:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kampf den kriminellen Strukturen in der Cloud DNS Security & Threat Intelligence kombiniert
DDoS-Angriffe können mithilfe der unternehmenseigenen DNS-Infrastruktur stattfinden – und sind im Prinzip recht einfach umzusetzen. Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt. Mit einer Kombination aus Threat Intelligence und DNS Security kann man jedoch auch bei dieser veränderten Bedrohungslage für mehr Sicherheit im Netzwerk sorgen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Anfang 2016 lag die Webseite der britischen Bank HSBC lahm: für ganze 48 Stunden konnten die Bankkunden nicht auf ihre Online-Accounts zugreifen. Ein Fiasko, ausgerechnet zwei Tage bevor die Abgabefrist für die Steuererklärung ablief. Dahinter steckte ein spektakulärer DDos-Angriff (Distributed Denial of Service). Dabei wird ein Server von vielen verschiedenen Adressen im Netz aus innerhalb kürzester Zeit mit sinnlosen Anfragen überhäuft, bis er zusammenbricht.
DDos-Angriffe häufen sich in letzter Zeit und werden in Methodik und Machart zunehmend raffinierter. So wurde kürzlich die Website eines Journalisten von einem Botnetz bombardiert. Womöglich ein Racheakt, denn der Journalist hatte zuvor einen Artikel über DDoS-Dealer im Darknet geschrieben. Das Besondere an diesem Angriff: das riesige Botnetz bestand aus gekaperten, vernetzten Haushaltsgeräten, wie Routern, Überwachungskameras und digitalen Videorekordern. Außerdem war dieser Angriff weitaus größer als bisher entdeckte DDoS-Angriffe, und das ohne „Amplifizierung“. Ein Angriff mit Potenzial, denn das stetig wachsende Internet der Dinge ist kaum gegen Hackerangriffe gesichert und lässt sich daher leicht von außen infizieren und missbrauchen, ohne dass es die Besitzer merken.
Angriffe über das Domain Name System (DNS)
Doch wie funktionieren DDoS-Angriffe? DDoS-Angriffe können mithilfe der unternehmenseigenen DNS-Infrastruktur stattfinden – und sind im Prinzip recht einfach umzusetzen. So versenden Angreifer Anfragen an Name-Server im Internet, die wiederum Antworten zurücksenden. Dafür verwenden sie selbstverständlich nicht ihre eigene IP-Adresse, sondern die ihres Ziels. Da DNS-Anfragen verbindungslos über UDP (User Datagram Protocol) gesendet werden, sind sie sehr leicht zu fälschen. Bildlich gesprochen: Den Absender einer DNS-Anfrage zu verschleiern, ist ebenso einfach, wie einen falschen Absender auf eine Postkarte zu schreiben.
Diese Vorgehensweise lohnt sich allerdings kaum, wenn lediglich eine einzelne Anfrage verschickt wird – denn das würde noch lange nicht ausreichen, um ein Ziel tatsächlich zu überlasten. Möchte der Angreifer wirklich großen Schaden anrichten, muss er sein Sendevolumen vergrößern, damit auch ein entsprechend großes Antwortvolumen zurückkommt. Dieses Antwortvolumen kann man mit Hilfe von Amplifizierung noch erheblich erhöhen. Das DNS ist von Natur aus speziell über Amplifizierung angreifbar. Bezogen auf das Beispiel von oben, hätte die ohnehin massive Attacke mit Hilfe einer DNS-Amplifizierung um das 10 bis 40-fache größer sein können.
