Threat-Report: Bedrohungen für Unternehmens-Netzwerke

Die Angreifer nutzen gängige Übertragungswege, um Malware in Unternehmen einzuschleusen. Dann erst beginnt die gefährliche Phase eines Angriffs.

Palo Alto Networks hat die Ergebnisse seines „Application Usage and Threat Report 2014“ veröffentlicht. Untersucht wurde, wie Angreifer gängige Business-Anwendungen ausnutzen, um die Sicherheitskontrollen in Unternehmens-Netzwerken zu umgehen. Der Report basiert auf der Analyse von über zwölf Monate lang erfasstem Traffic in 5551 Unternehmens-Netzwerken weltweit.

In Unternehmen genutzte Anwendungen

E-Mail, Social Media, Instant Messaging, Video und Filesharing (von Palo Alto Networks unter „Common Sharing Applications“ zusammengefasst) machen 28 Prozent der Anwendungen aus und beanspruchen 26 Prozent der Netzwerk-Bandbreite. Netzwerk- und Web-Utilities sind nur 11 Prozent der Anwendungen, die sich aber 28 Prozent der Bandbreite genehmigen. Der Anteil an Business-Applikationen beträgt 8 Prozent, die 18 Prozent Bandbreite konsumieren.

Anwendungstypen und Anfälligkeit für Threats

Die Common File Sharing Applications sind mit 32 Prozent das größte Einfallstor für Schadsoftware, aber nur für 5 Prozent der eigentlichen Bedrohungsaktivitäten verantwortlich. Netzwerk- und Web-Utilities kommen mit 31 Prozent Anteil bei den Threads fast auf das Ergebnis der Sharing-Anwendungen, verursachen aber 62 Prozent der Threat-Aktivitäten. Business-Applikationen sind mit 7 Prozent Threat-Anteil vermeintlich vergleichsweise uninteressant für Angreifer, aber doch für 27 Prozent der Bedrohungsaktivitäten gut. Sie sind vor allem das Ziel von Brute-Force-Angriffen.

Bedrohungstypen

19 Prozent der untersuchten Bedrohungen waren Code Execution Exploits, die über gängigen Common File Sharing Applications ausgeliefert wurden. Sie sind selbst jedoch nur die bevorzugten Transportwege, um den Schadcode einzuschleusen. Ist das einmal erfolgt, werden sie für die weitere Ausführung von Multi-Phasen-Attacken nicht mehr benötigt. In der ersten Phase wird der Endpunkt infiltriert und unter Kontrolle gebracht. Dabei ist der Endpunkt typischerweise nicht einmal das Ziel des Angriffs. In der Regel geht es den Angreifern um das Unternehmens-Netzwerk. Wenn der Endpunkt unter Kontrolle ist, kann in der nächsten Phase des Angriffs weiterer Schadcode nachgeladen und installiert werden. Damit können die Angreifer den infizierten Endpunkt für beliebige Aktivitäten missbrauchen. Die Schadsoftware Smoke-Loader ermöglicht beispielsweise ein Remote-Management des Endpunkts. Damit können die Angreifer weitere Malware installieren, Passwörter stehlen, Antivirus-Programme deaktivieren oder MITM-Angriffe durchzuführen.

Smoke.Loader
Eine Multi-Phasen-Attacke am Beispiel von Smoke.Loader. Der Eintrittsvektor (etwa E-Mail via POP3) ist ein anderer als der Austrittsvektor (hier Social Media oder Web-Browsing). In beiden Richtungen werden häufig vorkommende gewöhnliche Anwendungen im Netzwerk verwendet. (Quelle: Palo Alto Networks)

Heutige Attacken nutzen FTP, RDP, SSL oder NetBIOS. Diese Anwendungen sind in fast jedem Netzwerk zu finden und es ist daher wenig erstaunlich, dass Angreifer sie bevorzugt einsetzen, um ihre Ziele zu attackieren.

Der Großteil der erfassten Bedrohungsaktivitäten geht von einer kleinen Anzahl von Anwendungen aus. 94 Prozent der ausgenutzten Schwachstellen wurden in nur 10 Applikationen ermittelt. 99 Prozent der erfassten Malware-Log-Daten wurden zudem in UDP gefunden. Die meisten davon generierte eine einzelne Bedrohung.

Die erfassten Daten zeigen, dass eine zunehmende Anzahl von Applikationen über verschlüsselte Kanäle übertragen kann. 34 Prozent der beobachteten Anwendungen nutzen SSL in irgendeiner Weise. Viele Netzwerkadministratoren wissen aber beispielsweise nicht, welche Applikationen ungepatchte Versionen von OpenSSL verwenden und damit Schwachstellen wie Heartbleed ausgesetzt sind.

„Unsere Forschung zeigt eine untrennbare Verbindung zwischen häufig verwendeten Unternehmensanwendungen und Online-Bedrohungen auf. Die häufigsten Netzwerkangriffe gehen auf Anwendungen wie E-Mail zurück, mit denen Exploits ins Unternehmen gelangen. Im Netzwerk angekommen nutzen die Angreifer andere Programme oder Services, um ihre Aktivitäten fortzusetzen.“, erklärt Matt Keil, Senior Research Analyst bei Palo Alto Networks.

Empfohlene Vorsichtsmaßnahmen

Der Report gibt auch Empfehlungen für Schutzmaßnahmen:

  • Führen Sie Richtlinien ein, um die sichere Nutzung von gebräuchlichen Anwendungen zu erlauben. Wichtig sind dabei die Dokumentation aller relevanten Richtlinien, die Aufklärung der Nutzer und die regelmäßige Aktualisierung der Policies.
  • Überwachen Sie unbekanntem Netzwerk-Traffic. In jedem Unternehmens-Netzwerk gibt es nicht zuordenbaren Traffic, der durchschnittlich nur 10 Prozent der genutzten Bandbreite ausmacht. Er birgt jedoch ein hohes Sicherheitsrisiko, wie der Report zeigte. Durch die Beobachtung von unbekanntem UDP- und TCP-Verkehr lässt sich laut Palo Alto Networks ein signifikantes Aufkommen von Malware schnell ausschalten.
  • Entschlüsseln sie gezielt Anwendungen, die SSL verwenden. Eine selektive Entschlüsselung in Kombination mit Richtlinien kann Unternehmen helfen, potenzielle Verstecke für Cyber-Bedrohungen aufzudecken und zu beseitigen. Allerdings kann SSL-Scanning im Unternehmen mit dem Datenschutz kollidieren.

Sie können den vollständigen Report „Application Usage and Threat Report 2014“ bei Palo Alto Networks kostenlos gegen Registrierung downloaden.

 

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close