Perimeterbasierte Angriffe erleben ein Comeback: So bleiben Sie sicher
Inhaltsverzeichnis:
Wir sind es gewohnt zu hören, dass der traditionelle Netzwerkperimeter tot ist. Dass das Aufkommen von Cloud-Apps, Heimarbeit und allgegenwärtigen mobilen Geräten zu einer flexibleren, verteilteren IT-Umgebung des Unternehmens geführt hat. Das mag bis zu einem gewissen Punkt stimmen. Aber selbst wenn Mitarbeiter auf SaaS-Apps des Unternehmens zugreifen, besteht in der Regel immer noch eine Art Unternehmensnetzwerk. Und Anwendungen oder Geräte, die sich am Rand befinden.
Die Herausforderung für IT-Sicherheitsteams besteht darin, dass diese Produkte zunehmend von Bedrohungsakteuren angegriffen werden. Die Situation ist so schlimm, dass das National Cyber Security Center (NCSC) kürzlich herausgegebene Leitlinien darüber, wie diese Risiken gemindert werden können. Netzwerkverteidiger sollten dies zur Kenntnis nehmen.
Von damals bis heute
Wie das NCSC erklärt, ist die aktuelle Angriffsfläche für Perimeterprodukte eine Art Rückfall in die Anfänge des Internets, als Bedrohungsakteure die schlechte Perimetersicherheit ausnutzten, um Schwachstellen auszunutzen und Konten zu kapern. Dies verschaffte ihnen Zugang zu Netzwerken, die nur begrenzt überwacht werden konnten – und ermöglichte es Angreifern, über längere Zeiträume unbemerkt zu bleiben.
Letztendlich holten die Netzwerkverteidiger jedoch auf und machten es schwieriger, diese Dienste zu kompromittieren. Anschließend richteten die Bedrohungsakteure ihre Aufmerksamkeit auf unsichere Client-Software und Browser sowie Phishing-E-Mails.
Jetzt schwingt das Pendel wieder zurück. Client-Software wird zunehmend unter Berücksichtigung der Sicherheit entwickelt (denken Sie an Sandboxes, vollständige Umschreibungen und speichersichere Sprachen), und Office-Makros werden standardmäßig blockiert. Laut NCSC zwingt dies Bedrohungsakteure dazu, ihre Aufmerksamkeit wieder auf Perimeterprodukte zu richten.
Warum Perimeterangriffe ein Comeback erleben
„Da sie wissen, dass sie sich weniger auf schlechte Passwörter oder Fehlkonfigurationen verlassen können, schauen sie sich zunehmend Produkte am Netzwerkrand an (z. B. Dateiübertragungsanwendungen, Firewalls und VPNs) und entdecken neue Zero-Day-Schwachstellen in diesen Produkten. und direkt reinspazieren“, warnt das NCSC. „Sobald eine Schwachstelle bekannt ist, schließen sich andere Angreifer an, was zu einer Massenausnutzung führt.“
Diese Zero-Day-Angriffe zu finden, ist nicht so schwierig, wie es scheint – da der Code in solchen Produkten in der Regel weniger sicher ist als Client-Software, sagt die Agentur. Bei diesen perimeterbasierten Angeboten mangelt es außerdem an einer effektiven Protokollierung, im Gegensatz zu Client-Geräten, auf denen heute zunehmend „High-End“-Erkennungs- und Reaktionstools ausgeführt werden. All dies macht sie zum perfekten Ziel für Bedrohungsakteure, die in Unternehmensnetzwerke Fuß fassen wollen, um dort Daten zu stehlen, zu erpressen und mehr.
Eine warnende Geschichte: Ivanti
Die Warnungen des NCSC erfolgen inmitten einer Flut von Angriffen gegen Perimeterprodukte. Zu den bemerkenswertesten gehörten eine Reihe von Zero-Day-Exploits, die auf das Connect Secure VPN-Produkt von Ivanti und seine Network Access Control (NAC)-Lösung Policy Secure abzielten. CVE-2023-46805 und CVE-2024-21887 wurden enthüllt vom Anbieter im Januar veröffentlicht, obwohl davon ausgegangen wird, dass ein chinesischer Bedrohungsakteur sie über einen Monat lang ausgenutzt hat, um Webshells auf den internen und externen Webservern der Opferorganisationen zu platzieren.
Wochen später, es entstand dass Hacker einen weiteren Zero-Day-Fehler (CVE-2024-21893) ausnutzten, um eine erste Abhilfemaßnahme zu umgehen, die Ivanti zur Behebung der ursprünglichen beiden Zero-Day-Fehler herausgegeben hatte. Die potenzielle Bedrohung für Organisationen ist so akut, dass die Geheimdienste von Five Eyes eine veröffentlicht haben Langwieriger Sicherheitshinweis Ende Februar.
