Schlagwortarchiv für: Schwachstellenmanagement

Markus Feilner

Predictive Vulnerability Management mit Greenbone

,
Jennifer Außendorf, Projektleiterin für das Projekt zum Predictive Vulnerability Management

Projektleiterin Jennifer Außendorf

Mit Predictive Vulnerability Management die Schwachstellen von morgen schon heute erkennen: Zusammen mit internationalen Partnern aus ganz Europa entwickeln die Cyber-Security-Fachleute von Greenbone eine neuartige Cyber-Resilienz-Plattform, die mithilfe von künstlicher Intelligenz und Machine Learning Schwachstellen entdeckt, bevor sie ausgenutzt werden können und die so hilft, Angriffe zu verhindern.

Greenbone verstärkt seine interne Forschung auf dem Gebiet des „Predictive Vulnerability Managements“ und wird 2022 zusätzlich an öffentlich geförderten Forschungs- und Entwicklungsprojekten teilnehmen. Derzeit arbeiten die Security-Fachleute an einem Förderungsantrag für ein Projekt der Europäischen Union. Bis die erste Phase der Antragseinreichung abgeschlossen sein wird, engagiert sich Greenbone innerhalb eines internationalen Konsortiums und arbeitet an einer gemeinsamen Cyber-Resilienz-Plattform. Hier dreht sich alles darum, Angriffe schon im Vorfeld zu verhindern, so dass sich im akuten Notfall schneller Abhilfe schaffen lässt. Dazu sollen Methoden zur Erkennung von Anomalien durch Kombination und Analyse verschiedenster Quellen von Netzwerküberwachungs- und Netzwerkanalysedaten helfen. Der Forschungsbereich konzentriert sich auf aktive Verteidigung gegen Cyber-Attacken und umfasst Penetrationstests und deren Automatisierung und Verbesserung durch maschinelles Lernen.

Projektleiterin Jennifer Außendorf erklärt im Interview, was hinter dem Begriff „Predictive Vulnerability Management“ steckt.

Jennifer, worum geht’s bei Cyber-Resilienz? Predictive Vulnerability Management klingt so nach Minority Report, wo die Polizeieinheit „Precrime“ Kriminelle jagte, die erst in der Zukunft Verbrechen begehen.

Jennifer Außendorf: Die Prognose von Angriffen ist da die einzige Überschneidung, denke ich. Dreh- und Angelpunkt ist dabei unser Greenbone Cloud Service. Durch ihn können wir auf sehr große Datenmengen zurückgreifen. Wir werten sie aus, um Vorhersage und Remediation zu ermöglichen, also sowohl Warnungen für bevorstehende Gefahren als auch wirksame Maßnahmen zur Behebung der Schwachstellen bereitzustellen.

So können wir beispielsweise auch zukünftige Bedrohungen früher identifizieren, weil wir das Predictive Vulnerability Management mit Machine Learning stetig verbessern. Im Bereich „Remediation“ schaffen wir eine „begründete Handlungsfähigkeit“ für Benutzer: Sie sind oft mit der Anzahl an Schwachstellen überfordert und tun sich schwer, anhand der reinen CVSS-Bewertung zu beurteilen, welche Bedrohungen akut und dringend sind.

Eine Lösung wäre es etwa, eine kurze Liste der aktuell kritischsten Schwachstellen zur Verfügung zu stellen – basierend auf den Ergebnissen der künstlichen Intelligenz. Darin sollen dann noch mehr Einflussgrößen als der CVSS-Wert, der eher den technischen Schweregrad beurteilt, berücksichtigt werden. Solch eine Lösung soll dann benutzerfreundlich auf einer Plattform einsehbar sein – natürlich streng anonymisiert und DSGVO-konform.

Warum geht Greenbone damit jetzt in die Öffentlichkeit?

Jennifer Außendorf: Zum einen ist das für die Forschung ein unglaublich spannendes Thema, für das wir die passenden Real-Life-Daten liefern. Die großen Datenmengen, die bei den Scans anfallen, lassen sich auf vielfältige Weise zum Schutz der Kunden einsetzen. Herauszufinden, was alles mit den Daten möglich ist und wie wir das zum Mehrwert der Benutzer und Kunden nutzen können, ist eine große Herausforderung.
Zum anderen will Greenbone mit dem Projekt die Cyber-Sicherheit in der EU stärken. Zum einen ist das gerade ein topaktuelles Thema: Kunden landen bei der Suche nach Cyber-Abwehr oft bei amerikanischen Firmen, was sich meistens nicht gut mit der DSGVO verträgt. Greenbone hat sich entschlossen, ein Projektkonsortium ins Leben zu rufen und wird sich parallel dazu um eine Projektförderung bemühen.

Wer wird oder soll sich am Konsortium beteiligen?

Jennifer Außendorf: Das Konsortium wird aus einer Handvoll Firmen als Kern der Gruppe bestehen und durch Forschungspartner, technische Partner für die Entwicklung und einer User Group aus weiteren Partnern und Testern ergänzt werden.

Weil das Projekt auf EU-Ebene stattfinden wird, ist es uns wichtig, möglichst viele verschiedene Mitgliedsstaaten einzubinden. Die unterschiedlichen Hintergründe der Partner bewirken – so unsere Hoffnung – kreative Ideen und Lösungsansätze, von dem das Projekt nur profitieren kann. Das gilt genauso für die Phase des Aufbaus des Konsortiums.

Gibt es auf dem Gebiet von Predictive Vulnerability Management bisher andere Player oder hat das noch niemand probiert?

Jennifer Außendorf: Momentan sehen wir keinen Wettbewerber – Greenbone will hier auch ganz bewusst Innovationstreiber sein. Ja, die Buzzwords „Thought Leadership“, „Cloud Repurpose“ und „Cyber Resilience“ schweben sicher im Raum, aber eines haben nur wir (und unsere Kunden): Die anonymisierten Daten, die ja essentiell für die Forschungsergebnisse sind, und vor allem die große Datenmenge, die es überhaupt erst ermöglicht Machine Learning und andere Methoden im Zusammenhang mit Künstlicher Intelligenz anzuwenden, die haben nur wir.

Wie ist da der aktuelle Status, was steht auf der Roadmap?

Jennifer Außendorf: Wir sind gerade dabei, mit den ersten Forschungspartnern die einzelnen Themen genauer zu spezifizieren. Sie verfügen über langjährige Erfahrung im Bereich Cyber-Sicherheit, Machine Learning und steuern sehr wertvollen Input bei. Außerdem arbeiten wir gerade daran, das Konsortium zu vergrößern und weitere Partner zu gewinnen. Zeitnah soll dann die Arbeit an dem eigentlichen Antrag starten.

Unser Ziel ist es, Ergebnisse aus dem Projekt direkt in unsere Produkte einfließen zu lassen und so unseren Kunden und Benutzern zugänglich zu machen. Letztendlich sollen ja sie von den Ergebnissen profitieren, und so die Cyber-Resilienz in ihren Unternehmen erhöhen. Das ist das oberste Ziel.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Die Rolle von Bitcoin und Darknet

Ein zweifelhafter Ruf haftet sowohl der Kryptowährung Bitcoin wie auch dem Darknet an. Medien schildern beide gerne als undurchsichtige, kriminelle Parallelwelten. Für Ransomware as a Service sind Bitcoin und Darknet willkommene Werkzeuge. Das organisierte Verbrechen hat sie sich längst zu Nutze gemacht, um seine Geschäfte zu verschleiern, auch wenn die Kriminellen damit keineswegs anonym und sicher vor Strafverfolgung sind.

Ransomware wurde 2021 zur weltweit größten Bedrohung von IT-Systemen. Wer sich erfolgreich davor schützen will, muss auch verstehen, wie die Beteiligten vorgehen. Im ersten Teil dieser Artikelserie ging es um das Geschäftsmodell von Ransomware as a Service. Teil zwei zeigte, warum diese „Professionalisierung“ auch zu einem veränderten Mindset bei den Angreifenden führt. Der dritte Teil erklärt nun, warum die IT-Werkzeuge, die die organisierte Kriminalität zur Bestellung und zur Geldübergabe nutzt, keineswegs sicher sind.

