2018-06-08 09:29:24

Malware versteckt sich in verschlüsseltem Traffic

Der Cisco Annual Cybersecurity Report 2018 (ACR) zeigt, dass sich die verschlüsselte Netzwerk-Kommunikation innerhalb von 12 Monaten mehr als verdreifacht hat. Dies gilt insbesondere für Malware. Zudem nutzen Cyberkriminelle zunehmend Cloud-Services und IoT-Botnetze für ihre Angriffe. Security-Verantwortliche sind gefordert, bestehende Systeme umfassender abzusichern. Dafür setzen schon heute mehr als ein Drittel der Befragten auf Automation, Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) – das Vertrauen sowie die Investitionsbereitschaft wächst.

Verschlüsselung soll eigentlich die Sicherheit erhöhen. Doch mit der Zunahme des verschlüsselten Web Traffics steigt auch die Herausforderung für Unternehmen, potentielle Gefahren zu erkennen und zu überwachen. Der Anteil des verschlüsselten Traffics – egal ob legitim oder schädlich – lag im Oktober 2017 bereits bei 50 Prozent der gesamten Netzwerk-Kommunikation. Daher nutzen schon heute 39 Prozent der Unternehmen Automatisierungslösungen, 34 Prozent ML- und 32 Prozent KI-Systeme, um Angriffe schneller zu erkennen und die Sicherheit zu verbessern. Die Ausgaben dafür sollen weiter steigen. 

Achim Kaspar, General Manager Cisco Austria und Adriatics: „Das letzte Jahr hat gezeigt, dass Cyber-Bedrohungen inzwischen so groß geworden sind, dass Menschen sie nicht mehr aufhalten können. Daher muss die Entdeckung und Abwehr von Gefahren heute automatisiert werden. Künstliche Intelligenz und maschinelles Lernen helfen bei der Analyse und automatischen Untersuchung von verdächtigem Web-Traffic. Wir nutzen diese Technologien in unseren Security-Lösungen, die im Netzwerk integriert sind. Dieses intelligente Netzwerk erkennt mögliche Risiken und aktiviert eine automatisch gesteuerte Abwehr. In unserem Intent-Based-Network, dem neuesten Standard unserer Netzwerk-Technologie, kann das System auch im verschlüsselten Datenverkehr Malware erkennen und abwehren, ohne dabei den Datenschutz zu beeinträchtigen.“

Einfallstore: IoT und Supply Chain

Neben der Malware-Verschlüsselung beeinflusst auch das Internet der Dinge die aktuelle Sicherheitslage. Während Kriminelle immer größere und intensivere distributed Denial of Service (dDoS)-Attacken durchführen, sehen sich nur wenige Befragte (13 Prozent) von Cyber-Angriffen über IoT-Botnets bedroht. Dabei haben bereits 42 Prozent der Unternehmen eine solche dDoS-Variante erlebt. Eine der am stärksten angestiegenen Angriffsarten 2017 waren sogenannte Short-Burst-Angriffe. Darunter versteht man dDOS-Angriffe mit kurzer Dauer von Sekunden bis hin zu einer halben Stunde, aber sehr großem Verkehr und hoher Frequenz, mit dem Ziel beispielsweise Gaming-Websites gezielt zu stören oder auszuschalten.

Auch Angriffe auf die Supply Chain werden unterschätzt. Durch die Manipulation vertrauenswürdiger Software innerhalb der Lieferkette, können Angreifer die Prozesse der Abnehmer über Monate oder gar Jahre negativ beeinflussen. Dies zeigte das Jahr 2017, als beispielsweise das Schadprogramm Nyetya über eine Steuerberatungssoftware verteilt wurde. Auch der zweite große Supply Chain-Angriff auf die bekannte CCleanerSoftware, die im Jahr 2017 Unternehmen in aller Welt infizierte, führte zu großer Unsicherheit in den Unternehmen. Sie vertrauten darauf, sichere Originalsoftware direkt vom Hersteller herunterzuladen. Verantwortliche sollten daher Sicherheitsstrukturen regelmäßig aktualisieren sowie bei eingesetzter Software die Sicherheitsansätze der Anbieter überprüfen und keine Software oder Hardware aus nicht-autorisierten Quellen nutzen. Bietet der Softwarehersteller Prüfmechanismen wie Digitale Signaturen oder Hashwerte an, empfiehlt sich deren Prüfung bei jedem Download. Ideal wäre die Nutzung von Secure-Boot und TrustAnchor Modulen (TAM), die solche Prüfungen automatisieren und nur autorisierte Software booten.

Die wichtigsten Ergebnisse des ACR im Überblick

Das kostet Unternehmen ein Cyber-Angriff: Jeder zweite Angriff führt zu finanziellen Schäden von mehr als 500.000 US-Dollar, unter anderem durch direkte Ausfallkosten, aber auch Umsatzverluste, verprellte Kunden oder verpasste Geschäftschancen.

Masse statt Klasse: Unternehmen setzen bei IT-Security auf viele Produkte unterschiedlichster Anbieter. Diese Komplexität führt in Kombination mit den zunehmenden Sicherheitsvorfällen zu einem hohen Risiko für Cyber-Angriffe. Im Jahr 2017 nutzten 25 Prozent der Sicherheitsexperten Produkte von 11 bis 20 Herstellern, verglichen zu 18 Prozent 2016. In 32 Prozent der Vorfälle waren mehr als die Hälfte der eingesetzten Systeme betroffen, im Vorjahr waren es noch 15 Prozent.

