Top Network Security Issues, Threats, and Concerns

Zu Beginn des Jahres 2021 ist es ein guter Zeitpunkt, über die Bedrohungen nachzudenken, die die Check Point Research-Gruppe im Jahr 2020 gesehen hat, um sich auf das kommende Jahr vorzubereiten. Laut dem Cybersicherheit Report 2021 waren die Sunburst-Angriffe, bei denen Tausende von Regierungs- und Privatorganisationen verletzt wurden, nur die Spitze des Eisbergs im Hinblick auf Cyberangriffe im Jahr 2020. Tatsächlich erlebten 87 % der Unternehmen einen Ausnutzungsversuch einer bekannten Schwachstelle.

Neben dem nationalstaatlichen Angriff von Sunburst führen finanziell motivierte Bedrohungsakteure weiterhin Malware-Kampagnen durch. Sie entwickeln ihre Techniken weiter, um Voice-Phishing (Vishing), Double-Extortion-Ransomware, E-Mail-Thread-Hijacking und Angriffe auf Cloud-Infrastrukturen einzusetzen. Allerdings gibt es auch einige Lichtblicke am Horizont.

Lesen Sie den Frost & Sullivan-Bericht

Top-Probleme und Trends zur Netzwerksicherheit

Im Cybersicherheit Report 2021 skizzierte die Check Point Research-Gruppe die wichtigsten Netzwerk-Sicherheitsprobleme , Bedrohungen und Trends des Jahres 2020.

#1. Angriffe auf die Lieferkette

Am 8. Dezember 2020 gab das Cybersicherheitsunternehmen FireEye bekannt, dass es die Sunburst-Malware in seinem Netzwerk entdeckt hatte. Die Untersuchung dieser Infektion deckte eine massive Cyberangriffskampagne auf, die 18.000 Organisationen, 425 Fortune-500-Unternehmen (einschließlich Microsoft) und auch Regierungsbehörden ins Visier nahm.

Die SUNBURST-Malware wurde über kompromittierte Updates der Verwaltungssoftware SolarWinds Orion Netzwerk verbreitet. Den Angreifern gelang es, SolarWinds mithilfe eines neuartigen Angriffs auf dessen Office 365-Konten zu kompromittieren, der es ihnen ermöglichte, ein Azure Active Directory-Token für ein privilegiertes Konto zu fälschen und sich mit kompromittierten Administratoranmeldeinformationen Zugriff auf den Update-Management-Server des Unternehmens zu verschaffen.

Mit Zugriff auf den SolarWinds-Update-Management-Server konnten die Angreifer Updates während der Entwicklungspipeline ändern, um die Backdoor-Malware einzubinden. Diese große Reichweite des Angriffs machte ihn zum bisher erfolgreichsten bekannten Supply-Chain-Angriff. Beim SolarWinds-Angriff erwies sich die Überwachung als unerlässlich, um den Angriff zunächst zu identifizieren und darauf zu reagieren.

Um zukünftige Angriffe zu verhindern, müssen bewährte Sicherheitspraktiken implementiert werden, wie zum Beispiel:

  • Geringste Privilegien und Netzwerksegmentierung: Diese Best Practices können dabei helfen, Bewegungen innerhalb des Netzwerks einer Organisation zu verfolgen und zu kontrollieren.
  • DevSecOps: Die Integration von Sicherheit in den Entwicklungslebenszyklus kann dabei helfen, zu erkennen, ob Software (wie die Orion-Updates) in böswilliger Absicht verändert wurde.
  • Automatisierte Bedrohungsprävention und Bedrohungssuche: Analysten von Security Operations Centers (SOC) sollten Angriffe in allen Umgebungen, einschließlich Netzwerk, Endgerät, Cloud und Mobilgeräten, proaktiv abwehren.

