2020 stand ganz im Zeichen von Covid-19, einem Virus, das die ganze Welt in Atem hielt und noch hält. Für einmal kein Computervirus, sondern ein reales, welches unser Leben, unser Gesundheitssystem und letztendlich auch unsere Wirtschaft in aller Härte getroffen hat. Die Analogien zur IT-Variante davon, einer gut gemachten Malware, sind augenfällig: einfache Ansteckung, rasche Verbreitung, hohe Verwundbarkeit der Systeme, mehr oder weniger gute Schutzmassnahmen und die grossen gesundheitlichen bzw. wirtschaftlichen Schäden.
Abseits der vielen Corona-Schlagzeilen gab es 2020 einen grossangelegten Cyber-Angriff auf die USA (aka Sunburst), welche über die Infiltrierung der Software SolarWinds initiiert wurde und vom dem auch das profilierte IT-Sicherheitsunternehmen FireEye betroffen war. Aber auch in der Schweiz wurden viele Unternehmen Opfer von Cyber-Attacken, u.a. die Swatch im November oder Huber+Suhner, deren Aktivitäten im Dezember weitgehend lahmgelegt wurden.
Was erwartet uns in 2021? Same same, aber noch mehr davon und noch gefährlicher? Und was können wir tun um uns vor solchen Angriffen besser zu schützen? Hier sind sie, die IT-Security-Trends für 2021:
Trend 1: Home Office bleibt – Remote Access weiterhin im Visier von Angreifern
Home Office wird für viele Unternehmen auch 2021 eine grosse Rolle spielen und damit bleiben die Mitarbeitenden zuhause weiterhin im Fokus von Angreifern. Angriffe auf das VPN, die Endgeräte oder direkt auf den Benutzer haben in 2020 massiv zugenommen. Um dieser Bedrohung zu begegnen, muss das VPN aktuell, korrekt und sicher konfiguriert sein, starke Authentisierung eingesetzt werden und die Endgeräte auf dem neusten Stand sein bzw. idealerweise über eine moderne Sicherheitssoftware verfügen, die über klassische AV-Patterns hinausgeht.
Bei Gartner ist das Thema «Securing your remote workforce» Nummer 1 auf der Liste der anstehenden IT-Security-Projekte. Gartner ist zudem auch ein grosser Verfechter der Themen ZTNA (Zero-Trust-Network-Access) und SASE (Secure-Access-Service-Edge). Dabei verschieben sich die relevanten Security-Funktionen vom klassischen Perimeter in die Cloud. Eine SASE-Plattform bietet heutzutage allen Mitarbeitenden sicheren und raschen Zugriff auf Internet, SaaS-Anwendungen und private Applikationen – unabhängig von Standort, Endgerät und Netzwerk. Im Gegensatz zu VPN bietet dieser Ansatz höheren Benutzerkomfort und mehr Sicherheit, denn Anwendungen – egal ob im eigene Rechenzentrum oder in der Cloud – sind gegenüber dem Internet und Dritten unsichtbar.
Persönlich habe ich bereits in 2020 viele solcher ZTNA/SASE-Projekte gesehen und begleiten dürfen – die entsprechenden Unternehmen waren begeistert und sind gleichzeitig bestens aufgestellt für die neue IT-Welt bestehend aus Mobile First und Cloud.
Trend 2: Ransomware nimmt weiter zu – neu mit Veröffentlichung sensibler Daten
Ransomware hat aus dem Schweizer Backup-Spezialisten Acronis eine IT-Security-Firma gemacht. Wer eine gute Backup-Strategie verfolgt und seine Systeme und Daten rasch wiederherstellen kann, hat seine Hausaufgaben gemacht und muss sich im Ernstfall nicht mit Lösegeldforderungen oder Datenverlust herumschlagen. Daraus haben aber leider auch die Angreifer gelernt. Immer häufiger werden Daten nicht nur verschlüsselt, sondern vorgängig gestohlen. Damit können Angreifer die betroffenen Unternehmen zusätzlich erpressen: Wer nicht zahlt, dessen sensible Informationen werden veröffentlicht oder weiterverkauft.