„Die Schwachstellen betreffen alle unterstützten Versionen (9.x und 22.x) und können in einer Kette von Exploits genutzt werden, um es böswilligen Cyberbedrohungsakteuren zu ermöglichen, die Authentifizierung zu umgehen, böswillige Anfragen zu erstellen und beliebige Befehle mit erhöhten Rechten auszuführen“, heißt es darin .
Verstärkung der Perimeterverteidigung
Für CISOs stellt sich die Frage, wie solche Bedrohungen abgemildert werden können. Langfristig plädiert das NCSC dafür, die Anbieter dazu zu drängen, sicherere Produkte zu entwickeln und solche zu meiden, die keine sichere Software nachweisen können. Doch das wird die heutigen Bedrohungen nicht verhindern. Die anderen Vorschläge sind möglicherweise umsetzbarer:
1) Erwägen Sie cloudgehostete statt lokale Versionen dieser Perimeterprodukte. Auch wenn diese vom Design her möglicherweise immer noch nicht sicher sind, werden sie schneller gepatcht und sollten regelmäßig vom Anbieter überwacht werden. Und wenn das Schlimmste passiert und sie kompromittiert werden, wird es Angreifern zumindest keinen Zugang zum Unternehmensnetzwerk verschaffen. Im besten Fall können die Bedrohungsakteure sogar Ihre Unternehmensdaten in Ruhe lassen.
2) Wenn eine Migration zu einer Cloud-Version nicht möglich ist, schalten Sie auf Firewall-Ebene alle ungenutzten „Schnittstellen, Portale oder Dienste internetbasierter Software“ aus oder blockieren Sie sie. Die Zero-Days in diesen Ivanti-Produkten wirkten sich auf diese Art von Zusatzdiensten aus (in diesem Fall auf ihre „Webkomponenten“).
3) Stellen Sie sicher, dass bei der Entwicklung aller unternehmensinternen Perimeterprodukte die Sicherheit im Mittelpunkt steht – wobei Cloud-Hosting und Serverless-Optionen eine Überlegung wert sind, um mögliche Folgen eines Angriffs zu begrenzen
Richard Werner, Cybersicherheitsberater bei Trend Micro, argumentiert, dass die standardmäßige Auswahl von in der Cloud gehosteten (SaaS) Apps kein Allheilmittel sei.
„SaaS-Ansätze werden zu attraktiven Zielen für Kriminelle, die mit einem Angriff mehrere Ziele angreifen wollen, wie das Beispiel 2021 zeigt.“ Kaseya-Vorfall„, erzählt er ISMS.online. „Obwohl SaaS bekannte Cyber-Risiken effizient mindern kann, sollte es nicht als die ultimative Lösung für das Kernproblem angesehen werden.“
Er fügt hinzu, dass die Verhinderung der Ausnutzung von Sicherheitslücken wahrscheinlich weiterhin eine große Herausforderung bleiben wird – und erfordert einen vielschichtigen Verteidigungsansatz.
„Die Einhaltung bewährter Sicherheitspraktiken ist von entscheidender Bedeutung, aber selbst im Idealfall ist eine vollständige Risikovermeidung nicht erreichbar“, argumentiert Werner. „Daher müssen Unternehmen ihre Sicherheitsmaßnahmen durch Technologien wie Extended Detection and Response (XDR) ergänzen, die durch moderne Gesetze wie NIS 2 vorgeschrieben sind.“
Wenn der Perimeter mit der Zeit für Bedrohungsakteure immer schwieriger zu erreichen ist, werden sie letztendlich auf einen anderen Teil der Angriffsfläche ausweichen, der weniger gut verteidigt ist.
„Es ist von entscheidender Bedeutung, den zyklischen Charakter von Sicherheitsdiskussionen zu verstehen, bei denen Angreifer Schwachstellen ausnutzen und Verteidiger versuchen, sie zu vereiteln. „Diese Abwehrmechanismen veranlassen Angreifer, neue Einfallstore zu suchen oder ihre Anstrengungen zu intensivieren“, schließt Werner.
„Die Effektivität der Verteidigung wird daran gemessen, dass es für Angreifer zu teuer wird, einen erfolgreichen Weg zu finden. Aufgrund der unterschiedlichen Ziele der Angreifer bleibt es für die Verteidiger jedoch weiterhin schwierig, den Erfolg einzuschätzen.“
Da sich diese Ziele ständig ändern, müssen sich Netzwerkverteidiger und die Anbietergemeinschaft anpassen. Die Herausforderung besteht darin, dass die Agilität auf der Angriffsseite bisher die Reaktionsgeschwindigkeit bei weitem übersteigt.