Anna Chung: Malware kommt mittlerweile aus dem Online-Shop

Anna Chung, Principal Researcher bei Unit 42 von Palo Alto Networks, gibt einen Ausblick auf Cyber-Bedrohungen und effektiven Gegenmaßnahmen.
Anna Chung, Principal Researcher bei Unit 42 von Palo Alto Networks, gibt einen Ausblick auf Cyber-Bedrohungen und effektiven Gegenmaßnahmen.

Durch die permanente Analyse aktueller Cyberangriffe ist Unit42, das Malware-Analyse-Team von Palo Alto Networks am Puls der Zeit, wenn es um Angriffe auf die IT von Unternehmen geht. Anna Chung, Principal Researcher bei Unit 42 von Palo Alto Networks gibt vor diesem Hintergrund einen fundierten Ausblick auf kommende Bedrohungen und erklärt, wie Unternehmen diesen Trends effektiv begegnen können.

Im Deep Web und Dark Web werden die Ransomware-Angriffe voraussichtlich im Jahr 2020 anhalten. In diesem Jahr stießen wir auf eine wachsende Zahl von Bedrohungsakteuren, die Ransomware, Ransomware-as-a-Service und Ransomware-Tutorials verkaufen. Solche Produkte und Dienstleistungen aus dem Untergrund ermöglichen es auch technisch weniger versierten Bedrohungsakteuren in das Geschäft einzusteigen.
Die Kriminellen werden weiterhin nach neuen Methoden suchen, um mit kompromittierten IoT-Geräten Geld zu verdienen, jenseits von IoT-Botnetzen und IoT-basierten VPNs. IoT-Geräte bleiben ein beliebtes Ziel von Hackern, vor allem, weil das Bewusstsein für IoT-Sicherheit nicht so verbreitet ist, wie es sein sollte. Die Anzahl der IoT-Geräte wird exponentiell weiterwachsen, wenn sich 5G durchsetzt und zum Mainstream wird. 

Palo Alto beobachtet weiterhin Fälle, in denen die mangelhafte Konfiguration von Containern zum Verlust sensibler Informationen führt und Standardkonfigurationen erhebliche Sicherheitsrisiken für Unternehmen darstellen. Fehlkonfigurationen, wie die Verwendung von Standard-Containernamen und Beibehaltung von Standard- Service-Ports, die der Öffentlichkeit zugänglich sind, machen Unternehmen anfällig für gezielte Auskundschaftung. Die Auswirkungen können sehr unterschiedlich sein. So führten bereits einfache Fehlkonfigurationen innerhalb von Cloud-Services zu schwerwiegenden Auswirkungen bei Unternehmen. 

Die Empfehlungen

Wenn ein Unternehmen beginnt, sich mit diesen Arten von Angriffen zu befassen oder sich darauf vorzubereiten, ist es wichtig, dass es einen Docker-Daemon ohne einen geeigneten Authentifizierungsmechanismus niemals dem Internet zugänglich macht. Es ist zu beachten, dass die Docker Engine standardmäßig nicht dem Internet ausgesetzt ist. Zu den wichtigsten Empfehlungen gehören: 

