Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management

[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

Foto: ThreatQuotient

Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!

Top 5 der beschriebenen Schwachstellen

Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:

1. CWE-787: Out-of-Bounds Write
2. CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
3. CWE 125: Out-of-Bounds Read
4. CWE-20: Improper Input Validation
5. CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)

Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:

• CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
• CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums

Risikobasiertes Priorisieren der Schwachstellen

„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.

Schwachstellen-Scans für ein besseres Risikoprofil

Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:

• Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
• Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
• Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.

Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein

Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit

CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses

[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.

Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!

„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.

Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis

Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.

Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud

Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.

Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren

Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 14.10.2020] Cyber-Angriffe können offensichtlich unterschiedlich motiviert sein – vom finanziellen Profit bis zur Spionage. Das Angriffsmuster sei aber in aller Regel relativ ähnlich: Angreifer nutzten privilegierte Benutzerkonten für ihre Aktivitäten. Deshalb müssten Unternehmen verstärkt präventive Maßnahmen zum Schutz der privilegierten Accounts ergreifen, rät CyberArk.

Cyber-Angreifer kaum noch mit Sicherheitsmaßnahmen am Perimeter wirksam zu stoppen

Viele Unternehmen – gerade auch im Mittelstand – seien immer noch der Meinung, dass sie Cyber-Angriffe mit Sicherheitsmaßnahmen am Perimeter wirksam stoppen könnten. Die Realität sehe aber anders aus:„Datenverluste, Integritätsprobleme oder Unterbrechungen von Services bei geschäftskritischen Anwendungen sind trotz elementarer Sicherheitsmaßnahmen wie eines Perimeter-Schutzes mit Firewalls und Antiviren (AV)-Lösungen an der Tagesordnung.“
Das Problem sei, dass ein Unternehmen mit solchen Maßnahmen Sicherheitsrisiken infolge von zielgerichteten Phishing-Attacken, Insider-Bedrohungen, verstärkter Nutzung von Cloud-Services oder Ransomware nicht restlos beseitigen könne.

Am Beispiel des Spear-Phishings hat CyberArk das Vorgehen der Angreifer analysiert

Um Gefahren sicher abwehren zu können, sollte ein Unternehmen zunächst das typische Muster von Cyber-Angriffen kennen. Am Beispiel des sogenannten Spear-Phishings hat CyberArk nach eigenen Angaben die zeitliche Abfolge eines Angriffs analysiert:

• Versand von Spear-Phishing-E-Mails aus vermeintlich vertrauenswürdiger Quelle an ausgewählte Mitarbeiter eines Unternehmens
• Öffnung von Spear-Phishing-E-Mails und präparierter Anhänge durch die Mitarbeiter
• Starten eines bösartigen Makros im Hintergrund und Installation von Malware auf dem Rechner des Mitarbeiters
• Diebstahl von Zugangsdaten und Passwörtern des lokalen, kompromittierten Rechners
• Nutzung der Zugangsdaten für den Zugriff auf verbundene Systeme in der Domain
• „Seitwärtsbewegung“ der Angreifer im Netz, bis sie Zugang zu einem administrativen Account erhalten
• Verwendung des administrativen Accounts, um sich Zugriff auf zusätzliche privilegierte Accounts zu verschaffen
• Nutzung der privilegierten Accounts und Zugangsdaten für den Zugang zu unternehmenskritischen Systemen, Applikationen und Daten.

Angreifer missbrauchen zumeist privilegierte Zugänge

„Bei nahezu allen Sicherheitsvorfällen ist die missbräuchliche Nutzung von privilegierten Zugängen integraler Bestandteil von Angriffen auf IT-Systeme und -Umgebungen“, berichtet Christian Götz, „Director of Presales – DACH“ bei CyberArk.
Ein hoher Schutz könne nur gewährleistet werden, „wenn die privilegierten Zugänge adäquat verwaltet, gesichert und überwacht werden“. Das heißt laut Götz, dass an der Einführung einer Privileged-Access-Management-Lösung kein Weg vorbeiführe: „Damit bleiben auch Angriffe, die den Perimeter überwinden, für Unternehmenssysteme, -applikationen und -daten folgenlos.“

Dynamischer Bedrohung begegnen: Denkweise der Angreifer verstehen!

