Ende Januar fand der erste von mehreren Livevideotalks statt, bei denen Matthias Canisius von SentinelOne jeweils einen besonderen Gast empfängt. Mit dem bespricht er dann ausführlich ein spezielles Thema, mit all seinen wissenswerten Fakten. Den Anfang machten die Top Security-Trends 2023, für die er Julien Reisdorffer im StudioOne begrüßte, der als Forensiker bei SentinelOne arbeitet.
Um sich dem Thema Securitytrends halbwegs in der vorgegebenen Zeit annähern zu können, präsentierten Matthias und Julien vier Schwerpunkte, die da lauteten: Angriffsvektoren, Angriffe auf Sicherheitskomponenten, Angreiferwerkzeuge und Tools, sowie Angreifer im Wandel der Zeit.
Angriffsvektoren: Data Center, Cloud und Co.
Entgegen landläufiger Annahmen, sind Rechenzentren (im Vergleich zur Cloud) nach wie vor ein beliebtes Angriffsziel. Beispiele hierfür sind Webserver, die im Fokus der Hacker stehen. Aber auch Attacken auf Storage-Umgebungen, Storage-as-a-Service und virtuelle Maschinen auf AWS- und Azure-Basis finden nach wie vor statt.
Ebenfalls hoch im Kurs stehen hybride Identity-Strukturen, mit denen sich Anwender sowohl am Rechenzentrumsserver als auch an der Cloud-Instanz anmelden können. Das ist für Hacker ein gefundenes Fressen, falls sie diese eine Identität erbeuten können und damit Zugriff auf sämtliche Anwendungen und Daten des Opfers erlangen.
Aber auch das Austricksen von Anwender:innen mithilfe von Phishing-Mails steht nach wie vor im Fokus vieler Cyberkrimineller. Das hat zum einen mit dem oft recht freizügigen Umgang mit den eigenen Kontaktdaten zu tun, zum anderen mit der vermeintlichen Professionalisierung der Mailtexte, die besser und besser werden. Hier spielt der Zugriff auf privilegierte Mail-Postfächer eine wichtige Rolle, die mithilfe bestimmter Techniken wie das Social Engineering gekapert werden. Eine echte Schwachstelle in diesem Kontext ist nach wie vor der Microsoft Exchange-Server, der leider immer noch diverse Lücken aufweist.
Angriff auf Sicherheitskomponenten: Agentenlose EDR-Endpunkte
Das Szenario, das sich hierbei ergibt, betrifft in vielen Fällen komplette Management-Systeme, mit denen sich EDR- bzw. SIEM-Komponenten verwalten lassen. Für einen effektiven Angriff attackiert der Hacker direkt das Rechtesystem des zugrunde liegende Netzwerks, um dieses dann zu umgehen. Hierbei sind beliebte Ziele diejenigen Endpunkte, auf denen zum Beispiel keine EDR-Agenten installiert sind. Und von denen gibt es im Grunde in jeder Firma eine ganze Menge.
Aber auch Single Sign-On-Konten stellen ein ernstzunehmendes Risiko dar, weil sie – einmal gehackt – den Zugriff auf alle relevanten Sicherheitskomponenten gewähren. So oder so, zur besseren Abwehr solcher und ähnlicher Attacken ist eine Multifaktor-Authentifizierung mithilfe geeigneter FIDO-Komponenten auf jeden Fall eine gute Idee.
Angreiferwerkzeuge im Wandel: Frameworks, Forensiktools und mehr
Bestimmte Frameworks wie Cobalt Strike, die ursprünglich für interne Security-Simulationszwecke geschaffen wurden, gerieten in den letzten Jahren mehr und mehr in den Fokus echter Angreifer wie APT-Gruppen oder Ransomware-Gangs. Was deren Anwendung erheblich erschwert, da sich die Unterscheidung zwischen einer echten und gefakten Attacke immer komplexer gestaltet.
Darüber stehen vermehrt Tools im Visier von Hackern, die unmittelbar zum Betriebssystem gehören und damit relativ leicht für Angriffe missbraucht werden können. Beispiele hierfür sind Team Viewer, Anydesk, aber selbst Forensiktools wie Velociraptor werden für Malware-Attacken genutzt, woraus sogenannte Dual Use-Cases resultieren.
Selbstverständlich leistet auch in diesem Zusammenhang die Künstliche Intelligenz mit all ihren Möglichkeiten einen ernstzunehmende Beitrag, wenngleich das Ganze noch ziemlich am Anfang steht. Zu nennen ist hierbei ChatGPT von OpenAI. Mit diesem Tool ist es schon durchaus möglich, Schadsoftware zu erstellen oder qualitativ hochwertige Phishing-Mail-Texte schreiben zu lassen.
Angreifer müssen sich neu orientieren
Es gibt aber auch durchaus gute Cybercrime-Nachrichten. So zahlen immer weniger Unternehmen im Falle einer Ransomware-Attacke die geforderten Erpressungsgelder, da sie immer besser auf Angriffe und Erpressungsversuche vorbereitet zu sein scheinen. So liegen bei mehr und mehr Firmen profunde Backup- und Wiederherstellungspläne vor, die im Sicherheitsvorfall eine gute Möglichkeit bieten, weiterhin auf seine Daten zurückgreifen zu können. Was eine Bezahlung des Lösegelds überflüssig macht.
Daher gehen Cyberkriminelle neue Wege. Dazu gehört beispielsweise die Androhung, die erbeuteten Daten nicht nur zu verschlüsseln, sondern auch die besonders sensiblen Daten in das weltweite Netz zu stellen, um sie dort zu veröffentlichen. Aber auch das führt nicht immer zu dem gewünschten Effekt, da die Sensibilität der Daten oft falsch eingeschätzt wird.
Drei Empfehlungen am Schluss
Wie es sich für einen Videotalk gehört, folgen auch hier am Ende drei wesentliche Empfehlungen, die Matthias und Julien der Zuseherschaft mit auf den Weg gaben. Dazu gehören:
1. Unbekannte Assets und Systeme, die im eigenen Unternehmen vorhanden sind, sollten so gut wie möglich identifiziert werden. Dazu gehören IoT-Geräte genauso wie Cloud-Container, etc.
2. Passende und funktionierende Incident & Response-Pläne sind immanent wichtig für jedes Unternehmen.
3. Die wesentlichen Fokus-Bereiche einer Firma sind unbedingt zu definieren und zu benennen. Hierbei stellen sich zwei Fragen: Was kann das Unternehmen selbst leisten, und wo benötigt es möglicherweise professionelle Unterstützung?