Die kriminelle Cloud
Auch Hacker und Botnetz-Betreiber nutzen heutzutage die Vorzüge von Cloud Computing. Denn die Cloud bietet vielfältige Möglichkeiten, kriminellen Machenschaften zu beschleunigen und zu verdecken. Genau wie in jeder anderen Organisation auch, gibt es in kriminellen Organisationen verschiedene Rollen, die zusammenspielen, um erfolgreiche Attacken durchzuführen:
Der Administrator der kriminellen Organisation setzt eine Cloud-Umgebung auf und verwaltet diese, um die Spuren der Cybergang zu verwischen. Ein Programmierer oder Entwickler arbeitet daran, neue Malware maßgeschneidert für Sicherheitslücken und Schwachstellen herkömmlicher Systeme zu erstellen. Anschließend wird die Schadsoftware über Spam, Downloads oder Drive-by-Infektion verbreitet. Die Kontrollzentrale des Botnetzes verwaltet infizierte Geräte und nutzt diese für weitere Maßnahmen. Der Bot-Herder schließlich steuert und koordiniert eine große Anzahl von infizierten Computern und nutzt sie zur Infizierung weiterer Geräte, um einen Advanced Persistent Threat zu verschleiern, oder um eine DDoS-Attacke durchzuführen. All diese Rollen bewegen sich in einem virtuellen Raum, der kriminellen Cloud.
Die Kommunikation der verschiedenen Verantwortlichen innerhalb der Cybergang funktioniert über das Domain Name System. Über das DNS erreichen die Cyberkriminellen ihre Opfer und infizieren diese, daneben werden auch neue Angriffsziele über das DNS identifiziert.
Zunahme von DDos-Angriffen über die Cloud
Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt – ein massiver Anstieg innerhalb der letzten sechs Monate. Über zwei Wege verschaffen sich DDoS-Angreifer Zugang zu den Ressourcen der Cloud: Die klassische Vorgehensweise ist es, Botnetze aus gehackten Privatrechnern oder Firmen-Servern in der Cloud aufzubauen. Die zweite Möglichkeit besteht darin, unter falschem Namen und mit gestohlenen Kreditkartendaten Serverkapazitäten in der Cloud anzumieten.
Anbieter wie AWS, Microsoft Azure und Google Cloud bieten günstige Rechenleistung und eine schnelle Verbindung. Auf dem Schwarzmarkt und im Darknet erhält man gehackte Kreditkartendaten mit Name, Datum und Rechnungsadresse in den USA für nur wenige Dollar. Mittels eines vorgefertigten Scripts gelingt es den Kriminellen dann, den Server innerhalb von Minuten in einen Bot zu verwandeln.
Schwachpunkt Open DNS Resolver
Open DNS Resolver werden von kriminellen Organisationen genutzt, um ihre Opfer zu attackieren. In den meisten Unternehmensumgebungen befinden sich die DNS Resolver im internen Netzwerk und dienen zur Unterstützung rekursiver DNS-Abfragen für interne Hosts.
Jedoch sind die heutigen Netze meist nicht eindeutig nach außen abgegrenzt, um sämtliche Ressourcen sicher innerhalb der IT-Umgebung anzusiedeln und durch eine Firewall zu schützen. Moderne Netzwerke öffnen sich zunehmend nach außen, sodass mobile Mitarbeiter im Home Office, Partner und Kunden die Dienste im Rechenzentrum erreichen können. Cloud-basierte Dienste stellen zudem Dienstleistungen virtuell bereit, die traditionell auf den Unternehmens-Servern gehostet wurden. Daher bedarf es spezieller Sicherheitsmechanismen, um moderne Netzwerke abzusichern.
Was ist ein Open DNS bzw. rekursiver DNS Resolver?
Unter einem Open DNS Resolver bzw. einem rekursiver DNS Resolver versteht man eine Art Übersetzer, der auf Anfrage von Computern eine URL-Adresse, z.B. http://www.ip-insider.de/ in eine IP-Adresse übersetzt. Einen solchen Name-Server benötigt jeder Rechner, um im Internet kommunizieren zu können. Ein Open DNS Resolver bietet diesen Dienst in nicht nur den Computern bzw. Geräten im eigenen Netzwerk an, sondern ist auch von außerhalb des eigenen Netzwerkes zugänglich. Ein Open DNS Resolver kann u.a. eine installierte Software, Firewall oder auch der Router sein.
