Kategorie-Archiv: Technologiestrategy

2013: Schach den Cyberkriminellen

Hinterlassen Sie eine Antwort

Originalartikel von Trend Micro

Man kennt es aus dem Fußball: Um gegen das gegnerische Team zu gewinnen, ist es enorm wichtig, die Videoaufnahmen der vergangenen Spiele des Gegners zu analysieren, um dessen Strategien zu verstehen und auf dieser Basis eine eigene Taktik aufzubauen. So wie das Fußballteam dem Können und den Stärken des Gegners mit einer solchen Analyse Respekt entgegenbringt, so sollten auch die Taktiken der Cyberangreifer genau untersucht werden, um eine eigene Verteidigung aufbauen zu können.

In einem neuen Papier The Knight Fork: Defining Defense in 2013 durchleuchtet Tom Kellermann von Trend Micro die APT-Kampagnen des letzten Jahres und skizziert Verteidigungstaktiken und Risikomanagement für 2013. Er benutzt als Vergleich dafür eines der Schlüsselprinzipien zur Verteidigung im Schachspiel, nämlich die so genannte „Springergabel“. Dies ist ein Zug, bei dem gleichzeitig zwei gegnerische Figuren angegriffen werden. In Analogie dazu, beschreibt er die Bereiche, in denen die größtmöglichen Verteidigungserfolge bei geringstmöglichem Budget erreicht werden können. „Wir müssen uns fragen, wie wir das Schachbrett so drehen können, dass wir eine Springergabel hinkriegen“, sagt Tom Kellermann.

Die schändlichen Pläne der digitalen Eindringlinge effizient durchkreuzen

Hinterlassen Sie eine Antwort

Originalartikel von Tom Kellermann, Vice President of Cyber Security

Die Medien haben immer wieder darüber berichtet, wie sich die Bedrohungslandschaft weiter entwickelt, die Angriffe an Ausgebufftheit zunehmen und die Kriminellen besser ausgestattet sind. Dies entspricht sicherlich der Wahrheit, doch wird die Frage nach der Art und Weise, wie diese gezielten Angriffe raffinierter werden, wie ein digitaler Eindringling sich versteckt und wie man der Bedrohung entgegen treten kann, ausgespart.

Mittlerweile ist allgemein bekannt, dass die herkömmliche Verteidigung gegen diese Gefahren nicht mehr ausreicht. Trend Micro hat herausgefunden, dass 90 Prozent der Unternehmensnetzwerke Malware enthalten und jede Sekunden eine neue Gefahr erzeugt wird. Unternehmen müssen sich zudem auch weiteren Herausforderungen stellen. Dazu gehört:

  • Cloud-basierte IT-Umgebungen, werden durch zunehmende Nutzung von mobile Geräten im Besitz der Mitarbeiter belastet.
  • Cybercrime-Tools sind im Internet verfügbar und damit jedem potenziellen Hacker zugänglich.
  • Organisierte Banden führen Cyberattacken durch, und handeln immer gezielter und ausgeklügelter.

Das große Problem besteht nicht nur darin, dass ein digitaler Eindringling versucht, die Kontrolle über das Netzwerk zu erlangen, sondern er wird sich verbreiten, Daten abziehen und seine Aktivitäten verstecken. Seine Fähigkeit, sich der Entdeckung zu entziehen, ist letzten Endes das, was diese gezielten Angriffe zum Problem werden lässt.

Digitale Eindringlinge: Dem IT-Admin einen Schritt voraus

Die so genannten Digital Insider wissen, wie IT-Administratoren auf einen möglichen Dateneinbruch reagieren würden. Typischerweise suchen die Administratoren nach möglichen Sicherheitslücken, die für einen Missbrauch offen stehen, und nach Anzeichen einer Kommunikation mit einer unbekannten IP-Adresse. Um diese Maßnahmen zu konterkarieren, können die Angreifer die Sicherheitslücken selbst patchen. Das Patching dient dem Zweck, andere Hacker daran zu hindern, sich als Trittbrettfahrer die „Vorarbeiten“ zunutze zu machen.

Die digitalen Schläfer bringen ihre Kommunikation und Kontrolle ins Ökosystem ein und verordnen sich einen „Schlafzyklus“, um der Entdeckung zu entgehen. Sie versuchen auch, von Zeit zu Zeit eine IP-Adresse draußen zu erreichen – so geschehen in der jüngsten Ixeshe-Kampagne. Im Fall der Flashback Mac Malware verwendeten die Kriminellen eine spezielle Technik, die die Sicherheitsforscher daran hinderte, die Malware zu analysieren.

