Obwohl die Cybersicherheit in den letzten Jahren immer mehr in den Mittelpunkt gerückt ist, steigt die Zahl der Datenschutzverletzungen weiter an. Während sich Unternehmen stärker auf die Sicherheit konzentrieren (und mehr ausgeben), verstärken Cyberkriminelle ihre Bemühungen. Wir sehen dies insbesondere im Bereich der fortgeschrittenen anhaltenden Bedrohungen (Advanced Persistent Threats, APTs), die auf Geräte des Internets der Dinge gerichtet sind.
Es gibt große Anreize, sowohl finanzieller als auch anderer Art, die Cyberkriminelle heutzutage antreiben.
Ransomware-Pakete sind im Dark Web leicht erhältlich, und Ransomware bietet eine starke finanzielle Motivation für Kriminelle. Auch nationalstaatliche Bedrohungsakteure sind in die Bedrohungslandschaft eingedrungen und führen politisch motivierte Angriffe durch.
Aus diesen und anderen Gründen nimmt die Zahl der Malware-Stämme zu, und die produzierte Malware wird immer fortschrittlicher, da die Unternehmen ihre Bemühungen zur Cyberabwehr verstärken.
Dieser Trend wird in absehbarer Zeit nicht aufhören, da der Anreiz für die Bösewichte zu groß ist.
Schwachstellen im Internet der Dinge
Das Internet der Dinge (IoT) bezeichnet das Netz internetfähiger Geräte, die von Verbrauchern und Unternehmen gleichermaßen genutzt werden. Alles, vom vernetzten Herzschrittmacher über den Nest-Rauchmelder bis zum selbstfahrenden Tesla, ist ein IoT-Gerät.
IoT-Geräte werden immer beliebter. Leider werden auch IoT-Cyberattacken immer beliebter. IoT-Angriffe:
- sind dank des öffentlich zugänglichen Codes, sowohl im Dark Web als auch in Code-Repositories wie GitHub, leicht zu starten
- eine hohe Erfolgsquote haben
- Sie sind schwer zu erkennen und zu beheben und ermöglichen APTs
- einem Angreifer die Möglichkeit geben, im Netzwerk eines Unternehmens Fuß zu fassen
- Ermöglicht es einem Angreifer, weitere Geräte zu seinem Botnet hinzuzufügen (Botnets können für DDoS-Angriffe, Spamming usw. verwendet werden).
Die Zahl der Schwachstellen nimmt insgesamt zu, und Angriffe auf Geräte des Internets der Dinge nehmen besonders stark zu.
Internet der Dinge - Angriffsflächen
Angreifer suchen zunächst nach anfälligen IoT-Geräten und versuchen, sie zu kompromittieren. Angreifer können dies massenhaft tun. Sie können es sich leisten, Geräte immer wieder zu hacken, aber IoT-Geräte müssen nur einmal angegriffen werden, um kompromittiert zu werden.
Erschwerend kommt hinzu, dass IoT-Geräte oft eine Reihe von bekannten und unbekannten Schwachstellen aufweisen. Die Zahl der IoT-Schwachstellen nimmt zu, und die Nutzer versäumen es oft, Patches anzuwenden oder Updates rechtzeitig zu installieren, was es Angreifern sehr viel einfacher macht, Geräte zu kompromittieren.
Ein weiteres Problem ist, dass IoT-Geräte oft mit Standard-Anmeldedaten geliefert werden, die nie aktualisiert werden. Dies macht das Thema Schwachstellen und Patches praktisch überflüssig: Wenn ein Angreifer die Zugangsdaten einfach durch Brute-Force erzwingen oder aus einer öffentlich zugänglichen Liste abrufen kann, kann das Gerät genauso gut bereits kompromittiert sein.
Einige Merkmale von IoT Advanced Persistent Threats
Ausweichtechniken
Fortgeschrittene hartnäckige Bedrohungen sind oft so konzipiert, dass sie sich der Erkennung durch Codeverschleierung, Erkennung in virtuellen Umgebungen und viele andere Methoden entziehen.
Verschleierungstechniken
Cyberkriminelle werden immer besser darin, die Malware, die ein System infiziert, zu verstecken.
