stokkete - stock.adobe.com
Zero Day Exploits: der Angriff aus dem Nichts
Die Entwickler von Schadprogrammen wie Ransomware dringen immer häufiger in Systeme ein, indem sie Zero Day Exploits nutzen. Wie können sich Unternehmen besser schützen?
Was haben SolarWinds, Log4Shell, Heartbleed und Colonial Pipeline gemeinsam? Alle waren in den vergangenen Jahren wegen Cyberangriffen in den Schlagzeilen, bei denen Zero Day Exploits eine relevante Rolle gespielt haben. Bei diesen Exploits handelt es sich um eine besonders gefährliche Form von Schwachstellen, da sie bis dato unbekannt waren.
Die Zeitspanne zwischen dem Einbruch in die IT-Infrastruktur eines Unternehmens und der Behebung der Schwachstelle kann Tage, Wochen, Monate oder sogar Jahre betragen. Das ist wertvolle Zeit für Hacker, die im Verborgenen ihren Angriff planen.
Laut dem Bericht M-Trends 2022 von Mandiant lag der Prozentsatz an Cybersicherheitsvorfällen mit Ransomware in der EMEA-Region von 2020 bis 2021 stabil bei über einem Fünftel der beobachteten Angriffe (25 Prozent im Jahr 2020 und 23 Prozent 2021). Dabei konnte die Ransomware im Median für das Jahr 2021 vier Tage im System verweilen. In einigen Fällen erreichte die Verweildauer jedoch über 150 Tage.
Die Verbreitung von Zero Day Exploits hängt laut einem Bericht der MIT Technology Review mit einer rasanten Verbreitung von Hacking-Tools zusammen. Dabei investieren böswillige Gruppen hohe Summen in Zero Days Exploits. Die Bedrohung ist groß, aber wie können sich Unternehmen gegen Schwachstellen schützen, von denen sie noch gar nicht wissen? Fünf Maßnahmen helfen besonders dabei, einen proaktiven Ansatz umzusetzen, der die Risiken deutlich senken kann.
1. Strenge Sicherheitshygiene bei der Softwareentwicklung
In den schnelllebigen und komplexen IT-Umgebungen von heute ist es schwieriger denn je, Schwachstellen zu vermeiden. Der vermehrte Einsatz modularer Komponenten bedeutet, dass Entwickler oft Ressourcen verwenden, die sie nicht vollständig kontrollieren. Dazu zählen beispielsweise Open-Source-Software oder -Codes sowie Tools von Drittanbietern. Dieser Umstand macht es schwierig, jede mögliche Lücke zu identifizieren.
Aus diesem Grund ist es für Unternehmen von entscheidender Bedeutung, ihre Bemühungen zu verdoppeln, um Schwachstellen aufzudecken. So sollte etwa Penetration Testing, kurz Pentesting, in jedem Unternehmen zum Standard gehören, um die Sicherheit der gesamten Software-Pipeline zu bewerten und sicherzustellen.
Eine weitere Maßnahme kann die Bezahlung von White-Hat-Hackern darstellen. Diese ethischen Hacker können Angriffsvektoren in der Unternehmensinfrastruktur entdecken, bevor sie von böswilligen Angreifern ausgenutzt werden. Unternehmen können und sollten auch ihre Systeme und Daten kontinuierlich scannen, um Schwachstellen sofort zu erkennen und schnell zu beheben. Solche internen Kontrollen können einen großen Beitrag dazu leisten, bislang unbemerkte Fehler in der Softwareentwicklung zu entdecken, bevor sie zu Sicherheitsproblemen führen.
2. Zero Trust Security
Zero Trust ist eine Sicherheitsarchitektur mit der Prämisse „trust no one, always verify“, die davon ausgeht, dass alles in einem Unternehmen einen möglichen Angriffsvektor darstellt. Das unterscheidet sie vom traditionellen „Trust but Verify“-Modell, das Nutzern oder Geräten mit einfachen Anmeldeinformationen breiten Zugang zu digitalen Ressourcen gewährt. Stattdessen begrenzt und beschränkt Zero Trust den Zugriff auf ein Minimum an Nutzern und Geräten, legt zeitliche Beschränkungen für den privilegierten Zugriff fest.
