Zscaler stellt die Ergebnisse seines jährlichen ThreatLabz VPN Risk Reports 2024 vor. Im Rahmen dieser Studie befragte Cybersecurity Insiders über 600 Fachleute aus den Bereichen IT-Sicherheit, IT und Netzwerke.
56 Prozent der teilnehmenden Unternehmen gaben an, im vergangenen Jahr zum Ziel von Cyberangriffen geworden zu sein, die Sicherheitsschwachstellen in VPNs ausnutzten. Diese Vorfälle unterstreichen die Anfälligkeit traditioneller Perimeter-basierter Sicherheit im Unterschied zu einer robusteren Zero Trust-Architektur.
Die Umstellung auf Zero Trust hat nach den jüngsten Sicherheitsverletzungen und kritischen Schwachstellen bei VPNs von zwei großen Unternehmen an Dynamik gewonnen:
- Ivanti (CVE-2023-46805 und CVE-2024-21887) – Remote-Angriffe konnten die Authentifizierung umgehen und Remote-Befehle einspeisen.
- Palo Alto Networks OS-Schwachstelle (CVE-2024-3400) – Nicht authentifizierte User nutzten das Betriebssystem des Sicherheitsanbieters zur Infiltrierung des Netzwerks aus. Infolgedessen erhielt die Schwachstelle den maximalen Schweregrad von 10.
Die Zero Day-Schwachstellen von Ivanti veranlassten die Cybersecurity and Infrastructure Security Agency (CISA) dazu, eine Notfallanweisung für Bundesbehörden herauszugeben, um die Verbindungen mit den kompromittierten VPN-Geräten sofort zu trennen.
Herausforderungen der Sicherheit von VPNs
VPNs ermöglichen den traditionellen Fernzugriff auf Unternehmensnetzwerke, doch das wachsende Ausmaß und die zunehmende Komplexität von Cyber-Angriffen auf diese Netzwerke geben den Sicherheitsteams Anlass zur Sorge. Von den Befragten äußerten sich 91 Prozent besorgt darüber, dass VPN-Schwachstellen Einfallstore in ihre IT-Infrastruktur darstellen könnten, was durch die jüngsten Sicherheitsverletzungen mit veralteter oder nicht gepatchter VPN-Infrastruktur untermauert wird.
„Im vergangenen Jahr haben zahlreiche kritische VPN-Schwachstellen als erfolgreiche Einstiegspunkte für Angriffe auf große Unternehmen und staatliche Einrichtungen gedient“, sagt Deepen Desai, CSO bei Zscaler. „In Anbetracht dieser wiederholten Ergebnisse müssen sich Unternehmen darauf einstellen, dass Bedrohungsakteure zunehmend diese herkömmlichen, dem Internet ausgesetzten Assets wie Appliances und virtuelle Assets ausnutzen werden, deren Kompromittierung es den Angreifern ermöglicht, seitlich durch traditionelle flache Netzwerke zu navigieren. Der Übergang zu einer Zero Trust-Architektur eliminiert die Angriffsflächen von traditionellen VPNs und Firewalls deutlich und trägt zur Durchsetzung konsistenter Sicherheitsmechanismen mit TLS-Inspektion bei. Der Angriffsradius kann mit Hilfe von Segmentierung und Täuschung begrenzt werden und verhindert größeren Schaden von Sicherheitsvorfällen.“
Für Angriffe genutzte VPN-Schwachstellen
Die Studie identifiziert Ransomware-Angriffe (42 Prozent), Malware-Infektionen (35 Prozent) und DDoS-Angriffe (30 Prozent) als die größten Bedrohungsvektoren, die VPN-Schwachstellen ausnutzen. Aus dem Bericht geht außerdem hervor, dass 78 Prozent der befragten Unternehmen planen, in den nächsten zwölf Monaten Zero Trust-Strategien zu implementieren. Darüber hinaus erkennen 62 Prozent der Unternehmen an, dass VPNs den Prinzipien von Zero Trust widersprechen und dass selbst die Bereitstellung von VPNs über die Cloud keine Zero Trust-Architektur darstellt.
Die Ausbreitung stoppen
Von den Unternehmen, die eine Kompromittierung über VPN-Schwachstellen erlebt haben, berichtete die Mehrheit über eine laterale Ausbreitung der Angriffe im Netzwerk und damit einem Versagen der Eindämmung nach Erstinfektion. Um den Radius der Ausbreitung zu minimieren und das Risiko von VPN-Schwachstellen zu mindern, empfiehlt Zscaler die Einführung einer Zero Trust-Architektur, um:
- die Angriffsfläche zu minimieren, indem Anwendungen für das Internet unsichtbar gemacht werden, so dass sie für Angreifer schwerer zu entdecken und anzugreifen sind.
- eine Kompromittierung durch Inline-Überprüfung von Datenverkehr und Inhalten zu verhindern. So können bösartige Aktivitäten erkannt und blockiert und Ressourcen vor unbefugtem Zugriff oder Datenexfiltration geschützt werden.
- Laterale Bewegungen durch Segmentierung und direkte Verbindung der User zu ihren Anwendungen anstelle des Netzwerks zu eliminieren. Dadurch werden die Möglichkeiten eines Angreifers für unbefugten Zugriff und seitliche Ausbreitung eingeschränkt.
(pd/Zscaler)