Unternehmen dürften auch nicht außer Acht lassen, dass die Bedrohungslage durch die höhere Komplexität von IT-Systemlandschaften steige. Im Zuge der zunehmenden Digitalisierung fänden sich privilegierte Accounts und Zugangsdaten nicht mehr nur in der Infrastruktur vor Ort, sondern auch über Cloud- oder Hybrid-Umgebungen hinweg – umso größer seien auch die Sicherheitsgefahren.
„Wenn Unternehmen mit der dynamischen Bedrohungslandschaft Schritt halten wollen“, so Götz, „müssen sie zum einen die Denkweise eines Angreifers verstehen. Und zum anderen ist es unumgänglich, auch alle potenziellen Angriffspunkte zu kennen.“ Nur so könnten Unternehmen dann auch die geeigneten Gegenmaßnahmen einleiten.

Weitere Informationen zum Thema:

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden / „Hornetsecurity Advanced Threat Protection“ soll nun das Einfallstor E-Mail für hochkomplexe und ausgeklügelte Angriffe schließen

Vectra benennt Sicherheitsherausforderungen in virtualisierten Clouds

[datensicherheit.de, 14.07.2019] Virtualisierte, von Cloud-Service-Providern (CSPs) unterstützte Cloud-Umgebungen stellen laut Vectra „Herausforderungen an die Erkennung des Verhaltens von Cyber-Angreifern dar“. In der Cloud würden bei einem starken Anstieg oder Rückgang der Nachfrage virtuelle Maschinen kurzerhand hinzugefügt oder entfernt. „Herkömmliche Erkennungsmethoden in physischen Umgebungen, die Protokolle, Netzwerk- und Endpunktdaten beinhalten, lassen sich nicht an diese dynamischen Umgebungen anpassen.“

Bild: Vectra

Gérard Bauer: Wichtigste Sicherheitsbedrohungen der Cloud kennen und Lebenszyklus von Angriffen in der Cloud verstehen!

Schutz der Daten: Konsequente Zugangsrestriktionen empfohlen

Unternehmen haben demnach keinen Zugriff auf jede Schicht im Cloud-Computing-Stack. Damit stehe auch keine zuverlässige Sichtbarkeit bei der Überwachung der Umgebung auf Angreiferverhalten zur Verfügung. Eine weitere Herausforderung in der Cloud sei, dass „Assets“ und Anwendungen zwischen Systemen mit unterschiedlichem Sicherheitsüberwachungsgrad wechselten.
„Das größte Problem bei der Cloud-Nutzung ist es jedoch, sicherzustellen, dass nur die richtigen Personen Zugriff auf die in Cloud-Workloads gespeicherten Daten haben. Innerhalb der Grenzen des lokalen Unternehmensnetzwerks sind fehlerhaft konfigurierte Systeme und Anwendungen nicht so anfällig für Kompromittierungen“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra. Es gebe interne Kontrollen, welche den externen Zugriff einschränkten.
In der Cloud hingegen bedeute eine einfache Fehlkonfiguration oder Offenlegung des Systemzugriffs, „dass es keine Abwehrmaßnahmen gibt, die jemanden daran hindern, auf alles, was offenliegt, zuzugreifen“. Das Potenzial für eine Fehlkonfiguration des Zugriffs auf Cloud-Workloads sei überaus real, wie unter anderem die Datenschutzverletzung bei Uber zuletzt gezeigt habe.

Überaus reale Bedrohungsszenarien..

„Eine noch interessantere Analyse, wie Angriffe die Dynamik der Bedrohungserkennung verändern, liefern die laufenden Angriffe der ,APT10-Gruppe‘ auf Cloud-Infrastrukturen. Hierbei war bereits eine Reihe von Sicherheitsverletzungen zu verzeichnen, die als Operation ,Cloud Hopper‘ bezeichnet werden.“
Beim „Cloud-Hopper“-Angriff sei die Methode des anfänglichen Eindringens Cloud-spezifisch gewesen, aber innerhalb dieser Cloud-Umgebungen hätten die Angreifer das gleiche Verhalten wie in der privaten Cloud und in physischen Rechenzentren gezeigt.
Alle Angriffe hätten einen Lebenszyklus – von der Erstinfektion bis zur Datenexfiltration. Die Verhinderung einer Kompromittierung werde immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control-Aktivitäten über Auskundschaftung bis hin zur Datenexfiltration – sei es nicht. Bauer: „Gerade, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, ist die zum Erkennen erforderliche Zeit von entscheidender Bedeutung.“

