Vectra AI warnt davor, dass Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI die Angriffsfläche ganz massiv vergrößern. Angemessene Sicherheitsmaßnahmen erfordern detaillierten Einblick in die Fernverbindung von Benutzern zu internen geschäftskritischen Systemen.
Dies ist jedoch rein manuell nicht zu bewältigen. Deshalb ist die Automatisierung der IT-Sicherheit mithilfe von maschinellem Lernen und künstlicher Intelligenz dringender denn je.
In seinem Internet Exposure Dashboard für Deutschland zeigt Shodan auf, dass es derzeit über 5.400 dem Internet ausgesetzte Maschinen gibt, die die Remote-Code-Execution-Schwachstelle „BlueKeep“ in RDP (Remote Desktop Protocol) aufweisen. „Eine Vectra-Studie von 2019 belegte, dass RDP eine große und anfällige Angriffsfläche in vielen Netzwerken schafft. Laut dem Vectra 2019 Spotlight Report on RDP hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen im ersten Halbjahr 2019 erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf“, berichtet Andreas Müller, Director DACH bei Vectra.
Neben steigenden VPN- und VDI-Zugriffen auch unerwartete Zugriffsaktivitäten im Blick behalten
Die erhebliche Ausweitung der Telearbeit lässt sich an der seit Anfang 2020 beobachteten 41%igen Zunahme der Nutzung von Remote-Desktops und 33%igen Zunahme der VPN-Nutzung in Unternehmen ablesen.1 Dies wirft neue Fragen über die Sicherheit der Werkzeuge auf, die Menschen auf der ganzen Welt nutzen, um sich mit wichtigen Arbeitsplatzsystemen und geschäftskritischen Daten zu verbinden. Eine weiterhin deutliche Zunahme des VPN- und VDI-Zugriffs ist hierbei zu erwarten. Unternehmen sehen sich somit innerhalb kurzer Zeit mit einer Ausweitung der Cyberangriffsfläche konfrontiert. Umso wichtiger ist es daher, nach unerwarteten Zugriffsaktivitäten zu suchen. Dies könnte alles sein, vom Trend, dass Benutzer persönliche Cloud-Speicher nutzen, bis hin zu einem Server-Administrator, der Fernzugriffs-Tools einsetzt, um eine direkte Verbindung zu den Systemen herzustellen.
Überwachung der virtuellen Desktop-Infrastruktur (VDI)
Um die steigende Anzahl der Mitarbeiter an entfernten Standorten zu bewältigen, greifen Unternehmen zunehmend auf Cloud-basierte „Desktop as a Service“-VDI-Dienste zurück. Diese verfügen über eine verschlüsselte private Verbindung zurück in das Unternehmensnetzwerk. Mehrere gleichzeitige VDI-Sitzungen können durch zugehörige Kerberos- und NT-LAN-Manager (NTLM)-Authentifizierungssitzungen identifiziert werden und eine Überprüfung auf Anzeichen von kompromittierten Kontoanmeldeinformationen rechtfertigen. Jeglicher VDI-bezogener Verkehr außerhalb der gesicherten privaten Verbindung mit dem Cloud-VDI-Anbieter des Dienstes sollte identifiziert und kontrolliert werden.
Überwachung des Remote-Desktop-Protokolls (RDP)
Microsoft RDP wird von Remote-Clients zur Verbindung mit VDI-Diensten verwendet und ist ein verlockendes Ziel für Angreifer, da es ihnen die volle Kontrolle über die mit dem Netzwerk verbundenen Geräte geben kann. Im Laufe der Jahre sind immer wieder neuen RDP-Schwachstellen hinzugekommen, die eine Remote-Codeausführung und eine Eskalation von Privilegien ermöglichen. Normalerweise sollte RDP nicht dem Internet ausgesetzt sein, und wo VDI-Dienste lokal gehostet werden, sollte dies nur über VPN-Zugriff für entfernte Mitarbeiter geschehen. Einige Unternehmen geben der Bereitstellungsgeschwindigkeit jedoch gegenüber der Sicherheit den Vorrang. Sie stellen ihre RDP-Dienste hinter eine Web Application Firewall (WAF) und machen den Dienst öffentlich zugänglich. Die Exposition von RDP-Diensten gegenüber dem Internet ist normalerweise ein großes Risiko. In diesem Szenario ist es wichtig, dass eingehende RDP-Anforderungen ausschließlich auf die Verbindung mit dem legitimen RDP-Gateway beschränkt sind.
