Bösartige Unbekannte: Zero-Day-Angriffe

Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

[datensicherheit.de, 14.10.2019] Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf sogenannte Zero-Day-Schwachstellen und entsprechende Exploit-Kits ein – diese seien „äußerst wertvoll auf dem Schwarzmarkt“. Kumpa warnt: „Cyber-Kriminelle, die etwa an staatlicher oder Industriespionage beteiligt sind, nutzen diese Schwachstellen als Einfallstor, um hochentwickelte Angriffe durchzuführen oder sensible Daten zu stehlen.“ Software-Schwachstellen und die damit verbundenen Zero-Day-Attacken werden laut Kumpa „auch zukünftig eine unvermeidbare Bedrohung bleiben“. Jedoch könnten Unternehmen durch einen mehrschichtigen und proaktiven Sicherheitsansatz die Risiken und Folgeschäden eines Zero-Day-Angriffs deutlich minimieren.

Foto: Dirk Pinnow

Christoph M. Kumpa (Bildmitte) beim Standbesuch bei „datensicherheit.de“ auf der „it-sa 2019“ – im Gespräch mit CI4-Clustersprecher Michael Taube (l.)

Zero-Day-Angriffe nehmen zu – viele Unternehmen schlecht vorbereitet

„Der durchschnittliche Lebenszyklus einer Zero-Day-Sicherheitslücke bis zu ihrem öffentlichen Bekanntwerden beträgt dabei rund sieben Jahre – Exploit-Kits für Angreifer stehen dagegen häufig bereits nach nicht einmal einem Monat zur Verfügung“, so Kumpa, sich auf eine unabhängige Analyse durch Sicherheitsforscher des US-amerikanischen Think-Tanks Rand Corporation stützend.
Obwohl die Anzahl der Zero-Day-Angriffe steige, seien viele Unternehmen schlecht vorbereitet, um sich gegen diese Attacken zu wehren. „Auch, weil klassische Sicherheitstools sich hauptsächlich gegen bekannte Bedrohungen richten.“

Zero-Day-Exploits nutzen -Schwachstellen aus

Kumpa erläutert: „Eine Zero-Day-Schwachstelle ist, einfach ausgedrückt, ein ungepatchtes Softwareproblem, das dem Softwarehersteller oder Antivirenanbietern bisher unbekannt ist. Es stehen daher keine Sicherheitspatches zur Verfügung, um den Fehler zu beheben.“ Zero-Day-Schwachstellen könnten in jeder Art von Software vorhanden sein und träten insbesondere bei Browser- und Betriebssystemsoftware sowie bei weitverbreiteter Software von Unternehmen wie beispielsweise Adobe auf.
Ein Zero-Day-Exploit sei der Code, den Angreifer verwendeten, um eine Zero-Day-Schwachstelle auszunutzen und ein System oder Gerät zu kompromittieren. So könnten Hacker unbemerkt durch die Nutzung des Exploits Zugriff auf Daten oder Netzwerke erhalten oder Malware auf einem Gerät installieren.

Angreifer nutzen Zeitfenster zwischen Entdeckung der Schwachstelle und Veröffentlichung eines Patches

Das Zeitfenster zwischen der Entdeckung einer Zero-Day-Schwachstelle und der Veröffentlichung eines Patches zur Behebung des Fehlers sei eine wertvolle Gelegenheit für Angreifer, die Lücke auszunutzen. „Deswegen werden Zero-Day-Schwachstellen häufig von Cyber-Kriminellen lukrativ auf dem Schwarzmarkt gehandelt. Die Preise für Zero-Day-Schwachstellen und Exploit-Kits sind sehr unterschiedlich, können aber bis zu 5.000 US-Dollar oder mehr einbringen.“ Ein Remote-Exploit für den „Firefox“ beispielsweise erziele Schätzungen zufolge Spitzenpreise von bis zu 200.000 Dollar, ein fortschrittlicher Exploit für „Google Chrome“ zwischen 500.000 und einer Million Dollar.
„Natürlich sind auch Schwachstellen, die in mehreren Versionen eines großen Betriebssystems oder einer Software vorhanden sind, wertvoller als solche, die nur in einer einzigen System- oder Softwareversion existieren“, erläutert Kumpa.

Verhaltensbasierte Sicherheitslösungen empfohlen

Unternehmen, die einen proaktiven Sicherheitsansatz verfolgten, seien besser gerüstet, um sich gegen Zero-Day-Angreifer zu verteidigen. Aufgrund ihrer Unbekanntheit umgingen Zero-Day-Exploits den Schutz durch traditionelle Antiviren-Signaturen. Verhaltensbasierte Sicherheitslösungen wie „Endpoint Detection and Response“ (EDR) könnten dagegen einen Zero-Day-Angriffe mithilfe von Heuristiken oder Algorithmen zur Verhaltensüberwachung erkennen:
„Diese Technologien überwachen hierfür Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Mithilfe von Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.“ Dieser Vorgang könne automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösten.

Unternehmensinterne Datentransparenz Schlüssel frühzeitiger Erkennung

Kumpa betont: „Unternehmensinterne Datentransparenz für Sicherheitsteams ist ein weiterer Schlüssel zur frühzeitigen Erkennung eines Zero-Day-Angriffs. Durch eine Überwachung aller Datenzugriffe und -aktivitäten auf anomales Verhalten können Unternehmen schnell Sicherheitsverstöße identifizieren und eindämmen, bevor es zum Datendiebstahl kommt.“
„Data Loss Prevention“-Lösungen, die kontextbasierte Klassifikation verwendeten, könnten sensible Geschäftsinformationen, Geistiges Eigentum und personenbezogene Daten sowohl in strukturierter Form in Datenbanken als auch in unstrukturierter Form, beispielsweise Dokumente, Bilder, E-Mails, Audio- oder Video-Daten, klassifizieren. Mithilfe von Richtlinien, Kontrollen und Verschlüsselung ließen sich so sensible Daten sowohl im Ruhezustand, in Bewegung und bei Verwendung vor Diebstahl schützen – „selbst, wenn es Cyber-Kriminellen gelingt, einen Zero-Day-Angriff durchzuführen und das Unternehmen einen Sicherheitsverstoß erleidet“.

Weitere Informationen zum Thema:

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz