Mehr Aufmerksamkeit auf potenzielle Angriffsflächen richtenPerfekte Analyse verspricht Erfolg
24. Februar 2021Der Anstieg erfolgreicher Ransomware-Angriffe im Jahr 2020 spricht Bände: Unternehmen sind sich den Angriffsflächen nicht (mehr) bewusst, die sie im Internet exponiert haben. Darüber sind Informationen zu ihrer Netzwerkinfrastruktur auffindbar, die Hacker einladen und Unternehmen angreifbar machen.
Sammeln Angreifer diese öffentlich verfügbaren Hinweise, haben sie leichtes Spiel Malware zu platzieren und vertrauliche Daten auszubeuten. Ein guter Vorsatz sollte daher für jede IT-Abteilung lauten, ihre Angriffsvektoren im Internet aufzuspüren und zu minimieren.
Es ist eine Tatsache, dass Unternehmen mehr Informationen über ihre Infrastruktur im Internet preisgeben, als unter Sicherheitsaspekten angeraten ist. Ein fehlerhaft konfigurierter Service hinterlässt Spuren im Web, mangelhaft abgesicherte Entwicklungsumgebungen laden Angreifern nahezu ein, ebenso geteilte Meeting-Kalender oder audiovisuelle Angebote und nicht zuletzt der Router im Internet.
Hardware Infrastruktur im Internet heißt Angreifer nahezu willkommen, sich über die Infrastruktur eines Unternehmens zu informieren. So kann eine Firewall als Begrenzungspunkt zwischen internem und externem Netzwerk ungewollt Einblick für fremde Augen in die Unternehmensstruktur geben, da sie Rückschlüsse auf den Netzwerknamen oder Domänen interner Umgebungen ermöglicht.
Derartige Open Source Intelligence (OSINT) zu Infrastruktur-Hostnamen, wie zum Beispiel ras.company.com oder vnpeur.company.com ermöglichen Konklusionen auf Remote Access Services oder den VPN Zugang in Europa. Auch Ressourcen mit Zugangsbeschränkungen, wie beispielsweise msql.company.com:1433 für Live Datenbanken oder connect.company.com für Zugangsportale, erlauben das Sammeln von Informationen über Unternehmen im Internet und Angreifern können daraus Kontext über mögliche Angriffsflächen erschließen.
Solche Informationen stehen online auf Abruf bereit, oftmals ohne, dass sich Unternehmen der Gefahr bewusst sind, die davon ausgehen kann. Denn Hacker bedienen sich dieser öffentlich bereitgestellten Informationen, um Schwachstellen und damit Eintrittspunkte in das Unternehmensnetz ausfindig zu machen.
Unternehmen sind sich ihrer Angriffsvektoren nicht bewusst
Die Ursachen für den Verlust des Überblicks über potenzielle Angriffsflächen in der eigenen IT-Infrastruktur sind mannigfaltig. Der Ausnahmezustand des vergangenen Jahres hat sicherlich dazu beigetragen, dass Unternehmen mehr Informationen als erforderlich über ihre Remote Access-Infrastruktur im Internet preisgeben. Zu schnell mussten Systeme auf breiter Front für den Fernzugriff der Belegschaft geöffnet werden. Allerdings lässt sich der schwarze Peter nicht nur der globalen Gesundheitskrise zuschreiben.
Der Überblick über die IT-Infrastruktur geht auch aus anderen Gründen leicht verloren. Das Ausscheiden von Mitarbeitern, die für die Wartung von Netzwerk-Assets verantwortlich waren, veraltete Elemente in der Infrastruktur, die schlicht in Vergessenheit geraten und für die keine Zuständigkeiten mehr vergeben sind, oder ein grundlegender Mangel an Prozessen und Inventarisierung der vorhandenen Netzwerkkomponenten und Services im Internet können Unternehmen heute gefährlich werden. Das Gefahrenpotenzial kann darüber hinaus auch von Entwicklungsumgebungen ausgehen, die nicht selten weniger Schutz erhalten als Produktivumgebungen.