Obwohl Zero Trust traditionell als ein Sicherheitsmodell für Netzwerke betrachtet wird, gelten die Prinzipien auch für die Datensicherheit und die Sicherheitsarchitektur im Allgemeinen. Zero Trust eignet sich, um Daten in Unternehmen, in der Cloud und bei SaaS-Workloads zu schützen. Das Modell schirmt Netzwerke zwar nicht vor allen Angriffen ab, aber es senkt das Risiko und beschleunigt die Erkennung von Bedrohungen. Dieses Modell eignet sich für jedes Unternehmen – unabhängig von seiner Größe oder Branche.
3. Konsequentes Patchen
Zero Day Exploits beginnen mit bisher unbekannten Schwachstellen. Im besten Fall werden Patches zum Schließen der Lücken herausgegeben, bevor es zu einem erfolgreichen Angriff kommt. Diese müssen jedoch konsequent angewendet werden. Beispielsweise warf das FBI 2020 vier vom chinesischen Militär unterstützten Hackern vor, 2017 einen Cyberangriff auf die Verbraucherkreditauskunftei Equifax durchgeführt zu haben.
Die Angreifer verschafften sich zunächst über ein Webportal für Verbraucherbeschwerden Zugang, indem sie eine weithin bekannte Sicherheitslücke nutzten, die das Unternehmen nie gepatcht hat. Ein solcher Vorfall kann verhindert werden. Deshalb müssen Unternehmen Mechanismen umsetzen, mit denen sie herausfinden können, welche Systeme noch nicht über die aktuellen Patches verfügen.
„Es spielt eine wichtige Rolle, dass Unternehmen ihre IT-Sicherheitsmaßnahmen regelmäßig auf Schwachstellen überprüfen – etwa via Pentesting – und diese auf dem neuesten Stand halten.“
Michael Pietsch, Rubrik
4. Schulungen für Mitarbeiter
Die Aus- und Weiterbildung ist ein weiterer Bereich, in den es sich lohnt zu investieren, weil das die Bedrohung durch Zero-Day- und anderen Angriffen reduziert. Die Schulung der Mitarbeiter sollten alle Bereiche von Programmen von der Sensibilisierung für Phishing-Angriffe bis hin zur Aufklärung für Entwicklern abdecken.
Dieses Vorgehen führt dazu, dass Mitarbeiter Phishing eher erkennen und Entwickler Sicherheitslücken möglichst vermeiden oder im Notfall schneller beseitigen können. Unternehmen sollten grundsätzlich immer davon ausgehen, ein potenzielles Ziel zu sein.
5. Planung der Daten- und System-Wiederherstellung
Keine, auch die vier oben genannten Maßnahmen können vollständig verhindern, dass es zu einem erfolgreichen Angriff kommt. Daher müssen Unternehmen einen Notfallplan für den Fall eines Zero-Day-Angriffs haben.
Zu den Fragen, die sich eine Organisation stellen sollte, gehören: Wissen wir, wo sich all unsere Daten befinden, insbesondere die sensibelsten Daten? Gibt es bereits Mechanismen, die gefährdete und ungepatchte Systeme identifizieren können? Haben wir einen gut ausgearbeiteten Wiederherstellungs- und Backup-Plan? Gibt es einen Standardprozess, der festlegt, welche Schritte in welcher Reihenfolge von wem geleitet und ausgeführt werden müssen? Wie schnell können wir wiederherstellen? Haben wir unsere Wiederherstellungspraktiken getestet, um uns auf ein realistisches Szenario vorzubereiten? Wenn die Antwort auf eine dieser Fragen nein lautet, wird ein Unternehmen mit Sicherheit große Probleme damit haben, sich von einem Zero-Day-Angriff zu erholen.
Fazit
Die genannten fünf Punkte zeigen, dass es möglich ist, sich auf Zero-Day-Angriffe vorzubereiten. Vor allem lohnen sich die Vorbereitungen, denn diese Art von Attacken gehören zu den unangenehmsten Überraschungen im Bereich Cybersicherheit, mit denen ein Unternehmen konfrontiert werden kann. Deshalb spielt es eine wichtige Rolle, dass Unternehmen ihre IT-Sicherheitsmaßnahmen regelmäßig auf Schwachstellen überprüfen – etwa via Pentesting – und diese auf dem neuesten Stand halten. Durch diese Maßnahmen ist es möglich, den Schaden durch Zero Day Exploits zu minimieren.
Über den Autor:
Michael Pietsch ist General Manager and Country Manager Germany bei Rubrik.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.