Selbstausbreitung
Viele APTs bleiben nicht nur dauerhaft auf einem System, sondern suchen sich auch andere Systeme, um sie zu infizieren.
Ressourceneffizienz
Dies ist ein Faktor, der IoT-APTs von den herkömmlichen APTs auf einem normalen Computer unterscheidet. IoT-APTs benötigen weniger als 5 % der Rechenleistung eines durchschnittlichen Geräts, um zu funktionieren, und manchmal ist die Malware intelligent genug, um sich selbst anzupassen, nachdem sie die Speicherkapazität des Geräts erkannt hat.
Die neue IoT Cyber Kill Chain
Die Cyber-Kill-Chain ist eine Reihe von Schritten, die von Bedrohungsakteuren ausgeführt werden. Jeder Schritt kann theoretisch von der Cyberabwehr erkannt und blockiert werden. Lockheed Martin beschreibt die "Cyber Kill Chain" für APTs wie folgt:
Für IoT-Geräte gibt es jedoch zusätzliche Schritte in der Kill Chain, die IoT-APTs noch bedrohlicher machen. Die neue IoT-Kill-Chain sieht wie folgt aus:
IoT-APTs zielen nicht nur darauf ab, ein einzelnes Gerät oder Netzwerk zu infizieren, sondern sie verbreiten sich auf andere Geräte und verbergen sich, so dass sie hartnäckig bleiben können.
IoT-Verteidigungsstrategien
System-Upgrades sind für die Behebung von Schwachstellen unerlässlich, aber sie sind oft entweder nicht durchführbar oder werden aus anderen Gründen nicht durchgeführt. Nach der Veröffentlichung des Patches können Angreifer die Schwachstelle zurückentwickeln und nicht aktualisierte Geräte angreifbar machen. Außerdem können oder wollen die Hersteller oft nicht alle Schwachstellen, die in ihren Produkten entdeckt werden, ausbessern.
Die Quarantäne ist eine mögliche Lösung, wenn Infektionen auftreten. Aufgrund realer Beschränkungen kann es jedoch unmöglich oder unpraktisch sein, Geräte unter Quarantäne zu stellen. So kann es beispielsweise schwierig sein, eine Sicherheitskamera unter Quarantäne zu stellen, die Anzeichen einer Gefährdung aufweist, aber für die Überwachung der Gebäudesicherheit unerlässlich ist.
IoT APT: OPSWAT's empfohlene Verteidigungsstrategien
Um IoT-APTs zu stoppen, müssen alle in Daten versteckten Bedrohungen blockiert werden. Auch hier können es sich Cyberkriminelle leicht leisten, zu versagen, aber die Cyberabwehr muss jederzeit erfolgreich sein.
Erkennungsbasierte Schutzmaßnahmen sind anfällig für Techniken zur Verschleierung von Malware. Fortgeschrittene Bedrohungen können sogar Sandboxen täuschen, indem sie zufällig ausgeführt werden oder vor der Ausführung erkennen, ob sie sich in einer virtuellen Umgebung befinden oder nicht. Außerdem kann selbst die beste Anti-Malware-Erkennungstechnologie eine Zero-Day-Bedrohung nicht erkennen.
OPSWAT glaubt an die Kombination von auf Erkennung basierenden Strategien mit fortschrittlicher Bedrohungsabwehr. Unsere Technologie zur Datenbereinigung (CDR) neutralisiert Bedrohungen in allen Dokumenten oder Bildern, die in ein Netzwerk gelangen, indem sie die Dateien entschärft und rekonstruiert, wobei potenziell bösartige Inhalte entfernt werden. Jede Datei kann und sollte diesen Prozess durchlaufen, unabhängig davon, ob eine Bedrohung erkannt wird oder nicht.
Zusätzlich zur Datenbereinigung (CDR) sollten Unternehmen, die IoT-Geräte verwenden, so weit wie möglich bewährte Sicherheitspraktiken befolgen, indem sie die Geräte regelmäßig aktualisieren und die Standard-Anmeldedaten zurücksetzen. Schließlich sollten netzwerkfähige Geräte nur dann mit dem Internet verbunden werden, wenn dies unbedingt erforderlich ist.
