In den letzten Tagen und Wochen mussten sich Cybersicherheitsteams auf neue Realitäten einstellen: Innerhalb kürzester Zeit erreichte der Anteil an Homeoffice-Nutzern je nach Branche einen enormen Anteil, teilweise an die 100 Prozent. In Zeiten wie diesen treten bewährte Sicherheitsverfahren oft hinter die Anforderungen einer Geschäftskontinuität zurück. Und so stehen viele Sicherheitsverantwortliche vor der Herausforderung, statt wie bislang eine vorwiegend „interne“ IT-Landschaft zu managen, neue Bedrohungen an Arbeitsplätzen ohne definierte Grenzen zu bekämpfen.
Unser Incident Response-Team hilft unseren Kunden jeden Tag bei der Reaktion auf Sicherheitsvorfälle. In den letzten Wochen haben sie festgestellt, dass sich die Muster von Angriffen und Warnmeldungen ändern, wenn Mitarbeiter auf VPN-Verbindungen umsteigen und sich auf Cloud-basierte Anwendungen und Daten verlassen. Basierend auf diesen Erfahrungen haben wir die fünf größten Bedrohungen für die Remote-Arbeit zusammengestellt, denen unser Team seit Beginn der COVID-19-Pandemie begegnet ist.
Da so viele Menschen nun von zu Hause aus arbeiten, haben Angreifer nun eine größere Oberfläche, um einen Brute-Force-Angriff über das VPN durchzuführen. ZDNet berichtet von einem 33-prozentigen Anstieg der VPN-Verbindungen von Unternehmen in den letzten zwei Wochen, was bedeutet, dass Angreifer jetzt über eine Million brandneue Ziele ausnutzen können, die seit Anfang 2020 online gegangen sind.
Brute-Force-Angriffe machen rund 45 Prozent der Untersuchungen des IR-Teams von Varonis aus, und die meisten davon sind VPN- oder Active Directory-Authentifizierungsangriffe. Wir haben gesehen, dass Unternehmen die eingebauten Sperren und andere Einschränkungen der VPN-Konnektivität deaktivieren, um die Geschäftskontinuität aufrechtzuerhalten oder den IT-Aufwand zu reduzieren. Dies bedeutet, dass dieser Angriff eine überaus praktikable Option für Infiltrationen darstellt. Angreifer führen einen VPN-Brute-Force-Angriff durch, indem sie ein VPN-Portal ins Visier nehmen und es mit vielen Authentifizierungsversuchen unter Verwendung von vorab gesammelten Listen von Anmeldeinformationen „sprengen“ (Credential Stuffing). Wenn eine dieser Benutzername/Passwort-Kombinationen funktioniert, erhält der Angreifer Zugriff. Nicht nur das: Wenn das Ziel Single Sign-On (SSO) verwendet, verfügt dieser Angreifer auch über eine gültige Domänenanmeldung. Sehr schnell hat der Angreifer das Netzwerk infiltriert, kann mit der Domänenanmeldung eine Aufklärung beginnen und versuchen, die Privilegien zu erweitern.
Varonis verfügt über eine Vielzahl von integrierten Bedrohungsmodellen zur Erkennung von anormalem Authentifizierungsverhalten (Credential Stuffing, Password Spraying, Brute Force) in Ihrem VPN oder Active Directory. Dabei beziehen sie unterschiedlichste Quellen mit ein: So wird die VPN-Aktivität mit Informationen angereichert und analysiert, die wir aus dem Active Directory, Web-Proxies und Datenspeichern wie SharePoint oder OneDrive sammeln.
Sicherheitsverantwortliche können auch einen schnellen Einblick in kontextreiche VPN-Aktivitäten (nicht Rohprotokolle) mit einer Bibliothek gespeicherter Suchvorgänge erhalten, die für Berichte oder die Suche nach Bedrohungen verwendet werden können:
Hunderte von fehlgeschlagenen Anmeldeversuchen von derselben IP-Adresse und/oder demselben Gerät können ein deutliches Anzeichen für einen Brute-Force-Angriff sein, aber selbst wenn die Angreifer langsam vorgehen, kann Varonis subtile Abweichungen durch die Kombination von Perimeter-Telemetrie, Active Directory-Aktivitäten und Datenzugriff und deren Modellierung anhand der Verhaltensbasislinie eines Benutzers oder Geräts erzielen.