Angreiferverhalten: Einblick gewinnen

„Wie aber können Unternehmen Einblick in das Verhalten von Angreifern in Cloud-Umgebungen gewinnen? Und wo beginnt und endet das Modell der gemeinsamen Verantwortung zwischen CSPs und Cloud-Nutzern?“
Führende CSPs entwickelten ihre Funktionen für Authentifizierung, Kontrolle und Transparenz weiter. Sie hätten auch damit begonnen, eine bessere Integration für Drittanbieter von Sicherheitslösungen zu implementieren, um die Cloud-Sicherheitsfunktionen zu verbessern.
So habe Microsoft beispielsweise den „Virtual Network Tap“ in „Azure“ eingeführt, um die Überwachung des gesamten Netzwerkverkehrs zwischen Cloud-Workloads zu ermöglichen. Vectra nutzt nach eigenen Angaben den „Azure Virtual Network Tap“, um Modelle des Maschinellen Lernens auf den Cloud-Verkehr anzuwenden und unerwünschte Änderungen im Systemverkehr zu identifizieren, die auf einen laufenden Angriff hinweisen würden.
„Lösungen wie diese helfen Unternehmen, durch sicherheitstechnisch unbekanntes Terrain zu navigieren. Entscheidend ist es hierbei, die wichtigsten Sicherheitsbedrohungen der Cloud zu kennen und den Lebenszyklus von Angriffen in der Cloud zu verstehen“, fasst Bauer zusammen. Zudem müssten effiziente und effektive Maßnahmen für die Erkennung und Reaktion auf Sicherheitsvorfälle in Cloud-Umgebungen vorhanden sein.

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2019
McAfee-Report zeigt Schwachstellen in Cloud-Infrastrukturen auf

datensicherheit.de, 28.06.2019
Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider

datensicherheit.de, 23.06.2019
Google Cloud-Ausfälle zeigen Schwachstellen bei wichtigen Anbietern auf

datensicherheit.de, 20.02.2019
Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken

[datensicherheit.de, 03.03.2019] Der M-Trends Report von FireEye zeigt auf, wie Cyber-Bedroher im Jahr 2018 agierten. Die Ergebnisse zeigen einen neuen Trend Organisationen oder Unternehmen anzugreifen, während diese einen Merger & Acquisition-Prozess durchlaufen. Die Daten stellen zudem einen zunehmenden Trend zu Phishing-E-Mails dar. Dabei verändern Angreifer Zugangsdaten einer glaubwürdigen Quelle, um via Phishing-E-Mails Empfänger dazu zu bringen, auf einen Link zu klicken oder Anhänge zu öffnen, die dem Angreifer erlauben, auf das Netzwerk zuzugreifen.

Die wichtigsten Ergebnisse des Reports umfassen:

• Organisationen decken Angriffe um eine Woche schneller auf – 2017 betrug die mittlere Dauer zwischen einem Beginn und Entdeckens eines Angriffs durch ein Unternehmen-internes Team 57,5 Tage. 2018 verringerte sich diese Zahl auf 50,5 Tage. Damit scheinen Unternehmen besser darin geworden zu sein, unerlaubte Angriffe intern zu entdecken, anstelle von Hinweisen von externen Organisationen, zum Beispiel durch Strafverfolgungsbehörden, aufmerksam gemacht zu werden.
• Angreifer werden zunehmend hartnäckiger – Die Daten von FireEye weisen darauf hin, dass Unternehmen oder Organisationen, die bereits Opfer eines Angriffs geworden sind, wahrscheinlich wieder ins Visier genommen werden. Weltweit ausgewertete Daten von 2018 zeigen, dass 64 Prozent von allen Kunden von FireEye, die Managed Detection oder Response-Angebote nutzen, erneut von der gleichen oder einer anderen Gruppe mit ähnlichen Motivationen angegriffen wurden. Im Vergleich dazu wurden 2017 nur 56 Prozent erneut attackiert.
• Neue Hacker-Gruppe APT40 – Der Report stellt eine neue Hacker-Gruppe vor: APT40 – auch Periscope genannt – ist eine Chinesische Cyberspionage-Gruppe, die Länder zum Ziel hat, die strategisch wichtig für Chinas „One Belt, One Road“-Initiative sind. APT40 hat bereits eine Reihe von Angriffen auf vertikale Ziele vorgenommen, darunter Unternehmen und Organisationen aus der Luft- und Schifffahrt, Verteidigung, Chemieindustrie, Forschung & Bildung, Regierung sowie der Tech-Industrie.

Der M-Trends Report basiert auf Informationen, die durch Investigationen von FireEyes Sicherheitsanalysten im Jahre 2018 durchgeführt wurden. Der Report zeigt Trends und Taktiken auf, die Angreifer auf Organisationen und Unternehmen im letzten Jahr genutzt haben.

Weitere Informationen zum Thema:

FireEye
M-Trends Report

datensicherheit.de, 08.01.2019
Der Fall orbit: FireEye liefert erste Erkenntnisse