Ransomware as a Service: abstraktes Bild des Bitcoin-Logos

Anonym und sicher?

Bitcoin als Zahlungsmittel und das Darknet erweisen sich als praktisch, hilfreich und attraktiv für Angreifende. Unter dem Deckmantel der vermeintlichen Anonymität wähnen sie sich geschützt vor Strafverfolgung und abgeschirmt von Konsequenzen. Doch das ist ein verbreitetes Missverständnis: Weder Bitcoin noch Darknet sind in der Praxis anonym.

Während die Kryptowährung nie auf Anonymität ausgelegt war, sondern explizit auf Nachvollziehbarkeit von Transaktionen auch ohne zuverlässige zentrale Autorität, erweist sich das Darknet als nicht mal ansatzweise so anonym wie seine Macher es sich gewünscht hätten. Das zeigen auch Berichte wie die jüngsten über die „Deanonymisierungsangriffe“ von KAX17 auf das Tor-Netzwerk. Fast immer reicht der Strafverfolgung klassische Ermittlungsmethoden, um auch Ransomware-Agierende wie die REvil-Gruppe ausfindig zu machen. Die hatte laut Heise in mehr als 5.000 Infektionen eine halbe Million Euro an Lösegeldern eingetrieben.

Nie eine gute Idee: mit Kriminellen kooperieren

Egal, ob online oder offline, wer sich mit Erpressenden einlässt, ist verlassen. Als guter Rat gilt wie im richtigen Leben: niemals Lösegeld bezahlen. Ganz egal wie professionell die Hotline am anderen Ende auch scheint, Vertrauen ist nicht angebracht. Die Betreibenden von REvils Ransomware as a Service beispielsweise stahlen ihren Auftraggebenden sogar die erpressten Lösegelder über eine Backdoor in der Malware.

Dabei hatte alles so freundlich und idealistisch angefangen. Roger Dingledine und Nick Mathewson legten die Grundsteine für das Tor-Netzwerk Anfang der 2000er Jahre. Basierend auf der Idee der Zwiebelringe sollten zahlreiche kryptographisch gesicherte Schichten übereinander für zuverlässige Anonymität im Web sorgen – ihrer Meinung nach ein Grundrecht, analog zur Privacy-Definition von Eric Hughes „Cypherpunk’s Manifesto“. 2009 erblickte dann Bitcoin das Licht der Welt, erstmals beschrieben durch die fast schon mystische Figur des Satoshi Nakamoto.

Darknet und Bitcoin sind nicht „kriminell“

Weder Darknet noch Bitcoin wurden entworfen, um dunkle Machenschaften zu verschleiern oder zu ermöglichen. Ziel war das Schaffen freier, unabhängiger, vermeintlich unkontrollierbarer und weitgehend sicherer Strukturen für Informationsaustausch und Bezahlung. Wie ein Messer lassen sich die Dienste jedoch sowohl für Gutes als auch für Böses instrumentalisieren – und natürlich weiß die organisierte Kriminalität das für sich zu nutzen. Nicht immer liegt dabei der Schwerpunkt darauf, keine Spuren zu hinterlassen. Meist steht die Einfachheit und Verfügbarkeit der Mittel im Vordergrund. Bitcoin und das Darknet sind schlicht die Tools der Wahl, weil sie da sind.

Aber wie in der realen Welt schnappt man die Erpressenden am einfachsten bei der Geldübergabe: Eine Blockchain wie Bitcoin dokumentiert alle jemals getätigten Transaktionen inklusive der Wallet-Informationen (also den Bitcoin-Besitzenden) und macht sie jederzeit einsehbar. Gleiches gilt für das Darknet: Selbst, wenn technisch Anonymität möglich ist, scheitern Menschen regelmäßig an den einfachsten Anforderungen. Da finden sich dann GPS-Meta-Daten in Fotos oder UPS-Codes im illegalen Shop. Der legendäre Drogenshop Silkroad flog auf, weil Mitarbeitende Fehler machten und geständig waren.

Digitalisierte, organisierte Kriminalität

Das Darknet und die Kryptowährungen sind hilfreiche Werkzeuge für die organisierte Kriminalität und damit Brandbeschleuniger für die schnell wachsende Anzahl an gravierenden Ransomware-Attacken. Aber sie sind keineswegs essenziell, noch trifft sie eine Schuld. Derartige Cyber-Kriminalität ist nur die moderne IT-Variante dessen, was wir auch auf den Straßen beliebiger Großstädte erleben können. Ransomware ist sozusagen die moderne Schutzgelderpressung, Bitcoin der Abfalleimer für die Übergabe, das Darknet die dunkle Kneipe, in der Deals vereinbart werden.

Das Perfide steckt nicht in den Werkzeugen, sondern in den Methoden und der langen Erfahrung im „Business“. Trend Micro beschreibt beispielsweise den Ansatz der „Double Extortion Ransomware“. Dabei machen sich Angreifende erst ein Bild über die Daten und drohen, diese bei Nicht-Bezahlen (also bei Nicht-Entschlüsselung) zu veröffentlichen. Organisierte Kriminalität betreibt das Geschäft mit der Erpressung nicht erst seit es Bitcoin oder das Darknet gibt. Auch wenn die beiden Technologien es Cyber-Kriminellen heute ermöglichen, zunächst unerkannt große Geldsummen zu erpressen, reichen herkömmliche Methoden fast immer zur Aufklärung. Wichtigste Voraussetzung dabei ist, dass genug Personal für die Strafverfolgung zur Verfügung steht, nicht in erster Linie dessen technische Ausstattung.

Vorsorge treffen

Doch zu diesem Zeitpunkt ist das Kind im Unternehmen bereits in den Brunnen gefallen. Wer vor seinen verschlüsselten Daten steht und sich einer Lösegeldforderung gegenübersieht, dem sind das Darknet, Bitcoin und die Aufklärungsquote vermutlich erst mal zweitrangig. Viel wichtiger ist die Frage, wie man aus der misslichen Lage wieder herauskommt. Und das gelingt nur, wenn man vorbereitet war. Dazu gehören Backups, Restore-Tests und das sofortige Abtrennen aller betroffenen Maschinen (Network Split) – also proaktives Risikomanagement, Desaster Recovery Tests und stetige Pflege der eigenen Systeme. Ein weiterer wichtiger Baustein ist die Multi-Faktor-Authentifizierung, die verhindert, dass sich Angreifende allein durch erworbene Passwörter von einem System zum nächsten hangeln.

Am wichtigsten ist es jedoch, gar nicht erst in kritische Situationen zu gelangen und Schwachstellen in den eigenen Systemen zu erkennen und schnell zu schließen. Modernes Schwachstellenmanagement wie das von Greenbone leistet genau das: Es legt Angreifenden Steine in den Weg und macht das Firmennetzwerk unattraktiv, aufwändig und somit abschreckend für die professionellen Cyber-Kriminellen, nicht nur aus der Ransomware-as-a-Service-Welt.

Die Produkte von Greenbone überwachen das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen, indem sie es fortlaufend und vollautomatisch untersuchen und garantieren als Greenbone Enterprise Appliances oder dem Greenbone Cloud Service (in deutschen Rechenzentren gehostete Software as a Service) Sicherheit durch stets aktuelle Scans und Tests.

Wie das funktioniert, beschreibt Elmar Geese, CIO/CMO bei Greenbone, ebenfalls hier im Blog anhand eines Posts rund um die log4j-Schwachstelle. Außerdem erklärt Geese, wie schnell und sicher die Administration und das Management auch bei den neuesten Schwachstellen informiert wird und wie genau der Scan nach Schwachstellen wie Log4Shell abläuft.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

ISO-Zertifizierung unserer Managementsysteme

Wir sind stolz darauf, dass wir Ende 2021 die ISO-Zertifizierung unserer Managementsysteme für die Aspekte Qualität (ISO 9001) und Informationssicherheit (ISO 27001) erhalten haben.

