SDP

Lehren aus dem letzten SWIFT-Angriff auf die malaysische Zentralbank

, München, Safe-T | Autor: Herbert Wieler

Lehren aus dem letzten SWIFT-Angriff auf die malaysische Zentralbank

Netzwerksegmentierung und -isolierung

Cyber-Angriffe auf das SWIFT-Interbank-Überweisungssystem haben die Finanzdienstleistungsbranche weltweit in den letzten zwei Jahren beeinträchtigt. Jetzt wurde erneut ein weiterer schwerer Angriff vereitelt, indem die malaysische Zentralbank einen versuchten betrügerischen Geldtransfer über SWIFT blockiert hatte . Nach dem Alert behauptete die Bank Negara Malaysia, sie habe die nicht autorisierten Geldtransfers, die über betrügerische SWIFT-Nachrichten getätigt wurden, "entdeckt und vereitelt".

Die Botschaft an Finanzinstitute ist klar: Hacker sind überall, sie kennen viele Netzwerke von innen und sie entwickeln ihre Tools und Techniken jeden Tag neu, um ihre Erfolgschancen zu maximieren. Dasselbe sollten potentiell gefährdete Institute mit erweiterten Security Tools tun, um wichtige Netzwerke, Geräte und Dienste zu isolieren. Durch den Aufbau von Software Defined Access Lösungen kann das Netzwerk logisch segmentiert und die Schlüsselressourcen nur bei Bedarf für authentifizierte Benutzer freigegeben werden.

SWIFT – die Society for Worldwide Interbank Financial Telecommunications – ist ein Industriestandard für Banken, Handelshäuser, Wertpapierhändler, Geldvermittler und mehr, um Informationen und Anweisungen sicher über ein standardisiertes Codesystem zu übertragen. Als solches ist SWIFT das Herzstück des Bankennetzwerks und hat sich in den letzten Jahren zu einem der lukrativsten Angriffsziele für Angreifer entwickelt.

Anbei ein kleiner Rückblick auf die erfolgreichsten Angriffe

  • Im Februar 2016 stahlen angeblich nordkoreanische Hacker geschätzte 81 Millionen Dollar von der Bank der Bangladesch Bank bei der New Yorker Federal Reserve Bank. Es hätte aber noch viel schlimmer kommen können ($1 Milliarde), wenn nicht ein Rechtschreibfehler den Verdacht auf die SWIFT-Transfer-Attacke erweckt hätte.
  • Im Juni 2016 sind Hacker mit einer ungenannten ukrainischen Bank, ebenfalls via SWIFT, mit 10 Millionen Dollar nach Hause gegangen.
  • Im Oktober 2017 stahlen Angreifer 60 Millionen US-Dollar von der Far Eastern International Bank in Taiwan, indem sie Malware einschleusten, die wichtige Anmeldeinformationen an das SWIFT-Terminal abgriffen.
  • Im Februar 2018 stahlen Hacker 6 Millionen Dollar von einer ungenannten russischen Bank über das SWIFT-System, indem sie unerlaubten Zugriff auf einen Computer innerhalb der Zielorganisation erhielten.
  • Im selben Monat erlitt die indische City Union Bank einen Verlust von zwei Millionen Dollar, nachdem sie drei nicht genehmigte SWIFT-Überweisungen entdeckt hatte.
  • Ebenfalls im Februar 2018 wurde bekannt, dass die Punjab National Bank möglicherweise Verluste in Höhe von 1,7 Milliarden Dollar aufgrund von betrügerischen Transaktionen erlitten hat , möglicherweise mit Hilfe von Insidern.

Während SWIFT die Vorfälle eingestanden hatte, wurden aber gleichzeitig die Institute beschuldigt, zu wenig für die effektive Cyber-Abwehr getan zu haben. Das mag in einigen Fällen sogar zutreffen, trotzdem werden auch Finanzinstitute kompromittiert, die eigentlich einen sehr hohen Security Level besitzen. Gerade Angreifer, die sich auf das Finanzwesen spezialisiert haben, bestehen überwiegend aus hochmotivierten, technisch gut ausgestatteten und professionell organisierten Gruppen. Dabei nutzen die Angreifer oft die gleichen Pen-Test- und Vulnerability-Scan-Tools, um das Auffinden von Schwachstellen im Netzwerk zu automatisieren und zu beschleunigen.

Besser verstecken als verteidigen

Aus der Historie heraus verfügen viele Organisationen immer noch über veraltete und statische Netzwerk-Designs, die den heutigen, intelligenten und modernen Cyber-Angriffen nicht viel entgegenzusetzen haben. Ach Gartner empfiehlt einen Umbau der Netzwerkarchitektur hin zur Isolierung von Segmenten mit SDP- (Software Defined Perimeters) Lösungen. Anstatt Netzwerke, Daten und Services statisch zu veröffentlichen und darauf entsprechende Sicherheitslösungen aufzusetzen, um Angriffe zu stoppen, besteht die Idee von SDP darin, ganze Netzwerkssegmente und Inhalte zuerst vor dem Internet zu verstecken und zu isolieren. Erst wenn eine Anforderung eines authentifizierten Nutzers besteht, werden die Zugriffe auf die Anwendungen freigegeben. Dies reduziert zunächst massiv die Angriffsfläche einer Organisation. Denn was die Angreifer nicht sehen können, können sie auch nicht angreifen. Diese Tools zur Netzwerkisolierung sind obligatorisch und sind heute so verbreitet wie Firewalls.

Die SDP-Architektur (Software Defined Perimeter) von Safe-T bildet dafür die Grundlage für eine sichere Application Access-Lösung. Unternehmen erhalten über SDP die Möglichkeit, ein On-Demand-Perimeter zu erstellen, mit dem die Authentifizierung und der Zugriff von Benutzern auf Anwendungen und Daten, auf dynamische Weise automatisiert werden kann. SDP bietet zudem einen maximalen Schutz für veröffentlichte Dienste (einschließlich Web, RDP, NTFS, E-Mail und mehr) und unterstützt Protokolle einschließlich HTTP/S, RDH5, WebDAV usw. Mit SDP ist es nicht erforderlich, Client-Software zu installieren oder ein VPN zu verwenden. Benutzer und Partner erhalten trotzdem eine vollständige Secure Remote-Access Suite, um auf die internen Services zugreifen zu können.