Ransomware-Angriffe wollen primär präventiv blockiert werden, aber auch Detection kann helfen, wenn das verdächtige Verhalten umgehend erkannt werden kann. Basisschutz genügt hier leider meistens nicht, denn die Angriffe werden immer ausgereifter. Gezielte Attacken verwenden auf das Unternehmen spezialisierte Methoden mit einmaligem bzw. modifiziertem Payload und lassen auf diese Weise signaturbasierte Schutzmassnahmen ins Leere laufen.
Wer sich gegen Ransomware besser schützen möchte, sollte sich neben der Umsetzung eines guten Backup-Konzepts mit Advanced Security auseinandersetzen. Das kann eine Sandbox sein, welche Files aus E-Mails und im Webverkehr im Detail analysiert oder noch besser eine moderne Endpoint-Security-Lösung, welche neben Signaturen auch auf Behaviour Analysis setzt oder nicht vertrauenswürdige Dateien ausschliesslich in einer isolierten Umgebung ausführt.
Da viele gezielte Angriffe über E-Mail erfolgen, lohnt sich sicherlich auch die Überprüfung der bestehenden E-Mail Security Schutzmassnahmen.
Trend 3: Vorsicht vor gut gemachtem Phishing – der Faktor Mensch macht den Unterschied
Die meisten Cyber-Bedrohungen nutzen E-Mails zumindest als einen ihrer Angriffsvektoren. E-Mail eignet sich insbesondere dadurch, dass Unternehmen bzw. einzelne Personen sehr gezielt kontaktiert bzw. angegriffen werden können. Standard E-Mail Security Gateways scheitern nicht nur wenn Zero Day Exploits im Spiel sind, sondern gerade auch dann wenn weder ein Attachment noch verdächtige URLs in der E-Mail enthalten sind. Insbesondere gut gemachtes Phishing verursacht den Security-Verantwortlichen Kopfschmerzen.
Wenn es darum geht, echte Nachrichten von falschen zu unterscheiden, kann die Einrichtung der Technologien SPF, DKIM und DMARC helfen. Die Umsetzung muss aber gut geplant und mögliche Stolpersteine sollten bekannt sein. Dabei kann Sie der Security-Partner Ihres Vertrauens sicherlich unterstützen und Ihnen gleichzeitig die Grenzen und Nachteile dieser Technologien aufzeigen.
Sehr interessant und meines Erachtens verfolgenswert scheinen mir Technologien die den Faktor Mensch einbeziehen. Dazu gehören beispielsweise folgende vielversprechende Methoden:
-
- Trust-Network: Neuste E-Mail Security Lösungen analysieren jede E-Mail inkl. aller enthaltenen Parameter und bilden daraus ein Trust-Netzwerk. Wer mit welcher Person von welcher Firma regelmässig Kontakt hat, welche Files ausgetauscht werden, mit welchen Unternehmen mehrere solcher Beziehungen bestehen etc. kann helfen verdächtige Nachrichten von rechtmässigen E-Mails zu unterscheiden. Dabei werden z. B. auch Domänennamen aufgedeckt, die ähnlich sind zu jenen, welche im täglichen E-Mail-Verkehr verwendet werden und bewusst zur Täuschung leicht modifiziert wurden.
- User Feedback: Ja, es gibt den «dummen» Benutzer, der jede E-Mail öffnet – selbst bei schlecht gemachten Phishing-Angriffen. Aber es gibt eben auch den smarten Mitarbeitenden, welche sogar gut gemachte Attacken umgehend aufdeckt. Warum sich diese Intelligenz nicht zu Nutze machen und solche User-Feedbacks in die Analyse und Bewertung von E-Mails einfliessen lassen? Stellt ein Benutzer eine bösartige E-Mail fest, können gleiche oder ähnliche E-Mail-Nachrichten umgehend blockiert und aus bestehenden E-Mail-Postfächern entfernt werden, enthaltene URLs werden automatisch auf dem Web Proxy oder der Firewall gesperrt.
