Braucht Ihr Netzwerk einen Türsteher?

/0 Kommentare/in /von

Stellen Sie sich vor, Sie machen einen Club auf. Sie nehmen sich den besten Innenarchitekten, kaufen den besten Wodka und stellen den besten Barmann ein, den Sie finden können. Ihr Club wird mit großem Erfolg eröffnet und entwickelt sich sofort zur angesagtesten Location in der ganzen Stadt.

Nach einem Monat ist alles vorbei und Sie müssen Ihren Laden schließen. Wie sich später herausstellt, war es keine gute Idee, jeden hereinzulassen.

Das gilt doppelt und dreifach, wenn es um Ihr Netzwerk und die Cybersicherheit geht. Könnten Sie gut schlafen, wenn Ihr Unternehmen keinerlei Einblick in einen Bereich hätte, der häufig Probleme und Compliance-Risiken verursacht? Wohl eher nicht. Leider gibt es noch viele Organisationen, die sich keine allzu großen Gedanken über die Prüfung ihres verschlüsselten Datenverkehrs machen und sich dabei offensichtlich in Sicherheit wiegen.

Lassen Sie uns aber erst einmal einen Blick darauf werfen, was verschlüsselte Bedrohungen überhaupt sind: Einfach gesagt, lässt sich mittels SSL (Secure Sockets Layer) ein verschlüsselter Tunnel für die sichere Datenübertragung über eine Internetverbindung erstellen. TLS (Transport Layer Security) ist eine neuere, sicherere Version von SSL.

TLS und SSL bieten handfeste Vorteile für die Sicherheit von Websitzungen und Internetverbindungen. Dennoch nutzen Cyberkriminelle diese Verschlüsselungsstandards zunehmend, um beispielsweise Malware, Ransomware und Zero-Day-Angriffe zu verbergen. Schätzungen zufolge sind heute 35 Prozent der Bedrohungen verschlüsselt – Tendenz steigend (Quelle: Gartner).

Wenn es um die zuverlässige Überprüfung des SSL- und TLS-Datenverkehrs zur Erkennung bösartiger Cyberangriffe – speziell mit Deep Packet Inspection (DPI) – geht, fürchten viele Organisationen einen Anstieg der Komplexität, oder sie sind sich einfach nicht der Notwendigkeit bewusst, ihre Daten zu scannen. Diese Haltung ist extrem gefährlich, da herkömmliche Sicherheitslösungen weder die nötige Funktionalität noch die Leistung besitzen, um Cyberangriffe, die das Firmennetz via HTTPS-Verkehr erreichen, zu erkennen, zu inspizieren und zu neutralisieren.

Wenn wir auf unser Beispiel mit dem Club zurückkommen, hätte ein Türsteher mit großer Wahrscheinlichkeit die erfolgreiche Fortführung des Lokals ermöglicht und Ihnen eine schmerzvolle Schließung aufgrund mangelnder oder nicht vorhandener Kontrollen erspart.

In gleicher Weise kann eine gründliche Prüfung des verschlüsselten Verkehrs den Unterschied zwischen einer erfolgreichen Erkennung und Blockierung von Bedrohungen und den katastrophalen Folgen eines erfolgreichen Cyberangriffs bedeuten. Das ist besonders vor dem Hintergrund ständig zunehmender, verschlüsselter Bedrohungen wichtig.

Stellen Sie sich vor, Ihr Club hätte einen Dresscode. Egal ob Sie modische Ausgehkleidung oder Jackett und Krawatte vorschreiben würden – ohne einen Türsteher hätten Sie keine Möglichkeit, die Einhaltung zu überwachen. Und was noch schlimmer ist: Da niemand die Mäntel kontrolliert, würden Sie auch nicht erfahren, ob einer der Gäste unter seinem khakifarbenen Trenchcoat vielleicht ein Eishockey-Trikot oder ein T‑Shirt mit einer unangemessenen Botschaft trägt.

So ähnlich verhält es sich auch mit einer Content-Filtering-Lösung und dem verschlüsselten Verkehr. Mittlerweile treffen 80 bis 90 Prozent des Datenverkehrs über verschlüsselte Verbindungen mit HTTPS ein. Veraltete Content-Filtering-Lösungen liefern dabei komplett verfälschte Ergebnisse (Quelle Google-Transparenzbericht). Sie sind nur begrenzt effizient, wenn es darum geht, die Ziel-Webseite zu identifizieren und zu entscheiden, wie mit potenziellen Bedrohungen umgegangen werden soll. Da Sie nicht sehen können, was sich unter der Oberfläche abspielt, laufen Sie Gefahr, dass sich Bedrohungen unbemerkt Eintritt verschaffen.

