:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/15/ff15bff08f3786c0748546eeaa5f39af/0115423531.jpeg ""Alles was Sie zu Data Security Posture Management wissen sollten", ein Interview von Oliver Schonschek, Insider Research, mit Sebastian Mehle von Varonis. (Bild: Vogel IT-Medien / Varonis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Proaktiver Schutz vor Schwachstellen wie Log4j Mit Infection Monkey Angriffe auf das Netzwerk simulieren
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die gravierende Sicherheitslücke in der Java-Programmbibliothek Log4j hat deutlich gemacht, wie anfällig Software-Lösungen und damit IT-Systeme für Cyber-Attacken sind. Ob ein Unternehmensnetz vor solchen Schwachstellen und anderen Security-Lücken sicher ist, können IT-Sicherheitsfachleute mithilfe von kostenlosen Open-Source-Werkzeugen wie Infection Monkey überprüfen.
Im Dezember 2021 schrillten bei einem Großteil der Netzwerkadministratoren und IT-Security-Fachleute die Alarmglocken. Denn kurz zuvor wurde bekannt, dass Apache Log4j eine schwerwiegende Sicherheitslücke enthält. Die meisten Java-Anwendungen nutzen diese Programmbibliothek, um Meldungen zu erfassen und zu dokumentieren. Die Schwachstelle erlaubt es Angreifern, solche Protokollmeldungen zu manipulieren. Auf diese Weise können Cyber-Kriminelle oder Hacker, die im Auftrag von staatlichen Einrichtungen handeln, auf den Zielsystemen Schadsoftware platzieren oder von diesen Daten entwenden.
Wie hoch das Gefährdungspotenzial für Unternehmen und öffentliche Einrichtungen bei Bekanntwerden der Sicherheitslücke war, belegen folgende Daten. So enthielten laut Analysen des Threat Lab von Akamai zwei Drittel aller Java-Server eine Log4j-Bibliothek mit der Sicherheitslücke. In fast allen Rechenzentren (91 Prozent), welche die Experten untersuchten, sind Server-Applikationen auf Basis von Java im Einsatz. Fast 40 Prozent dieser Server sind an das Internet angebunden und somit von außen zugänglich, also auch für Angreifer. Erschwerend kommt hinzu, dass auch interne Server ohne Internet-Zugang gefährdet sind. In einigen Fällen übermittelten Systeme, die mit dem Internet verbunden waren, Log-Daten an Java-Anwendungen auf internen Systemen. Dadurch wurden auch diese Server kompromittiert.
Lösung: Sicherheitslücken frühzeitig identifizieren
Mittlerweile haben IT-Sicherheitsorganisationen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Gefährdung der Netzwerke von Unternehmen und Behörden durch die Schwachstelle in Log4j von der höchsten Stufe (Rot) auf Gelb herabgestuft. Der Grund ist, dass viele IT-Abteilungen die Lücke mithilfe von Patches geschlossen haben. Aber das ist kein Grund, sich entspannt zurückzulehnen. Denn es besteht die Gefahr, dass vergleichbare Sicherheitsprobleme auftreten. Der Grund ist, dass Software-Entwickler angesichts des Zeitdrucks, unter dem sie stehen, verstärkt auf vorhandene Frameworks, Bibliotheken und Services von Drittanbietern zurückgreifen. Die Folge ist, dass immer mehr Funktionen einer Software auf Komponenten beruhen, die ein Entwickler nicht auf Sicherheitslücken hin überprüft hat. Deshalb sind ergänzende Maßnahmen erforderlich, um den Schutz von Unternehmensnetzwerken zu optimieren.
Eine Option ist, die Sicherheit des Netzwerks regelmäßig zu überprüfen und mögliche Auswirkungen von Cyber-Angriffen zu analysieren. Dazu sind keine teuren Tools erforderlich. Vielmehr können IT-Fachleute auf kostenfreie Open-Source-Lösungen zurückgreifen, beispielsweise Infection Monkey von Guardicore, einem Unternehmensbereich von Akamai. Infection Monkey ist eine "Breach and Attack Simulation Platform" (BAS). Mit ihr können Anwender Cyber-Angriffe auf ihre IT-Infrastruktur simulieren. Dabei kommen vergleichbare Techniken zum Einsatz, die auch böswillige Angreifer einsetzen. Allerdings entstehen bei den Testattacken keine Schäden.