- Awareness-Programme: Es führt kein Weg an den Mitarbeitenden vorbei. Letztendlich öffnet der User ein Attachment oder klickt auf eine URL. Awareness-Programme sind gut, sollten aber nicht mit dem Giesskannenprinzip eingesetzt werden. Phishing-Simulationen können Aufschluss darüber geben, welche individuellen Benutzer welche Kompetenzen noch entwickeln müssen, was mit gezielten Awareness-Trainings erreicht werden kann.
Trend 4: Detection & Response ist kein Hype (mehr) – Prävention ist gut, aber nicht gut genug
Prävention ist eine gute Sache zumal die Methoden dazu meist einfach sind, wenig Aufwand benötigen und den grössten Teil der Angriffe und Malware zuverlässig erkennen und blockieren. Es kann durchaus Sinn machen im Bereich der Prävention aufzurüsten, indem bestehende Security-Funktionen mit Advanced Features erweitert werden. Wer aber beim Kampf gegen Cyber-Bedrohungen einen echten Unterschied machen will, muss sich zwingend mit dem Thema Detection und Response auseinandersetzen.
Präventive Massnahmen erkennen praktisch alle älteren Angriffsmethoden sowie Massen-Malware sehr zuverlässig über Datenbanken mit Signaturen, über Reputation und ihre Intelligence-Netzwerke, die zum Teil auch Informationen mit Drittanbietern teilen. Bei Zero-Day-Attacken, gezielten Angriffen und bei gut gemachtem Phishing versagen sie jedoch meistens.
Detection-Lösungen haben den Vorteil, dass sie eine allfällige Malware oder einen Angriff in Real-Time beobachten können, IOCs (Indicator of Compromise) entdecken oder ganz einfach verdächtige Anomalien feststellen. In vielen Fällen ist es dann zwar zu spät die initiale Infektion zu verhindern, es können jedoch rasch Schritte unternommen werden, um die Ausbreitung der Malware zu begrenzen und mögliche Schäden auf ein Minimum zu reduzieren.
Es muss nicht immer ein SOC sein, dessen Aufbau oder Einkauf als Service sehr kostspielig ist. Ein erster Schritt kann die Beschaffung einer Netzwerk- oder Endpoint Detection & Response Lösung sein. Gute Lösungen zeigen wenig False Positives, bedingen aber etwas Ressourcen, Know-how und Erfahrung, damit rasch und korrekt auf Incidents reagiert werden kann. Anstatt ein komplettes SOC aufzubauen oder einzukaufen, bieten sowohl Hersteller als auch Partner dedizierte Hilfestellung bei der Analyse, Bewertung und Bereinigung von Incidents an.
Trend 5: Privilege Management macht Sinn – wie viel Berechtigung muss wirklich sein?
Angreifer nutzen die Privilegien der kompromittierten Rechner bzw. Benutzer-Accounts, um sich im Netzwerk weiter zu verbreiten, auf kritische Systeme und Applikationen zuzugreifen und insbesondere um an sensible Informationen zu kommen. Ohne entsprechende erhöhte Berechtigungen würde eine Vielzahl von Attacken weitaus weniger Schaden anrichten.
Genau hier setzen Endpoint Privilege Management Lösungen an. Privilegien wie Administrations-Rechte sollen vollständig aufgehoben werden und durch ein minimales Set an notwendigen Benutzerrechten ersetzt werden. Diese Rechte werden einzelnen Anwendungen, Prozessen und Skripten zugewiesen und nicht dem Nutzer selbst.
Privilege Management ist ein orthogonaler Ansatz zu bestehenden Sicherheitsmassnahmen wie z. B. Anti-Virus und Sandboxing und kann damit mehr Nutzen bzw. mehr zusätzlichen Schutz schaffen als der reine Ausbau von klassischen präventiven Sicherheitsmassnahmen.
