Verschlüsselung
Wie Cyber-Angreifer verschlüsselte Tunnel ausnutzen können
Licht in die verschlüsselte Tunnel bringen
Verschlüsselung ist ein zweischneidiges Schwert. Es kann ein mächtiges Security Tool oder eine Waffe sein, je nachdem, wer es kontrolliert. Obwohl Verschlüsselung eine wichtige Sicherheitsmaßnahme für Unternehmen ist, werden Cyber-Angreifer immer geschickter, wenn es darum geht, sich in den von ihr geschaffenen "Tunneln" zu verstecken (beispielsweise VPN). Sobald Angreifer Zugang zu diesen verschlüsselten Autobahnen erhalten, sind sie abgeschirmt und können sich unbemerkt in einem Unternehmen bewegen.
Leider sind sich viele Unternehmen nicht bewusst darüber, dass Cyber-Angreifer diese Tunnel benutzen. Laut einer aktuellen Umfrage, die Dimensional Research unter IT-Sicherheitsverantwortlichen durchgeführt hat, weiß fast ein Viertel (23 %) der Sicherheitsexperten nicht, wie viel von ihrem verschlüsselten Datenverkehr entschlüsselt und überprüft wird. Von außen scheinen diese Tunnel nur alltägliche Geschäftsinformationen zu enthalten, aber sie haben etwas Unheimlicheres an sich. Verschlüsselung bietet einen ausgezeichneten Schutz für Cyberkriminelle, aber Unternehmen werden anfällig, wenn sie sich nicht die Zeit nehmen, ihre verschlüsselten Daten zu überprüfen. Unternehmen sind sich bewusst, dass dies Möglichkeit real ist: Etwa 90 Prozent der CIOs geben an, dass sie bereits von Cyberkriminellen angegriffen wurden oder angegriffen werden sollen, die sich im verschlüsselten Datenverkehr verstecken. Aber was bedeutet das wirklich für Unternehmen?
Ohne den richtigen Einblick in verschlüsselte Tunnel haben Cyber-Angreifer die Möglichkeit, diese auf fünf Arten gegen ein Unternehmen einzusetzen:
Zugriff auf Endpunkte
Unternehmen erstellen virtuelle Netzwerke mit Hilfe von Internet Protocol Security (IPsec) zur Sicherung der Internetkommunikation. Da dadurch oft ein Tunnel von einem entfernten Standort zu einem zentralen Standort entsteht, sind sie ein idealer Einstiegspunkt für Cyberkriminelle, um die Systeme zu erforschen und eine Basis zu schaffen. Diese Art des Angriffs gefährdet in der Regel nur etablierte Netzwerk-Endpunkte, kann aber der Beginn eines ausgefeilten Hacks sein.
Unerkennbare Bewegungen in Netzwerken
Große Unternehmen verbinden sich mit mehreren Büros und Geschäftspartnern über ihr virtuelles Netzwerk, da sie die flexibelste und anpassungsfähigste Option sind. Aber auch für Cyberkriminelle ist dies eine gute Möglichkeit, sich innerhalb eines Netzwerks von Ort zu Ort zu bewegen. Nachdem das ursprüngliche interne System kompromittiert wurde, können Cyberkriminelle diese Tunnel nutzen, um ihre Versuche, auf andere Geräte und Bereiche im Netzwerk zuzugreifen, zu verbergen. Die Tunnel in virtuellen Netzwerken werden selten inspiziert, so dass die Angreifer unentdeckt bleiben.
Privilegierter Zugriff auf Nutzlasten – Die durch Secure Shell (SSH)-Verschlüsselung erstellten Tunnel sind eine Goldmine für Angreifer. SSH-
Schlüssel gewähren Administratoren privilegierten Zugriff auf Anwendungen und Systeme und umgehen die Notwendigkeit manuell eingegebener Authentifizierungsdaten. Dies bedeutet, dass die Tunnel ideal sind, um bösartige Nutzlasten zwischen Dateiservern und Anwendungen zu verschieben, die in gefährdeten SSH-Tunneln nicht erkannt werden.
Abhören & Stehlen Ihrer Daten
Die häufigsten Formen von Tunneln sind geschichtete Sicherheit [Secure Sockets Layer (SSL) und Transport Layer Security (TLS)]. Diese Tunnel bieten eine sichere Verbindung zwischen einem Browser und einem Applikationsserver, um beispielsweise webbasierte Transaktionen wie Zahlungen zu sichern. Angreifer nutzen Man-in-the-Middle-Angriffe, um verschlüsselten Datenverkehr abzuhören und Daten von ihren Opfern zu stehlen. Sie können auch Daten von Opfern stehlen, indem sie Informationen entschlüsseln, die mit dem gestohlenen Schlüssel gesichert wurden.
Einrichtung von Phishing-Websites
Angreifer verwenden oft gestohlene oder kompromittierte Zertifikate, um eine Identität zu ermitteln, der die Browser der Opfer vertrauen – Einrichtung einer Phishing-Website im Internet oder im Intranet eines Unternehmens. Die Opfer greifen auf die bösartige Website zu und glauben, dass sie mit einem vertrauenswürdigen Computer verbunden sind, und tauschen sensible Daten mit den Angreifern aus. Da HTTPS-Sitzungen vertrauenswürdig sind und daher nur selten überprüft werden, können diese Angriffe unentdeckt bleiben.
Vermeidung des ‚Great Escape‘
Mit zunehmender Nutzung von Schlüsseln und Zertifikaten wächst auch die Zahl der Möglichkeiten für Cyberkriminelle – jede Art von verschlüsseltem Tunnel kann bei einem Cyber-Angriff missbraucht werden. In der Regel verwalten Unternehmen Hunderttausende von Schlüsseln und Zertifikaten, die ihnen einen sicheren Zugriff und eine sichere Kommunikation ermöglichen, wobei jeden Tag neue erstellt und widerrufen werden. Tatsächlich gaben zwei Drittel (66 %) der Sicherheitsexperten, die an der RSA-Konferenz 2017 teilnahmen, an, dass ihr Unternehmen plant, den Einsatz von Verschlüsselung zu erhöhen. Dieser dramatische Anstieg wird die Sicherung dieser Tunnel nur erschweren. Einfach ausgedrückt: Unternehmen müssen ihre verschlüsselten Tunnel absichern oder riskieren, sich den Cyber-Angriffen auszusetzen. Die meisten Unternehmen bieten bislang jedoch keine ausreichende Kontrolle über die gesamte Bandbreite von Tunneln, die in ihre Netzwerke ein- und ausgehen.
Fazit
Es ist aber noch nicht alles verloren. Es gibt einen Weg, dieser drängenden Bedrohung zu begegnen. Unternehmen können und müssen zentralisierte Intelligenz und automatisierte Systeme implementieren. Solche Systeme stellen sicher, dass alle Sicherheitstools eine ständig aktualisierte Liste aller relevanten Schlüssel und Zertifikate führen, die sie zur Überprüfung des verschlüsselten Datenverkehrs benötigen. Durch die automatische Erkennung aller von Ihrem Unternehmen generierten Schlüssel und Zertifikate und die Integration dieser Daten in Sicherheitstools können Unternehmen endlich Licht in ihre verschlüsselten Tunnel bringen.