Grundsätzlich stellt dies kein Problem dar, dennoch lässt sich diese Funktion auch problemlos für kriminelle Zwecke nutzen. Wie bei dem Schneeballsystem können sich Open DNS Resolver bei einem DDoS-Angriff miteinander verbinden und somit sehr große Datenmenge erzeugen (Amplifizierung). Diese Datenmengen zwingen ihre Opfer in die Knie und verschleiern zudem die Quelle des Angreifers.
Viele Unternehmen wissen nicht, wie groß ihre reguläre Anfragemenge ist. So merken sie auch nicht, wenn der Normalfall deutlich überschritten wird und sie angegriffen werden. Dafür gibt es die DNS-Software BIND, mit der diesbezügliche Statistiken abgerufen werden können. Administratoren können damit genau analysieren, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden – und auch ungewöhnliche Ausschläge erkennen, die durch einen DDoS-Angriff hervorgerufen wurden.
Für autoritative Name-Server gibt es das so genannte Response Rate Limiting (RRL), das in die BIND Name-Server integriert ist. Dieses macht es Angreifern schwer, Anfragen zu verstärken, denn die Anzahl der Antworten, die an eine einzige IP-Adresse geschickt werden, wird gedeckelt.
Kombination aus Threat Intelligence und DNS Security für mehr Sicherheit
Threat Intelligence bietet Analysetools, die Daten sammeln, korrelieren und auswerten, frühzeitig warnen und Erkenntnisse liefern, die zur Reduzierung von Risiken verwertet werden können. Daten werden nach Kriterien untersucht, die durch ihre Umgebung und ihre kritischen Datenressourcen vorgegeben sind. Auf Basis dieser Analyse wird eine Prognose zu wahrscheinlichen Bedrohungsszenarien erstellt, sodass Unternehmen proaktiv reagieren, Sicherheitslücken beseitigen und ihr Sicherheitskonzept anpassen können.
Threat Intelligence ist ein erprobtes Werkzeug, um den nächsten Schachzug von Cyberkriminellen zu identifizieren, diesen abzuschwächen, zu unterbinden und ggf. sogar vorauszusagen. Threat-Intelligence-Dienste alleine können zwar proaktiv vor Bedrohungen warnen, diese Warnungen aber nicht in entsprechende Maßnahmen übersetzen. Überwachungssysteme warnen vor bösartigen Aktivitäten innerhalb eines Netzwerks, geben aber keinen Hinweis, wie infizierte Geräte, Anwenderinformationen und andere Metadaten gefunden und bereinigt werden können.
Hier empfiehlt es sich auf die Zusammenarbeit verschiedener Hersteller und auf die Kombination aus Threat Intelligence, Netzwerk-Kontextdaten sowie DNS Security zu setzen, um das Unternehmensnetzwerk richtig abzusichern. So bekommen Kunden kontextsensitive Sicherheitsinformationen und zwar auf Basis realer Daten aus der eigenen IT-Infrastruktur des Unternehmens. So lassen sich Entscheidungen rund um das Thema Sicherheit viel besser und informierter treffen. Vorteil ist auch: Die Security-Architektur bleibt bestehen und wird durch DNS-Security und Threat Intelligence effizienter, genauer und effektiver.
Die Vorteile von Cloud Computing wie Flexibilität, Skalierbarkeit, Kostenersparnis und Komplexitätsreduktion überzeugen nicht nur Unternehmen, sondern auch Kriminelle. Doch gleichzeitig gibt es noch zahlreiche Schwachstellen, da viele Schnittstellen benutzt werden, die Daten auf verschiedene Server und Anbieter verteilt sind und es eine Vielzahl von Angriffspunkten gibt. Daher gilt es, Sicherheitsmaßnahmen sorgfältig aufeinander abzustimmen, um auch im virtuellen Raum für Sicherheit zu sorgen.
Über die Autorin
Claudia Johnson ist Senior Pre-Sales Security Specialist bei Infoblox EMEA.
(ID:44336791)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940457/original.jpg "Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen. (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934607/original.jpg "Die topDNS-Initiative hat das Ziel, wirkungsvolle Maßnahmen zur Bekämpfung von DNS-Missbrauch zu etablieren. (eco – Verband der Internetwirtschaft)")