Software Defined Access

Wie der Einsatz einer SDP-Lösung den Citrix Hack verhindern hätte können

, München, Safe-T | Autor: Herbert Wieler

Wie der Einsatz einer SDP-Lösung den Citrix Hack verhindern hätte können

Citrix dürfte jedem bekannt sein, ein Software-Riese, der für Desktop-Virtualisierung, Netzwerk- und SaaS-Services verantwortlich ist und in Millionen von Unternehmen auf der ganzen Welt eingesetzt wird. Citrix wird von Fortune-500-Organisationen, dem US-Militär und vielen Regierungsbehörden verwendet.

Am 8. März wurden Benutzer in einem Blogeintrag gewarnt, dass Hacker das Citrix-Netzwerk gefährdet hätten. In einem Beitrag von Citrix CISO Stan Black gestand er, dass das Unternehmen einige Tage zuvor vom FBI informiert worden war, dass sie Opfer eines Cyberangriffs wurden. Es hat den Anschein, dass ausländische Angreifer eine Methode namens Password Spraying verwendeten, die auf schwache Passwörter abzielte, um das Netzwerk zu durchbrechen. Laut Black: "Sobald die Angreifer mit begrenztem Zugang Fuß fassen konnten, arbeiteten sie daran, zusätzliche Sicherheitsschichten zu umgehen."

Bedrohungen für den US-Geheimdienst?

Laut einer unabhängigen Sicherheitsfirma Resecurity, die den Angriff zum ersten Mal entdeckte, scheint es, dass Citrix von einer iranischen Hacking-Gruppe namens IRIDIUM gehackt wurde, die zwischen 6 und 10 TB Geschäftsdokumente gestohlen hätte. Sie sagten, dass Citrix nicht das einzige Ziel der Gruppe wäre – IRIDIUM hatte vor kurzem mehr als 200 Organisationen angegriffen, darunter Regierungsbehörden und andere Tech-Unternehmen.

Weiterhin führte Resecurity an, dass die Angreifer bereits vor etwa 10 Jahren das Netzwerk erfolgreich gehackt hätten und seitdem im Verborgenen lauern würden. Obwohl es so aussieht, als seien keine Kundeninformationen gefährdet worden, bleibt es eine sehr beunruhigende Perspektive, da sowohl das US-Verteidigungsministerium als auch das Militär, Citrix Cloud-Dienste nutzen. Obwohl es noch keinen harten Beweis dafür gibt, wäre es sinnvoll darauf hinzuweisen, dass IRIDIUM möglicherweise viele sensitive Informationen der Regierung abgegriffen haben.

Citrix hat eine fortlaufende forensische Untersuchung des Angriffs eingeleitet, um den Umfang und die möglichen Auswirkungen auf externe Kunden besser zu verstehen. Laut Citrix ist der Vorfall jetzt eingedämmt und weitere Daten wären nicht gefährdet (zumindest wurde darüber nichts mehr veröffentlicht).

SDP wäre eine Antwort auf den unentdeckten Angriff gewesen

Zehn Jahre sind eine lange Zeit, um einen Verstoß nicht zu erkennen. Allerdings war damals das Sicherheitsniveau nicht so weit fortgeschritten wie heute. Der Unternehmensbereich war damals eine statische Entkoppelungseinheit. Der Zugriff wurde auf der Grundlage der Unschuldsvermutung gewährt und Firewalls und Antivirus konnten damals die Mehrzahl der Bedrohungen verhindern. Aber das hat sich schon lange alles geändert.

Die heutigen Infrastrukturen sind weitaus komplexer und dadurch auch leichter verletzlich als in der Vergangenheit. Zudem sind die heutigen Bedrohungen durchdringender und listiger. Angreifer können leichter an traditionellen Sicherheitsmethoden vorbeikommen und in schwache Netzwerke schneller eindringen. Einmal angekommen wird das Aufspüren von horizontalen Angriffen im Netzwerk zudem eine Herausforderung.

Nicht ohne Grund empfiehlt Gartner die Implementierung einer Software Defined Perimeter Lösung . SDP von Safe-T ist ein Cloud-basierte Security-Lösung, bei der ein Zugriff nach Bedarf gewährt wird. Niemand darf zunächst auf Ressourcen und Anwendungen zugreifen, bis diese autorisiert wurden und sich als vertrauenswürdig erwiesen haben. Ressourcen sind praktisch unsichtbar, bis sie von Usern aufgerufen werden, die sich dafür authentifiziert haben.

Im Fall des Citrix-Angriffs, hätte eine SDP Lösung folgendes bewirken können:

  • Verschleierung der internen Services für nicht autorisierte Benutzer und dadurch eine deutliche Verkürzung der Aufklärungsphase des Angriffs.
  • Mit der SDP-Lösung hätten nur authentifizierte Benutzer einen Zugriff auf dedizierte Dienste erhalten und nicht gleich auf das gesamte Netzwerk, auch wenn die Angreifer über tatsächliche Anmeldeinformationen verfügt hätten.
  • Zusätzlich hätte man ein Flag auf verdächtiges Verhalten setzen können, wenn bei der SDP-Lösung ein Werkzeug zur Erkennung von Verhaltensanomalien vorher aktiviert wurde.

Ein per Software definierter Perimeter ist genau das, was Unternehmen benötigen, um sich vor den sich ständig ändernden Bedrohungen schützen zu können. Sicher, für Citrix ist es vielleicht ein bisschen spät, aber es ist vielleicht der perfekte Zeitpunkt um über den Einsatz von SDP nachzudenken.

Whitepaper Download