Pressemeldungen

Threat Report von Skybox: Mehr serverseitige Exploits and Angriffe gegen Industrienetze

Threat Report von Skybox: Mehr serverseitige Exploits and Angriffe gegen Industrienetze
Angreifer nutzen die hohe Anzahl an neuen und schwer zu patchenden Schwachstellen aus

San Jose, USA, 07. Februar 2017 —Skybox™ Security, ein Weltmarktführer im Bereich Cybersecurity-Management, veröffentlicht seinen ersten Vulnerability and Threat Trends Report. Der Report beschäftigt sich mit den Schwachstellen, Exploits und Bedrohungen aus dem Jahr 2017 und wurde von den Analysten des Skybox Research Lab erstellt, um Organisationen dabei zu unterstützen, ihre IT-Sicherheitsstrategie mit der derzeitigen Bedrohungslandschaft in Einklang zu bringen.

Ein wichtiger Trend der vergangenen Jahre ist, dass Cyberkriminalität ein lukrativer Markt geworden ist. Ein wesentlicher Bestandteil dieses Ansatzes besteht darin, das Cyberkriminelle den Weg des geringsten Widerstands zu gehen: Anstatt neue Angriffstools zu entwickeln, werden vorhandene genutzt, um möglichst viele Opfer gleichzeitig anzugreifen und „low hanging fruits“ zu ernten, also vermeintlich leichte Opfer ins Visier zu nehmen. Der Report zeigt, dass nun auch jene Assets zu diesen „Früchten“ gehören, die im Allgemeinen besonders schwierig zu patchen sind.

 

Anstieg an Exploits bei serverseitigen Anwendungen

Die überwiegende Mehrheit der Exploits betraf 2017 serverseitige Anwendungen (76 Prozent). Im Vergleich zu 2016 ist dies ist ein Anstieg um 17 Prozentpunkte. Ron Davidson, Chief Technology Officer von Skybox, weist darauf hin, dass der Umgang mit serverseitigen Schwachstellen immer schwieriger sei. Dies liege daran, dass beim Schutz solch höherwertiger Assets mehr berücksichtigt werden müsse als nur die Frage, ob ein Patch verfügbar ist oder nicht. „Von Servern hängen viel mehr Funktionen ab als von Clients“, sagt Davidson, „Unternehmen müssen über die Mittel verfügen, diese serverseitigen Schwachstellen in ihrem Kontext zu verstehen. Dies beinhaltet die Kritikalität der Assets, die umgebende Topologie und Sicherheitskontrollen sowie Informationen zu aktuell ausgenutzten Exploits. Erst dann lassen sich Patches optimal priorisieren und zeitlich einplanen.“

Der Anstieg bei serverseitigen Exploits geht einher mit dem anhaltenden Rückgang von Exploits-Kits für clientseitige Schwachstellen. Lediglich ein Viertel der ausgenutzten Exploits entfiel 2017 auf clientseitige Schwachstellen. Dies ist zum Teil auf das Verschwinden großer Exploit-Kits wie Angler, Neutrino und Nuclear zurückzuführen, für die bislang kein vergleichbarer Ersatz beobachtet werden konnte.

„Das heißt jedoch nicht, dass die Zeiten von Exploit-Kits vorbei sind“, sagte Marina Kidron, Senior Security Analyst und Gruppenleiterin am Skybox Research Lab. „Wenn wir eines über Cyberkriminelle wissen, dann dass sie ständig ihre Taktiken ändern. Daher ist das nächste große Exploit-Kit höchstwahrscheinlich bereits in der Entwicklung. Wir vermuten auch, dass einige Kits nun ausschließlich von ihren Entwicklern genutzt und nicht mehr mit dem Schwarzmarkt geteilt werden, in der Hoffnung deren Existenzdauer zu verlängern.“

Auch die Anzahl an neu veröffentlichten Entwürfen von Exploit-Codes hat sich erhöht, im monatlichen Durchschnitt um ganze 60 Prozent. Diese Entwürfe können mit minimalen oder sogar ohne jegliche Anpassungen von Angreifern in voll funktionsfähige Exploits zum Eigengebrauch umgewandelt werden. Ein Beispiel für ein solches Szenario ist der EternalBlue-Exploit der NSA, der von der als „Shadow Brokers“ bekannten Hackergruppierung veröffentlicht und unter anderem bei den WannaCry- und NotPetya-Angriffen verwendet wurde. Solche Leaks bringen fortschrittliche Angriffswerkzeuge in die Hände von weniger qualifizierten Cyberkriminellen und erweitern die Fähigkeiten einer ohnehin bereits gut ausgestatteten Bedrohungslandschaft.

„Organisationen müssen nicht nur mit aktuell kursierenden Exploits Schritt halten“, sagt Kidron, „sondern auch Schwachstellen berücksichtigen, für die bereits ein Exploit-Code verfügbar ist. Obwohl diese keine unmittelbare Bedrohung darstellen, können sie sehr schnell aktiv ausgenutzt werden. Für diesen Fall benötigen Sicherheitsteams sofort griffbereite Intelligence-Daten, die sie in Handlungen umsetzen können.“

 

In kritische Infrastrukturen fehlt der Einblick ins Netzwerk

Der Report zeigt außerdem, dass im Jahr 2017 die Zahl der neuen Schwachstellen für Operational Technology (OT) im Vergleich zum Vorjahr um 120 Prozent gestiegen ist. OT umfasst Geräte, die physisches Equipment und Prozesse sowohl überwachen als auch verwalten und wird insbesondere in kritischen Infrastrukturen von Energieerzeugern, Versorgungsunternehmen und der verarbeitenden Industrie eingesetzt. Dieser Anstieg der bekannten Schwachstellen ist besonders besorgniserregend, da viele Organisationen entweder unzureichende oder gar keine Einblicke in ihr OT-Netzwerk haben. In der Regel ist ein Scannen des OT-Netzwerks nicht erlaubt, so dass Schwachstellen in diesen Bereichen unzugänglich bleiben.