Logos der ISO-Zertifizierung unserer Managementsysteme

Unser Erfolg lässt uns wachsen, und unser Wachstum fördert Strukturen und Prozesse. Deshalb begleiten wir aktiv die Entstehung von Strukturen und Prozessen noch stärker als in der Vergangenheit. Dabei orientieren wir uns an den folgenden Zielen:

  • Werte für unsere Kundschaft schaffen
  • Großartige Produkte und Dienstleistungen bereitstellen
  • Die Zufriedenheit unserer Mitarbeitenden stetig steigern
  • Förderung und Bewältigung unseres Wachstums

Als wir uns entschlossen haben, die Informationssicherheit und Qualität in unserem Unternehmen nach den Normen ISO 27001 und ISO 9001 zu zertifizieren, haben wir von Anfang an die Besonderheiten eines agilen Unternehmens berücksichtigt.

ISO-zertifizierte Managementsysteme und agiles Management scheinen ein Widerspruch zu sein, sind es aber nicht. In diesem Artikel werden wir kurz erläutern, wie sich diese beiden Welten perfekt ergänzen und wie wir die jeweiligen Vorteile in einem Unternehmen vereinen.

Obwohl Agilität kein Ziel an sich ist, waren wir uns bewusst, dass wir ein agiles Unternehmen auf eine agile Weise führen wollen. Wir verstehen das so:

  • Wir haben ein gemeinsames Ziel.
  • Klarheit und Eindeutigkeit in der Kommunikation sind Voraussetzung für ergebnisorientiertes Handeln.
  • Hierarchien sind Werkzeuge, keine Statusfunktionen.
  • Prozesse sind Wege zum Ziel, nicht Ziele an sich.

Wir haben erkannt, dass wir in den verschiedenen Bereichen unserer Organisation idealerweise einen möglichst universellen Werkzeugkasten einsetzen können, der uns einerseits hilft, unsere Prozesse bestmöglich zu organisieren und andererseits genügend Freiraum für die unterschiedlichen Bedürfnisse der verschiedenen Teams und Bereiche lässt.

Die Konzepte aus so unterschiedlichen Welten wie „ISO“ und „Agile“ haben uns dabei geholfen und helfen uns weiterhin. Sie haben gemeinsam, dass die Konzepte Managementsysteme erfordern, die in ihrer Grundstruktur ähnlicher sind, als man denkt.

Es geht immer um:

  • Fokussierung auf hinreichend klar definierte Ziele
  • Verlässliche und angemessene Leitlinien
  • Nachvollziehbar definierte und hilfreiche Prozesse
  • Messpunkte, um zu bewerten, anzupassen und ggf. zu verändern
  • Unterstützende Teammitglieder und dienende Führungskräfte, die innerhalb dieser Struktur agieren
  • Ein kontinuierlicher Verbesserungsprozess

Dies ist es, was wir ein Managementsystem nennen und die ihm innewohnende Agilität wird durch den Kontext und den Zweck definiert, wenn es angewendet wird. Es ermöglicht uns, die Ergebnisse und die Qualität der Prozesse anhand eines Systems von Zielen und Leistungsindikatoren zu messen.

Wir sind stolz und glücklich, dass wir unsere Managementsysteme nun sehr erfolgreich für die Aspekte „Qualität“ (ISO 9001) und „Informationssicherheit“ (ISO 27001) zertifizieren konnten. Es hilft uns und es hilft auch Ihnen als unsere Kundschaft. Es dokumentiert messbar zwei sehr wichtige Eigenschaften, die Sie von uns und unseren Produkten und Dienstleistungen erwarten und die Sie letztlich durch den Einsatz unserer Produkte in Ihrer eigenen Organisation sicherstellen wollen, nämlich:

  • Sicherheit und
  • Qualität der informationstechnischen Systeme

Es ist unsere Aufgabe bei Greenbone, dies durch eines der führenden Produkte für das Schwachstellenmanagement zu gewährleisten. Das tun wir jeden Tag, in über 100.000 Organisationen auf der ganzen Welt.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Weitere Log4j-Schwachstellen veröffentlicht

Log4j war von einer Schwachstelle betroffen, die Remote-Code-Execution-Angriffe (RCE-Angriffe) ermöglichte. Kurz gesagt, konnten Benutzereingaben in eine Software zu einer Codeausführung auf einem entfernten Server führen. Dies stellt ein schwerwiegendes Sicherheitsrisiko dar. Die Schwachstelle wurde „Log4Shell“ (CVE-2021-44228) genannt und sofort vom Log4j-Team behoben. In den folgenden Tagen wurden weitere Log4j-Schwachstellen gefunden. Diese haben zwar nicht die gleichen Auswirkungen wie die erste, können aber ebenfalls schwere Schäden verursachen. Aus diesem Grund ist es sehr wichtig, die Systeme zu überprüfen und immer auf die neuesten Versionen zu aktualisieren.

Da Log4j in zahlreichen Softwareprodukten enthalten ist, mussten und müssen auch die Hersteller der Produkte Updates bereitstellen. Dies ist noch nicht abgeschlossen und es könnten in Zukunft weitere Log4j-Schwachstellen auftauchen.

Als ein bewegliches Ziel bekommt Log4j immer noch viel Aufmerksamkeit, unter verschiedenen Aspekten:

  • Neue (und glücklicherweise weniger schwerwiegende) Sicherheitslücken werden gefunden.
  • Es entstehen neue Initiativen zur proaktiven Überprüfung von Log4-Quellen, wie zum Beispiel die Initiative von Google: Improving OSS-Fuzz and Jazzer to catch Log4Shell
  • Bei Greenbone erstellen wir noch mehr Schwachstellentests, um eine bessere Testabdeckung zu erreichen, und stellen sie täglich für unsere Produkte bereit.

Wir haben bereits eine ziemlich gute CVE-Abdeckung für die zusätzlichen Log4j-Schwachstellen, die in den letzten Tagen veröffentlicht wurden, erzielt, einschließlich:

  • CVE-2021-44228
  • CVE-2021-4104
  • CVE-2021-45046
  • CVE-2021-45105

Wie bereits erwähnt, hören wir hier nicht auf. Weitere lokale Sicherheitsprüfungen werden heute und morgen folgen, sobald die Linux-Distributionen ihre Advisories veröffentlicht haben.

Wir haben bereits einige Fakten über Log4j und den Umgang damit in unseren letzten Beiträgen veröffentlicht:


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Scanning bei Schwachstellen wie Log4Shell – Wie funktioniert es?

Das Schwachstellenmanagement von Greenbone findet Anwendungen mit Log4j-Schwachstellen in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Log4shell-Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen. Wie aber werden Schwachstellen gefunden, und wo können sie sich verbergen? Warum sind Schwachstellen nicht immer direkt auffindbar? Im folgenden Artikel erhalten Sie eine kurze Einsicht, wie das Scanning bei Schwachstellen wie Log4Shell funktioniert.

Ein Schwachstellenscanner stellt gezielt Anfragen an Systeme und Dienste und kann aus den Antworten ablesen, welcher Art die Systeme und Dienste sind, aber auch welche Produkte dahinter stehen. Das schließt auch Informationen wie deren Versionen oder auch Einstellungen und weitere Eigenschaften ein. Damit lässt sich in vielen Fällen ablesen, ob eine Anfälligkeit für eine bestimmte Schwachstelle vorliegt und auch, ob diese schon beseitigt wurde. In der Praxis sind das teilweise hochkomplizierte und verschachtelte Anfragen, vor allem aber auch sehr, sehr viele. Es werden ganze Netzwerke nach Tausenden von verschiedenen Schwachstellen durchforstet.