Da heute fast jedermann problemlos Dienste einrichten kann, liegt in der Einfachheit auch eine Bedrohung. Durch mangelnde Expertise beim Einrichten, Schlampereien oder nicht ausreichend definierte Zuständigkeiten entsteht der gefährliche Wildwuchs im Internet. Unternehmen müssen sich wieder bewusst machen, dass jeglicher Service im Internet auch für jedermann sichtbar sein kann. Denn so kann jeder Internetnutzer an die Unternehmenstür klopfen und wenn keine hinreichenden Sicherheitsvorkehrungen vorhanden sind ungehindert ins Netzwerk eindringen.
Der richtige Umgang mit der Expansion ins Internet
Es liegt in der Natur des Internets, Informationen öffentlich bereitzustellen und mit Usern darüber in Kontakt zu treten. Allerdings müssen alle Services und Assets mit richtigen Sicherheitsvorkehrungen abgesichert werden. Eine Online-Shopping Webseite muss natürlich für den Anwender erreichbar sein, sollte darüber hinaus aber nicht unnötige Informationen, wie etwa Kundendatenbanken, preisgeben. Die erste Entscheidung, die Unternehmen treffen müssen für die Wahl der Sicherheit ist, welche Informationen für jedermann verfügbar sein müssen und welche Daten nur für einen eingeschränkten Benutzerkreis bestimmt sind.
Als erste Priorität zur Reduktion der Angriffsfläche gilt es das Sicherheitsniveau für unterschiedliche Anwendergruppen zu definieren. Als Grundgerüst für eine Kategorisierung eignet sich dabei die Differenzierung zwischen internen und externen Zielgruppen. Intern benötigen beispielsweise Mitarbeiter Zugriff zu Anwendungen, das Support-Team benötigt gegebenenfalls umfangreichere Zugriffsrechte und Administratoren, die sich um die Verwaltung der Apps kümmern, haben darüber hinaus noch einmal einen weitergefassten Bedarf an Rechten. So muss das Zugriffsniveau granular gestaltet werden.
Bei den externen Zielgruppen müssen beispielsweise Anwenderszenarien von Kunden oder Drittparteien differenziert werden. Für jede User-Basis gilt es, ein entsprechend reglementiertes Sicherheitsniveau bereitzustellen, das auf granularer Segmentierung beruht. In der Komplexität eines solchen Setups liegt die Crux für Unternehmen. Mit herkömmlichen Segmentierungstechniken, die auf manueller Interaktion beruhen, steigt die Fehleranfälligkeit.
Als Lösung aus dem Dilemma kann das Zero Trust-Prinzip für automatisierte Sicherheit sorgen. Auf Basis der Identität des Anwenders und seiner definierten Zugriffsrechte kann die notwendige Isolation der Services und Daten bereitgestellt werden. Ein solches Prinzip lässt sich sowohl für Cloud-basierte Services und Applikationen als auch für physikalische Netzwerke befolgen.
Durch die damit mögliche Isolation und Segmentierung auf Ebene der einzelnen Anwendung lässt sich die Gefahr durch laterale Bewegungen von Angreifern innerhalb des gesamten Unternehmensnetzes bannen, wenn diese einmal Zutritt erhalten haben. Um einem solchen Segmentierungskonzept zu folgen, müssen Unternehmen in einem ersten Schritt ihre Hausaufgaben machen und sich der gesamten, Internet-exponierten Infrastruktur bewusst sein.
Analyse der Angriffsflächen
Alle Services oder Hardware, die über das Internet bereitgestellt werden, stellen eine potenzielle Angriffsfläche dar. Unternehmen müssen sich wieder den ganzheitlichen Überblick verschaffen, was im Internet exponiert ist, um entsprechende Sicherheitsvorkehrungen zu treffen. Dabei helfen Tools, die diese Open Source Intelligenz erfassen und aufzeigen, wo Handlungsbedarf besteht. Denn längst nicht alles, was über das Internet erreichbar ist, muss dort ungeschützt für jedermann bereitstehen.
Erst wenn man sich der offenen Angriffsvektoren bewusst ist, lassen sich darauf aufbauend die passenden Sicherheitsvorkehrungen treffen, die für die nötige Segmentierung und Isolation der Anwendungen durch ein Zero Trust-Modell sorgen. Damit haben nur autorisierte Anwender Zugang zu einer benötigten Anwendung und die Angriffsflächen lassen sich reduzieren.
Nathan Howe ist Director of Transformation Strategy bei Zscaler.