#2. Vishing

Während Phishing die bekannteste Art von Social-Engineering-Angriffen ist, können andere Techniken ebenso effektiv sein. Über das Telefon kann ein Visher Social-Engineering-Techniken einsetzen, um Zugang zu Anmeldeinformationen und anderen wichtigen Informationen zu erhalten, 2FA zu umgehen oder das Opfer dazu zu bewegen, eine Datei zu öffnen oder Schadsoftware zu installieren.

Vishing ist eine wachsende Bedrohung für die Cybersicherheit von Unternehmen. Im August 2020 gaben CISA und das FBI eine Warnung vor Vishing-Angriffen heraus, und Vishing wurde in Malware-Kampagnen und von APT-Gruppen eingesetzt. Ein aufsehenerregender Angriff ermöglichte es einem Teenager im Jahr 2020, mehrere Twitter-Konten von Prominenten zu übernehmen. Die Bedrohung durch Vishing wird nur noch schlimmer, wenn die Technologie zur Deepfake-Aufzeichnung verbessert wird und breiter verfügbar ist.

Vishing ist ein Low-Tech-Angriff, weshalb die Schulung der Mitarbeiter zum Schutz davor unerlässlich ist. Unternehmen können ihre Mitarbeiter dazu erziehen, vertrauliche Informationen nicht preiszugeben und die Anruferidentifikation unabhängig zu überprüfen, bevor sie Anfragen nachkommen.

#3. Ransomware

Ransomware war im Jahr 2020 eine der teuersten Cyber-Bedrohungen für Unternehmen. Es kostete Unternehmen im Jahr 2020 20 Milliarden US-Dollar, gegenüber 11,5 Milliarden US-Dollar im Jahr 2019. Im dritten Quartal 2020 betrug die durchschnittliche Lösegeldzahlung 233.817 US-Dollar, ein Anstieg von 30 % gegenüber dem Vorquartal.

In diesem Quartal beinhaltete fast die Hälfte aller Ransomware-Vorfälle eine doppelte Erpressungsdrohung. Diese Innovation soll die Wahrscheinlichkeit erhöhen, dass das Opfer das Lösegeld zahlt. Dies geschieht durch den Einsatz einer neuen zweiten Bedrohung zusätzlich zur Verschlüsselung von Dateien, nämlich der Extraktion sensibler Daten und der Androhung der Offenlegung oder des Verkaufs der Daten an die Öffentlichkeit. Während Backups es einem Unternehmen möglicherweise ermöglichen, sich von einem Ransomware-Angriff ohne Bezahlung zu erholen, bietet die Gefahr eines Verstoßes gegen vertrauliche und persönliche Daten dem Angreifer einen zusätzlichen Einfluss.

Die Zunahme dieser doppelten Erpressungsangriffe bedeutet, dass Unternehmen eine Strategie zur Bedrohungsprävention einführen müssen und sich nicht nur auf die Erkennung oder Beseitigung von Bedrohungen verlassen dürfen. Eine präventionsorientierte Strategie sollte Folgendes umfassen:

  • Anti-Ransomware-Lösungen: Unternehmen sollten Sicherheitslösungen einsetzen, die speziell darauf ausgelegt sind, Ransomware-Infektionen auf einem System zu erkennen und zu beseitigen.
  • Schwachstellenmanagement: Das Patchen anfälliger Systeme oder der Einsatz virtueller Patching-Technologien wie Intrusion Prevention Systems (IPS) ist erforderlich, um gängige Ransomware-Infektionsvektoren wie das Remote Desktop Protocol (RDP) abzuwehren.
  • Mitarbeiterschulung: Informieren Sie Ihre Mitarbeiter über die Risiken, die das Öffnen von Anhängen in bösartigen E-Mails oder das Klicken auf Links in bösartigen E-Mails mit sich bringt.

#4. Thread-Hijacking

Bei Thread-Hijacking-Angriffen werden Ihre eigenen E-Mails gegen Sie verwendet. Nach der Kompromittierung eines internen E-Mail-Kontos kann ein Angreifer auf einen E-Mail-Thread mit einem Anhang antworten, der Malware enthält. Diese Angriffe machen sich die Tatsache zunutze, dass der E-Mail-Thread legitim aussieht … weil er es auch ist.