Bei der Log4j-Schwachstelle „Log4Shell“ (CVE-2021-44228) handelt es sich um eine fehlerhafte Programm-Bibliothek, die in vielen Produkten für Web-Dienste verwendet wird. Teilweise ist sie daher durch einen Schwachstellenscan direkt sichtbar, teilweise ist sie aber auch hinter anderen Elementen versteckt. Deshalb gibt es auch nicht nur einen Schwachstellentest für Log4j, sondern zahlreiche. Es kommen ständig weitere hinzu, weil die Hersteller der jeweiligen Produkte entsprechende Informationen teilen und auch Updates zur Verfügung stellen, um die Lücken zu schließen. Die Liste der von Log4Shell betroffenen Systeme wird unter https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592 ständig aktualisiert.

Einige der Schwachstellentests erfordern einen authentifizierten Scan. Das bedeutet, dass sich der Scanner zunächst auf einem System anmelden muss, um im System dann die Verwundbarkeit festzustellen. Ein authentifizierter Scan kann mehr Details über Schwachstellen auf dem gescannten System bereitstellen.

Die Schwachstellentests, die geeignet sind die Log4j-Schwachstelle zu finden, werden gesammelt in einer Scan-Konfiguration bereitgestellt. Greenbone hält diese „Log4j“-Scan-Konfiguration kontinuierlich aktuell, um immer wieder neue Tests hinzuzufügen. Dadurch kann ein Scanvorgang morgen eine Log4j-Schwachstelle melden, die heute noch nicht gefunden wurde. Es ist daher ratsam, den Log4j-Scan so zu konfigurieren, dass er automatisch regelmäßig ausgeführt wird. Besonders wichtig ist dies in den nächsten Wochen, in denen viele Softwarehersteller weitere Erkenntnisse zusammentragen. Greenbone integriert diese Erkenntnisse laufend in die Tests und in die Scan-Konfiguration.

Scanning bei Schwachstellen wie Log4Shell

Muss eine Schwachstelle ausgenutzt werden, um sie zu finden?

Eine Schwachstelle auzunutzen, um sie zu finden, ist nicht ratsam. Und zum Glück auch nicht erforderlich. Dabei könnten genau die Schäden entstehen, die unbedingt vermieden werden sollen. Ein Produktanbieter, der das Ausnutzen der Schwachstellen als Funktion bereitstellt, würde zudem möglicherweise den Missbrauch dieser Funktion stark befördern, was weitere – nicht nur rechtliche – Probleme aufwirft. Daher beinhaltet das Schwachstellenmanagement von Greenbone solche Funktionen nicht.

Eine Ausnutzung der Log4j-Schwachstelle wie es Angreifende tun würden, ist auch nicht erforderlich, um das Vorhandensein der Schwachstelle nachzuweisen. Greenbone hat verschiedene Tests zum Nachweis für Log4Shell entwickelt, die jeweils unterschiedlich tief in die Systeme schauen. Mehrere Tests können die Log4j-Schwachstelle mit 100%iger Gewissheit nachweisen, die meisten mit einer Sicherheit von 80 % bis 97 %. Einige Tests sammeln außerdem Indikatoren von 30 %, wo sie nicht nahe genug an die Schwachstelle herankommen. Jeder Test bei Greenbone macht eine Aussage zu der Nachweissicherheit, welche als „Qualität der Erkennung“ angegeben wird.

Welche Rolle spielen die Hersteller von Softwareprodukten?

Hersteller verschiedenster Produkte können Log4j-Bibliotheken verwenden, die damit nun verwundbar sind. Die Produkthersteller haben Log4j auf unterschiedliche Weise eingebunden. In der Regel kann durch einen tiefen Scan Log4j auch ohne Mithilfe des Hersteller gefunden werden. Die meisten Hersteller unterstützen den Vorgang aber auch durch öffentliche Schwachstellenmeldungen. Diese können dann genutzt werden, um Schwachstellentests zu schreiben, die auch mit weniger tiefen Scans eine verlässliche Aussage zur Verwundbarkeit machen können. Der Grund dafür ist, dass die Scans durch Herstellerinformationen einfachere Konfigurationen verwenden können. Hinzu kommt, dass sie auch schneller laufen.

Grundsätzlich kann jedoch ein Schwachstellenscanner auch prüfen und Schwachstellen finden, ohne dass der Hersteller eine Schwachstellenmeldung veröffentlicht.

Fazit

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Das ist vergleichbar zu einem Fahrzeug, das durch Fahrgastzelle, Gurte, Airbags, Bremsunterstützung, Assistenzsysteme und vieles mehr die Sicherheit erhöht, aber nie garantieren kann. Schwachstellenmanagement macht Risiken beherrschbar.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Elmar Geese

Detaillierte Informationen über Greenbones Log4j-Schwachstellentests

Update vom 20.12.2021: Informationen über weitere Schwachstellen, die für Log4j gefunden wurden, finden Sie hier.

Update vom 20.12.2021: Es sind nun auch Schwachstellentests für Produkte unter Microsoft Windows verfügbar.

Hinweis: Die Tests prüfen die Existenz von Log4j und dessen Version. Ein separater Schwachstellentest ist möglicherweise nicht für jede betroffene Anwendung verfügbar, aber alle Log4j-Dateien werden gefunden und gemeldet (/pfad-zur-log4j-datei/).

Die ausgegebenen Installationspfade müssen geprüft und ggf. der Hersteller kontaktiert werden. Es muss geprüft werden, ob für die jeweilige Anwendung bereits Updates verfügbar sind und ob der Fund relevant ist.

PowerShell-Ausführungsberechtigungen auf einem Zielsystem sind für den Account erforderlich, der in einem authentifizierten Scan verwendet wird. Einige Schwachstellentests führen PowerShell-Befehle aus, um die Genauigkeit der Ergebnisse zu erhöhen, wofür Berechtigungen für die Dauer eines Scans erforderlich sind.

Update vom 15.12.2021: ein zusätzlicher Angriffsvektor wurde identifiziert und in CVE-2021-45046 gemeldet. Wir arbeiten an Schwachstellentests für diesen Vektor, obwohl unsere Tests auch für diesen zusätzlichen Fall funktionieren. Wir empfehlen, auf die neueste Log4j-Version zu aktualisieren. Der Angriff ist komplizierter und ein Schutz erfordert eine andere Konfiguration. Da es sich aber um einen sehr neuen Vektor handelt, raten wir, besser auf Nummer sicher zu gehen. Mehr Informationen unter https://www.lunasec.io/docs/blog/log4j-zero-day-update-on-cve-2021-45046/.

Dieser Artikel enthält Antworten auf die am häufigsten gestellten Fragen zu Greenbones Log4j-Schwachstellentests.

Worum handelt es sich bei der Log4j-Schwachstelle?

Die „Log4Shell“-Schwachstelle betrifft eine Softwarebibliothek, die für die Aufzeichnung von Ereignissen (das so genannte „Logging“) in Software zuständig ist, die in der Programmiersprache Java geschrieben wurde. Böswillige Angreifende können diese Sicherheitslücke nutzen, um Code auf den betroffenen Systemen auszuführen.

Da diese Schwachstelle über das Internet und ohne jegliche Authentifizierung ausgenutzt werden kann, kann dies für betroffene Systeme und Unternehmen sehr kritisch sein. Da die Software auch in einer Vielzahl von Software und Diensten enthalten ist, die über das Internet zugänglich sind, sind wahrscheinlich viele Unternehmen und Dienste betroffen.

Weitere Informationen zu dieser Sicherheitslücke finden Sie hier:

Sind Greenbone-Produkte und -Dienste betroffen?

Wir haben den Status der möglicherweise betroffenen Systeme mit höchster Priorität überprüft. Keine unserer Produkte oder intern und extern erbrachten Dienstleistungen sind betroffen.

Können Greenbone-Produkte diese Schwachstelle erkennen?

Ja, Schwachstellentests wurden in den Greenbone Community Feed und in den Greenbone Enterprise Feed integriert, beginnend mit Feed-Version 202112130808. Dies bedeutet, dass sowohl unsere Appliances als auch unser Cloud-Produkt in der Lage sind, diese Sicherheitslücke zu erkennen.