In gleicher Weise sind Sandboxing-Lösungen bei verschlüsselten Bedrohungen nur von begrenztem Nutzen. Gelingt es einem Hacker, eine verschlüsselte Verbindung zwischen dem Controller des Bedrohungsakteurs und einem Endpunkt herzustellen, kann er Dateien hin- und herübertragen – inklusive zusätzlicher Malware. In den meisten Fällen haben Unternehmen eine einzige Sandboxing-Lösung, die alle Dateien auf böswilligen Code scannt, bevor sie ins Netzwerk gelassen werden.

Bei verschlüsselten Verbindungen ist die Sandboxing-Lösung allerdings nutzlos, da ein Zugriff auf die Dateien, die zwischen einem C2-System und dem Endpunkt übertragen werden, nicht möglich ist. Die Lösung erkennt zwar den verschlüsselten Datenverkehr zwischen zwei IPs, kann die Dateien aber nicht inspizieren.

Um noch mal auf das Beispiel mit dem Club zurückzukommen: Stellen Sie sich Ihren Türsteher als einen erfahrenen Profi vor, der die Szene seit 20 Jahren kennt und potenzielle Randalierer auf eine Meile Entfernung wittert. Wenn Sie keinen Security-Mitarbeiter am Eingang haben, der sofort erkennt, wer zu einer Gefahr für sich selbst und andere werden kann, steht Ihr Lokal buchstäblich jedem offen. Denn für andere, die nicht darin geübt sind, Problemgäste zu erkennen, sehen Troublemaker wie alle anderen aus – bis es zu spät ist.

Und manchmal geht es nicht nur darum, wer in den Club (oder ins Netzwerk) hineinkommt, sondern wer hinausgeht. Viele Sicherheitslösungen bieten zwar Schutz vor Datenverlust, aber durch die Verschlüsselung bleibt der Datenraub oft unentdeckt. Angreifer können – egal ob sie zum Unternehmen gehören oder von außerhalb kommen – private oder vertrauliche Daten stehlen, ohne dass jemand davon Wind bekommt. Sobald sie genügend Informationen gesammelt haben, setzen sie dann Ransomware ein, um ihre Opfer zu erpressen.

Herkömmliche Gateway-Appliances, die keine Datenentschlüsselung unterstützen oder bei denen die Funktion nicht aktiviert ist, können diesen Datenverkehr nicht inspizieren. Dabei gehen die Risiken weit über Trojaner, Ransomware und Malware hinaus. Das Herausschleusen vertraulicher Daten kann schnell zu Compliance-Problemen und der Verletzung von Vorgaben wie z. B. HIPAA, PCI oder DSGVO führen.

Wurde Ihr Club geschlossen, weil Gäste beim Verlassen des Lokals mit Getränken erwischt wurden oder weil Mitarbeiter dabei beobachtet wurden, wie sie Flaschen herausschmuggeln? Das Problem hier ist, dass nicht nur Ihre Gäste und Mitarbeiter etwas Verbotenes tun, auch Sie verstoßen gegen Gesetze. Und manchmal können die Strafen für die Nichteinhaltung gesetzlicher Vorschriften – egal, ob es sich um lokale Verordnungen für Kneipen oder staatliche Compliance-Vorgaben für große Unternehmen handelt – existenzbedrohend sein oder zu einer Schließung führen.

In beiden Fällen ist die Lösung die gleiche: Sie brauchen einen furchtlosen und effizienten Wächter, der intelligent genug ist, zu wissen, wen er hineinlässt und wen er draußen lässt, und dabei so geschickt agiert, dass es nicht zu langen Warteschlangen vor der Tür kommt.

Wenn Sie mehr darüber erfahren wollen, was Sie brauchen, um den verschlüsselten Datenverkehr in Ihrem Unternehmen zu überprüfen, dann klicken Sie hier und registrieren Sie sich für das aktuelle Mindhunter-Webinar „Braucht Ihr Netzwerk einen Türsteher?“ am 21. April um 09:00 Uhr CET.

Neuer SonicWall-Bericht: steigende Bedrohungen und historische Trendwende bei der Cybersicherheit

/0 Kommentare/in /von

Die Cybersicherheit ist ein extrem dynamischer Bereich. Jedes Jahr entwickeln Cyberkriminelle neue Angriffsvektoren, verfeinern ihre Strategien und nehmen andere bevorzugte Ziele ins Visier.