Emotet-Banking-Malware, eines der größten Botnetze, führte die Malware-Rangliste an und zielte im Jahr 2020 auf fast 20 % der globalen Unternehmen ab. Nach der Infektion eines Opfers verwendet es die E-Mail-Adresse des Opfers, um schädliche Dateien an neue Opfer zu senden. Qbot, eine weitere Bank-Malware, nutzte ähnliche Techniken zum Sammeln von E-Mails.

Um sich vor Thread-Hijacking zu schützen, müssen Mitarbeiter darin geschult werden, E-Mails auf Anzeichen von Phishing zu überwachen, selbst wenn sie von einer vertrauenswürdigen Quelle stammen, und die Identität des Absenders durch einen Anruf zu überprüfen, wenn eine E-Mail verdächtig erscheint. Unternehmen sollten außerdem eine E-Mail-Sicherheitslösung bereitstellen, die mithilfe von KI Phishing erkennt und E-Mails mit bösartigen Anhängen und/oder Links unter Quarantäne stellt.

#5. Remote Access Schwachstelle

Der Anstieg der Fernarbeit im Zuge von COVID-19 machte den Fernzugriff im Jahr 2020 zu einem häufigen Ziel von Cyberkriminellen. Im ersten Halbjahr kam es zu einem dramatischen Anstieg der Angriffe auf Fernzugriffstechnologien wie RDP und VPN. Täglich wurden fast eine Million Angriffe gegen RDP entdeckt.

In der zweiten Hälfte konzentrierten sich Cyberkriminelle verstärkt auf anfällige VPN-Portale, Gateway und Anwendungen, da neue Schwachstellen in diesen Systemen bekannt wurden. Das Check Point-Sensornetz verzeichnete einen Anstieg der Angriffe gegen acht bekannte Schwachstellen bei Fernzugriffsgeräten, darunter Cisco und Citrix.

Um die Risiken der Remote-Access-Schwachstelle zu bewältigen, sollten Unternehmen anfällige Systeme direkt patchen oder virtuelle Patching-Technologien wie IPS einsetzen. Sie sollten auch Remote-Benutzer schützen, indem sie einen umfassenden Endgeräteschutz mit Technologien zur Endgeräteerkennung und -reaktion (EDR) bereitstellen, um die Behebung und Bedrohungssuche zu verbessern.

#6. Mobile Bedrohungen

COVID-19 dominierte die mobile Bedrohungssphäre. Die Nutzung mobiler Geräte nahm aufgrund der Remote-Arbeit dramatisch zu, ebenso wie bösartige Apps, die sich als Apps im Zusammenhang mit Coronaviren tarnten.

Mobile Geräte waren auch Ziele großer Malware-Kampagnen, darunter Bank-Malware wie Ghimob, EventBot und ThiefBot in den USA. APT-Gruppen haben auch mobile Geräte ins Visier genommen, beispielsweise die iranische Kampagne zur Umgehung von 2FA, um iranische Expatriates auszuspionieren. Bemerkenswerte Schwachstellen auf mobilen Geräten waren Achilles 400-Schwächen in Qualcomm-Chips und Schwachstellen in Apps wie Instagram, Apples Anmeldesystem und WhatsApp.

Unternehmen können die mobilen Geräte ihrer Benutzer mit einer leichten mobilen Sicherheitslösung für nicht verwaltete Geräte schützen. Sie sollten Benutzer auch darin schulen, sich selbst zu schützen, indem sie nur Apps aus offiziellen App-Stores installieren, um das Risiko zu minimieren.

#7. Eskalation von Cloud-Berechtigungen

In unserer Zusammenfassung der wichtigsten Sicherheitsprobleme schließen wir den Kreis zu den SolarWinds-Angriffstechniken. Im Gegensatz zu früheren Cloud-Angriffen, die auf Fehlkonfigurationen beruhten, die Cloud-Assets wie S3-Buckets ungeschützt ließen (und die immer noch Anlass zur Sorge geben), wird jetzt auch die Cloud-Infrastruktur selbst angegriffen.