Es sind zwar Schwachstellentests verfügbar, aber aufgrund der Komplexität dieser Sicherheitslücke kann nicht garantiert werden, dass eine Erkennung jedes einzelne betroffene System oder Produkt findet. Dies gilt insbesondere für nicht-authentifizierte „Remote“-Überprüfungen, und zwar aus den folgenden Gründen:

  • Das Produkt oder der Dienst könnte nur unter ganz bestimmten Umständen verwundbar sein. Da die Log4j-Bibliothek sehr komplex und hochgradig konfigurierbar ist und in vielen Produkten unterschiedlich eingesetzt wird, ist es nicht möglich, alle verwundbaren Instanzen durch eine Remote-Prüfung zu finden.
  • Sicherheitskonfigurationen im zu scannenden Netzwerk können eine erfolgreiche Überprüfung der Schwachstelle verhindern.
  • Produkte und Dienste können auch indirekt betroffen sein.

Eine spezielle Scan-Konfiguration zur direkten und schnellstmöglichen Erkennung dieser Sicherheitslücke ist ebenfalls über beide Feeds verfügbar. Bitte beachten Sie, dass die aktuelle Scan-Konfiguration nur aktive Prüfungen (remote und lokal) enthält. Paketversionsprüfungen sind nicht enthalten, um die Scan-Konfiguration und damit die Scanzeit minimal zu halten.

Ist die Erkennung im Greenbone Community Feed enthalten?

Ja. In beiden Feeds ist eine grundlegende Erkennung der Sicherheitslücke enthalten. Zusätzliche Schwachstellentests für potenziell betroffene Unternehmensprodukte sind über den Greenbone Enterprise Feed verfügbar.

Welche Erkennung ist in welchem Feed enthalten?

Greenbone Enterprise Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Enterprise Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Apache Struts 2.5.x Log4j RCE Vulnerability (Log4Shell)
  • Apache Druid < 0.22.1 Multiple Vulnerabilities (Log4Shell)
  • Apache Flink < 1.13.4, 1.14.x < 1.14.1 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check
  • Apache Solr 7.x, 8.x Log4j RCE Vulnerability (Log4Shell) – Version Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Version Check
  • VMware Workspace ONE Access Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Operations Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Log Insight Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Automation Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vRealize Orchestrator Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell)
  • VMware vCenter Server 6.5, 6.7, 7.0 Log4j RCE Vulnerability (VMSA-2021-0028, Log4Shell) – Active Check
  • ArcGIS Server <= 10.7.1 Log4j RCE Vulnerability (Log4Shell)
  • Metabase < 0.41.4 Log4j RCE Vulnerability (Log4Shell)
  • Splunk 8.1.x, 8.2.x Log4j RCE Vulnerability (Log4Shell)
  • Wowza Streaming Engine <= 4.8.16 Log4j RCE Vulnerability (Log4Shell)
  • SonicWall Email Security 10.x Log4j RCE Vulnerability (SNWLID-2021-0032, Log4Shell)
  • IBM WebSphere Application Server Log4j RCE Vulnerability (6525706, Log4Shell)
Greenbone Community Feed

Wir implementieren fortlaufend Schwachstellentests in den Greenbone Community Feed, daher kann die folgende Liste unvollständig sein, gibt aber den Stand vom 14.12.2021, 12:00 Uhr wieder.

Wichtig: Um die aktuellsten Informationen zu Ihrer Installation zu erhalten, können Sie nach  ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation suchen.

  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (Log4Shell)
  • Consolidation of Apache Log4j detections
  • Apache Log4j Detection (Linux/Unix SSH Login)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (HTTP, Log4Shell) – Active Check
  • Debian: Security Advisory for apache-log4j2 (DSA-5020-1)
  • Elastic Logstash Log4j RCE Vulnerability (Log4Shell)
  • Debian LTS: Security Advisory for apache-log4j2 (DLA-2842-1)
  • Openfire < 4.6.5 Log4j RCE Vulnerability (Log4Shell)
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (TCP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (UDP, Log4Shell) – Active Check
  • Apache Log4j 2.0.x < 2.15.0 RCE Vulnerability (SIP, Log4Shell) – Active Check

Über authentifizierte/unauthentifizierte Tests

Für einige Versionsprüfungen ist eine Authentifizierung erforderlich, für andere nicht. Außerdem können einige beides haben.

Die entsprechenden Informationen sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Die „Qualität der Erkennung“ enthält Informationen über die Erkennungsmethode. Ein Wert von „package (97 %)“ deutet auf eine authentifizierte Prüfung hin, andere Werte wie „remote_banner (80 %)“ geschehen unauthentifiziert.

Weitere technische Informationen hierzu finden Sie unter https://docs.greenbone.net/GSM-Manual/gos-21.04/de/reports.html#quality-of-detection-concept.

Über aktive Tests/Testprüfungsversion, QoD

Sie können anhand des QoD und der „Erkennungsmethode“ auf der Web-Oberfläche erkennen, ob es sich um eine aktive Prüfung handelt, wenn Sie sich die Details des Schwachstellentests anzeigen lassen.

Hinweis: Nur Systeme, die tatsächlich Eingaben protokollieren, die von Angreifenden verändert werden können (z. B. bestimmte HTTP-Anfrage-Header, URLs, …), sind verwundbar.

Die Erkennungsmethode, die Qualität der Erkennung, die Schadensminderung und viele weitere Details sind über die Links verfügbar, die bei der Suche nach ~CVE-2021-44228 im Abschnitt „CVE“ und „NVTs“ des Menüs „SecInfo“ auf der Web-Oberfläche Ihrer Installation angezeigt werden.

Scannen nach Knoten auf separaten VRFs & VLANs

  • Out-of-band-Scanning (OOB) ist derzeit nicht möglich. Bitte scannen Sie in jedem Segment.
  • Wir denken, dass eine solche Out-of-band-Kommunikation (OOB)/externe Interaktionsmöglichkeit in Zukunft integriert werden kann.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Erkennung der Log4j-Schwachstelle in Greenbone-Feeds verfügbar

Update vom 20.12.2021: Informationen über weitere Schwachstellen, die für Log4j gefunden wurden, finden Sie hier.

Update vom 15.12.2021: Die wichtigstens FAQ zur Erkennung der Log4j-Schwachstelle mit Greenbone finden Sie hier.

Eine kritische Sicherheitslücke (Log4Shell, CVE-2021-44228) in der weit verbreiteten Java-Bibliothek Log4j wurde entdeckt. Greenbone hat lokale Sicherheitstests und aktive Prüfungen über HTTP in seine Feeds integriert, die bei der Erkennung der Log4j-Schwachstelle helfen und herausfinden, ob und welche Systeme betroffen sein könnten. Zusätzlich ist eine spezielle Scan-Konfiguration, die genau auf diese Schwachstelle prüft, für schnelle Ergebnisse über die Feeds verfügbar.

log4j-Schwachstelle

Die Sicherheitslücke führt laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer äußerst kritischen Bedrohungslage. Aus diesem Grund hat das BSI eine Warnung der höchsten Stufe zu diesem Thema veröffentlicht. Die Sicherheitslücke ist trivial ausnutzbar und kann eine vollständige Übernahme der betroffenen Systeme ermöglichen.

Es handelt sich um ein kritisches Risiko, da Angreifende über verschiedene Wege Codeschnipsel in das Log4j-Modul einschleusen können (z. B. über eine reguläre Chat-Nachricht) und dann Code zur Ausführung von einem beliebigen LDAP-Server laden können.

Personen, die Log4j einsetzen, wird dringend empfohlen, ihre Lösungen auf Log4j-Version 2.15.0 (oder höher) zu aktualisieren, um diese Schwachstelle zu entschärfen. Folgendes sollte aber beachtet werden:

  • Das Update schränkt derzeit standardmäßig „nur“ den Zugriff auf externe LDAP-Server ein (erlaubt nur localhost/127.0.0.1) und setzt die Systemeigenschaft log4j2.formatMsgNoLookups auf true.
  • Obwohl dies das Risiko mindert, kann es immer noch Anwendungen geben, die mit Log4j-Version 2.15.0 arbeiten und bei denen beide (oder eine) der oben genannten Einstellungen nicht korrekt oder falsch konfiguriert sind, sodass der Angriffsvektor weiterhin besteht.