Identifizieren der unbefugten Nutzung von Cloud-Speicher
Die Verwendung von nicht genehmigten Cloud-Speicherdiensten kann zu Problemen bei der Einhaltung von Vorschriften und Richtlinien führen und es erschweren, Datenexfiltration zu erkennen. So ist davon auszugehen, dass für die gemeinsame Nutzung von Informationen verstärkt Cloud-basierte Speicher (OneDrive, Google Drive usw.) anstelle von firmeninternen Dateiservern verwendet werden. Dies bedeutet, dass mehr wertvolle Informationen in einem Cloud-Speicher abgelegt werden könnten, als dies unter gewöhnlichen Umständen der Fall wäre. Die Art und Weise, wie der Remote-Host verbunden ist, wirkt sich auf den Grad der Sichtbarkeit des Cloud-Speichers aus. Bei einer VPN-Verbindung mit geteiltem Tunnel werden nur die DNS-Anforderungen gesehen, die die IP-Adressen des Cloud-Speicherdienstes auflösen. Im Falle eines VPN mit vollem Tunnel wird iSession auch die nachfolgenden Verbindungen zum Cloud-Speicherdienst anzeigen.
Beobachtung von Server Message Block (SMB) mit externem Zugriff
SMB ist ein Protokoll auf Anwendungsebene, das den gemeinsamen Zugriff auf Dateifreigaben, Drucker und serielle Schnittstellen von Geräten in einem Netzwerk ermöglicht. SMB ist ein komplexes Protokoll mit vielen bekannten Schwachstellen, einschließlich EternalBlue, dem Exploit, der die Verbreitung von WannaCry, NotPetya und anderen verheerenden Ransomware-Angriffen ermöglicht. Normalerweise sollten SMB-Dienste nicht dem Internet ausgesetzt sein und nur über einen VPN-Zugang für Remote-Mitarbeiter erfolgen. Jede Exposition von SMB-Diensten geht mit einem erheblichen Datenverlustrisiko einher.
Überprüfung der Sicherheitslage an entfernten Endpunkten
Da die Arbeit an entfernte Standorte verlagert wird, ist es ratsam, sicherzustellen, dass über VPN verbundene Arbeitsplätze richtig konfiguriert sind, um auf die vom Unternehmen verwalteten Dienste wie DNS und NTP zuzugreifen. Wie verhalten sich die Endpunkte, die sich jetzt physisch außerhalb der Kontrolle befinden? Welche Hosts im Netzwerk initiieren zum Beispiel rekursive DNS-Anforderungen an externe DNS-Server? Bei VPN-Verbindungen mit vollem Tunnel wären die DNS-Auflösungen zu nicht firmeneigenen verwalteten DNS-Diensten sichtbar. Bei VPN-Verbindungen mit geteiltem Tunnel würde das DNS lokal aufgelöst und nicht sichtbar sein.
NDR-Plattform reduziert Arbeitsaufwand für Erkennung und Analyse
Versteckt im hohen Traffic-Volumen von Remote-Mitarbeitern, Unternehmensnetzwerken und Cloud-Instanzen gibt es kleine, aber wertvolle Hinweise, die für die Sicherheit relevant sind. „Durch den Einsatz einer automatisierten NDR-Plattform können Sicherheitsteams den mit solchen Erkennungen und Analysen verbundenen Arbeitsaufwand reduzieren und so ihre Effizienz und Effektivität erhöhen, worauf es gerade jetzt umso mehr ankommt“, rät Andreas Müller abschließend.
vectra.ai