Cloud Nutzung steigt – Security bleibt Herausforderung: 27 Prozent der Teilnehmer nutzen Off-Premises Private Clouds, 2016 waren es noch 20 Prozent. Davon sagen 57 Prozent, dass sie die Cloud aufgrund des besseren Datenschutzes einsetzen, 48 Prozent wegen Skalierbarkeit und 46 Prozent wegen der einfacheren Nutzung. Während die Cloud-Dienste eine bessere Sicherheit bieten, nutzen Kriminelle die Schwierigkeiten aus, die Sicherheitsteams bei der Absicherung der Cloud-Nutzung im Unternehmen haben. Eine Kombination aus Best Practices, modernen Sicherheitstechnologien und Abwehrmechanismen wie Cloud-Security-Plattformen kann hier helfen.

Muster erkennen – Verhaltensanalyse-Tools praktikabel: 92 Prozent der Befragten sagen, das Tools zur Verhaltensanalyse gut funktionieren. Gesundheitswesen und der Finanzsektor sind die führenden Bereiche.

Time to Detection (TTD) immer kürzer: Zwischen November 2016 und Oktober 2017 benötigte Cisco im Durchschnitt nur 4,6 Stunden, um eine Bedrohung zu entdecken. Im Vorjahr waren es 14 und zwei Jahre zuvor noch 39 Stunden. Cloud-basierte Sicherheitstechnologien helfen dabei, Cyberbedrohungen immer schneller zu erkennen. 

Empfehlungen für Entscheider

  • Unternehmensweite Richtlinien und Praktiken für das Patchen von Anwendungen, Systemen und Geräten durchsetzen
  • Aktuelle Daten nutzen und in bestehende Prozesse des Security Monitorings integrieren, um Bedrohungen effektiv entgegenzutreten
  • Tiefgehende und fortgeschrittene Analysen bestehender Bedrohungen durchführen
  • Regelmäßiges Backup von Daten und Testing von Wiederherstellungsprozessen zum Schutz vor Ransomware
  • Regelmäßige Sicherheitsüberprüfungen von Microservices, Cloud Services und Application-Administration-Systemen

mat

Druckversion

Zum Thema

  • 2018-06-08

    Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

    Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind. Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.  mehr

  • 2018-06-06

    Die letzte Verteidigungslinie

    Endpoint-Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-Lösungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint-Security können Unternehmen gegen "das letzte Prozent" möglicher IT-Bedrohungen vorgehen.  mehr

  • 2018-03-01

    USA-Zugriff auf Daten in Europa

    Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit dem er nach dem Willen der US-Regierung tief in den europäischen Datenschutz eingreifen würde. Im Februar 2018 entscheidet er darüber, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.  mehr

  • 2018-06-08

    Weiterer Anstieg bei Cryptomining-Malware

    Check Points Global Threat Index im Januar zeigt, dass die rasante Verbreitung von Cryptomining-Malware Unternehmen schwer zu schaffen macht Check Point stellt in der Auswertung seines monatlichen Global Threat Index fest, dass Cryptomining-Malware Unternehmen in aller Welt betrifft. Der Kryptominer-Schädling Coinhive war demnach für 23 Prozent aller Infektionen verantwortlich.  mehr

  • 2018-06-08

    Immer mehr Microsoft-Sicherheitslücken

    Avecto hat zum fünften Mal seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht. Er basiert auf einer Untersuchung sämtlicher 2017 gemeldeter Microsoft-Schwachstellen und zeigt, dass deren Zahl beträchtlich gestiegen ist.  mehr

  • 2018-06-08

    Regierungswebsite für illegales Mining gekapert

    Ausgerechnet die Website des „Information Comissioner´s Office“ (ICO) der britischen Regierung wurde Opfer einer illegalen Crypto-Cash-Kampagne. Nach Hinweisen, dass Hacker die Rechner von Besuchern der Website angreifen um illegales Mining von Kryptogeld zu starten, wurde der Internetauftritt des ICO vom Netz genommen.  mehr

  • 2018-06-08

    Jeder Vierte fürchtet Kamera-Spione

    27 Prozent der Nutzer von Computern und Smartphones verdecken ihre Kamera Versteckte Beobachter in den eigenen vier Wänden zu haben – eine Horrorvorstellung für die meisten Menschen. Für Cyberkriminelle bieten Kameras in Computern und Handy genau das: ein mögliches Einfallstor, um Personen auszuspionieren.  mehr

  • 2018-06-06

    Top 10 Sicherheitstipps für die Public Cloud

    Kostenfokussierte Abteilungen in Unternehmen fordern die Verlagerung in die öffentliche Cloud, während das IT-Sicherheitsteam potenzielle Sicherheitsrisiken sieht und versucht, die Kontrolle nicht zu verlieren.  mehr

  • 2018-05-30

    Malware klaut Rechenleistung

    Sicherheitsexperten von Crowdstrike haben eine neue Malware dokumentiert, die es nicht auf Erpressungsgeld oder Daten, sondern auf Rechenleistung abgesehen hat. "WannaMine", so der Name des Schädlings, basiert auf Angriffsmethoden, die eigentlich vom US-Geheimdienst NSA entwickelt wurden und bereits in WannaCry zum Einsatz kamen.  mehr

  • 2018-06-08

    Schutz von Unternehmensdaten in der Cloud

    Box und Palo Alto Networks erweitern ihre Integration. Ziel der Zusammenarbeit ist es, vertrauliche Inhalte automatisch zu klassifizieren und Richtlinien durchzusetzen, die verhindern, dass Benutzer versehentlich oder absichtlich vertrauliche Informationen mit Unberechtigten teilen.  mehr