In Bezug auf unsere Lösung sollte auch Folgendes beachtet werden:

  • Für eine erfolgreiche Erkennung dieses Risikos muss der Scanner-Host für den Zielhost über TCP erreichbar sein.
  • Es kann auch eine Schwachstelle in einer Software bestehen, die z. B. nur die Syslogs von anderen Remote-Systemen sammelt und protokolliert, aber selbst keine Protokolle annimmt. Solche Systeme könnten immer noch durch Log Pollution angegriffen werden.
  • Es ist sehr wichtig, die Updates der betroffenen Produkte zu überwachen.
  • Außerdem sollten alle Systeme, die anfällig waren, auf Kompromittierung untersucht werden.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Ransomware as a Service: Das Mindset der Cyber-Kriminellen hat sich geändert

Der zweite Teil unserer Serie über die fortschreitende Professionalisierung der Angriffe auf IT-Systeme beschäftigt sich mit Veränderungen im Mindset der Angreifenden. Automatisierung, Kommerzialisierung und Cloudcomputing haben Ihre Spuren auch im typischen Profil von Cyber-Kriminellen hinterlassen, mit denen sich Admins und das Schwachstellenmanagement auseinandersetzen müssen. Entgegen gängiger Hollywoodklischees geht die Bedrohung durch Ransomware as a Service in der Regel nicht (mehr) von hochbegabten Script-Kiddies mit viel Zeit oder von anarchistischen Weltverbesserern im Hoodie aus. Auch nicht von hochqualifizierten und mit schier endlosen Ressourcen ausgestatteten Geheimdiensten.

Angriffe sind heute Auftragsarbeiten

Die gefährlichsten Angriffe heute arbeiten zunehmend „im Auftrag“, verfolgen also ein Geschäftsmodell und müssen sich dabei auch an Werten wie Effizienz oder Erfolgswahrscheinlichkeit orientieren. Genauso wie das Cloud-Computing fester Bestandteil der IT der meisten Unternehmen geworden ist, dient es mittlerweile auch Cyber-Kriminellen dazu, Angriffe zu automatisieren, zu organisieren und zu beschleunigen. Mit großem Erfolg: Ransomware ist zur größten Bedrohung erwachsen und bei Ransomware as a Service lassen sich Angriffe ganz einfach buchen.

Mehr und mehr Sicherheitsfachleute entwickeln gerade erst ein Verständnis für die Geschäftsmodelle der Angreifenden: Deren Logik unterscheidet sich kaum mehr von der anderer Unternehmen. Sie investieren die gleichen Ressourcen in die Entwicklung von Exploits und Tools und wollen den höchstmöglichen Return on Investment (ROI) erzielen. Deswegen achten sie häufig stark darauf, dass sich ihre Werkzeuge wiederverwenden lassen.

Angesichts begrenzter Ressourcen entwickeln Cyber-Kriminelle Exploits für weit verbreitete Technologien, die ein hohes Gewinnpotenzial für mehrere Ziele bieten.

Die Perspektive der Cyber-Kriminellen

Die Angreifenden haben sich organisiert, bestellt wird im Darknet, bezahlt via Bitcoin. Gewinnmaximiert, effizienzorientiert und professionell strukturiert: Die neue, wirtschaftlich orientierte Logik kann und muss aber auch ein Schlüssel zu besseren Abwehrmechanismen sein. Gerade wenn Security-Verantwortliche sich unter einer Lawine von Sicherheitswarnungen begraben sehen, ist es hilfreich, zu verstehen, wie Cyber-Kriminelle „ticken“.

Um die eigenen Systeme abzusichern, muss die Verteidigung jetzt umdenken und über den eigenen Tellerrand blicken. Die Logik der Cyber-Kriminellen hilft, die entscheidenden Signale zu entschlüsseln und Lücken zu schließen. David Wolpoff, CTO von Randori, hat in einem Blogbeitrag auf Threatpost sechs zentrale Fragen formuliert, die das Mindset der modernen Cyber-Kriminellen gut beschreiben:

  1. Welche nützlichen Informationen über ein Ziel lassen sich von außen erkennen?
  2. Wie wertvoll ist das Ziel für die Angreifenden?
  3. Ist das Ziel als leicht zu hacken bekannt?
  4. Welches Potenzial bieten Ziel und Umgebung?
  5. Wie lange wird es dauern, einen Exploit zu entwickeln?
  6. Gibt es einen wiederholbaren ROI für einen Exploit?

Je mehr Wissen Cyber-Kriminelle über eine Technologie oder eine Person in einem Unternehmen sammeln können, desto besser können sie die nächste Angriffsphase planen. Im ersten Schritt stellen sie so die Frage, wie detailliert sich das Ziel von außen beschreiben lässt. Je nach Konfiguration kann ein Webserver beispielsweise keine Serverkennung oder Servernamen und detaillierte Versionssnummern verraten. Ist die genaue Version eines verwendeten Dienstes und seine Konfiguration sichtbar, lassen sich präzise Exploits und Angriffe ausführen. Das maximiert die Erfolgschancen und minimiert zeitgleich die Entdeckungswahrscheinlichkeit und die Aufwände.

Nicht mehr wahllos

Das zunehmend wichtigere wirtschaftliche Interesse sorgt dafür, dass Cyber-Kriminelle Faktoren wie Aufwand, Zeit, Geld und Risiko stärker berücksichtigen müssen. Dementsprechend lohnt es sich nicht, wahllos Systeme anzugreifen oder auszuspähen. Angreifende klären heutzutage zuerst den potentiellen Wert, bevor sie handeln und konzentrieren sich auf vielversprechende Ziele wie VPNs und Firewalls, Anmeldedatenspeicher, Authentifizierungssysteme oder Remote-Support-Lösungen am Netzwerkrand. Die könnten sich als Generalschlüssel entpuppen und den Weg ins Netzwerk oder zu Anmeldeinformationen aufsperren.

Immer wieder tauchen Meldungen über kritische und brandgefährliche Schwachstellen auf, die offenbar niemand für Angriffe ausgenutzt hatte. Es klingt unglaublich, aber oft hat sich einfach niemand die Arbeit gemacht, für eine Schwachstelle einen Exploit zu programmieren. Moderne Cyber-Kriminelle folgen immer mehr dem Prinzip des Return on Investment und bedienen sich existierender Proof of Concepts (PoC).

Komplexität ist unerwünscht

So ergeben sich manchmal überraschende Erkenntnisse: Moderne Cyber-Kriminelle meiden wohldokumentierte Schwachstellen. Umfangreiche Untersuchungen und Analysen zu einer bestimmten Sicherheitslücke sind eher ein Indikator für unerwünschte Komplexität und Aufwand, den man möglichst gering halten möchte. RaaS-Hacker:innen fahnden nach verfügbaren Tools oder kaufen für ein bestimmtes Objekt bereits erstellte Exploits. Angreifende wollen sich unbemerkt in den von ihnen kompromittierten Systemen bewegen. Sie suchen sich also Ziele mit wenigen Abwehrmechanismen aus, wo Malware und Pivoting-Tools funktionieren, etwa Desktop-Telefone und VPN-Apps sowie andere ungeschützte Hardware. Viele Anwendungen dort sind mit oder für Linux erstellt, besitzen einen vollständigen Nutzungsbereich und verfügen über vertrauenswürdige, vorinstallierte Tools. Das verspricht, sie nach einem Exploit weiterhin nutzen zu können und macht sie umso attraktiver für Cyber-Kriminelle.

Überraschende Kosten-Nutzen-Rechnung

Ist das Ziel erst einmal anvisiert, gilt es für Angreifende Zeit, Kosten und Wiederverwendbarkeit einzuschätzen. Schwachstellenforschung (Vulnerabilty Research) geht hierbei auch über das bloße Aufdecken ungepatchter Geräte hinaus. Cyber-Kriminelle müssen beurteilen, ob die Kosten für die Recherche und Entwicklung der daraus resultierenden Tools im Verhältnis zum Gewinn nach einer Attacke stehen. Gut dokumentierte Software oder Open-Source-Tools, die leicht zu beschaffen und zu testen sind, bedeuten ein vergleichsweise leichtes Ziel.