  • Unix-Sockets einbinden: Dadurch lässt sich mit dem Docker-Daemon lokal kommunizieren oder mit SSH eine Verbindung zu einem entfernten Docker-Daemon herstellen. 
  • Firewall nutzen: Dabei empfiehlt sich das Whitelisting des eingehenden Datenverkehrs zu einer kleinen Anzahl von Quellen gegen Firewall-Regeln, um eine zusätzliche Sicherheitsebene zu schaffen. 
  • Vorsicht vor dem Unbekannten: Docker-Images sollten niemals aus unbekannten Registrys oder unbekannten Benutzernamensräumen heraus erstellt werden. 
  • Always-on-Suchen verwenden: Das System sollte regelmäßig auf unbekannte Container oder Images hin überprüft werden. 
  • Bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern: Wenn eine neue Schwachstelle in den internen Containerumgebungen aufgedeckt wird, ist es wichtig, sie schnell zu patchen, da Angreifer gerade dabei sein könnten, alle Systeme auszunutzen, auf die sie zugreifen können. Tools, um die Umgebung aktiv nach bekannten Schwachstellen durchsuchen und Warnungen vor gefährlichen Konfigurationen auszugeben, können dazu beitragen, die Sicherheit aller Containerkomponenten konsistent und langfristig zu gewährleisten. 
  • Integration von Sicherheit in DevOps-Workflows: Dies ermöglicht es Sicherheitsteams, ihre Maßnahmen automatisiert zu skalieren. Entwicklern steht ein großes Potenzial an Ressourcen in der Cloud zur Verfügung – und die Sicherheit muss hier mithalten können. 
  • Runtime-Schutz aufrechterhalten: Mit zunehmendem Cloud-Footprint des Unternehmens wird die Fähigkeit, Modellierung und Whitelisting des Anwendungsverhaltens automatisch auszuführen, zu einem leistungsstarken Werkzeug, um Cloud-Workloads vor Angriffen und Kompromittierung zu schützen. 

Viele Datensicherheitsereignissen gehen heute auf das Konto finanziell motivierter Akteure. Bei dieser Art von Angriffen werden bevorzugt Ziele mit einer umfangreichen Sammlung personenbezogener Daten, darunter Finanzinstitute, Krankenhäuser, Hotels, Fluggesellschaften und fast alle E-Commerce-Websites, ins Visier genommen. 

Aus der Sicht der Schattenwirtschaft sind dies Daten, die schnell monetarisiert und sogar mehrfach verkauft werden können. Unterschiedliche Daten haben unterschiedliche Käufer, aber insgesamt gesehen werden Zahlungsdaten bevorzugt. Daher sind Websites, die individuelle Zahlungsinformationen verarbeiten und sammeln, in der Regel für Angreifer in diesem Fall attraktiver. 

Während Palo Alto ein gewisses Maß an Cyberangriffsverhalten mittels KI beobachtet, wie z.B. die Identitätsimitation durch Deep Faking, befindet sich der Experte noch in einem sehr frühen Stadium, in dem das volle Potenzial von KI-gestützten Angriffen erkannt wird. Auf der anderen Seite setzen immer mehr Sicherheitsabteilungen bereits auf KI zur Erkennung und Abschwächung von Bedrohungen.

Unternehmen und CSOs sollten die Schulung des Sicherheitsbewusstseins für alle Mitarbeiter in den Vordergrund stellen. Dabei sollten sie nicht nur verständlich machen, wie Cyberangriffe auftreten und wie sie sich auf ein Unternehmen als Ganzes auswirken können. Ebenso sollten sie ihre Mitarbeiter auf individueller Ebene über proaktive Schritte informieren, die sie ergreifen können, um Angriffe zu erkennen und zu verhindern. Einfache Übungen wie die Durchführung von Phishing-E-Mail-Erkennungstests oder Software-Update-Erinnerungen tragen dazu bei, das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen, den täglichen Betrieb sicherer zu machen und die Erfolgsrate von Angriffen zu reduzieren. 

Eine der größten Sicherheitsherausforderungen im heutigen digitalen Zeitalter ist die Tatsache, dass zu viele Geräte und Sicherheitsrichtlinien vorhanden sind, was die Überwachung und Wartung erschwert. Die Priorisierung hochautomatisierter Sicherheitslösungen, die mehrere Umgebungen abdecken, wird die Transparenz und Kontrolle über die gesamte Betriebsumgebung erhöhen. Solche zeitgemäßen Lösungen vereinfachen den Managementprozess, senken die Kosten und schaffen mehr Zeit für die Identifizierung der bestehenden Problembereiche und die Aufstellung zukünftiger Roadmaps.

weitere Aktuelle Meldungen