Immer wieder verändern Angreifer ihre Methoden für Cyber-Angriffe, wodurch sich neue Risiken ergeben. Darauf vorbereitet zu sein, ist für Unternehmen wichtig, um der Gefahr einer Kompromittierung zu entgegnen. Kudelski Security nennt zum Jahresende fünf Prognosen für das kommende Jahr, um Verantwortliche für Cybersicherheit auf die wahrscheinlichsten Sicherheitsrisiken für 2021 aufmerksam zu machen.
1. Mobilfunknetze geraten vermehrt in den Fokus
Geräte im Internet of Things (IoT) sind beliebte Ziele für Angreifer. Während der Rollout von 5G immer weiter voranschreitet, geraten allerdings vermehrt die Mobilfunknetze selbst in den Fokus. Der Grund: Mit 5G stellen Netzbetreiber einen schnellen und zuverlässigen Netzzugang zu Millionen – oder Hunderten von Millionen kleiner Geräte bereit, die oft nicht gut gesichert sind. Damit wird das Risiko, dass diese IoT-Systeme für volumetrische DDoS-Angriffe genutzt werden, weiter zunehmen.
Diese Angriffe werden sich nicht nur auf die beabsichtigten Ziele auswirken, sondern können auch Kollateralschäden im Netzwerk des Betreibers verursachen. Für Unternehmen ist das ein Risiko, denn sie sind zunehmend abhängig von Mobilfunknetzen und 5G, schließlich basieren viele Services auf der Technik.
Daher sind erhöhte Sicherheitsstandards notwendig, bereits bei den einzelnen IoT-Geräten. Unternehmen können einen Beitrag für mehr Cybersicherheit leisten, indem sie zum Beispiel in ihrer IT-Infrastruktur ein Scrubbing Center einrichten, das eingehenden Verkehr zentral analysiert und nur legitime Anfragen durchlässt.
Das kann unter Umständen auch bewirken, dass weiterer Datenverkehr von Geräten, die den Anschein erwecken, an DDoS-Angriffen beteiligten Datenverkehr verursacht zu haben, unterbunden wird. Ohne weitere Maßnahmen drohen destruktive Angriffe, die sich die Rahmenbedingungen rund um IoT-Geräte und 5G zunutze machen.
2. Angriffe auf Remote Code Execution-Schwachstellen
Viele Sicherheits-Tools, die für eine direkte Verbindung mit dem Internet vorgesehen sind, sind zunehmend anfällig für Remote Code Execution (RCE)-Schwachstellen. Noch vor wenigen Jahren kam es bei Angreifern, die RCE-Schwachstellen als primären Vektor für den Erstzugriff ausnutzen, zu einem enormen Rückgang. Stattdessen gingen sie zu einfacheren Methoden wie Phishing-Versuchen und Drive-By-Exploits über, da es als zeitaufwändig und kostspielig galt, Schwachstellen in Systemen mit Internetanschluss zu finden und auszunutzen.
Seit jedoch bekannt wurde, wie die Nation State Equation Group 2017 sehr erfolgreich RCE-Schwachstellen von mit dem Internet verbundenen Systemen (wie Routern, VPN-Konzentratoren und Firewalls) ausnutzte, hat diese Art von Angriffen wieder an Popularität gewonnen.
Infolge der Offenlegung durch die Equation Group haben Sicherheitsexperten ihre Aufmerksamkeit auf mit dem Internet verbundene Sicherheitsgeräte und Software gerichtet, die explizit für das Internet konzipiert wurde, was zu einer großen Anzahl gemeldeter (und ausgenutzter) Schwachstellen in VPN-Konzentratoren, Firewalls, Web Application Firewalls, Load Balancern oder MDM-Systemen (Mobile Device Management) geführt hat.
In der Regel unterstützen Internet-orientierte Produkte (wie Firewalls und VPN-Lösungen) keine Tools für Endpoint Detection und -Response (EDR) oder Sicherheitstransparenz. Das bedeutet, dass man ihnen, sobald ein Angreifer sie und damit ein Unternehmen erfolgreich ausnutzt, nicht mehr trauen kann. Der einzige Ausweg besteht darin, die Systeme komplett neu aufzubauen oder die Firmware zurückzusetzen, indem der Flash-Speicher gelöscht und neu beschrieben wird.
Grundsätzlich sollten Unternehmen davon ausgehen, dass auch weniger talentierte Angreifer ihre mit dem Internet verbundenen Systeme unterwandern können. Der entscheidende Schritt zur Absicherung ist das schnelle Aufdecken und Ausbessern der Schwachstellen. Deshalb ist es wichtig, sich für Benachrichtigungen zu Schwachstellen von Lösungsanbietern anzumelden und regelmäßig Sicherheitsscans von Internet-Systemen durchzuführen, die zur Verteidigung eines Netzwerks dienen.
Da sich EDR-Tools in den Systemen in der Regel nicht installieren lassen, sollten Unternehmen sich außerdem darauf konzentrieren, Schwachstellen in den Systemen zu erkennen, sobald sie ausgenutzt werden. Sie dürfen auch nicht davon ausgehen, dass von Systemen zur Cybersicherheit erzeugter Datenverkehr stets legitim ist. Möglicherweise sind sie nämlich von einem Angreifer kompromittiert, der sie als Kanal für Malware nutzt, um das IT-Team eines Unternehmens zu überlisten.
