Hunderte von Beiträgen haben sich in den letzten Monaten mit dem massiven SolarWinds-Hack beschäftigt, der US-Behörden und private Unternehmen auf der ganzen Welt betraf. Es ist unnötig, alle Details wieder aufzuwärmen, aber es gibt einige sehr wertvolle Lektionen, die Unternehmen aus dem Hack lernen können.
NetMotion erläutert den Zusammenhang zwischen der Umsetzung des Zero Trust-Konzepts zur Steigerung der mobilen IT-Sicherheit.
Ansicht von oben
Im Kern handelte es sich um einen Backdoor-Angriff, von dem mindestens 18.000 Kunden von SolarWinds betroffen waren. Die Hacker spielten das lange Spiel und manipulierten sorgfältig und strategisch den Code in der Orion-Software des Unternehmens, einem proprietären Netzwerküberwachungs-Tool. Somit blieb der Angriff viele Monate lang unentdeckt. Nachdem sich der Code langsam und heimtückisch etabliert hatte, konnte er den Hackern eine Hintertür öffnen und ihnen Zugang zu potenziell sensiblen Unternehmens- und Personendaten verschaffen.
In einem Interview von NPR.org sagte der ehemalige Chefsyndikus der National Security Agency (NSA), Glenn Gerstell: „Es ist, als ob Sie eines Morgens aufwachen und plötzlich feststellen, dass ein Einbrecher in den letzten sechs Monaten in Ihrem Haus ein- und ausgegangen ist.“
Es war nicht nur ein Zufall, dass diese Angriffe erfolgreich waren. Experten der Cybersicherheitsfirma FireEye hatten die Gelegenheit, die Malware zu untersuchen und kamen zu dem Schluss, dass die Datendiebstähle methodisch orchestriert und sehr gezielt waren. „Diese Kompromittierungen verbreiten sich nicht von selbst. Jeder der Angriffe erfordert eine akribische Planung und manuelle Interaktion.“
Die Malware wurde so entwickelt, dass sie heimlich arbeitet und sich als normale Aktivität tarnt, so FireEye. Die Schadsoftware war zudem in der Lage, auch forensische und Antiviren-Tools zu identifizieren, die sie bedrohen könnten. Die Zugangsdaten, mit denen die Malware sich innerhalb des Systems bewegte, „war immer anders als die, die für den Fernzugriff verwendet wurden“.
Unauffällige Eindringlinge
Eines der größten Probleme bei langfristigen Hacks wie diesen ist, dass bis zur Entdeckung der Schwachstelle innerhalb des Netzwerks alles wie gewohnt weiterläuft. Dies machte Behörden und mächtige Unternehmen wie Cisco, Intel und Deloitte über einen längeren Zeitraum anfällig für die Exfiltration von Daten.
Der Angriff war zudem weit verbreitet. In den USA waren das Handelsministerium, das Heimatschutzministerium, das Finanzministerium, der U.S. Postal Service, die National Institutes of Health und das Pentagon betroffen. Das Ausmaß dieses Orion-Hacks geht aber weit über die Grenzen der USA hinaus. Zu den weiteren Opfern gehören Regierungsbehörden, Beratungsfirmen, Tech-Unternehmen und Telekommunikationsbetreiber aus Ländern in Europa, Asien und dem Nahen Osten.
Kostspielige Auswirkungen
Einige Schätzungen gehen davon aus, dass sich die Kosten für die Beseitigung des Hacks auf bis zu 100 Milliarden US-Dollar belaufen. Obwohl es immer schwierig sein wird, den tatsächlichen finanziellen Schaden zu berechnen, der durch einen Hack wie diesen verursacht wurde, hat er zweifellos das Vertrauen in die Sicherheit, die oft als selbstverständlich angesehen wird, erschüttert.
Es ist leicht zu sagen, dass die Dinge anders gelaufen wären, wenn dies und jenes gewesen wäre. Es ist aber schlicht nicht bekannt, wie ein anderer Ansatz in diesem speziellen Fall zu einem besseren Ende geführt hätte. Ein altes Sprichwort besagt, dass die Sicherheit nur so stark ist wie ihr schwächstes Glied. Das ist zwar eine vereinfachte Sicht auf die Dinge, kann aber auch in diesem Fall eine wichtige Lehre sein.
Hacker werden sich zwar nie ganz davon abhalten lassen, wertvolle Daten zu stehlen, aber Unternehmen können sicherlich mehr tun, um Cyberangriffe abzuschwächen. Der Darkreading-Journalist Jai Vijayan plädierte in einem seiner Artikel über den SolarWinds-Hack für die Verwendung eines „Airgaps“ und die Segmentierung von Netzwerkressourcen, um den Schaden auf einen einzelnen Teil des Netzwerks zu begrenzen. In ähnlicher Weise schrieb Dave Nyczepir von FedScoop über die Notwendigkeit für Regierungsbehörden, ihre Daten durch die Einführung von Zero-Trust-Technologien zu schützen, die Netzwerkverbindungen effektiv abtrennen.
Vielversprechender Zero-Trust-Ansatz
Zero-Trust ist besonders vielversprechend, vor allem für Unternehmen, die eine große, verteilte Belegschaft versorgen. Zero Trust umfasst Lösungen wie Software Defined Perimeter (SDP) und ist eine relativ neue Art von identitätsbasierten Sicherheitstools, die in erster Linie darauf ausgelegt sind, laterale Bewegungen durch ein Netzwerk zu verhindern. Sie tun dies, indem sie eine temporäre 1:1-Verbindung zu einer bestimmten, vom Benutzer benötigten Ressource herstellen – und nichts weiter.
„Der zusätzliche Vorteil des Zero-Trust-Ansatzes ist, dass diese Tools in ihren Richtlinien und Berechtigungen extrem granular sein können. Dadurch wird es für Hacker viel schwieriger, Identitäten zu fälschen oder gestohlene Zugangsdaten wiederzuverwenden, als dies bei einem herkömmlichen VPN möglich wäre“, meint Thomas Lo Coco, Manager DACH bei Netmotion.
Eines ist klar – Unternehmen jeder Größe brauchen dringend effektivere Tools, die bösartige Akteure aufhalten oder zumindest ausbremsen. Unternehmen können es sich nicht leisten, Mitarbeiter von den Daten und Diensten abzuschneiden, die sie für ihre Arbeit benötigen. Unternehmen können aber auch nicht erwarten, dass ihre Daten sicher sind, wenn sie die Türen offenlassen. Die Einführung intelligenterer Fernzugriffstechnologien, die auf Zero Trust oder sogar auf dem übergeordneten SASE-Framework integrierter Tools basieren, verspricht hier am effektivsten zu sein.
https://www.netmotionsoftware.com/de