Das Asset Management ist eine der schwierigsten Herausforderungen, denen sich IT-Abteilungen stellen müssen. Dank Cloud, IoT und BYOD steigen die Komplexität und die damit verbundenen Sicherheitsherausforderungen stetig, wie Vectra AI berichtet.
In vielen Fällen werden bei der Reaktion auf Vorfälle kompromittierte Assets identifiziert, die in den Inventaren der Anlagenverwaltung als vor Jahren stillgelegt aufgeführt sind. Niemand hat den Server jedoch abgeschaltet, er war immer noch eingeschaltet und angeschlossen, wurde nicht gewartet und wurde schließlich vom Angreifer erfolgreich ausgenutzt.
Selbst wenn Unternehmen über ein perfektes Inventar all ihrer Systeme verfügen, ist es unwahrscheinlich, dass sie genau wissen, welche dieser unzähligen Assets wirklich kritisch sind. Wenn Unternehmen Schwierigkeiten haben, zu verstehen, welche Systeme im Einsatz sind, wie kann man dann erwarten, dass sie angeben, welche davon explizit kritisch sind?
Was genau ist in diesem Zusammenhang mit „kritisch“ gemeint? Handelt es sich um etwas, dessen Daten für Ihr Unternehmen wichtig sind? Diese Definition würde auf so gut wie jedes System in ihrer Umgebung zutreffen.
Datenlecks
„Betrachten Sie einmal sämtliche Datenlecks, die im Laufe der Jahre allein durch den Verlust von Laptops entstanden sind“, rät Andreas Müller, Director DACH bei Vectra AI. „Wurden diese Systeme als kritisch eingestuft? Oder war das „nur ein weiterer Laptop“, den jemand mit nach Hause nahm, um nach dem Ende einer langen Woche seine Arbeit fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung aufgestellt, mit sensiblen Daten geladen und dann im Netzwerk gelassen und vergessen wird?“
Wenn Unternehmen denken, dass ihre Kernnetzwerkinfrastruktur einen Großteil der kritischen Geräte unterstützt, dann ist der Bericht von FireEye vom März 2020 über APT41 eine Pflichtlektüre. Der Bericht zeigt auf, wie APT41 die Cisco-Routing-Infrastruktur eines Unternehmens aktiv ausnutzt. Wenn Unternehmen das Routing des Datenverkehrs kontrollieren können, sind sie in der Lage, Zugriff auf alle Daten zu erhalten, die ein Gerät durchlaufen, ohne den kritischen Endpunkt zu gefährden.
IoT- und nicht-kritische Assets werden immer wieder von APTs (Advanced Persistent Threats), also fortgeschrittenen, hartnäckigen Bedrohungen ausgenutzt. Das beste Beispiel hierfür ist APT28, auch bekannt als Fancy Bear oder Strontium. Verschiedene Artikel beschreiben ausführlich einen von Microsoft veröffentlichten Bericht hierzu.
Bandbreite an IoT-Geräten
Eine wichtige Sache, auf die man sich nach Meinung von Vectra AI konzentrieren sollte, ist die Bandbreite an IoT-Geräten, die APT28 nutzt, um den Angriff durchzuführen. Hierzu zählen VoIP-Telefone, Drucker und Videodecoder. Dies offenbart den Wunsch der Cyberkriminellen, IoT-Geräte in einem organisierten Angriff auf breiterer Basis einzusetzen. Es zeigt, dass sich die Angreifer wenig darum kümmern, was nach Definition des Unternehmens „kritisch“ ist, sondern sich stattdessen darauf konzentrieren, alles zu nutzen, was es ihnen ermöglicht, ihre Ziele zu erreichen.
Der letzte Punkt ist folgender: Netzwerkverteidiger sollten nicht gezwungen sein, willkürliche Entscheidungen auf der Grundlage unvollkommener Informationen darüber zu treffen, welche Assets sie mit den verfügbaren Sicherheitskapazitäten verteidigen werden und welche nicht.
„Sicherheitslösungen sollten Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Zwänge und mit hoher Zuversicht frühzeitig zu erkennen, unabhängig davon, wo die Angreifer operieren wollen. Schließlich geht es darum, Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige ausgewählte Endpunkte. Sie sollten eine Lösung haben, die dieses Ziel unterstützt“, fasst Andreas Müller abschließend zusammen.
www.vectra.ai