Trend 6: Endlich in Cloud Security investieren – Native Cloud Security genügt (leider) nicht
Das Thema Cloud hat im Corona-Jahr deutlich an Bedeutung gewonnen. Dank Office 365, Zoom und Co hatten die wenigsten Unternehmen Mühe, im Home Office weiterzuarbeiten. Immer mehr Firmen verfolgen eine Cloud-Strategie und selbst die, welche das nicht tun, können kaum verhindern, dass Cloud durch die Hintertüre den Weg ins Unternehmen findet.
Was dabei aber schnell klar wird: Native Cloud Security – egal ob in SaaS-Anwendungen oder bei Cloud-Anbietern wie Azure und AWS – decken Enterprise Security Anforderungen selten ausreichend ab. Wer sich hier die Finger nicht verbrennen will, sollte sich frühzeitig – also jetzt – mit zusätzlichen Schutzmassnahmen beschäftigen.
Folgende Themen dürften meiner Meinung nach in 2021 Auftrieb erhalten:
-
- Cloud Security Posture Management (CSPM) zeigt Schwachstellen basierend auf Fehlkonfigurationen in der Cloud auf. Dazu gehören IaaS, PaaS und SaaS-Umgebungen. CSPM unterstützt die Sicherheit und Compliance solcher Deployments und stellt automatisiert die Sichtbarkeit über alle Umgebungen sicher.
- Cloud Access Security Broker (CASB) werden zwischen Benutzer und Cloud-Anwendungen geschaltet, überwachen alle Aktivitäten und setzen Sicherheitsrichtlinien um. In seiner einfachsten Form und meist als Bestandteil bestehender Web Proxy Lösungen zeigt CASB die aktuelle Nutzung von Cloud Applikationen auf inkl. deren Risikobewertung (Stichwort Schatten-IT). Mit der Zunahme von cloud-basierten Anwendungen setzen Unternehmen CASB vermehrt dafür ein, um möglichst alle Zugriffs- und Nutzungsrechte für Cloud-Applikationen zu definieren. In einer ersten Phase kann CASB auch im reinen Monitoring-Modus genutzt werden um erstmal eine gute Sichtbarkeit über die Nutzung von Cloud Applikation zu erhalten.
- Advanced E-Mail Security für Office 365 Mailboxen ist ein wichtiges Thema für Unternehmen, welche sich mit den Microsoft-eigenen Security-Funktionen berechtigterweise nicht zufriedengeben wollen. Eine dedizierte E-Mail Security Lösung in Office 365 integriert oder vorgeschaltet bietet wertvollen Mehrwert – insbesondere mit Bezug auf gezielte Attacken, Advanced Malware und gut gemachtes Phishing.
- Zero Trust Network Access (ZTNA) bereits Bestandteil von Trend 1 behandelt neben dem sicheren Zugriff auf Applikationen auch das Thema der Mikrosegmentierung von Applikationen in der Cloud. Mittels Mikrosegmentierung können Server-zu-Server-Bedrohungen vermieden, verschiedene Netzwerk- oder Applikationssegmente voneinander isoliert und die Angriffsfläche in der Cloud generell reduziert werden.
Trend 7: Vulnerability Management weiter betreiben – aber wenn, dann risiko-basiert
Schwachstellen sind eines der grossen Einfallstore, welche von Angreifern eifrig genutzt werden um sich unberechtigten Zugang auf Systeme oder das Unternehmensnetzwerk zu verschaffen. Das Patchen von Systemen und Applikationen gehört daher auch zu den wichtigsten Security-Prinzipien und ist allgemein bekannt. Und doch tun sich hier immer wieder grosse Lücken auf, die es Angreifern erlauben, Systeme zu kompromittieren und den Zugang zu sensiblen Unternehmensdaten freizulegen.
Penetration Tests sind eine gute Sache – in Bezug auf Schwachstellen zeigen sie aber nur eine kurze Momentan-Aufnahme der aktuellen Situation. Ein Scanning nach Schwachstellen sollte regelmässig und automatisiert erfolgen und damit zeitnah aufzeigen, wo unmittelbarer Bedarf besteht. Da grosse Systemlandschaften zu grossem Handlungsbedarf führen und es praktisch unmöglich ist, alle Schwachstellen rasch zu beheben, ist die Priorisierung dabei entscheidend.
Moderne Vulnerability Management Lösungen können Schwachstellen hinsichtlich des tatsächlichen Risikos priorisieren. Dabei wird berücksichtigt, wie kritisch die betroffenen Assets intern sind und welche Schwachstellen aktuell durch Angreifer auch tatsächlich und rege ausgenutzt werden. Patchen Sie also nicht wild darauf los, sondern fokussieren Sie sich auf die Schwachstellen, die wirklich relevant sind.
Rechnen Sie mit dem Schlimmsten
Gemäss Umfragen bleiben die IT-Budgets trotz Corona und weltweiten wirtschaftlichen Folgen in 2021 auf ähnlichem Niveau wie 2020 oder werden sogar erhöht und IT-Security ist weiterhin eines der Top-Themen. Das ist auch gut so, denn Cyber-Kriminelle versuchen weiterhin jede Situation und jede Schwäche gnadenlos auszunutzen.
Wer seine IT-Security gezielt ausbaut, ist grundsätzlich gut vorbereitet für die kommenden Herausforderungen. Dazu gehört es aber auch, mit dem Schlimmsten zu rechnen. Ein erfolgreicher Angriff lässt sich leider auch mit einer starken IT-Security und hohen Aufwänden nicht komplett verhindern. Umso wichtiger ist es, dass Sie sich auf den Ernstfall vorbereiten, Notfallkonzepte griffbereit haben und rasch reagieren können.
Dennoch wünsche ich Ihnen in Bezug auf IT-Sicherheit ein möglichst ereignisloses Jahr – und persönlich gesehen: Alles Gute und bleiben Sie gesund!
Links zu weiterführenden Blog-Posts
-
- Sicherer Remote Access: www.tec-bite.ch/vorsorgen-fuer-den-ernstfall-tipps-fuer-sicheren-remote-access/
- Mehr zu SASE: www.tec-bite.ch/wohin-die-it-security-reise-geht-teil3-sase/
- Zur Implementierung von SPF, DKIM und DMARC: www.tec-bite.ch/practical-guide-to-implement-spf-dkim-dmarc-on-cisco-esa/
- Den User bei E-Mail Security zum Teil der Lösung machen: www.tec-bite.ch/business-e-mail-compromise-den-user-dort-zum-teil-der-loesung-machen-wo-die-technologie-noch-versagt/
- Es muss nicht immer ein SOC sein: www.tec-bite.ch/braucht-jedes-unternehmen-ein-soc/
- Privilegien minimieren: www.tec-bite.ch/least-privileges-ein-traum-nicht-nur-fuer-traeumer/
- 5 Mythen zu Cloud Security entlarvt: www.tec-bite.ch/wieso-brauche-ich-eigentlich-cloud-security-5-mythen-zu-cloud-security-entlarvt/
- Was tun, wenn die Firma angegriffen wurde: www.tec-bite.ch/8-schritte-bei-einem-cyber-angriff/
Mark Stäheli
Mark Stäheli ist Co-CEO bei AVANTEC AG und beschäftigt sich seit bald 20 Jahren mit IT-Security. Mark hat Informatik studiert mit Schwerpunkt Kryptographie und IT-Sicherheit. Trotz den täglichen Cyber-Hiobs-Botschaften verfällt er keiner Paranoia, behält einen pragmatischen Blick auf die Thematik und berät Unternehmen sehr gerne hinsichtlich sinnvollem und wirtschaftlichem Einsatz von IT-Security-Lösungen.