Elemente von Infection Monkey
Die BAS-Plattform besteht aus zwei Komponenten. Die erste ist ein Monkey Agent. Dies ist eine Software, die das lokale Netzwerk und die IT-Systeme darin auf Schwachstellen hin scannt. Außerdem führt der Agent Angriffsversuche durch. Dabei greift er auf unterschiedliche Verfahren zurück, um Sicherheitslücken zu identifizieren. Der zweite Bestandteil von Infection Monkey ist der Monkey Island Server, ein Web-basierter Command-and-Control-Server (C&C). Er stellt die Benutzeroberfläche bereit und interagiert mit den Monkey Agents. Die Netzwerk- und IT-Sicherheitsspezialisten eines Unternehmens können Agents direkt auf dem Server ausführen oder diese auf Systemen im Netzwerk platzieren. Die Resultate der Angriffsversuche laufen auf dem Server zusammen und werden dort dem Nutzer zugänglich gemacht.
Die Software ist für den Einsatz in unterschiedlichen Umgebungen ausgelegt. Dazu zählen herkömmliche IT-Umgebungen sowie Private Clouds. Die Lösung lässt sich außerdem zur Sicherheitsanalyse von Public Clouds und Container-Umgebungen nutzen, etwa auf Basis von Docker.
Einsatzbeispiel: Log4j
Im Zusammenhang mit Log4j simuliert die Log4Shell-Exploiter-Komponente von Infection Monkey einen Angriff auf nicht gepatchte Versionen des Java-Logging-Frameworks. Als Ziele kommen dabei Services wie Apache Soir, Apache Tomcat und Logstash in Betracht.
Doch selbst dann, wenn keiner dieser Dienste in der IT-Umgebung aktiv ist, kann Infection Monkey von Nutzen sein. Denn damit können IT-Abteilungen prüfen, ob vorhandene IDS/IPS-Lösungen (Intrusion Detection / Intrusion Prevention) oder EDR-Systeme (Endpoint Detection and Response) Attacken erkennen, die auf die Log4j-Schwachstelle abzielen. Solche Sicherheitslösungen sollten bei einem Testangriff mit dem Tool von Akamai Guardicore eine Alarmmeldung generieren.
Die Resultate der simulierten Cyber-Attacken fasst Infection Monkey in einem Bericht zusammen. Dieser enthält unter anderem eine Karte. Sie zeigt, wie sich die Netzwerkinfrastruktur aus Sicht eines Angreifers darstellt, etwa welche Server vorhanden sind, unter welchen Betriebssystemen sie laufen und über welche Verbindungen sie miteinander kommunizieren. Ergänzend dazu zeigt die Software auf, mithilfe welcher Maßnahmen ein Unternehmen erkannte IT-Sicherheitsprobleme beheben kann. Der Nutzer erhält somit nicht nur einen Bericht über den Ist-Zustands des Netzwerks, sondern konkrete Empfehlungen, um Risiken zu beseitigen und den Sicherheitsstatus der IT-Infrastruktur zu optimieren.
Weitere Einsatzfelder
Allerdings beschränkt sich der Einsatz von BAS-Plattformen nicht auf Anwendungsfälle wie Log4j. Mit solchen Lösungen lässt sich eine Reihe weiterer Analysen durchführen. Infection Monkey untersucht beispielsweise, ob eine Zero-Trust-Sicherheitsarchitektur Lücken aufweist. Zu diesem Zweck prüft die Software beispielsweise die Mikrosegmentierung des Netzwerks und untersucht die Infrastruktur auf Daten-Endpoints hin, auf die Nutzer über unverschlüsselte Verbindungen zugreifen können. Solche Endpoints sind beispielsweise HTTP-Server und Elasticsearch-Instanzen.
Eine Segmentierung des Netzwerks, etwa in Bereiche für die Software-Entwicklung und für geschäftskritische Anwendungen, erschwert es Angreifern, sich lateral ("seitwärts") in einem Firmennetzwerk vorzuarbeiten. Außerdem verhindern Segmentierungslösungen wie Akamai Guardicore Segmentation, dass sich Schadsoftware im gesamten Netzwerk verbreiten kann. Cyber-Kriminelle haben beispielsweise die Log4j-Schwachstelle bereits dazu genutzt, um über nicht gepatchte Server-Software Verschlüsselungstrojaner (Ransomware) in Firmennetze einzuschleusen. Eine Aufteilung der Netzwerkstruktur in separate Bereiche begrenzt den Schaden durch solche Attacken auf einzelne Netzwerksegmente.