„Wir tappen bei OT zu oft im Dunkeln und das bedeutet auch, dass das Cyber-Risiko für eine Organisation nicht vollumfänglich erfasst werden kann“, sagt Kidron. „Selbst, wenn Patches für entdeckte Schwachstellen existieren, zögern OT-Ingenieure aus nachvollziehbaren Gründen, das Update zu installieren. Es besteht immer die Gefahr, dass es Dienste stört oder Geräte beschädigt und damit eine Gefahr für Leib und Leben auslöst. Organisationen mit OT-Netzwerken müssen Sicherheitsstrategien in der Schublade haben, die OT-Schwachstellen bewerten und Patches priorisieren. Es geht aber auch darum, diese Prozesse mit denen im IT-Netzwerk zu vereinigen und Risiken dadurch wirklich verstehen und verwalten zu können.“

 

Verdopplung der Zahl an neu entdeckten Schwachstellen im Jahr 2017

Mit über 14.000 neu registrierten CVEs verdoppelte sich im Jahr 2017 die Anzahl der Schwachstellen, die in der Datenbank der US-amerikanischen MITRE Organisation erfasst wurden. Dieser Anstieg ist größtenteils auf organisatorische Verbesserungen bei MITRE und mehr Forschung durch Dritte – darunter ein herstellerfinanziertes Bug-Bounty-Programm – zurückzuführen. Unabhängig davon ist der Anstieg an Schwachstellen für die IT-Teams eine große Herausforderung. „Für alle, die sich 2017 noch auf traditionelle Priorisierungsmethoden wie CVSS-Scores verlassen haben, ist die Tätigkeit zu einer Sisyphos-Arbeit geworden“, sagt Davidson. „Es ist wahrscheinlich, dass die Zahl registrierter Schwachstellen 2018 weiter steigen wird. Organisationen müssen deshalb einen komplett anderen Ansatz für ihr Schwachstellen-Management wählen.“

Skybox empfiehlt hierfür ein Schwachstellen-Management, das sich auf Bedrohungen fokussiert (Threat Centric Vulnerability Management, TCVM), um sich auch zukünftigen Veränderungen in der Bedrohungslandschaft anzupassen. Beim TCVM-Ansatz analysieren Sicherheitsteams die Schwachstellen aus einer übergreifenden Perspektive auf Unternehmen, Netzwerk und Bedrohungen und konzentrieren sich auf diejenige Teilmenge der Schwachstellen, die am wahrscheinlichsten bei einem Angriff ausgenutzt werden.

Um den vollständigen Bericht zu lesen, klicken Sie hier. Erfahren Sie mehr über Skybox TCVM auf skyboxsecurity.com/tcvm.

 

Über das Skybox Research Lab

Das Skybox™ Research Lab ist ein Team von Analysten, die täglich Daten aus Dutzenden von Sicherheitsfeeds und -quellen durchsuchen und Websites im Dark Web untersuchen. Das Research Lab validiert und verbessert diese Daten durch automatisierte ebenso wie händische Analysen. Analysten ergänzen ihr Wissen über Angriffstrends, Ereignisse sowie Taktiken, Angriffstechniken und Vorgehensweisen aktueller Angreifer. Durch kontinuierliche Untersuchungen ermitteln die Experten, welche Schwachstellen aktuell ausgenutzt werden und beispielsweise in Crimeware zum Einsatz kommen, darunter Ransomware, Malware, Exploit-Kits sowie Angriffe, bei denen client- und serverseitige Schwachstellen ausgenutzt werden.

Weitere Informationen zur Methodik des Skybox Research Labs und zu den neuesten Schwachstellen- und Bedrohungsinformationen finden Sie unter http://www.vulnerabilitycenter.com.

 

Über Skybox Security

Skybox™ Security stellt die branchenweit umfassendste Managementplattform für Cybersicherheit bereit, um Sicherheitsherausforderungen in großen und komplexen Netzwerken zu bewältigen. Skybox liefert diejenigen Kontextinformationen, die benötigt werden, um Schwachstellen und anderen Defizite in der IT-Sicherheit großer, komplexer Unternehmensnetzwerken schnell zu identifizierte und zu beheben. Dies schließt auch physische, virtuelle, Multi-Cloud- und OT-Umgebungen mit ein. Die Skybox™ Security Suite integriert mehr als 120 Netzwerk- und Sicherheitstechnologien und schafft so die nötigen Einblicke zur Verbesserung der Effizienz und Effektivität von Schwachstellen- und Threat-Management sowie dem Verwalten von Security Policies.

© 2017 Skybox Security, Inc. Alle Rechte vorbehalten. Skybox Security und das Logo von Skybox Security sind in den USA und/oder anderen Staaten eingetragene Marken oder Marken von Skybox Security, Inc. Alle anderen Marken sind Eigentum ihrer jeweiligen Inhaber. Änderungen an den Produktspezifikationen zu jeder Zeit und ohne Vorankündigung vorbehalten.

 

Pressekontakt
Heike Schubert
OneChocolate
SkyboxGer@onechocolatecomms.de 
+49 89 3888 920 0