Cybersecurity
Review RSA Konferenz 2020: Topthemen der Cybersecurity
Zusammenfassung von Palo Alto Networks
Die RSA-Konferenz 2020, die vor wenigen Tagen in San Francisco stattfand, ist das weltweit größte und angesehenste Treffen von CISOs, Technologie-Experten und Cybersicherheitsspezialisten. Palo Alto Networks fasst übersichtlich zusammen, was die Branche ganz aktuell bewegt und auch in den kommenden Monaten massiv beschäftigen wird.
Fakes und Deep Fakes sind die neuen Schlagworte
Deep Fakes, also gefälschte Videos und Audioaufnahmen, die sehr real herüberkommen, sind ein Thema, das viele Experten interessiert. Jeder kann Software zur Erstellung von Deep Fakes herunterladen, die viele Möglichkeiten für böswillige Aktivitäten bietet. So könnte vorgetäuscht werden, dass ein Politiker vor einer Wahl einen Kommentar angegeben hat, der ihn Stimmen kostet. Eine gefälschte Aufzeichnung eines leitenden Angestellten könnte die Buchhaltung anweisen, eine finanzielle Transaktion auf das Bankkonto eines Kriminellen vorzunehmen. Neue Formen von „Stalkerware“, einer Art von Spyware, verfolgt die Smartphone-Daten der Opfer, um sich ein Bild von ihren Aktivitäten zu machen; dies kann zur Erstellung von gefälschten Videos, Sprachaufnahmen oder schriftlichen Mitteilungen genutzt werden. Die Sicherheitsindustrie arbeitet noch immer an ihrer Antwort auf diese neue Bedrohung.
Smartphones werden bei Überwachungsangriffen eingesetzt
Mit der zunehmenden Nutzung von Banking-Apps und berührungslosen Zahlungen werden Smartphones zur Drehscheibe für Finanztransaktionen. Dies hat zu einer Zunahme von mobilen Überwachungsangriffen geführt, bei denen eine Tracking-Software auf den Telefonen installiert wird, um das Verhalten der Menschen bei der Nutzung von Smartphones zu überwachen. Das Ziel kann auch E-Mail-Betrug in Unternehmen sein, auch als Business Email Compromise bezeichnet. Je mehr ein Angreifer über die Aktivitäten eines Opfers weiß, desto einfacher ist es, das Opfer mit einer Trick-E-Mail dazu zu bewegen, eine Datei mit bösartigem Code herunterzuladen. Die Benutzer müssen sich daher der Gefahren der mobilen Überwachung und der Schritte, die dagegen unternommen werden müssen, stärker bewusst sein.
Ransomware wird immer raffinierter, je mehr Unternehmen Lösegeld zahlen
Es gab bereits viele Beiträge über die Entwicklung von Ransomware und das Katz-und-Maus-Spiel zwischen Angreifern, die nach cleveren Wegen suchen, um die Erkennungsmöglichkeiten zu umgehen, und Verteidigern, die neue Wege suchen, um Angreifer zu stoppen. Anstatt wahllos alle Daten zu verschlüsseln, zielen die Kriminellen auf hochwertige Geschäftsdaten ab, um Lösegeld zu erpressen. Ransomware dürfte sich aktuell in der Mitte, auf dem Höhepunkt ihres Lebenszyklus befinden. Diese Bedrohung wird uns noch viele Jahre lang begleiten, aber irgendwann wird sich das Problem erledigen, wenn die Verteidigung besser wird.
Angriffe auf Lieferketten nehmen zu
Cyberangreifer injizieren Code auf E-Commerce- oder Finanzdienstleistungs-Websites, mit dem sie Daten wie persönliche Angaben der Kunden und Kreditkartendaten stehlen können. Die Zahl der Gegner hat sich bei dieser Art von Angriffen verdoppelt und die Cyberkriminellen haben in letzter Zeit einige Erfolge erzielt. Im Jahr 2019 wurde ein bekanntes britisches Unternehmen wegen eines Angriffs auf die Lieferkette zu einer Rekordstrafe von 241 Millionen US-Dollar verurteilt. Es wurde vermutet, dass der Angriff von der Magecart-Bedrohungsgruppe inszeniert worden war. Andere große Unternehmen haben ähnliche Angriffe erlitten – und weitere Angriffe sind wahrscheinlich. Die Verteidiger müssen daher den Schutz gegen Rogue Code verbessern und stets wachsam sein, damit sie ihn identifizieren und eliminieren können.
DevOps beschleunigt die Softwareentwicklung, erhöht aber die Sicherheitsrisiken
DevOps ist eine angesagte Methode zur Erstellung von Code, die Entwicklung und Betrieb miteinander verbindet, um die Softwareinnovation zu beschleunigen. DevOps steht im Gegensatz zu traditionellen Formen der Softwareentwicklung, die monolithisch und langsam sind, mit endlosen Testschleifen. Stattdessen ist DevOps agil und erfordert viele kleine, iterative Änderungen. Dies erhöht jedoch die Komplexität und eröffnet eine neue Reihe von Sicherheitsproblemen. Mit DevOps können bestehende Sicherheitsschwachstellen vergrößert werden und sich auf neue Weise manifestieren. Die beschleunigte Softwareerstellung kann dazu führen, dass neue Schwachstellen von den Entwicklern unbemerkt geschaffen werden. Die Lösung besteht darin, die Sicherheitsüberwachung von Anfang an in den DevOps-Prozess zu integrieren. Dies erfordert Zusammenarbeit und Vertrauen zwischen dem CISO und dem DevOps-Team.