Die SolarWinds-Angreifer hatten es auf Active Directory Federation Services (ADFS)-Server abgesehen, die auch im Single Sign-On (SSO)-System des Unternehmens für den Zugriff auf Cloud-Dienste wie Office 365 verwendet wurden. Zu diesem Zeitpunkt nutzten die Angreifer eine Technik namens Golden SAML, um dauerhaften und schwer zu erkennenden vollständigen Zugriff auf die Cloud-Dienste des Opfers zu erlangen.

Andere Angriffe auf Cloud-Identitäts- und Zugriffsmanagementsysteme (IAM) waren ebenfalls bemerkenswert. IAM-Rollen können mithilfe von 22 API missbraucht werden, die in 16 AWS-Services zu finden sind. Diese Angriffe basieren auf einem tiefen Verständnis der Komponenten, Architektur und Vertrauensrichtlinien von IaaS- und SaaS-Anbietern.

Unternehmen benötigen ganzheitliche Transparenz über öffentliche Cloud-Umgebungen und stellen einheitliche, automatisierte Cloud-native Schutzmaßnahmen bereit. Dadurch können Unternehmen die Vorteile der Cloud nutzen und gleichzeitig kontinuierliche Sicherheit und Compliance gewährleisten.

Angriffe im Gesundheitswesen waren im Jahr 2020 beispiellos

Durch COVID-19 sind Gesundheitsorganisationen für alle, auch für Cyberkriminelle, in den Fokus gerückt. Einige Malware-Kampagnen versprachen, Angriffe auf das Gesundheitswesen einzustellen, doch die Versprechen hielten nichts von der Substanz – Krankenhäuser waren immer noch ein Schwerpunkt für Maze- und DopplePaymer-Malware.

Im Oktober veröffentlichten CISA, FBI und DHS eine Warnung vor Angriffen auf das Gesundheitswesen und erwähnten die Trickbot-Malware, die zur Verbreitung der Ryuk-Ransomware eingesetzt wurde. Außerdem richteten sich landesweit geförderte APT-Angriffe gegen Institutionen, die an der Entwicklung von COVID-19-Impfstoffen beteiligt sind.

Das Gesundheitswesen in den USA war das Hauptziel von Cyber-Angreifern. Check Point Research verzeichnete von September bis Oktober einen Anstieg von 71 % und im November und Dezember einen weltweiten Anstieg von über 45 %.

Silberstreifen

Während wir die Sicherheitsbedrohungen des Netzwerks im Jahr 2020 verstehen, ist es auch wichtig, die vielen erfolgreichen Maßnahmen der Strafverfolgungsbehörden – unterstützt von der Cybersicherheit-Community – zur Kenntnis zu nehmen, um zahlreiche Einzelpersonen und Bedrohungsgruppen, die weltweit an Cyberkriminalität beteiligt sind, aufzuspüren und anzuklagen.

Einige Beispiele für erfolgreiche Cyber-Strafverfolgungseinsätze im Jahr 2020 sind:

