2018-09-19 05:20:50

Zunahme von Cyberangriffen auf die Finanzbranche mittels versteckter Tunnels

Ein kürzlich veröffentlichter Bericht von Vectra zeigt, dass Finanzdienstleister weltweit immer mehr Cyberangriffen durch raffiniert vorgehende Hacker ausgesetzt sind. Diese nutzen versteckte Tunnel, um sich in Unternehmensnetzwerken einzunisten und wertvolle Daten aus der Ferne abzuschöpfen.

Vectras Spotlight Report 2018 mit dem Titel “Could an Equifax-sized data breach happen again?” zeigt einen Anstieg der Sicherheitsverletzungen in allen Branchen, einschließlich der Finanzdienstleistungen, auf – und das trotz der Tatsache, dass Unternehmen viel Geld für die Cybersicherheit ausgeben.

Sechs Monate lang sammelte die Cyberangriffserkennungsplattform Vectra Cognito Metadaten von Millionen von Einzelgeräten sowie Cloud-Workloads in Rechenzentren und Unternehmensumgebungen. Die Vectra-Studie zeigt, dass Hacker weiterhin nach Schwachstellen Ausschau halten, wie sie im vergangenen Jahr zum spektakulären Datenraub bei Equifax geführt haben.

„Finanzdienstleister hatten ein deutlich höheres Risiko, mit versteckten Command-and-Control-Tunneln konfrontiert zu werden als alle anderen Branchen zusammen. So fanden wir mehr als doppelt so viele versteckte Tunnel zur Datenexfiltration als in anderen Branchen“, berichtet Gérard Bauer, VP EMEA bei Vectra. „Pro 10.000 Geräte in einem Finanzdienstleistungsunternehmen fand Vectra 23 Tunnel, die als verschlüsselter Webverkehr getarnt waren.“

Warum gibt es bei Finanzdienstleistern deutlich mehr versteckte Tunnel als in anderen Branchen?

Tunnel werden verwendet, um eine Netzwerkverbindung zwischen einem internen System und einem externen Host herzustellen. Sie kommen zum Einsatz, wenn die Netzwerkkonnektivität durch Firewalls, die erforderliche Übersetzung von Netzwerkadressen und eine strenge Zugriffskontrolle eingeschränkt ist. Dies alles sind Technologien, die innerhalb von Finanzinstituten eingesetzt werden, um eine strenge Kontrolle über die Bewegung von Datenanwendungen innerhalb und außerhalb des Unternehmens durchsetzen. Tunnel bieten eine Methode, mit der diese Anwendungen kommunizieren und Daten in den kontrollierten Umgebungen ungehindert übertragen werden können. 

Tunnelling kann auch die Kommunikation über ein Protokoll ermöglichen, das normalerweise im eingeschränkten Netzwerk nicht unterstützt wird. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation in mehreren Verbindungen verborgen ist, die normale, allgemein erlaubte Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Requests (Anfragen) und Antworten sind dann innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Warum gibt es verdächtige HTTP-Command-and-Control-Kommunikation seltener in der Finanzbranche? 

„Verdächtige http-Vorgänge treten auf, wenn Software auf einem internen Host eine oder mehrere nicht genehmigte Webanfragen an eine bösartige Webdomain initiiert“, erläutert Gérard Bauer. „Dabei wird ein Muster gebildet, das typischerweise bei der Command-and-Control-Kommunikation mit einem bösartigen Akteur beobachtet wird.“

Finanzdienstleister verfügen im Allgemeinen über starke Sicherheitszugangskontrollen und Funktionen zur Überwachung des Netzwerkrands. Diese können verdächtige HTTP-Kommunikation erkennen. Dies erfolgt mittels Firewalls mit IP-Reputationslisten bekannter bösartiger Websites sowie mit Perimeter-Sandbox-Technologie. Dabei wird auf der Grundlage zuvor gesehener Malware nach eingehender und ausgehender bösartiger Kommunikation gesucht. Der größte Teil dieser verdächtigen Kommunikation wird am Perimeter blockiert. Solche Technologien werden nicht jede verdächtige Verbindung abfangen, aber sie reduzieren das Gesamtvolumen bösartiger Verbindungen erheblich.

Als Lehrbeispiel erscheint der Equifax-Vorfall wie ein „Geschenk“ für die Cybersicherheitsprofis. Was war die größte Lektion? 

Die größte Lektion ist, dass trotz aller Bemühungen, Angriffe zu verhindern, Angreifer immer noch in der Lage sind, Netzwerke erfolgreich zu infiltrieren. Es ist wichtig, Angriffe zu erkennen und darauf zu reagieren, bevor sie Schaden anrichten. Die Erkennung von Angriffen, sobald sie auftreten, erfordert die Fähigkeit, den gesamten Lebenszyklus eines Angriffs nach der Erstinfektion zu überwachen, einschließlich Command-and-Control, Auskundschaftung, Seitwärtsbewegung und des Verhaltens von Angreifern bei der Datenexfiltration.

„Versteckte Tunnel sind bei allen Kunden der Finanzbranche vorhanden, die wir getestet haben, da diese versteckten Tunnel von legitimen Anwendungen im täglichen Geschäft verwendet werden. Diese Anwendungen müssen von den Unternehmen gut verstanden und ausgearbeitet werden. Wenn legitime Anwendungen in der Lage sind, Unternehmens-Firewalls zu umgehen, dann ist es für einen Angreifer sehr einfach, dasselbe zu tun“, erklärt Gérard Bauer abschließend. „So lässt sich ein Angriff im normalen Datenverkehr verstecken, um eine Erkennung zu vermeiden. Finanzinstitute sollten die Nutzung von Anwendungen und deren Funktionsweise festlegen. Sie sollten zudem ihren verschlüsselten Verkehr sowie unverschlüsselten Verkehr überwachen, um den Missbrauch durch böswillige Akteure und das Vorhandensein von versteckten Tunneln zu erkennen.“

mat

Druckversion

Zum Thema