Durch die Pandemie erlebt ein alter Klassiker sein Comeback: Phishing. Die Angreifer nutzen die Angst der Benutzer aus, um sie dazu zu bringen, auf bösartige Links zu klicken und Malware herunterzuladen. So haben Cyberkriminelle COVID-19-Karten erstellt und Websites eingerichtet, die vermeintlich medizinische Geräte verkaufen, Wundermittel anbieten, die jedoch Malware auf den Rechnern der Besucher installieren. Wenn man auf diese bösartigen Links klickt, wird die Payload des Angreifers heruntergeladen, und der Angreifer stellt eine Verbindung zu seinem Command and Control (C2)-Server her. Dann beginnt er mit der Aufklärung und Privilegienerweiterung, um sensiblen Daten zu finden und zu stehlen.
Varonis kann Netzwerkverhalten erkennen, das auf Comand an Control hindeutet und über die Suche nach Verbindungen zu bekannten böswilligen IP-Adressen oder Domäne hinausgeht: DNS- und Web-Proxy-Verkehr wird dabei tiefgehend untersucht, um auch Malware zu erkennen, die ihre Kommunikation im HTTP- oder DNS-Verkehr „versteckt“. Zusätzlich zur Erkennung von Malware und ihrer Kommunikation zurück zu einem C2-Server, erkennen die datenzentrischen Bedrohungsmodelle von Varonis oft einen kompromittierten Benutzer aufgrund von Abweichungen beim Datei- oder E-Mail-Zugriff. Hierbei werden die Dateiaktivität und die Perimeter-Telemetrie überwacht, miteinander in Beziehung gesetzt und das aktuelle Verhalten mit einem Normalverhalten (des spezifischen Nutzers) und den ständig erweiterten Bedrohungsmodellen verglichen.
Dieser Angriffsvektor ist relativ neu und wurde kürzlich zum ersten Mal im Blog von Varonis thematisiert. Hier die Kurzfassung: Hacker können bösartige Azure-Apps recht einfach erstellen, den bösartigen Applikationen scheinbar legitime Namen geben, vertraute Icons zuordnen und über Phishing-Kampagnen verteilen. Ist die App installiert, stehen Hackern im Wesentlichen die gleichen Möglichkeiten offen wie durch das Ausführen bösartiger Exe-Dateien oder die Aktivierung von Makros in Dokumenten: Sie können Daten exfiltrieren, E-Mail-Konten kapern und Informationen über Gruppen-Mitglieder auslesen.
Im letzten Monat verzeichnete Microsoft einen Anstieg um 775 Prozent bei den Azure-Tenants. Zahlreiche Unternehmen sind gerade dabei, ihre Azure-Umgebungen für die Mitarbeiter an entfernten Standorten auszubauen, während andere im Business Continuity-Modus neue Funktionen schnell zum Einsatz bringen wollen. Wichtig ist dabei, dass die Unternehmen erkennen können, welchen Anwendungen die Benutzer zustimmen und dass die eingesetzten Azure-Apps regelmäßig überprüft sowie verdächtige Anwendungen gegebenenfalls entfernt werden.
Varonis kann Azure-App-Zustimmungsanfragen überwachen, um schon erste Anzeichen für diesen Angriff zu erkennen. Da Varonis außerdem alle Ereignisse in Office 365 für jede Entität erfasst, analysiert und ein Profil erstellt, werden unsere verhaltensbasierten Bedrohungsmodelle ausgelöst, sobald eine bösartige Anwendung beginnt, sich als der Benutzer auszugeben und E-Mails versendet oder Dateien herunterlädt.
Eine weitere Bedrohung für Mitarbeiter, die von Zuhause aus arbeiten, ist ein Man-in-the-Middle-Angriff. Ihr neues Remote-Team ist möglicherweise nicht an die grundlegenden Arbeitsabläufe in Office 365 gewöhnt, so dass es anfällig für gefälschte Anmeldebildschirme von Office 365 ist. Durch diese sind Angreifer in der Lage, Anmeldeinformationen und Authentifizierungstoken zu stehlen, um sich dann als dieser Benutzer auszugeben und sich von ihrem eigenen System aus anzumelden. Darüber hinaus ist es möglich, dass die Homeoffice-Nutzer unsichere Wi-Fi-Router verwenden, die von lokalen Angreifern leicht gehackt werden können. Wir haben diesen Angriff in unserem zweiten Cyberattack-Workshop demonstriert. Kurz gesagt, ein Angreifer fängt das Authentifizierungs-Token ab, das der Server an Sie zurückschickt, und verwendet dieses Token dann, um sich von seinem Computer aus anzumelden. Sobald die Angreifer Zugang erhalten haben, können sie mit Hilfe von Malware einen C2-Angriff starten, versuchen, andere Benutzer mit Malware zu infizieren, oder direkt zur Aufklärung gehen, um nach sensiblen Daten zu suchen.