  • Im Oktober wurde die Trickbot-Infrastruktur, die mit über einer Million infizierten Hosts verbunden war, abgeschaltet.
  • Die EU leitete Ermittlungen zur Einstellung der DisRupTor-Operationen, bei denen 179 Verkäufer illegaler Waren festgenommen und die illegalen Waren von den Strafverfolgungsbehörden beschlagnahmt wurden.
  • Gegen Bedrohungsakteure der APT-Gruppe in Russland und China wurden Haftbefehle erlassen.
  • Von Microsoft geleitete Bemühungen wie die TrickBot-Abschaltung haben auch das Necurs-Botnetz lahmgelegt.
  • Das britische National Cybersicherheit Centre (NCSC) hat mehr als 22.000 URL gelöscht, die mit Betrug im Zusammenhang mit Coronaviren in Zusammenhang stehen.
  • Die Cyber Threat Coalition (CTC), eine globale Allianz für Cyber-Bedrohungen, hat sich zusammengeschlossen, um COVID-19-IoCs zu teilen.
  • Cybersicherheitsforscher finden weiterhin Schwachstellen und legen diese verantwortungsvoll offen.
  • Check Point hat eine RCE-Schwachstelle in der Cloud mit einem höchsten CVE-Risikowert von 10,0 sowie die SigRed-Schwachstelle in Windows-DNS-Servern gefunden und offengelegt.
  • Branchenforscher fanden Fehler in Pulse Secure VPN und F5 Big-IP.
  • Es wurden Fehler in der Malware gefunden, die dabei helfen, die Malware zu beseitigen.
  • Ein Pufferüberlauffehler in Emotet fungierte als Kill-Switch und ermöglichte die Abschaltung für sechs Monate, gefolgt von einer Abschaltung des Emotet-Botnetzes im Januar 2021.

Empfehlungen für mehr Sicherheit

Die Cyberbedrohungen und Netzwerksicherheitsbedenken des Jahres 2020 beschränken sich nicht nur auf das Jahr 2020. Viele dieser Angriffstrends halten an und das Jahr 2021 bringt neue Netzwerksicherheitsprobleme und Innovationen im Bereich der Cyberkriminalität mit sich. Zum Schutz vor der sich entwickelnden Cyber-Bedrohungslandschaft haben wir die folgenden Empfehlungen zusammengestellt:

  • Fokus auf Echtzeitprävention: Die Erkennung und Reaktion auf Vorfälle ist wichtig, aber die Erkennung eines Angriffs, sobald er erfolgt, bedeutet, dass der Schaden möglicherweise bereits angerichtet ist. Durch die Fokussierung auf die Bedrohungsprävention statt auf die Erkennung werden der mit Cyberangriffen verbundene Schaden und die Kosten begrenzt.
  • Sichern Sie alles: Cyberkriminelle greifen die niedrig hängenden Früchte an, was bedeutet, dass sie sich auf die Suche nach einfachen Zielen machen. Unternehmen müssen jeden Aspekt ihrer Angriffsfläche absichern, einschließlich ihres Netzwerks, ihrer Cloud-Infrastruktur, ihrer Benutzer, ihres Endgeräts und ihrer Mobilgeräte.
  • Konsolidieren, um Transparenz zu gewinnen: Eigenständige Cybersicherheitslösungen können ein Problem vielleicht gut lösen, aber ein Durcheinander getrennter Sicherheitslösungen ist für Sicherheitsteams überwältigend und führt zu verpassten Erkennungen. Durch die Vereinheitlichung der Sicherheit werden Teams effizienter und können Angriffe schneller erkennen und darauf reagieren.
  • Wenden Sie Zero-Trust-Paradigmen an: Übermäßige Berechtigungen und Zugriffe machen es zu leicht, dass ein Fehler oder ein kompromittiertes Konto zu einem schwerwiegenden Sicherheitsvorfall wird. Durch die Implementierung von Zero Trust kann ein Unternehmen den Zugriff auf Ressourcen von Fall zu Fall verwalten und so das Cybersicherheitsrisiko minimieren.
  • Halten Sie Bedrohungsinformationen auf dem neuesten Stand: Die Cyber-Bedrohungslandschaft entwickelt sich ständig weiter. Um sich vor den neuesten Cyberbedrohungen zu schützen, benötigen Unternehmen Echtzeitzugriff auf Bedrohungsinformationen .

Um mehr über die größten Netzwerk-Sicherheitsprobleme von heute zu erfahren, lesen Sie den vollständigen Cybersicherheit-Report 2021. Sie können auch gerne einen Sicherheitscheck anfordern, um die Probleme zu identifizieren, die die Sicherheit Ihres Unternehmens gefährden.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK