Phil Spencer
Globaler Owner für das Getronics Sicherheits- und Compliance-Portfolio
In diesem Artikel:
Eine der größten Herausforderungen bei der Sicherung eines IT-Netzes besteht darin, dass unabhängig von der Stärke der Abwehrmaßnahmen immer weitere unentdeckte Schwachstellen irgendwo im System lauern. Unsere Sicherheitsteams stoßen oft auf Systeme, die schon seit Jahren anfällig sind und als tickende Zeitbomben nur darauf warten, dass ein Cyberkrimineller sie findet und auslöst.
3 Aktuelle versteckte Bedrohungen
Drei der kürzlich entdeckten versteckten Bedrohungen (die sich auch in Ihrem System befinden könnten) sind:
1. SolarWinds
Im Dezember 2020 wurde aufgedeckt, dass die Infrastrukturmanagement-Plattform SolarWinds Orion gehackt wurde und dazu benutzt wurde, die Sicherheit von US-Regierungsbehörden zu verletzen. Die Sicherheitsverletzung ermöglicht es Bedrohungsakteuren, sich als ein beliebiges Benutzerkonto einer Organisation auszugeben, auch als eines mit privilegiertem Zugriff. Bislang sind mehr als 250 Organisationen betroffen, darunter sowohl Regierungsbehörden als auch private Unternehmen. Obwohl die Angriffe erstmals im Jahr 2020 gemeldet wurden, wird vermutet, dass Bedrohungsakteure seit mindestens 2017 Zugriff auf das System verkaufen.
2. Linux Sudo
In einer der am längsten bekannten Sicherheitslücken wurde ein großer Fehler in der Linux-Befehlszeilenanwendung Sudo entdeckt, nachdem er fast ein Jahrzehnt lang vorhanden war. Die Schwachstelle, bekannt als "Baron Samedit", ermöglicht es Angreifern, jedes Benutzerkonto in einen Superuser zu verwandeln, wodurch sie sich leicht durch das System bewegen können, um auf sensible Daten zuzugreifen oder eine beliebige Anzahl von bösartigen Aktivitäten durchzuführen.
3. Android Oscorp Malware
Bedrohungsakteure zielen zunehmend auf mobile Geräte zusätzlich zu den Standard-Arbeitsendpunkten ab und setzen darauf, dass die Benutzer Nachrichten wie Installations- und Anwendungsberechtigungen einfach akzeptieren. Eines der jüngsten Beispiele ist eine Malware mit dem Namen Oscorp, die auf Android-Geräte abzielt.
Oscorp bringt Benutzer dazu, ihm Zugriff auf den Android Accessibility Service zu gewähren. Von hier aus können Angreifer eine beliebige Anzahl bösartiger Aktionen durchführen, darunter Keylogging, Anrufe tätigen, SMS versenden, 2FA-PINs stehlen und mehr. Wir haben unsere italienischen Kunden kürzlich vor Oscorp gewarnt, aber die Malware wird wahrscheinlich auch international auftauchen.
Umgang mit versteckten Bedrohungen
Aufgrund des Bedarfs an Konnektivität können unentdeckte Bedrohungen wie die oben genannten, die in alten Altsystemen lauern, einen einfachen Angriffspfad schaffen, um selbst auf die neuesten Cloud- und mobilen Ressourcen zuzugreifen.
Und natürlich kann jede neue Software ihren eigenen Anteil an versteckten Sicherheitslücken haben.
Wie also können Unternehmen ihre Systeme vor diesen Bedrohungen schützen?
1. Der Hygiene-Faktor: Beginnen Sie mit den Grundlagen
Die Auswirkungen der meisten versteckten Schwachstellen können durch die Umsetzung einer guten Cyber-Security-Hygiene stark gemildert werden. Einige der wichtigsten Kernaktivitäten sind:
- Starke, gut verwaltete Passwörter, um zu verhindern, dass Angreifer leicht Benutzerkonten kapern können.
- Implementierung von Privileged Access Management (PAM), Least Privilege- und Zero Trust-Modellen, um die Möglichkeiten von Bedrohungsakteuren innerhalb des Systems stark zu reduzieren.
- Regelmäßiges Patching, um alle Anlagen auf dem neuesten Stand und vollständig abgesichert zu halten, wobei relevante neue Schwachstellen priorisiert werden.
Es ist wichtig, alle Grundlagen richtig zu machen, denn eine Kette ist nur so stark wie ihr schwächstes Glied. Oftmals machen unsere Kunden fast alles richtig - haben aber eine Kleinigkeit übersehen, die von Cyberkriminellen ausgenutzt werden könnte.
2. Versteckte Schwachstellen finden
Während eine gute Security-Hygiene die Auswirkungen einer versteckten Bedrohung reduziert, können Sie auch proaktiver vorgehen, um sie aufzuspüren, bevor sie ausgenutzt werden.
Das Wichtigste ist, sich darüber bewusst zu sein, was sich auf dem System befindet. Unsere Teams stoßen oft auf alte Legacy-Software, die in Vergessenheit geraten ist, die aber immer noch angeschlossen ist und Ihre Umgebungen gefährdet.
Sobald das gesamte Ausmaß der Assets im Netzwerk bekannt ist, können durch regelmäßige Schwachstellen-Scans bekannte Probleme identifiziert werden, die durch aktuelle Cybersecurity-Bedrohungsdaten unterstützt werden. Die Dinge können noch einen Schritt weiter gehen, indem Penetrationstests durchgeführt werden, um komplexere Schwachstellen zu finden.
Die Fähigkeit, schnell auf neu entdeckte Schwachstellen zu reagieren und diese zu schließen, wird immer wichtiger. Dazu gehört auch die Überprüfung historischer Daten auf bisher unentdeckte Sicherheitsverletzungen.
In einem Fall reagierte unser Security Operations Center (SOC) auf einen Hinweis und führte eine strukturierte Suche in den Protokollarchiven durch, die eine kleine Anzahl von Übereinstimmungen für einen unserer Kunden ergab. Es wurde sofort eine Notfalländerung durchgeführt, um die Auswirkungen einzudämmen, gefolgt von weiteren Untersuchungen, um festzustellen, ob es sich um eine echte Sicherheitsverletzung handelte, und um das Ausmaß der Gefährdung vollständig zu verstehen. Auf diese Weise wurde sichergestellt, dass die Bedrohung vollständig eingedämmt und beseitigt wurde und dass die Auswirkungen auf das Unternehmen vollständig verstanden wurden.
3. Reaktion auf Sicherheitsverletzungen
Schließlich ist es wichtig, ein solides Regelwerk zu haben, wie man im Falle eines Verstoßes reagiert. Unserer Meinung nach bietet das NIST-Framework einen hervorragenden Leitfaden und eine solide Grundlage für Organisationen, um ein effektives Risikomanagement und eine effektive Reaktion aufzubauen.
Viele Unternehmen finden es schwierig, eine Reaktionsfähigkeit aufzubauen und aufrechtzuerhalten, vor allem, wenn diese nur selten genutzt wird. Sie bevorzugen daher die Auslagerung an einen etablierten, spezialisierten MSSP, der eine redundante 24×7-Reaktion mit hochqualifizierten und erfahrenen Incident-Handlern anbieten kann, die schnell in Aktion treten können.
Sichern wir gemeinsam Ihr Business
Die Befolgung dieser Schritte kann Ihnen und Ihrem Team helfen, versteckte Schwachstellen zu finden, bevor sie ausgenutzt werden können, und die Auswirkungen einer Sicherheitsverletzung zu verringern. Wenn Sie mehr Erfahrung, Tools und Ressourcen benötigen, um Ihre Immobilien vor Sicherheitszeitbomben zu schützen, wenden Sie sich an unsere Experten und erfahren Sie, wie das Getronics Security-Team Ihnen helfen kann.
Wir setzen uns nicht nur für das NIST-Framework ein, sondern haben es auch in unser globales ITIL-basiertes Service-Delivery-Modell integriert, als wir unser spezielles Security Incident Response Team (GTN-CERT) aufgebaut haben.
Mit kampferprobten Prozessen, gemeinsamen Teamübungen und vorgeplanten Handlungsabläufen, die an den spezifischen Kontext des Kunden und die Art des Verstoßes angepasst werden können, bietet Getronics die Gewissheit, dass Ihr Unternehmen fachkundige Unterstützung erhält - vor allem dann, wenn sie am dringendsten benötigt wird.