Ein weiteres Testszenario, das BAS-Lösungen wie Infection Monkey anbieten, ist die Überprüfung der Sicherheitsvorkehrungen auf Endgeräten. Notebooks und PCs sollten in ein tragfähiges Endpoint-Security-Konzept eingebunden werden. Ist das nicht der Fall, steigt die Gefahr, dass sich Angreifer über solche Systeme Zugang zum Unternehmensnetz verschaffen. Vor allem durch den Trend in Richtung Homeoffice und „Work from Anywhere“ werden solche Maßnahmen immer wichtiger. Eine BAS-Plattform kann maßgeblich dazu beitragen, die Risiken zu minimieren, die mit solchen modernen Arbeitsmodellen verbunden sind.
Tipps: Ergänzende Schutzmaßnahmen
Lösungen wie Infection Monkey sind somit für Unternehmen und öffentlichen Einrichtungen ein probates Mittel, um ihre IT-Umgebungen auf Sicherheitslücken hin zu überprüfen. Doch dies ist nur der erste Schritt. Dies gilt umso mehr, als ein zeitnahes Patchen von Schwachstellen wie bei Log4j nicht in jedem Fall möglich ist. Das kann beispielsweise bei Standardanwendungen der Fall sein, bei denen es Aufgabe des Anbieters ist, ein Update bereitzustellen. Wann er dies tut, hängt von ihm ab. Bei Embedded-Systemen wiederum ist es möglicherweise überhaupt nicht möglich, Patches einzuspielen.
Daher empfehlen sich ergänzend zum Einsatz von Infection Monkey weitere Vorkehrungen. Dazu zählt, alle Web-Anwendungen mit einer Web Application Firewall (WAF) abzusichern, etwa mit Kona von Akamai. Die WAF sollte sowohl auf internen als auch externen Servern zum Einsatz kommen. Verdächtige DNS-Payloads (Domain Name Service) lassen sich wiederum mit einer DNS-Firewall identifizieren und abfangen. Um Endgeräte zu schützen, sind Endpoint-Protection-Plattformen (EPP) und Secure Web Gateways erforderlich. Sie verhindern beispielsweise, dass User Schadsoftware auf Notebooks oder PCs herunterladen, etwa durch den Besuch von Web-Sites, die Angreifer mit Malware hinterlegt haben.
Zusätzlich empfiehlt sich der Aufbau einer Zero-Tust-Network-Access-Architektur (ZTNA). Sie begrenzt den Zugriff von Usern auf diejenigen Anwendungen und Daten, die sie für ihre Arbeit benötigen. Außerdem sind diese Applikationen nicht über das öffentliche Internet zugänglich. In Verbindung mit einer Mehrfaktor-Authentifizierung (MFA) ist eine ZTNA-Struktur ein wichtiges Element einer IT-Sicherheitsarchitektur.
Fazit
Cyber-Angriffe, die Schwachstellen wie die in Log4j ausnutzen, werden zur "Normalität". Die Hintermänner solcher Attacken profitieren vom Trend, dass Software-Entwickler verstärkt auf vorgefertigte Bausteine und Programmbibliotheken zurückgreifen. Eine Sicherheitslücke in einer solchen Komponente kann daher eine komplette Anwendung kompromittieren – und die Systeme, auf denen diese eingesetzt wird, vom Endgerät über Netzwerk-Switches bis zu Servern.
Daher sind zwei Dinge unverzichtbar: Unternehmen sollten zum einen regelmäßig und proaktiv den Sicherheitsstatus ihrer Netzwerke und die Wirksamkeit von IT-Security-Maßnahmen überprüfen. Das lässt sich auf einfache und kostensparende Weise mit Plattformen wie Infection Monkey umsetzen. Zum anderen ist es erforderlich, auf Basis der Analyseergebnisse die IT-Sicherheitsarchitektur zu optimieren. Dies erfolgt am besten mit Unterstützung von IT-Security-Spezialisten, die über ein umfassendes Fachwissen verfügen und zudem aufeinander abgestimmte IT-Sicherheitslösungen bereitstellen können.
Über den Autor: Mike Salvatore ist der leitende Entwickler von Infection Monkey, der Open-Source-Plattform von Akamai zur Simulation von Sicherheitsverletzungen und Angriffen. Wenn er nicht gerade an der Verbesserung von Infection Monkey arbeitet, ist er mit dem Security Research Team von Akamai damit beschäftigt, die Sicherheitsforschung voranzutreiben.
(ID:48533709)
:quality(80)/p7i.vogel.de/wcms/40/ca/40ca466213d10355f94e9a08faee1c86/0108734389.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")