Hybridbedrohungen wie „Ransomwürmer“ im Vormarsch
31. August 2017„Die technischen Innovationen, die unsere digitale Wirtschaft vorantreiben, bieten im Bereich der Cyber-Sicherheit leider auch die gleichen Chancen für Gut und Böse. Dennoch hat jeder die Möglichkeit, die Folgen von Infektionen durch konsequente und effektive sicherheitsrelevante Cyber-Praktiken zu begrenzen“, bringt es Phil Quade, Chief Information Security Officer bei Fortinet, auf den Punkt.
Viele Cyber-Kriminelle dringen nicht mit neuen Zero-Day-Angriffen in Systeme ein, sondern nutzen hauptsächlich bereits bekannte Schwachstellen. Dadurch können sie mehr Ressourcen für die Tarnung ihrer Angriffe nutzen, die somit schwerer zu erkennen sind. Neue „wurmähnliche“ Funktionen verbreiteten Infektionen mit hohem Tempo und können sich recht einfach über Plattformen oder Vektoren hinweg ausbreiten. Daher sind intentionsbasierte Sicherheitsstrategien, die auf Automatisierung und Integration beruhen, unentbehrlich in dieser neuen Realität.
Die Crime-as-a-Service-Infrastrukturen und autonome Angriffswerkzeuge machen es Angreifern immer einfacher, weltweit zu operieren. Das bemerkenswerte an Schadprogrammen wie WannaCry ist die schnelle Ausbreitung und die Tatsache, dass eine Vielzahl an Industrien angegriffen werden kann. Dennoch könnten solche Angriffe verhindert werden, wenn mehr Unternehmen Wert auf konsequente Cyber-Praktiken legen würden. Leider sind die Angriffe mit Hot Exploits auf Schwachstellen, die nicht gepatcht oder aktualisiert wurden, nach wie vor sehr erfolgreich. Und es wird noch komplizierter: Sobald ein bestimmtes Schadprogramm automatisiert ist, müssen die Angreifer sich nicht mehr auf bestimmte Branchen konzentrieren, wodurch ihre Reichweite mit der Zeit immer größer wird.
• „Ransomwürmer“ auf dem Vormarsch: Sowohl WannaCry als auch NotPetya zielten auf eine Schwachstelle ab, für die nur für wenige Monate ein Patch verfügbar war. Die Unternehmen, die von diesen Angriffen verschont blieben, hatten entweder Sicherheits-Tools angewendet, die ausreichend aktualisiert waren, um die Attacken auf diese Schwachstelle zu erkennen und/oder sie hatten das Patch installiert, sobald es verfügbar war. Vor WannaCry und NotPetya hatten Netzwerkwürmer im letzten Jahrzehnt an Bedeutung verloren.
• Kritischer Schweregrad von Angriffen: Mehr als zwei Drittel aller Unternehmen wurden im zweiten Quartal 2017 Opfer von erheblichen oder kritischen Exploits. 90 % der Unternehmen meldeten Exploits von Schwachstellen, die drei Jahre oder älter waren. Selbst nach zehn oder mehr Jahren nach Ersterscheinung verzeichneten noch 60 % der Firmen damit zusammenhängende Angriffe. Die Daten aus dem zweiten Quartal sind eindeutig: Insgesamt 184 Milliarden erkannte Exploits, 62 Millionen Malware-Erkennungen und 2,9 Milliarden Botnet-Kommunikationsversuche.
• Aktiv außerhalb der Geschäftszeiten: Automatisierte Bedrohungen kennen keinen Feierabend und kein Wochenende. Knapp 44 % aller Exploit-Versuche fanden an einem Samstag oder Sonntag statt. Das durchschnittliche tägliche Volumen war an Wochenenden doppelt so groß wie an Wochentagen.
Im Digital-Economy-Zeitalter sind Geschwindigkeit und Effizienz unternehmenskritische Faktoren, was keinerlei Toleranz für Geräte- oder Systemausfälle bedeutet. In gleichem Maße wie sich die Nutzung und Konfiguration von Technologien (Anwendungen, Netzwerke und Geräte) weiterentwickelt, entwickeln sich auch die Exploit-, Malware– und Botnet-Taktiken der Cyber-Kriminellen parallel dazu weiter. Die Cyber-Kriminellen zögern nicht, Schwachstellen dieser neuen Technologien oder Services auszunutzen. Insbesondere fragwürdige Software und angreifbare IoT-Geräte in extrem verbundenen Netzwerken stellen ein hohes Risiko dar, weil sie nicht durchgehend verwaltet, aktualisiert und ersetzt werden. Außerdem stellt der verschlüsselte Datenverkehr – auch wenn er sinnvoll für Datenschutz und Sicherheit im Internet ist – eine weitere Herausforderung für viele Verteidigungs-Tools dar, die nur wenig Einblick in die verschlüsselte Kommunikation haben.
• Anwendungsnutzung: Risikobehaftete Anwendungen lassen Risikovektoren entstehen, die Schadprogrammen Tür und Tor öffnen. Unternehmen mit einer großen Zahl an Peer-to-Peer-(P2P) Anwendungen verzeichnen siebenmal mehr Botnets und Malware als die, die keine P2P-Anwendungen erlauben. Ähnlich verhält es sich mit Unternehmen, die zahlreiche Proxy-Anwendungen zulassen. Diese melden beinahe neunmal mehr Botnets und Malware als die, in denen diese Anwendungen nicht erlaubt sind. Erstaunlicherweise gab es keinen Hinweis darauf, dass die vermehrte Nutzung von Cloud- oder Social-Media-Anwendungen zu mehr Malware- und Botnet-Infektionen führt.
• Analyse nach Branchen: Das Bildungswesen führte in beinahe allen Bereichen der Infrastruktur- und Anwendungsnutzung. Die Energiebranche erwies sich als am konservativsten, und alle anderen Branchen fielen zwischen diese beiden Extreme.
• IoT-Geräte: Beinahe 20 % aller Unternehmen berichteten von Malware, die mobile Geräte anvisiert. IoT-Geräte stellen nach wie vor eine Herausforderung dar, weil sie nicht die gleiche Kontrolle, Sichtbarkeit und den gleichen Schutz wie klassische Systeme erhalten können.
• Verschlüsselter Internetverkehr: In diesem Quartal hat die verschlüsselte Kommunikation im Internet zum zweiten Mal in Folge ein Rekordhoch erreicht. Mit 57 % hat der Anteil von HTTPS-Datenverkehr den von HTTP überholt. Das ist weiterhin eine wichtige Entwicklung, weil Schadprogramme verschlüsselte Kommunikation zur Tarnung nutzen. (rhh)
Hier geht es zu Fortinet