Ausblick auf künftige Cyber-BedrohungenEffektive Maßnahmen gegen aktuelle Bedrohungstrends
8. Januar 2020
Im Deep Web und Dark Web werden die Ransomware-Angriffe voraussichtlich im Jahr 2020 anhalten. In 2019 stießen Sicherheitsexperten auf eine wachsende Zahl von Bedrohungsakteuren, die Ransomware, Ransomware-as-a-Service und Ransomware-Tutorials verkaufen. Derartige Produkte und Dienstleistungen aus dem Untergrund ermöglichen es auch technisch weniger versierten Bedrohungsakteuren, in das Geschäft einzusteigen.
Die Kriminellen werden weiterhin nach neuen Methoden suchen, um mit kompromittierten IoT-Geräten Geld zu verdienen, jenseits von IoT-Bot-Netzen und IoT-basierten VPNs. IoT-Geräte bleiben ein beliebtes Ziel von Hackern, vor allem, weil das Bewusstsein für IoT-Sicherheit nicht so verbreitet ist, wie es sein sollte. Die Anzahl der IoT-Geräte wird exponentiell weiterwachsen, wenn sich 5G durchsetzt und zum Mainstream wird. Es häufen sich Fälle, in denen die mangelhafte Konfiguration von Containern zum Verlust sensibler Informationen führt und Standardkonfigurationen erhebliche Sicherheitsrisiken für Unternehmen darstellen.
Fehlkonfigurationen, wie die Verwendung von Standard-Containernamen und Beibehaltung von Standard-Service-Ports, die der Öffentlichkeit zugänglich sind, machen Unternehmen anfällig für gezielte Auskundschaftung. Die Auswirkungen können sehr unterschiedlich sein. So führten bereits einfache Fehlkonfigurationen innerhalb von Cloud-Services zu schwerwiegenden Auswirkungen bei Unternehmen.
Wenn ein Unternehmen beginnt, sich mit diesen Arten von Angriffen zu befassen oder sich darauf vorzubereiten, ist es wichtig, dass es einen Docker-Daemon ohne einen geeigneten Authentifizierungsmechanismus niemals dem Internet zugänglich macht. Es ist zu beachten, dass die Docker Engine standardmäßig nicht dem Internet ausgesetzt ist.
Zu den wichtigsten Empfehlungen gehören:
- Unix-Sockets einbinden: Dadurch lässt sich mit dem Docker-Daemon lokal kommunizieren oder mit SSH eine Verbindung zu einem entfernten Docker-Daemon herstellen.
- Firewall nutzen: Dabei empfiehlt sich das Whitelisting des eingehenden Datenverkehrs zu einer kleinen Anzahl von Quellen gegen Firewall-Regeln, um eine zusätzliche Sicherheitsebene zu schaffen.
- Vorsicht vor dem Unbekannten: Docker-Images sollten niemals aus unbekannten Registries oder unbekannten Benutzernamensräumen heraus erstellt werden.
- Always-on-Suchen verwenden: Das System sollte regelmäßig auf unbekannte Container oder Images hin überprüft werden.
- Bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern: Wenn eine neue Schwachstelle in den internen Containerumgebungen aufgedeckt wird, ist es wichtig, sie schnell zu patchen, da Angreifer gerade dabei sein könnten, alle Systeme auszunutzen, auf die sie zugreifen können. Tools, um die Umgebung aktiv nach bekannten Schwachstellen durchsuchen und Warnungen vor gefährlichen Konfigurationen auszugeben, können dazu beitragen, die Sicherheit aller Containerkomponenten konsistent und langfristig zu gewährleisten.
- Integration von Sicherheit in DevOps-Workflows: Dies ermöglicht es Sicherheitsteams, ihre Maßnahmen automatisiert zu skalieren. Entwicklern steht ein großes Potenzial an Ressourcen in der Cloud zur Verfügung – und die Sicherheit muss hier mithalten können.
- Runtime-Schutz aufrechterhalten: Mit zunehmendem Cloud-Footprint des Unternehmens wird die Fähigkeit, Modellierung und Whitelisting des Anwendungsverhaltens automatisch auszuführen, zu einem leistungsstarken Werkzeug, um Cloud-Workloads vor Angriffen und Kompromittierung zu schützen.
Viele Datensicherheitsereignisse gehen heute auf das Konto finanziell motivierter Akteure. Bei dieser Art von Angriffen werden bevorzugt Ziele mit einer umfangreichen Sammlung personenbezogener Daten, darunter Finanzinstitute, Krankenhäuser, Hotels, Fluggesellschaften und fast alle E-Commerce-Websites, ins Visier genommen.
Aus der Sicht der Schattenwirtschaft sind dies Daten, die schnell monetarisiert und sogar mehrfach verkauft werden können. Unterschiedliche Daten haben unterschiedliche Käufer, aber insgesamt gesehen werden Zahlungsdaten bevorzugt. Daher sind Websites, die individuelle Zahlungsinformationen verarbeiten und sammeln, in der Regel für Angreifer in diesem Fall attraktiver.
Während wir ein gewisses Maß an Cyber-Angriffsverhalten mittels KI beobachtet haben, wie z.B. die Identitätsimitation durch Deep Faking, befinden wir uns noch in einem sehr frühen Stadium, in dem wir das volle Potenzial von KI-gestützten Angriffen erkennen. Auf der anderen Seite setzen immer mehr Sicherheitsabteilungen bereits auf KI zur Erkennung und Abschwächung von Bedrohungen.
Mitarbeiter gehören geschult
Unternehmen und CSOs sollten die Schulung des Sicherheitsbewusstseins für alle Mitarbeiter in den Vordergrund stellen. Dabei sollten sie nicht nur verständlich machen, wie Cyber-Angriffe auftreten und wie sie sich auf ein Unternehmen als Ganzes auswirken können. Ebenso sollten sie ihre Mitarbeiter auf individueller Ebene über proaktive Schritte informieren, die sie ergreifen können, um Angriffe zu erkennen und zu verhindern. Einfache Übungen wie die Durchführung von Phishing-E-Mail-Erkennungstests oder Software-Update-Erinnerungen tragen dazu bei, das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen, den täglichen Betrieb sicherer zu machen und die Erfolgsrate von Angriffen zu reduzieren.
Eine der größten Sicherheitsherausforderungen im heutigen digitalen Zeitalter ist die Tatsache, dass zu viele Geräte und Sicherheitsrichtlinien vorhanden sind, was die Überwachung und Wartung erschwert. Die Priorisierung hochautomatisierter Sicherheitslösungen, die mehrere Umgebungen abdecken, wird die Transparenz und Kontrolle über die gesamte Betriebsumgebung erhöhen. Solche zeitgemäßen Lösungen vereinfachen den Managementprozess, senken die Kosten und schaffen mehr Zeit für die Identifizierung der bestehenden Problembereiche und die Aufstellung zukünftiger Roadmaps.
Anna Chung ist Principal Researcher bei Unit 42 von Palo Alto Networks.