Aber nur selten haben wir es mit solchen Veränderungen wie 2020 zu tun.

Das Jahr schloss mit zwei historischen Ereignissen: der COVID-19-Pandemie und dem Supply-Chain-Angriff bei SolarWinds. Die Auswirkungen von Corona waren und sind so disruptiv, dass sie etwas so grundlegendes wie unser Arbeitsleben regelrecht auf den Kopf gestellt haben. Der Supply-Chain-Angriff erschütterte die IT-Welt in ihren Grundfesten und brachte eine Kettenreaktion in Gang, die Tausende von Unternehmen betraf – vor allem aber hat er uns vor Augen geführt, dass praktisch alle bestehenden Abwehrmechanismen machtlos gegen diese Art von Bedrohung sind.

Währenddessen haben Cyberkriminelle ihre Aktivitäten verstärkt, cloudbasierte Tools als Waffe umfunktioniert und viele Bedrohungsvektoren überaus erfolgreich weiterentwickelt. Allzu oft hatten sie es genau auf diejenigen abgesehen, die am wenigsten darauf vorbereitet waren – Remote-Mitarbeiter, die sich der Risiken außerhalb der Unternehmensgrenzen nicht bewusst sind, überforderte medizinische Einrichtungen sowie Schulen und Universitäten, die mit der Umstellung auf Homeschooling zu kämpfen haben.

Die Bedrohungsexperten des SonicWall Capture Labs haben diese gravierenden Verschiebungen in Echtzeit beobachtet und ihre Erkenntnisse im Rahmen des SonicWall Cyber Threat Report 2021 zusammengetragen. Hier ein kurzer Überblick über die Ergebnisse:

Rekordzahlen bei Ransomware

Neue Höchststände beim Bitcoin haben auch Ransomware zu einem Rekord verholfen: So stieg die Zahl der Ransomware-Angriffe unseren Beobachtungen zufolge um 62 % gegenüber dem Vorjahr.

Besonders beunruhigend waren die starke Zunahme von Angriffen im Healthcare-Bereich sowie der Einsatz von Ryuk, einer neueren, aber schnell wachsenden Ransomware-Familie, die kontinuierlich um neue Funktionen erweitert wird.

Leistungsstärker denn je: unsere patentierte RTDMI-Technologie

2020 hat die Real-Time Deep Memory InspectionTM(RTDMI)-Technologie von SonicWall 268.362 brandneue Malware-Varianten identifiziert – 74 Prozent mehr als im Vorjahr. Die RTDMI-Technologie kann nicht nur unbekannte Massen-Malware in Echtzeit blockieren, sondern auch verheerende Side-Channel-Angriffe abwehren, wie etwa im Zusammenhang mit der vor Kurzem entdeckten Schwachstelle beim M1-Chip von Apple.

66-%tiger Anstieg bei IoT-Malware

Die Zahl der IoT-Geräte wächst seit Jahren, doch die COVID-19-Pandemie hat diesen Trend verstärkt. Dies hat ebenfalls zu einem Anstieg der Angriffe auf 56,9 Millionen geführt – 66 % mehr als 2019. Nordamerika war sogar noch stärker betroffen: Die Angriffe nahmen dort um ganze 152 % zu.

Cryptojacking auch ohne Coinhive auf dem Vormarsch

Der Bitcoin war nicht die einzige Kryptowährung, die 2020 einen Rekord nach dem anderen brach: Auch der Monero-Kurs stieg und verhalf Cryptojacking damit zu einem Drei-Jahres-Hoch. Der vorhergesagte Cryptojacking-Rückgang war allerdings nicht komplett aus der Luft gegriffen: Tatsächlich gingen browserbasierte Cryptojacking-Angriffe deutlich zurück, wobei dateibasierte Cryptojacking-Versuche diesen Rückgang mehr als kompensierten.

Mehr Eindringversuche und veränderte Angriffsmuster

Im Jahr 2020 stiegen böswillige Eindringversuche insgesamt um 112 % – doch nicht nur die Zahl, sondern auch die Art dieser Angriffe hat sich verändert. Directory-Traversal-Angriffe machten 34 % aller Eindringversuche aus (2019 waren es noch 21 %), während RCE-Versuche an Fahrt verloren und einen Rückgang von 21 % auf 16 % verzeichneten.