Emulations- und Köderumgebungen müssen glaubwürdig sein
Große Unternehmen sind bestrebt, „Emulationsumgebungen“ zu schaffen, um unbekannte Bedrohungen aufzuspüren. Diese ahmen glaubwürdige Server und Websites nach, sind aber in Wirklichkeit dazu da, bösartige Akteure anzulocken, um ihr Verhalten zu beobachten und Daten über ihre Methoden zu sammeln. Köderumgebungen funktionieren auf ähnliche Weise. Die Herausforderung besteht darin, Emulationsumgebungen zu schaffen, die gut genug sind, um dem Gegner vorzugaukeln, dass es sich um einen Server oder eine Website aus der realen Geschäftswelt handelt.
Reaktion auf Cloud-Vorfälle erfordert neue Tools und Fähigkeiten für interne Sicherheitsteams
Unternehmen sind es gewohnt, mit Cybersicherheitsvorfällen in ihren eigenen Netzwerken umzugehen. Wenn ihre Daten jedoch in der Cloud gespeichert sind, können Sicherheitsteams hierbei Schwierigkeiten haben. Sie haben keinen vollständigen Zugang zu den Sicherheitsdaten, da diese vom Cloud-Anbieter kontrolliert werden. Daher kann es für sie schwierig sein, zwischen alltäglichen Betriebsereignissen und Sicherheitsvorfällen zu unterscheiden. Bestehende Incident-Response-Teams benötigen neue Fähigkeiten und Tools, um Cloud-Daten forensisch zu untersuchen. Führungskräfte in der Wirtschaft sollten ihre Teams herausfordern, ob sie bereit und in der Lage sind, Sicherheitsangriffe in der Cloud zu verwalten und darauf zu reagieren.
Künstliche Intelligenz und maschinelles Lernen
Neue Technologien wie KI und ML in der Cybersicherheit befinden sich in einem frühen Stadium. Die Angreifer untersuchen, wie Netzwerke ML zur Sicherheitsabwehr nutzen, damit sie herausfinden können, wie sie diese Maßnahmen überwinden können. Sie verfolgen auch, wie KI-Experten versuchen, Bilderkennungssysteme zu täuschen, um ein Huhn oder eine Banane als Mensch zu identifizieren. Dazu müssen sie verstehen, wie die ML-Engine des Systems funktioniert, und dann Wege finden, sie effektiv zu täuschen und die mathematische Modellierung zu überlisten. Angreifer verwenden ähnliche Techniken, um ML-Modelle zu täuschen, die in der Cybersicherheit verwendet werden. KI und ML werden auch dazu verwendet, die Wirkung von Deep Fakes zu verstärken. Sie sammeln und verarbeiten riesige Datenmengen, um ihre Opfer zu verstehen und um herauszufinden, ob ein Deep-Fake-Angriff oder -Betrug erfolgreich sein wird.
Hardware- und Firmware-Angriffe treten wieder auf
Die Besorgnis über Hardware-Schwachstellen wie Spectre und Meltdown wächst. Diese gehören zu einer Familie von Schwachstellen, die 2018 aufgedeckt wurden und die fast jeden Computerchip der letzten 20 Jahre betreffen. Bisher haben noch keine ernsthaften Angriffe stattgefunden. Sicherheitsexperten prognostizieren jedoch, was passieren könnte, wenn ein Hacker in der Lage wäre, solche Schwachstellen in Hard- und Firmware auszunutzen.
Power-User brauchen Schutz
Die Schaffung sicherer Verbindungen für leitende Angestellte und Spitzenkräfte, die auf ihren eigenen Geräten Zugang zu den sensibelsten Unternehmensdaten haben, ist von entscheidender Bedeutung. Moderne Sicherheitstechnologie kann die Schwachstellen begrenzen, aber die Unternehmen müssen trotzdem das Element Mensch berücksichtigen. Je mehr sie das Sicherheitsbewusstsein ihrer Unternehmenskultur fördern, desto besser werden ihre Mitarbeiter darauf vorbereitet sein, nicht auf den falschen Link zu klicken oder böswillige Anhänge zu öffnen.
Die Sicherheitsindustrie ergreift endlich Maßnahmen gegen DNS-Spoofing
IP-Adressen sind die Zahlenfolgen, die Computer in einem Internet-Netzwerk identifizieren. Das Domain-Name-System weist jeder IP-Adresse einen Namen zu, damit sie im Web gefunden werden kann. DNS ist als das „Telefonbuch des Internets“ bekannt. Bösartige Akteure können diese Namen jedoch fälschen und Benutzer auf kompromittierte Websites umleiten, wo sie Gefahr laufen, dass ihnen Daten gestohlen werden. Die Industrie hat endlich damit begonnen, mehr DNS-Informationen zu sammeln, um diese Probleme zu identifizieren und DNS-Spoofing zu verhindern.