Ebenfalls überraschend: Insgesamt spielt laut Wolpoff der Schweregrad einer Sicherheitslücke für Cyber-Kriminelle nicht die zentrale Rolle. Einen Angriff zu planen ist weit komplexer und erfordert wirtschaftliches Denken. Die Erkenntnis, dass auch die Gegenseite Kompromisse eingehen muss, hilft der Verteidigung von Cloud-Umgebungen, diese sinnvoll abzusichern. Alles, überall und jederzeit vor allen Angreifenden zu schützen ist illusorisch. Mehr wie sie zu denken, erleichtert aber die Priorisierung.

Im dritten Teil dieser Artikelserie dreht sich alles um die Frage, ob das Ransomware-as-a-Service-Modell auch ohne Bitcoin und Darknet möglich wäre und ob die beiden Technologien eigentlich in dem Kontext halten, was die Angreifenden versprechen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Warum das Geschäft mit der Erpressung floriert

Dieser Artikel ist der erste von drei Blogposts über die veränderte Bedrohungslage in professionellen Umgebungen. „Ransomware as a Service“ hat mächtige Auswirkungen auf Unternehmen, die aber keineswegs schutzlos dastehen. Auch modernes Schwachstellenmanagement, welches die Produkte von Greenbone ermöglichen, spielt in diesem Zusammenhang eine wichtige Rolle.

Zahlen 2020 – Anstieg, Umsatz, Kosten

Sie heißen DarkSide, REvil, Dharma, Egregor, Maze, LockBit oder Thanos. Selbst Emotet feiert gerade ein unerfreuliches Comeback: weltweit steigen die Ransomware-Angriffe, scheinbar ungebremst. Dabei nimmt auch ihre Intensität massiv zu: REvil und DarkSide legten die Bank of Scotland und eine wichtige Pipeline an der US-Ostküste lahm. In Deutschland leiden Behörden, Krankenhäuser und ganze Landkreise unter den Ransomware-Angriffen.

Ransomware ist Schadsoftware, die ein System verschlüsselt und den Zugriff auf die Daten nur dann wieder frei gibt, wenn das Opfer ein Lösegeld zahlt. Daher auch der Begriff „Ransom“, englisch für Lösegeld. Häufige Verbreitungswege für Ransomware sind Spam-Mails, Phishing und Drive-by-Exploits. Letztere nutzen Schwachstellen in Browsern, Browser-Plugins, Betriebssystemen und Netzwerkdiensten aus.

Fast alle erfolgreichen Angriffe auf IT-Infrastrukturen in den letzten Jahren gehen auf diesen Typen zurück, der so anders „tickt“ als die Cyber-Kriminellen der vergangenen Jahrzehnte. Das Bedrohungsszenario hat sich geändert, Ransomware wird heute von professionellen Infrastrukturen erstellt und betrieben, diese arbeiten gewinnorientiert und mindestens ebenso effizient wie die Unternehmen und Organisationen, die ihnen als Angriffsziele dienen. Angesichts der neuen Bedrohung müssen diese umdenken, wenn es um den Schutz ihrer Infrastrukturen geht.

Ein wichtiger Grund für den großen Erfolg von Ransomware ist Herstellern zufolge die zunehmende Verbreitung von Cloud-Infrastrukturen. Einerseits benutzen Angreifende selbst Cloud-Dienste, andererseits profitieren sie von der größeren Angriffsfläche, die Unternehmen erst recht in Zeiten von Homeoffice bieten. Ein anderer Grund ist auf fehlende Updates oder falsche Konfigurationen in der Unternehms-IT zurückzuführen. Beide Ursachen erhöhen die Erfolgswahrscheinlichkeit für Angreifende. Die Ressourcen sind jedoch sehr ungleich verteilt: In den letzten Jahren etablierte sich eine weltweit und höchstprofessionell arbeitende Industrie, die Cloud-Dienste für Cyber-Kriminelle anbietet – „Ransomware as a Service“ (RaaS).

Von „Software as a Service“ zu „Ransomware as a Service“

Das Konzept von „Software as a Service“ (SaaS), also IT-Dienste aus der Cloud ohne Software zu erwerben und diese nur nach Nutzung abzurechnen, hat sich seit mehreren Jahrzehnten bewährt. Bekannte SaaS-Anbieter sind Slack, Salesforce und WordPress. Auch große Software-Firmen wie Microsoft mit Microsoft 365 und Adobe mit der Adobe Creative Cloud bieten mittlerweile SaaS-Versionen Ihrer Produkte an. Auch Greenbones Cloud-Service funktioniert nach diesem Modell. Die Vorteile des Services liegen in der Skalierbarkeit, der Flexibilität, der hohen IT-Sicherheit und den strengen Regeln des europäischen Datenschutzes, insbesondere wenn das Hosting in deutschen Rechenzentren erfolgt, wie auch beim Greenbone Cloud Service.

Spätestens 2020 erreichte der Trend auch das Darknet und den Markt der Ransomware-Hacker:innen. Mit dem SaaS-Geschäftsmodell im Hintergrund infiltrieren Angreifende lokale Netze, verschlüsseln Daten und verlangen Lösegeld vom Opfer. RaaS nutzt nun das SaaS-Modell, um Malware effizienter und kostengünstiger unter die Leute zu bringen und Gelder zu erpressen.

Über 60 % aller bekannten Ransomware-Angriffe gingen 2020 bereits auf das Konto von RaaS-Modellen, einem hart umkämpften, aber wachsenden Markt. 15 neue RaaS-Anbieter sollen 2020 hinzugekommen sein. Das Geschäftsmodell ist klar: Die Kundschaft, also potenzielle Hacker:innen oder Angreifende, brauchen keinerlei technische Fähigkeiten mehr, es gibt Rabattaktionen und professionelle Services. All das macht RaaS für Cyber-Kriminelle zunehmend attraktiv und funktioniert offensichtlich, weil ihnen zahllose unzureichend geschützte Infrastrukturen offenstehen.

Die Anzahl der gesamten Ransomware-Angriffe stieg 2020 um fast 500 Prozent. Zwei Drittel davon gehen auf das Konto von RaaS-Angeboten, Tendenz auch 2021 steigend [1]. Mit Ransomware machten Angreifende im Jahr 2020 geschätzt 20 Milliarden US-Dollar Umsatz, nach gut 11 Milliarden in 2019 [2]. RaaS-Angebote gibt es für Hacker:innen ab 40 $/Monat. Wer mehr Service will, kann auch Tausende Dollar investieren [3].

Die durchschnittlichen Kosten für betroffene Firmen für das Aufräumen nach einem Ransomware-Angriff haben sich im Laufe des Jahres 2020 verdoppelt  und betragen in der Regel das Zehnfache der geforderten Lösegelder. Diese wiederum lagen im Jahr 2020 durchschnittlich zwischen 200.000 und 300.000 Dollar [4]. Ob Konzern oder kleines Unternehmen, meist sind die Forderungen gleich hoch, denn nicht jeder Angriff muss erfolgreich sein. Wie auch bei Spam ist die Masse entscheidend.

„Ransomware as a Service“ als Geschäftsmodell

Das Geschäftsmodell von „Ransomware as a Service“ erklären Websites wie die von AppKnox umfassend und anschaulich: RaaS-Organisationen vermieten Software und IT-Infrastrukturen, die von und bei einem externen IT-Dienstleistungsunternehmen betrieben werden. Cyber-Kriminelle mieten sie als Dienstleistung, um Unternehmen oder Privatpersonen anzugreifen und zu erpressen. RaaS-Entwickelnde und -Anbietende sind juristisch auf der sicheren Seite, sie stellen ja „nur“ die Infrastruktur bereit und sind so nicht für den Angriff verantwortlich. Heute kann jeder RaaS-Angriffe buchen, starten und Unternehmen, Behörden oder Privatpersonen erheblichen Schaden zufügen.

