Geldinstitute > Security

02.11.2018 von Gérard Bauer ist VP EMEA bei Vectra

Versteckte Tunnel: Licht ins Dunkel bringen

Jüngste Untersuchungen haben gravierende Sicherheitslücken bei Finanzdienstleistern entdeckt. Cyberangreifer nutzen versteckte Tunnel, um heimlich auf Daten zuzugreifen und diese zu stehlen. Derartige Angriffstechniken spielten auch beim spektakulären Cyberangriff auf Equifax eine entscheidende Rolle.

Im Rahmen einer aktuellen Studie hat Vectra 13 weitere Branchen analysiert, um einen Vergleich anstellen zu können. Die Forschungsdaten stammen aus anonymisierten Metadaten von über 4,6 Millionen Geräten und Anwendungs-Workloads in Unternehmensnetzwerken über einen Zeitraum von drei Monaten. Sieht man sich die interne Netzwerkkommunikation von Unternehmen an, wird man Angreifer finden, die bereits die Abwehr und Kontrolle von Perimetern überwunden oder umgangen haben und bereits auf dem besten Weg sind, ihre bösartigen Ziele zu erreichen, digitale Ressourcen und Dienste zu kompromittieren, zu stehlen, gegen Lösegeld festzuhalten oder zu manipulieren.

 

Was sind versteckte Tunnel?

 

Zunächst gilt es zu definieren, was mit versteckten Tunneln gemeint ist. Der Begriff Tunnel steht in diesem Zusammenhang für die Kommunikation, die Daten innerhalb von Netzwerken oder zwischen Anwendungen austauschen, indem sie bereits vorhandene Protokolle oder Dienste verwenden. Ein Beispiel sind die HTTP- oder HTTPS-Protokolle, die von Websites verwendet werden. Tunnel dienen oft als einfache Kommunikationsmethode, die Sicherheitskontrollen aus Effizienzgründen umgehen. Zum Beispiel ist es üblich, dass Webzugriff (HTTP, HTTPS) verfügbar ist, aber andere Dienste blockiert werden können. Viele Anwendungen „tunneln“ somit ihre Kommunikation über diese Webprotokolle, um sicherzustellen, dass sie mit der Außenwelt kommunizieren können. Beispiele für den legitimen Einsatz dieser Tunneltechnik wären Börsenticker-Feeds, interne Finanzmanagementdienste, Finanzanalysetools von Drittanbietern und andere Cloud-basierte Finanzanwendungen.

 

Versteckte Tunnel werden von Cyberangreifern in ähnlicher Weise genutzt, um sich innerhalb dieser legitimen Kommunikationsprotokolle und -dienste zu verstecken. Sie nutzen diese Tunnel als Zugangspunkt zu einem Netzwerk, von dem aus sie die Kontrolle ausüben und kritische Daten und persönliche Informationen stehlen können. Da sie sich innerhalb legitimer Protokolle befinden, ermöglichen diese Tunnel Angreifern, sich unauffindbar im Netzwerk zu bewegen, es aus der Ferne anzugreifen und Daten daraus zu exfiltrieren. Dies bedeutet, dass viele Sicherheitsmaßnahmen nicht wirksam sind, um Unternehmen vor diesen Arten von Angriffsverhalten zu schützen. Es sei auch darauf hingewiesen, dass versteckte Tunnel es Hackern nicht nur ermöglichen, Command-and- Control-Aktivitäten (C2) unbemerkt über ihre Angriffe zu orchestrieren, sondern auch ermöglichen, heimlich Daten zu exfiltrieren. Diese C2- und Exfiltrationsverhaltensweisen sind Teil eines breiteren Spektrums von Schritten, einschließlich Aufklärung und lateraler Bewegung, die gezielte Angriffe immer wieder zeigen. Diese Schritte werden zu Gliedern in der „Kill Chain“ des Lebenszyklus eines Angriffs kombiniert.

 

Welche Branchen leiden unter versteckten Tunneln, die bei Angriffen verwendet werden?

 

 

 

Abbildung 1 - Versteckte Tunnel werden häufiger in Finanzdienstleistungsunternehmen beobachtet*.