3. Angreifer nutzen häufiger unerlaubte OAuth 2.0-Grants
Viele Unternehmen haben mittlerweile bei ihren Mitarbeitern mehr Bewusstsein für Phishing-Versuche geschaffen, den Einsatz von Multi-Faktor-Authentifizierung (MFA) verstärkt und Regeln zur Erkennung anomaler Anmeldungen aufgestellt. Aus diesem Grund versuchen Angreifer nun, Mitarbeiter auszutricksen, damit sie über unerlaubte OAuth 2.0-Grants Zugriff auf ihre Konten zulassen.
Im Jahr 2020 nahm Kudelski Security eine Zunahme entsprechender Versuche wahr – ein Trend, der sich in den kommenden Monaten voraussichtlich weiter verstärken wird. Solche OAuth 2.0-Grants werden nicht automatisch widerrufen, wenn Passwörter geändert werden und sie erfordern auch keine zusätzlichen MFA-Aufforderungen, um von Angreifern missbraucht zu werden.
Unternehmen sollten daher einschränken, welche Anwendungen berechtigt sind, OAuth 2.0-Grants für Mitarbeiterkonten zu fordern. Mit Microsoft Azure Active Directory beispielsweise lässt sich einrichten, dass Anwendungen erst einmal genehmigt werden müssen, bevor sie OAuth 2.0-Grants fordern können. Eine weitere Option für mehr Cybersicherheit besteht darin, die Zugriffsrechte via OAuth 2.0 zu beschränken. Dazu gehören zum Beispiel die Möglichkeiten, dass es Mitarbeitern nicht zu erlauben, nicht vertrauenswürdigen Anwendungen über OAuth 2.0 die Möglichkeit zu gewähren, E-Mails zu lesen oder zu schreiben.
4. Ransomware-Gruppen drohen mit der Preisgabe von Informationen
Unternehmen zeigen großes Engagement, Backup-Strategien zu entwickeln, zu erproben und einzusetzen, um die Hauptauswirkungen von Ransomware, dem Verlust des Zugriffs auf kritische Daten, zu mindern. Leider haben es viele Unternehmen aber bisher versäumt, Ransomware-Angriffe an sich zu verhindern.
Diese Gefahr für Unternehmen besteht folglich weiterhin und Angreifer nutzen das aus. So sind Ransomware-Gruppen zu einer neuen Strategie übergegangen: Wenn Unternehmen ihre Daten und Prozesse dank verschlüsselter Systeme schnell selbst wiederherstellen können, drohen Ransomware-Gruppen damit, dass sie sensible Informationen bekannt machen, wenn Unternehmen nach einem erfolgreichen Angriff kein Lösegeld zahlen wollen.
Deshalb müssen Unternehmen nun den nächsten Schritt gehen: Wenn sie bereits über Backup- und Datenwiederherstellungsstrategien verfügen, ist es jetzt an der Zeit, sich mit den systemischen Problemen auseinanderzusetzen, die von Angreifern dazu ausgenutzt werden, Lösegeldforderungen weitreichend und automatisch einzusetzen. Dazu gehört der Einsatz von Tools zur Verwaltung eindeutiger Passwörter für lokale Administratorkonten, die Deaktivierung eingehender SMB-/Netbios-Verbindungen zu Endpunkten, die Beschränkung des Zugriffs auf Remote-Verwaltungstools sowie die Alarmierung bei anomaler Nutzung.
5. Deepfakes entwickeln sich zu einer Bedrohung
Als Deepfakes werden gefälschte Video- und Audioaufnahmen bezeichnet, die mithilfe von künstlicher Intelligenz (KI) erstellt werden. Mit ihnen ist es möglich, das Aussehen und die Stimme einer Person überzeugend zu imitieren. Aufzeichnungen der jeweiligen Person dienen einem KI-Algorithmus dabei als Vorlage. Zu finden sind entsprechende Aufzeichnungen oft online. All das nutzen Angreifer für ihre Zwecke.
Deepfakes sind für sie ein Mittel für Social Engineering. Vorstellbar ist es zum Bespiel, bei einem Gespräch mit einem Mitarbeiter die Stimme seines Vorgesetzten zu imitieren und eine Überweisung anzuordnen. Da Deepfakes leichter verfügbar, weniger aufwendig, kostengünstiger und vor allem immer besser werden, ist zukünftig mit ihrer Zunahme zu rechnen.
Um gefälschte Videos zu identifizieren, gibt es bereits erste Tools. Jedoch ist es noch schwer, eine Audioaufnahme, die bei einem Anruf in Echtzeit abgespielt wird, als Deepfake zu entlarven. Es kommt daher auf die Mitarbeiter an. Unternehmen müssen durch Trainings ein Bewusstsein für Deepfakes schaffen. Anweisungen, die nicht im direkten Gespräch erfolgen und ungewöhnlich erscheinen, sind stets zu hinterfragen. Hilfreich ist es auch, für bestimmte Vorgänge im Finanzwesen stets eine Kontrollinstanz einzuschalten, die diese erst überprüft und dann genehmigt.
„Wenn wir von Kudelski Security auf das Jahr 2021 blicken, sehen wir in Bezug auf Cybersicherheit jetzt schon einige neue Risiken auf Unternehmen zukommen. Das heißt auch, dass die Zeit reif ist, sich darauf vorzubereiten. Je früher Maßnahmen ergriffen werden, desto sicherer sind Unternehmen später“, so Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. (ag)
Kudelski Security
Oskar-Messter-Strasse 29
85737 Ismaning/München
E-Mail: info@kudelskisecurity.com
Website: www.kudelskisecurity.com
https://industrie.de/it-sicherheit/sicherheitsfallen-im-homeoffice/