Pläne der Digital Insider durchkreuzen

Diese neue Art der ausgeklügelten Bedrohungen erfordert eine umfassende, stetige Antwort von den Unternehmen. Sie müssen in der Lage sein, die unerwünschten Eindringlinge zu erkennen und ihre Aktionen konstant zu konterkarieren, indem sie

  1. die Cybercrime-Aktivitäten draußen mit dem, was im Unternehmensnetzwerk geschieht in Beziehung bringen und abgleichen. Dazu lassen sich Big Data-Analytics einsetzen, die den Organisationen die nötigen Informationen für einen konkreten Aktionsplan liefern.
  2. regelbasierte Ereigniskorrelation auf mehreren Ebenen wie in Trend Micros Deep Discovery nutzen. Dies ist ein nützliches Tool, um verdächtige Aktivitäten innerhalb des Netzwerks eines Unternehmens zu identifizieren und mögliche Gefahrenquellen aufzuzeigen und zu überwachen.

Fazit: Unternehmen müssen die Aktivitäten in ihren Netzwerken kennen und die Möglichkeit haben, die Ereignisse miteinander in Verbindung zu setzen. Weitere Informationen liefert der Report How to Thwart the Digital Insider – an Advanced Persistent Response to Targeted Attacks.

 

Virtualisierung soll BYOD-Sorgen vertreiben

1 Antwort

Originalartikel auf “Simply Security” von Trend Micro

Unternehmen, die das Konzept Bring-your-own Device (BYOD) in die Wirklichkeit umsetzen wollen, müssen sich unweigerlich mit Mobile Device Management, Kostenfragen, Funktionalität und Sicherheit auseinandersetzen. Ein neuer Report von Zenprise analysiert diesbezügliche Strategien.

Als Hauptvorteil des Konzepts wird die Tatsache genannt, dass Manager statt eine Menge Geräte anzuschaffen, Ressourcen sparen können und dennoch die Produktivität erhalten, welche Mobilität bietet. Gerade kleine Unternehmen können davon profitieren, denn es wäre für diese Firmen viel zu kostenspielig, jeden Mitarbeiter mit einem neuen Smartphone oder Tablet auszustatten. BYOD hat das Potenzial für Kostenersparnis, ist aber mitnichten kostenlos zu haben, denn IT-Teams müssen häufig robuste neue Lösungen kaufen, um die Netzwerke und Daten des Unternehmens abzusichern.

“Unsere Analyse hat gezeigt, dass Unternehmen, deren Mitarbeiter persönliche Mobilgeräte für ihre Arbeit nutzen, in erster Linie um ihre Sicherheit und einen möglichen Produktivitätsabfall fürchten“, erläutert Ahmed Datoo von Zenprise. Die Analysten gehen aber davon aus, dass sich das mobile Datenmanagement weiterentwickelt und damit dann diese Sorgen überflüssig werden.

Um sicherzustellen, dass die Mitarbeiter ihre Geräte während der Arbeit auch produktiv nutzen, haben IT-Manager die zur Verfügung stehenden Anwendungen und Browser strengen Regeln unterworfen. Die Schwarzen Listen für bestimmte mobile Apps sind etwa doppelt so beliebt wie die Weißen Listen, so Zenprise. Facebook, Dropbox und das Spiel Angry Bird fanden sich auf den meisten Blacklists, während Citrix, Adobe und Xora die Hauptbestände in den Apps-Bibliotheken stellten.

Zenprise fand auch heraus, dass die Verbreitung von iOS-, Android- und Windows-Geräten im Rahmen von BYOD-Programmen sich leicht von den Zahlen der generellen Verkäufe unterschieden.

Laut comScore war Google im Dezember auf dem US-Markt mit 47,3 Prozent Smartphone-Abonnenten Marktführer, gefolgt von Apple (30 Prozent), RIM (16 Prozent) und Microsoft (5 Prozent). Zenprise stellte fest, dass iOS-Geräte bei BYOD mit 57 Prozent die Nase vorn hat, Android liegt mit 33 Prozent an zweiter und Windows mit zehn Prozent an dritter Stelle.

Die Analysten untersuchten auch die von den Unternehmen eingesetzten Datensicherheits- und Zugangskontrollrichtlinien und Mechanismen. Auch wenn immer mehr Unternehmen mit der Einführung von Cloud-basierten Mobile Device Management-Lösungen vielleicht zu viel des Guten tun, so muss dennoch die große Mehrheit der Organisationen an den Grundlagen arbeiten, so der Report. Lediglich 29 Prozent der BYOD-Pläne enthielten einen verpflichtenden Kennwortschutz für alle Geräte und nur ein Drittel hatten Richtlinien für VPNs vorgesehen.

Viele Sicherheitsforscher haben in letzter Zeit auf das Sicherheitspotenzial von Virtualisierung hingewiesen. Laut Rick Robinson von InfoBoom denkt die US-Regierung über eine Technologie „ähnlich der Desktop-Virtualisierung“ für das Management von mobilen Geräten nach. Dabei geht es im Wesentlichen um Datensicherheit, die dadurch erreicht wird, dass die Smartphone-Schnittstellen in zwei getrennte Systeme aufgeteilt werden – eines für die Arbeit und eines für den privaten Gebrauch. „Das Programm wird Android-Smartphones mit zwei unabhängigen Betriebssystemen liefern. Das eine, für den persönlichen Gebrauch, wird vom Nutzer verwaltet, das andere wird von der Behörde gemanagt“, erläutert Robinson.