 

Finanzdienstleistungsunternehmen verfügen über die größten nichtstaatlichen Cybersicherheitsbudgets der Welt. Laut Homeland Security Research Corp. erreichte der Cybersicherheitsmarkt der USA für Finanzdienstleistungen im Jahr 2015 ein Volumen von 9,5 Milliarden US-Dollar und ist damit der größte im privaten Sektor. Wenn sich Sicherheit allein mit Geld erreichen ließe, wären dies die sichersten Orte der Welt. Beide Fakten deuten jedoch auf eine schmerzhafte Wahrheit hin: Die größten Unternehmen der Welt bleiben lukrative Ziele für anspruchsvolle Cyberangreifer, und mit den erforderlichen Ressourcen, Fähigkeiten und Ausdauer können die Angreifer immer noch gewinnen.

 

Finanzdienstleistungsunternehmen erleben nicht das gleiche Ausmaß an Sicherheitsvorfällen wie andere Branchen. Die bisher aufgetretenen Vorfälle verursachten jedoch enorme Schäden mit weitreichenden Folgen und entsprechendem Medienecho. Keine Verteidigung ist perfekt, so dass es trotz erheblicher Bemühungen zur Stärkung der Sicherheitsinfrastruktur immer noch zu Cyberangriffen und Sicherheitsverletzungen kommt. Equifax verfügte beispielsweise über das erforderliche Budget, die Fachkräfte und ein ausgeklügeltes Sicherheitszentrum. Dennoch wurden 145,5 Millionen Sozialversicherungsnummern, rund 17,6 Millionen Führerscheinnummern, 20,3 Millionen Telefonnummern und 1,8 Millionen E-Mail-Adressen gestohlen. Versteckte Tunnel waren eine Schlüsseltaktik beim Equifax-Angriff. Zum Teil sind es gerade die robusten Sicherheitskontrollen in Finanzdienstleistungsunternehmen, die Angreifer zwingen, legitime Dienste und Kommunikationsprotokolle zu nutzen, um sich in versteckten Tunneln zu verstecken.

 

Versteckte Tunnel werden auch außerhalb der Finanzbranche beobachtet, machen aber nur einen kleineren Teil des gesamten Angriffsverhaltens in Unternehmensnetzwerken aus. So wird in vielen Branchen eine größere Anzahl von Angreiferverhalten in den Netzwerken registriert als in der Finanzbranche (siehe Abbildung 2). Es ist sinnvoll, die Gesamtzahl der Angriffsbeobachtungen mit der Reife der Sicherheitsfunktionen zu korrelieren. Ein Beispiel wären die Sicherheitsfähigkeiten in einer Hochschule mit knappen Ressourcen im Vergleich zu einer nationalen Regierungsbehörde.

 

 

 

 

 

KI-Licht am Ende des Tunnels

Hochentwickelte Cyberangreifer steigern die Effizienz ihrer eigenen Technologie durch Automatisierung. Daher besteht gleichermaßen ein dringender Bedarf an der Automatisierung von Erkennungs- und Reaktions-Tools, um Bedrohungen schneller zu stoppen. Da versteckte Tunnel den Verkehr von legitimen Anwendungen übertragen, haben einfache Systeme zur Anomalie-Erkennung Schwierigkeiten, den normalen Verkehr von Angreiferkommunikation zu unterscheiden, die darunter verborgen ist. Gleichzeitig besteht weltweit ein Mangel an hochqualifizierten Cybersicherheitsexperten, die in angemessener Geschwindigkeit mit der Erkennung und Reaktion auf Cyberangriffe umgehen können.

 

Die Fähigkeit, bestehende technische und menschliche Fähigkeiten zu erweitern, bietet einen Weg nach vorn. Um diese fortgeschrittenen versteckten Bedrohungen zu finden, wurden nun ausgefeilte maschinelle Lernalgorithmen entwickelt. Damit ist es möglich, versteckte Tunnel innerhalb der legitimen Kommunikation zu identifizieren. Obwohl der Datenverkehr normal ist, gibt es subtile Anomalien, wie zum Beispiel leichte Verzögerungen oder ungewöhnliche Muster bei Anfragen und Antworten, die auf das Vorhandensein verdeckter Kommunikation hinweisen. Infolgedessen wird der Einsatz von KI immer wichtiger, um bestehende Cybersicherheitsteams zu befähigen, Bedrohungen schneller erkennen und darauf reagieren zu können. Ziel ist es, den Angreifern immer einen Schritt voraus zu sein, insbesondere, wenn sie versteckte Tunnel nutzen.