Palo Alto Networks gibt Ratschläge zur IT-Sicherheit

Aktuellen Bedrohungstrends besser begegnen

17. Januar 2020, 12:57 Uhr   |  Von Dr. Wilhelm Greiner.

Aktuellen Bedrohungstrends besser begegnen

"Im Deep Web und Dark Web werden die Ransomware-Angriffe voraussichtlich im Jahr 2020 anhalten", so Anna Chung, Principal Researcher bei Unit 42, dem Malware-Analyse-Team von Palo Alto Networks. Zu rechnen sei mit einer wachsenden Zahl von Bedrohungsakteuren, die Ransomware, Ransomware-as-a-Service und Ransomware-Tutorials verkaufen. Vor diesem Hintergrund nennt Chung einige Maßnahmen, mit denen sich Unternehmen gegen die zu erwartenden Bedrohungen wappnen können.

Als wichtigen Angriffsvektor erachtet Anna Chung die vernetzten Geräte des Internets of Things (IoT): "Die Kriminellen werden weiterhin nach neuen Methoden suchen, um mit kompromittierten IoT-Geräten Geld zu verdienen, jenseits von IoT-Botnetzen und IoT-basierten VPNs", sagt die Security-Forscherin. "IoT-Geräte bleiben ein beliebtes Ziel von Hackern, vor allem, weil das Bewusstsein für IoT-Sicherheit nicht so verbreitet ist, wie es sein sollte." Ein Problem dabei: Zu erwarten ist, dass die Anzahl der IoT-Geräte exponentiell weiterwächst, sobald 5G-Mobilfunk zum Mainstream geworden ist.

Eine weitere Risikoquelle ergibt sich laut Chung durch die zunehmende Beliebtheit von Softwarecontainern: "Wir beobachten weiterhin Fälle, in denen die mangelhafte Konfiguration von Containern zum Verlust sensibler Informationen führt und Standardkonfigurationen erhebliche Sicherheitsrisiken für Unternehmen darstellen", so die Expertin. "Fehlkonfigurationen, wie die Verwendung von Standard-Containernamen und Beibehaltung von Standard-Service-Ports, die der Öffentlichkeit zugänglich sind, machen Unternehmen anfällig für gezielte Auskundschaftung." Eine Fehlkonfiguration innerhalb von Cloud-Services könne dabei schwerwiegende Auswirkungen für das Unternehmen haben.

Deshalb ist es laut der Security-Spezialistin wichtig, einen Docker-Daemon niemals ohne einen geeigneten Authentifizierungsmechanismus dem Internet zugänglich zu machen. Generell solle man die Docker Engine standardmäßig nicht dem Internet aussetzen. Als wichtigste Empfehlungen zur Verbesserung der Containersicherheit nennt Chung:

  • Unix-Sockets einbinden: Dadurch lässt sich mit dem Docker-Daemon lokal kommunizieren oder mit SSH eine Verbindung zu einem entfernten Docker-Daemon herstellen.
  • Firewall nutzen: Dabei empfiehlt sich das Whitelisting des eingehenden Datenverkehrs zu einer kleinen Anzahl von Quellen gegen Firewall-Regeln, um eine zusätzliche Sicherheitsebene zu schaffen.
  • Vorsicht vor dem Unbekannten: Docker-Images sollte man niemals aus unbekannten Registries oder unbekannten Benutzernamensräumen heraus erstellen.
  • Always-on-Suchen verwenden: Das IT-Team sollte das System regelmäßig auf unbekannte Container oder Images hin überprüfen.
  • Bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern: Wenn eine neue Schwachstelle in den internen Containerumgebungen aufgedeckt wird, ist es wichtig, sie schnell zu patchen, da Angreifer gerade dabei sein könnten, alle Systeme auszunutzen, auf die sie zugreifen können. Tools, um die Umgebung nach bekannten Schwachstellen durchsuchen und Warnungen vor gefährlichen Konfigurationen auszugeben, können dazu beitragen, die Sicherheit aller Containerkomponenten konsistent und langfristig zu gewährleisten.
  • Integration von Sicherheit in DevOps-Workflows: Dies ermöglicht es Sicherheitsteams, ihre Maßnahmen automatisiert zu skalieren. Entwicklern steht ein großes Potenzial an Ressourcen in der Cloud zur Verfügung - und die Sicherheit muss hier mithalten können.
  • Runtime-Schutz aufrechterhalten: Mit zunehmendem Cloud-Footprint des Unternehmens wird die Fähigkeit, Modellierung und Whitelisting des Anwendungsverhaltens automatisch auszuführen, zu einem leistungsstarken Werkzeug, um Cloud-Workloads vor Angriffen und Kompromittierung zu schützen.

Entwarnung gibt Anna Chung hingegen bei dem derzeit häufig diskutierten Risiko, Angreifer könnten sich künstliche Intelligenz (KI) zunutze machen, um in Unternehmen einzudringen: "Während wir ein gewisses Maß an Cyberangriffsverhalten mittels KI beobachtet haben, wie zum Beispiel die Identitätsimitation durch Deepfaking, befinden wir uns noch in einem sehr frühen Stadium", so die Expertin. "Auf der anderen Seite setzen immer mehr Sicherheitsabteilungen bereits auf KI zur Erkennung und Abschwächung von Bedrohungen."

Generell rät sie zu mehr Automation in der Security-Architektur: "Eine der größten Sicherheitsherausforderungen im heutigen digitalen Zeitalter ist die Tatsache, dass zu viele Geräte und Sicherheitsrichtlinien vorhanden sind, was die Überwachung und Wartung erschwert", sagt Chung. "Die Priorisierung hochautomatisierter Sicherheitslösungen, die mehrere Umgebungen abdecken, wird die Transparenz und Kontrolle über die gesamte Betriebsumgebung erhöhen." Denn eine solche Lösung vereinfache den Management-Prozess, senke die Kosten und schaffe mehr Zeit für die Identifizierung der bestehenden Problembereiche und die Aufstellung zukünftiger Roadmaps.

Zugleich hebt Chung im Einklang mit zahlreichen ihrer Kollegen aus der Security-Fachwelt, die hohe Bedeutung von begleitenden Security-Awareness-Maßnahmen hervor: "Unternehmen und CSOs sollten die Schulung des Sicherheitsbewusstseins für alle Mitarbeiter in den Vordergrund stellen", rät sie. "Dabei sollten sie nicht nur verständlich machen, wie Cyberangriffe auftreten und wie sie sich auf ein Unternehmen als Ganzes auswirken können. Ebenso sollten sie ihre Mitarbeiter auf individueller Ebene über proaktive Schritte informieren, die sie ergreifen können, um Angriffe zu erkennen und zu verhindern." Schon einfache Übungen wie die Durchführung von Phishing-E-Mail-Erkennungstests oder Software-Update-Erinnerungen können laut Chung dazu beitragen, das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen, den täglichen Betrieb sicherer zu machen und die Erfolgsrate von Angriffen zu reduzieren.

Weitere Informationen finden sich unter www.paloaltonetworks.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Vielfältige Awareness-Trainings für mehr Sicherheit
Forescout: IoT-Sicherheit gehört auf den Prüfstand
McAfee erweitert CASB-Lösung für Container-Anwendungen

Verwandte Artikel

Automation

Container

IoT