Um die Verbreitung von COVID-19 einzudämmen, müssen derzeit viele Arbeitnehmer, wenn möglich, im Home-Office arbeiten. Diese plötzliche Verlagerung von Mitarbeitern vom Büro im Unternehmen an einen entfernten Standort führt zu einer Verlagerung der internen Bewegung des Netzwerkverkehrs.
Das Ergebnis wird eine Veränderung der internen Netzwerkverkehrsmuster sein, in denen Angreifer ihre eigene Kommunikation verstecken könnten. Zum Beispiel verzeichneten die Microsoft-Teams am 11. März insgesamt 32 Millionen täglich aktive Benutzer. Allein bis zum 18. März stieg diese Zahl um 12 Millionen auf 44 Millionen täglich aktive Benutzer an. Worauf müssen Sicherheitsverantwortliche nun achten?
Vectra AI analysiert und schützt seit Jahren mit einer AI-basierten Sicherheitsplattform die Netzwerke von Unternehmen weltweit. Andreas Müller, Director der DACH-Region bei Vectra, erläutert, welche 8 Aspekte gegenwärtig vor allem berücksichtigt werden müssen:
1. Web-Konferenzen
Remote-Mitarbeiter müssen weiterhin mit ihren Kollegen, Kunden und Partnern verbunden sein, aber ohne persönliche Kommunikation. Daher ist zu erwarten, dass der Einsatz von Webkonferenz- und Instant-Messaging-Software zunehmen wird. Diese Nutzung wird nicht nur die Peer-to-Peer-
Beispielsweise können Microsoft-Nutzerteams entweder anhand des verwendeten IP-Bereichs 52.112.0.0.0/14 oder nach dem primär verwendeten Protokoll und den Ports UDP 3478 bis 3481 und TCP 80 und 443 leicht identifiziert werden. Durch die Nutzung dieser Informationen kann die Überwachung mit minimalen Auswirkungen auf den normalen Betrieb angepasst werden.
Webkonferenz-Software ist eine in den meisten Unternehmen häufig genutzte Anwendung, die die Fähigkeit besitzt, das System eines anderen Benutzers zu steuern. Aus diesem Grund gibt es bekannte Angriffe, die vorhandene Webkonferenz-Software für böswillige Zwecke ausnutzen. Der vermehrte Einsatz solcher Anwendungen kann diese Angriffe verschleiern. Was normalerweise nur gelegentlich vorkommt, ist nun häufig der Fall. Es wird eine mühsame Aufgabe sein, alle legitimen Aktivitäten von Angriffen zu unterscheiden. Eine strenge Richtlinie darüber, welche Anwendungen autorisiert sind und welche Funktionen verwendet werden können, wird dem Sicherheitsteam sehr helfen.
2. Exfiltration
Unter Exfiltration von Daten versteht man Daten, die sich von innerhalb einer Unternehmen zu einem externen Ziel bewegen. Das ist jedoch auch das gleiche Verkehrsmuster von Web-Kommunikationssoftware, wenn Benutzer Dateien austauschen und Videos senden. Mehr Daten, die das Netzwerk verlassen, bedeuten, dass herkömmliche schwellenwertbasierte Warnmeldungen weniger nützlich sein werden. Sicherheitsoperationen müssen sich darauf einstellen, die Daten zu finden, die sich durch ihr Netzwerk bewegen und die autorisiert sind, um die Bewegung von nicht autorisierten Daten zu verstehen.
3. Software für Fernzugriff
Ein weiterer erwarteter Wachstumsbereich wird der Einsatz von Fernzugriffstools wie TeamViewer für den Zugriff auf interne Ressourcen sein. Dies wird insbesondere dann der Fall sein, wenn das Firmen-VPN als alternatives Mittel zur Verwaltung interner Ressourcen den Datenverkehr für das gesamte Unternehmen abwickeln soll.
Genauso wie ein Administrator eine Fernzugriffssoftware zur Verwaltung eines Servers verwenden würde, möchte ein Angreifer im Rahmen seines Angriffslebenszyklus regelmäßig auf diese internen Systeme zugreifen und sie verwalten. Von der Konzeption her bieten Fernzugriffstools die Möglichkeit, sowohl die Rechner als auch die Server anderer Benutzer zu kontrollieren, was ebenfalls das Ziel eines Angreifers ist. Die beliebteren Tools nutzen die externen Server des Anbieters als Relais (LogMeIn, TeamViewer) zwischen dem Benutzer, der Zugriff beantragt, und dem zu verwaltenden System. Dadurch werden diese Tools leichter identifizierbar, da sie aus einem bekannten Adressraum heraus auftreten, erschweren aber die Identifizierung der Quelle der Aktivität. Das Verständnis dieser Kompromittierungen und der Aufbau einer starken Richtlinie für autorisierte Fernzugriffssoftware kann Sicherheitsanalysten helfen, indem sie weniger Rauschen durch ihre Überwachungstools erzeugen.
Zusätzlich zu den Fernzugriffstools von Drittanbietern bietet Windows von Haus aus eine Fernzugriffsfunktionalität, die es einem Benutzer ermöglicht, direkt auf interne Geräte zuzugreifen, die normalerweise eingeschränkt wären, jetzt aber einen Fernzugriff erfordern, damit ein Administrator aus der Ferne arbeiten kann. Beispielsweise könnte ein Jump-Server dem Microsoft Remote Desktop Protocol (RDP) den Zugriff auf bestimmte Systeme für einen privilegierten Benutzer ermöglichen. Aufgrund der Vielseitigkeit dieser Tools empfiehlt Vectra, die Überwachung so spezifisch wie möglich zu gestalten.
4. Command & Control
Die zunehmende Verbreitung kommerzieller Fernzugriffssoftware stellt eine Herausforderung für Sicherheitsteams dar. Wie bei Webkonferenzen ist es eine Herausforderung, das übliche Verhalten im Zusammenhang mit Fernzugriffssoftware oder das Senden von Daten über verschlüsselte Kanäle und externen Fernzugriff bei böswilligen Absichten einzuschränken.
Bei Sicherheitsoperationen ist auch mit verdächtigem Relay-Verhalten zu rechnen, das auftritt, wenn ein Benutzer einen Jump-Server oder ein Relay für den Remote-Desktop-Zugriff auf einem bestimmten Host verwendet. Ein Sicherheitsanalyst sollte den Quell-Host als für diese Aktion autorisiert verfolgen und überwachen.