Der Unterschied zur traditionellen Desktop-Virtualisierung wird darin bestehen, dass die beiden Systeme nicht miteinander kommunizieren können. Dadurch könnte die für den Nutzer zugängliche Funktionalität zwar eingeschränkt werden, so Robinson, doch IT-Manager können zumindest nachts gut schlafen. Geht ein Smartphone verloren, wird gestohlen oder gehackt, können die Administratoren die Daten aus dem Behörden-kontrollierten System „säubern“, ohne die persönlichen Daten und Anwendungen zu löschen oder zu beeinträchtigen.

Trotzdem gibt es noch genügend Gründe, um Desktop-Virtualisierung auch in Mobile Device Management-Plänen für wichtig zu erachten. Eine Umfrage von Virtual Computer hat ergeben, dass zwar Desktop-Virtualisierung aus Sicherheits- und Mobilitätsgründen für viele von Interesse ist, doch 58 Prozent sehen hohe Infrastrukturkosten als Hürde und 57 Prozent machen sich um die Performance Sorgen.

Hacktivist-Verhaftungen sind gut, doch schützen sie die Unternehmensnetzwerke nicht

Hinterlassen Sie eine Antwort

Originalartikel von Paul Ferguson, Senior Threat Researcher

Die Verhaftungen im Lulzsec-Umfeld haben im Internet großen Wirbel ausgelöst. Natürlich ist es großartig zu sehen, dass diejenigen, die das Gesetz brechen, zur Rechenschaft gezogen werden, doch hinter dem Phänomen der zunehmenden Hacktivist-Angriffe stecken tiefer liegende Probleme. Diese Verhaftungen ändern nichts an der Ziellinie der Hacktivist-Angriffe – sie werden weitergehen und vermutlich sogar eskalieren.

Warum? Sie haben weiterhin die Möglichkeit dazu. Daher ist es von größerer Bedeutung, es den Hacktivisten nicht so einfach zu machen, die Netzwerke der Organisationen zu hacken.

Diese Hacktivisten sind zum Großteil nicht wirklich “professionelle Kriminelle”. Die wirklichen Cyberkriminellen befinden sich immer noch irgendwo in Osteuropa oder China (und sonst irgendwo). Und sie veröffentlichen ihre gestohlenen Daten nicht auf Pastebin oder kündigen die Datenbeute auf Twitter an. Auch ist es sehr unwahrscheinlich, dass die Gesetzeshüter in den meisten Fällen diese professionellen Kriminellen identifizieren, geschweige denn verhaften und verurteilen können.

Wichtiger ist es, dass Unternehmen sich darüber im Klaren sind, dass die Kriminellen die mangelhafte Haltung Sicherheit gegenüber für ihre Zwecke ausnützen, das fehlende Sicherheitsbewusstsein und schlechte Betriebspraktiken bezüglich nicht autorisierten Zugriffs auf das geistige Eigentum, persönliche Informationen, Kontrollsysteme, Kreditkartendaten und andere wertvolle Daten in der Organisation.

Für die Lösung des Problems bedarf es eines ganzheitlichen Ansatzes. Es gibt eine Vielzahl an Netzwerk- und Datenschutzmaßnahmen, mit denen Unternehmen weiterhin versuchen können, das Blatt zu ihren Gunsten zu wenden. Der ganzheitliche Ansatz verlangt eine stetige Überprüfung der Sicherheit – einen so genannten OODA-Loop (Observe, Orient, Decide, Act), um zu einer „optimalen situationsbedingten Awareness“ zu kommen. Genanntes Referenzmodell hat einen großen Vorteil: Es zwingt zu einer konstanten Sicherheitshaltung, -beobachtung, zu stetigen Maßnahmen und Nachbesserungen. In einem ersten Schritt muss eine Organisation verstehen, wie das eigene Netzwerk aussieht, die Assets ihrem Wert entsprechend richtig segmentieren und schützen, um den dann Verkehr konstant zu schützen und zu überwachen.

Die Macht hat sich verlagert

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

US-Behörden haben gestern eine der größten Internetbörsen geschlossen wegen Übertretung von Copyright-Gesetzen. Die Anklageschrift (auf scribd einzusehen) wirft sieben Personen Online-Piraterie vor. Vier von ihnen sind bereits in Neuseeland verhaftet worden. Das 72 Seiten lange Dokument schätzt den für die Urheber entstandenen Schaden auf 500 Millionen Dollar, wobei die Angeklagten selbst schätzungsweise 175 Millionen Dollar durch Werbung verdient haben sollen. Die maximale Strafe für die sieben könnte 50 Jahre Haft betragen.
In neun Ländern wurden Durchsuchungsbefehle ausgeführt und 18 Domänennamen, einschließlich mega-upload.com, wurden mit den zugehörigen Servern eingezogen.