Kommentar von Vectra zu neusten Cyber-Angriffen
Vectra mahnt zu neuen Sicherheitskonzepten
Vermeintlich russische Cyberattacken auf westliche IT-Infrastrukturen
Am Montag erklärten das US-Heimatschutzministerium, das FBI und das britische National Cyber Security Center, dass mit Unterstützung der russischen Regierung gezielt westliche IT-Infrastrukturen gehackt werden. Ziele der Hacker seien Spionage, der Diebstahl geistigen Eigentums und die Vorbereitung zukünftiger Aktionen.
Gérard Bauer, Vice President EMEA bei Vectra – ein Experte für künstliche Intelligenz im Zusammenhang mit Cyber Security – bewertet den aktuellen Wissensstand kritisch und mahnt zu neuen Sicherheitskonzepten. Er erklärt zu den jüngsten Meldungen über die angeblich russischen Cyberattacken:
„Großbritannien und die USA berichten, dass viele Netzwerke in ihren Ländern massiv kompromittiert seien und dass diese Attacke auf die Initiative Russlands gehen würde. Behauptungen zu solchen Angriffen, die möglicherweise in Vorbereitung auf zukünftige großangelegte Cyberangriffe durchgeführt werden, kommen immer häufiger vor. In diesem Stadium ist es offensichtlich sehr kompliziert, diese Angriffe exakt zu bestätigen und noch schwerer, jemandem zuzuschreiben. Klar ist, dass Unternehmen eine Risikoanalyse durchführen sollten und darüber nachdenken müssen, wie sie ihr Netzwerk zukünftig schützen.
Unternehmen müssen grundlegend umdenken, weil die Art und Weise, wie heute die IT-Sicherheit eingeschätzt wird, grundlegend fehlerhaft ist. Das Konzept des definierten Perimeters funktioniert nicht mehr. Die „Angriffsfläche“ wächst exponentiell mit der zunehmenden Nutzung des Internets der Dinge, dem Trend zu Mobile Computing und BYOD sowie digitalen Lieferketten. Hackern bietet sich somit eine Vielzahl von neuen Zugangspunkten für ihre Angriffe. Die harte Realität ist, dass selbst Unternehmen mit ausreichenden Sicherheitsressourcen anfällig sind, weil jede Verteidigung Mängel aufweist und es den Angreifern fast immer gelingt, ins Netzwerk zu gelangen.
Wir müssen schnell eine „Wir sind schon kompromittiert“-Mentalität annehmen. Ebenso sollten wir Sicherheitsfunktionen aufbauen, die nicht nur bekannte Bedrohungen blockieren, sondern auch intelligent genug sind, um aktive Bedrohungen, die die Verteidigungsmaßnahmen bereits überwunden oder umgangen haben, zu erkennen und darauf zu reagieren. Dies sind Bedrohungen, die bereits auf Netzwerkressourcen zugreifen und sich im Netzwerk festgesetzt haben. Nur dann können wir Angriffen zuvorkommen, und zwar bevor sie zu kritischen Sicherheitsvorfällen werden.
Angesichts der ständigen Zunahme von Angriffen und der ebenfalls zunehmenden Geschwindigkeit können Sicherheitsanalysten nicht in der erforderlichen Größenordnung, Schnelligkeit und Effizienz arbeiten. Künstliche Intelligenz könnte hier zum Einsatz kommen und die Bedrohungssuche automatisieren. Die Fähigkeiten der menschlichen Sicherheitsanalysten werden somit erweitert, was ihnen erlaubt, Prioritäten bei der Reaktion auf reale Bedrohungen zu setzen.
Die Fälle von kompromittierten Routern erfordern auch eine Änderung des Lösungsansatzes. Es ist in der Tat höchste Zeit, die Tür zu schließen – oder zumindest nicht weit offen zu lassen! Keine Software ist perfekt, daher ist es wichtig, mit Software-Updates und -Patches die Netzwerkinfrastruktur auf dem neuesten Stand zu halten. Es muss sichergestellt werden, dass die Managementschnittstellen der Netzwerkausrüstung nicht offen liegen und dass die Standard-Anmeldeinformationen des Administrators geändert werden. Für Geräte am Perimeter mit Internetverbindung ist dies doppelt so wichtig. Obwohl dies als harmloser Ratschlag erscheinen mag, haben die Standardeinstellungen einiger Cisco-Switches im vergangenen Monat mehr als 168.000 Geräte für illegale Remote-Befehle über ein Administrationsprotokoll geöffnet.
Es ist auch möglich, dass die Firmware einiger Systeme nicht robust genug ist. Angreifer mit fortgeschrittenen Kenntnissen und Ressourcen versuchen normalerweise, die zugrundeliegende Firmware der Geräte, auf die sie abzielen, zu kompromittieren. Selbst bei starken Sicherheitskontrollen auf Betriebssystemebene werden einige „Rootkits“ nicht erkannt. Mit den jüngsten Fortschritten bei der auf künstlicher Intelligenz basierenden Erkennung von Bedrohungen können wir jedoch in Echtzeit die symptomatischen Signale infizierter Maschinen und die sehr subtilen Bewegungen der Angreifer, die sich festgesetzt haben, erkennen.“