Varonis ist in der Lage, sowohl gleichzeitige Anmeldungen von verschiedenen Orten aus zu erkennen als auch Anmeldungen, die nicht mit den früheren Aktivitätsmustern des Benutzers übereinstimmen. Varonis erkennt dieses abnormale Verhalten und kann entsprechende Gegenmaßnahmen (automatisiert) initiieren.
Wir befinden uns in einer Zeit der großen Unsicherheit für alle. Dies führt dazu, dass sich viele anders verhalten, als sie es normalerweise tun. So könnten Benutzer, die Angst vor der Zukunft haben, (sensible) Unternehmensdateien auf einen ungesicherten Computer herunterladen, entweder aus Angst, ihren Arbeitsplatz zu verlieren oder aus Sorge, ihre Aufgaben sonst nicht optimal erledigen zu können. Für Cybersicherheits- und IT-Teams, die für die Sicherheit dieser Daten verantwortlich sind, ist dies eine große Herausforderung.
Insider-Bedrohungen sind besonders schwer aufzuspüren, wenn Mitarbeiter ihre persönlichen Geräte für den Zugriff auf sensible Daten verwenden, da diese Geräte nicht über Sicherheitskontrollen des Unternehmens wie z.B. DLP verfügen, die normalerweise einen Insider beim Herausfiltern dieser Daten identifizieren könnten.
Varonis kann bei der Erkennung von Insider-Bedrohungen helfen, indem die Software zunächst ermittelt, wo sensible Daten eines Unternehmens überhaupt gespeichert sind, und dann lernt, wie Benutzer normalerweise mit diesen Daten umgehen. Varonis ermittelt das Datenzugriffsverhalten der Benutzer im Laufe der Zeit, überwacht die Dateiaktivitäten und reichert diese mit VPN-, DNS- und Proxy-Daten an. Auf diese Weise kann Varonis erkennen, wenn ein Benutzer beispielsweise eine große Datenmenge über das Netzwerk herunterlädt oder auf vertrauliche Daten zugreift, die er noch nie zuvor heruntergeladen hat, und kann darüber hinaus einen vollständigen Audit Trail der Dateien bereitstellen, auf die der Benutzer zugegriffen hat.
In den meisten Fällen haben die Mitarbeiter keine schlechten Absichten. Dennoch ist es für ein Unternehmen wichtig, zu verstehen, wo ihre sensiblen Daten gefährdet sein könnten, da es immer zu Insider-Bedrohungen kommen kann. Durch eine weitreichende Transparenz in das Nutzerverhalten sind Unternehmen in der Lage, sowohl das Risiko zu mindern als auch Probleme mit den (auffälligen) Mitarbeitern direkt zu besprechen.
Varonis ist für Sie da und will Ihnen helfen. Unser Incident Response-Team unterstützt Sie dabei, alles zu untersuchen, was verdächtig aussieht, und kann Ihnen sogar helfen, sich von einem Angriff zu erholen. Darüber hinaus bieten wir Ihnen kostenlose Evaluierungslizenzen an. Sollten Sie hieran interessiert sein und mit uns in Kontakt treten wollen, besuchen Sie unsere speziell hierfür eingerichtete Seite.
Wir bei Varonis verlassen uns nicht auf einzelne Schutzschichten, sondern folgen einem umfassenden Ansatz, um Ihre Daten zu schützen. Unser IR-Team kann Ihnen dabei helfen, Varonis in Ihre aktuelle Cybersicherheitsstrategie einzubinden oder Empfehlungen zu anderen Systemen auszusprechen, in die Sie vielleicht investieren möchten, um Ihren Schutz auszubauen. Denn nur gemeinsam werden wir aus dieser Situation, in der wir uns momentan befinden, herauskommen.