Dahinter stecken vier gängige RaaS-Geschäftsmodelle:

  • Monatliche Zahlung (Abo-Modell)
  • Partnerprogramme, zusätzlich zum Abo-Modell gibt es Gewinnbeteiligungen
  • Einmalige Lizenzgebühr
  • Ausschließlich Gewinnbeteiligung

Egal für welches Modell sich Anwendende entscheiden, einige RaaS-Firmen machen es Ihnen sehr einfach: ab ins Darknet, einloggen, Konto anlegen, Modell wählen, ggf. mit Bitcoin zahlen, Schadsoftware verteilen und warten, bis der Erfolg eintritt.

Für das investierte Geld gibt es Service auf Enterprise-Niveau. Ein typisches Produkt enthält nicht nur den Code der Ransomware sowie die Schlüssel zum Ver- und Entschlüsseln, sondern liefert auch gleich die passenden Phishing-E-Mails, um einen Angriff zu starten, eine gute Dokumentation und 24/7-Support. Auch um die Abrechnung, das Monitoring, Updates und Statusberichte, Kalkulation und Prognosen hinsichtlich einer Einnahmen-/Ausgaben-Rechnung wird sich gekümmert.

Potenzielle Opfer sind keineswegs hilflos

Trotz der Professionalität müssen Unternehmen und Behörden nicht tatenlos zusehen. Zwar sieht man sich jetzt anderen Angreifenden gegenüber, macht- und hilflos ist man keineswegs.

Teuer wird es dagegen auf jeden Fall, wenn das Kind schon in den Brunnen gefallen ist: Das FBI warnt regelmäßig davor, auf Forderungen von Erpressenden einzugehen, erst recht nicht bei organisierter Kriminalität und schon gar nicht bei Ransomware. Da hilft dann nur noch der teure, langwierige Neuaufbau oder der Versuch, die Verschlüsselung zu knacken. Günstiger ist es vielmehr, sich vorzubereiten.

Schützen können sich Unternehmen durch einige simple Maßnahmen und konsequentes Einhalten von Best Practices. Backups, an verschiedenen Orten und abgetrennt vom Tagesgeschäft, schützen die Daten. Zwei-Faktor-Authentifizierung behindert Angreifende, die an Passworte kommen konnten. Starke Passwörter sollten heute selbstverständlich sein, genauso wie eine smarte Netzwerksegmentierung. Planung, Incident-Response- und Recovery-Pläne müssen erstellt und regelmäßig getestet werden. Automatisierung, Monitoring und regelmäßige Schulungen der Mitarbeitenden hinsichtlich der IT-Sicherheit (z. B. Phishing-E-Mails) sind ein Muss. Der Automatisierung kommt dabei innerhalb der IT ein besonderer Stellenwert zu, weil die Angriffe bisweilen so schnell erfolgen, dass menschliche Reaktionen ins Leere laufen.

Die Basis für all diese Maßnahmen stellen Lösungen der Endpoint-Protection und des professionellen Schwachstellenmanagements dar. Das Wissen über Verwundbarkeiten und Schwachstellen in den Netzwerken ist hier Gold wert. Admins erkennen die Lücken Ihrer IT-Verteidigung und schließen diese, bevor Cyber-Kriminelle sie missbrauchen können – mit den Greenbone-Lösungen kontinuierlich und automatisch.

Die Produkte von Greenbone untersuchen fortlaufend das Unternehmensnetzwerk oder externe   IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärteten Greenbone Enterprise Appliances oder der als Software as a Service verfügbare Greenbone Cloud Service, dessen Hosting in deutschen Rechenzentren erfolgt, garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren. Auf diese Weise sind Unternehmen auch gut vorbereitet, wenn „Ransomware as a Service“ als Geschäftsmodell weiter zunimmt.

[1] https://www.unityit.com/ransomware-as-a-service/

[2] https://www.pcspezialist.de/blog/2021/06/14/raas-ransomware-as-a-service/

[3] https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

[4] https://www.appknox.com/blog/ransomware-as-a-service

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Nach dem Hack ist vor dem Hack: Greenbone schützt Behörden zu Sonderkonditionen

Immer wieder werden deutsche Behörden und Kommunen Ziele von Cyber-Angriffen. Der anschließende Wiederaufbau dauert oft mehrere Monate. Mit einem Schwachstellenmanagement kann das Risiko von Cyber-Angriffen drastisch reduziert werden – denn durch das Beseitigen von Schwachstellen wird Angreifenden die notwendige Grundlage genommen. Auch das Schwachstellenmanagement von Greenbone schützt Behörden – zu Sonderkonditionen.

Landkreise und Krankenhäuser gehackt, ganze IT-Infrastrukturen liegen lahm, zu behandelnde Personen werden ausgelagert, die Bundeswehr muss helfen: Was vor wenigen Jahren noch apokalyptisch anmutete, wurde im Sommer 2021 verstörende Realität. Zum ersten Mal in der deutschen Geschichte wurde der Katastrophenfall ausgerufen, weil sich Angreifende erfolgreich Zugriff auf die Netzwerke von Behörden oder deren Dienstleistenden verschafft hatten. Schwerin, Witten, Bitterfeld, Ludwigslust: Die Liste ist lang und nur großflächiges Deaktivieren der Server half den Betroffenen.

Abschalten hilft nur akut, der Neuaufbau dauert Monate

Wer sind die Angreifenden? Nicht immer ist es im digitalen Raum möglich, die Personen zu finden, die hinter den Taten stecken, sogar dann, wenn erpresserische Geschäftsmodelle und Lösegeldforderungen vorliegen. Meldepflichten und IT-Sicherheitsgesetze helfen den Betroffenen auch nicht konkret dabei weiter, denn der Schaden ist bereits entstanden: In der Regel wissen die Opfer noch nicht einmal gesichert, ob sie gezielt oder per Zufall angegriffen wurden. Die Schadenssummen sind immens, manche Behörden sind Monate mit dem Aufräumen und Wiederherstellen beschäftigt, nicht selten müssen ganze Systemlandschaften neu aufgebaut werden.

Dekoratives Bild einer Behörde

Cyber-Kriminelle nutzen Schwachstellen, die bereits gefixt waren

Warum aber fällt es Angreifenden so leicht, in fremde Netze einzudringen? Die meisten Angriffe, vor allem automatisierte, nutzen eigentlich schon lange geschlossene Schwachstellen für die Einbrüche.

Das funktioniert derzeit so gut, weil sich durch Systempflege allein nicht alle Systeme ausreichend auf Angriffe vorbereiten lassen. Schwachstellen können in Produkten, Systemkomponenten oder deren Konfiguration verborgen sein, die sich in den üblichen Infrastrukturen zu vielen tausenden Angriffspunkten summieren. Da stehen Hintertüren offen, die Angreifende aufspüren können, oft mit relativ einfach zu handhabenden Werkzeugen.

Schwachstellenscanner informieren und helfen, Lücken zu schließen

Dabei sind Admins, Behörden und Firmen keinesfalls machtlos. Was zählt, ist das Wissen über Verwundbarkeiten, Schwachstellen oder offene Flanken in den Netzwerken. Mit den richtigen Tools sind Sie Cyber-Kriminellen immer einen Schritt voraus, weil sie die Lücken Ihrer IT-Verteidigung erkennen, bevor Cyber-Kriminellen dies gelingt – mit den Greenbone-Lösungen klappt das kontinuierlich und automatisch.

Greenbone-Enterprise-Produkte untersuchen fortlaufend das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärtete Appliances – virtuell oder als Hardware verfügbar – oder der als Software-as-a-Service verfügbare Greenbone Cloud Service garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren.

Sonderkonditionen für Behörden

Das erkennen auch mehr und mehr Behörden, die sich im Kampf gegen Cyber-Attacken für Greenbone entscheiden. Greenbone schützt Behörden zu Sonderkonditionen und die Lösungen können einfach über das Kaufhaus des Bundes beschafft werden.

 


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von