drei verschiedenen Ransomware-Angriffen betroffen war. Der IAB nutzte Berichten zufolge jeweils denselben Einstiegspunkt – eine falsch konfigurierte Firewall-Regel, die das Remote-Desktop-Protokoll (RDP) auf einem Management-Server offenlegte. Der Ransomware-Angriff auf Cisco im Mai geht ebenfalls auf einen IAB zurück – und sicherlich viele weitere mehr.

 

Angriffe auf Cloud-Dienste häufen sich

Wie schon erwähnt übernehmen Cloud-Dienste immer stärker moderne Arbeitsmethoden. Gartner, Inc. prognostiziert, dass bis 2025 mehr als 95 % der anfallenden Aufgaben in der Cloud bereitgestellt werden. Aber nicht nur Arbeitnehmer nutzen die Vorteile von Cloud-Diensten, auch Cyberkriminelle setzen auf die Technologie. Sie unterstützt sie dabei, Malware zu verbreiten, die Kontrolle über Netzwerkumgebungen zu übernehmen, Befehle remote auszuführen und Daten zu stehlen. Es gab auch etliche Vorfälle, bei denen Angreifer Cloud-Dienste missbraucht haben, um bösartige Office-Dokumente in Umlauf zu bringen und auf legitimen Cloud-Plattformen wie MediaFire, Blogger und GitHub schädliche Payloads zu hosten.

 

Das Versagen des gesamten Systems

Entgegen der landläufigen Meinung und nach sorgfältiger Untersuchung der Methoden, die bei Cyberangriffen zum Einsatz kommen, können wir mit einem der populärsten Mythen der Branche aufräumen: Nämlich, dass Cyberangriffe auf den berühmten Single Point of Failure zurückgehen. Die jüngste Analyse der BlackCat-Ransomware durch Microsoft zeigt, dass der Angriff in mehreren Phasen erfolgte und unterschiedliche Schwachstellen ins Visier genommen hat. Zunächst verschaffte sich der Angreifer über ungepatchte Sicherheitslücken Zugang, sammelte System- und Netzwerkinformationen und startete anschließend einen Prozess zum Diebstahl von Anmeldedaten. Der Hacker meldete sich über einen Remote-Desktop bei den jeweiligen Zielsystemen an und nutzte MEGASync und RClone, um Daten abzuziehen. Anschließend begann er damit, die Ransomware zu installieren und das System zu verschlüsseln. Wahrscheinlich kamen einige weitere Subtechniken dazu, die allerdings aus Sicht des MITRE ATT&CK Framework nicht eigens erwähnt werden müssen.

 

Wenn ein Cyberangriff an mehreren Angriffspunkten ansetzt, besteht das größte Problem darin, dass die angegriffene Infrastruktur aus einem Flickenteppich von Anbietern besteht, die zudem alle zusammenarbeiten oder miteinander kommunizieren.

IT-Sicherheitsabteilungen sind mit der schieren Zahl von Warnungen und Fehlalarmen schlicht überfordert. Es geht also nicht um das Versagen einer einzelnen Lösung, sondern um das Versagen des gesamten Sicherheitssystems.

 

Best Practices für 2023

Auf dem Weg ins Jahr 2023 sind Unternehmen gezwungen mit einer wachsenden Zahl von Bedrohungen Schritt zu halten. In dem Maße, in dem sich Technologien weiterentwickeln, tun das auch die Methoden, mit denen Cyberkriminelle die Schwachstellen in diesen Lösungen aufspüren. Aus meiner Sicht sind es vor allem drei Best Practices, die jedes Unternehmen in seine Sicherheitsstrategie einbeziehen sollte, und zwar:

 

  1. Ganzheitliche Sicherheit – Unternehmen sollten endlich anfangen, ihre Sicherheit ganzheitlich zu sehen. Damit meine ich, die Infrastruktur des Unternehmens als Ganzes zu betrachten, anstatt isolierte Bereiche zu sichern. Durch den Einsatz einer Single-Pass-Cloud-Engine wie Secure Access Service Edge (SASE) kann ein IT-Sicherheitsteam sämtliche Netzwerkströme von einem Ort aus überwachen, alle Geräte, Benutzer, Anwendungen, Systeme und sogar das IoT – und erhält so vollständige Transparenz. Außerdem können sie die Aktivitäten durch weitere Informationen ergänzen und feststellen, woher verdächtige Anfragen kommen, von welchem Gerät aus und auf welche Anwendungen die Nutzer zuzugreifen versuchen. Sicherheitsverantwortliche können SASE auch dazu nutzen, relevante Richtlinien zu implementieren und virtuelle Patches in Echtzeit einzuspielen.

 

  1. Cloud-First-Ansätze – Wenn sich Ihre Infrastruktur in der Cloud befindet, müssen Sie die Cloud bei Sicherheitsfragen zuerst berücksichtigen. Die Biden-Regierung hat den mutigen Schritt gewagt, eine Executive Order zu erlassen, um die Umstellung auf Cloud-Infrastrukturen zu beschleunigen. In der Verordnung werden alle Regierungsbehörden angewiesen, sich auf die Cloud-Sicherheit zu konzentrieren und auf eine Zero-Trust-Sicherheitsarchitektur hinzuarbeiten. Die Sicherheitsvorkehrungen eines Unternehmens müssen nun also auch Cloud-Dienste und -Anwendungen abdecken und eine umfassende Risikobewertung der gesamten Bedrohungslage erlauben.

 

  1. Detaillierte Sichtbarkeit – Man kann nichts schützen, was man nicht kennt. Unternehmen benötigen zwingend eine vollständige Übersicht über ihre Netzwerke. Sobald Sie diesen Überblick gewonnen haben, müssen Sie dafür sorgen, dass Ihre Bedrohungsdaten verwertbar, zuverlässig und zeitnah sind. Wenn dieser Überblick, nebst den drei Faktoren gegeben sind, lassen sich Netzwerke umfassend und zugleich im Detail schützen.

Wir können getrost davon ausgehen, dass Cyberkriminelle die Cloud auch im Jahr 2023 und darüber hinaus für sich ausnutzen werden. Der Übergang von einem traditionellen zu einem ganzheitlichen Sicherheitsansatz gestattet es Unternehmen, die Vorteile einer Cloud-Infrastruktur voll auszuschöpfen. Gleichzeitig erhalten sie einen kompletten Überblick und können bei neu auftretenden Bedrohungen die Kontrolle behalten und Sicherheit gewährleisten.

 

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner