Netzwerkschutz vor Zero Day-Bedrohungen
Zero Day-Bedrohungen, also Schwachstellen in einem System, für die es noch keine Patches gibt, eröffnen für Unternehmen einen Wettlauf mit der Zeit bis zum Blockieren. Vorbeugung, Erkennung und Reaktion sind entscheidend, um dieses Rennen zu gewinnen.
Ein erfolgreicher Zero-Day-Angriff, der in der Regel auf ein bestimmtes Unternehmen, ein bestimmtes Gerät oder eine bestimmte Anwendung abzielt, kann einem Unternehmen erheblichen Schaden zufügen. DataProt berichtet zum Beispiel, dass Ransomware-Angriffe voraussichtlich alle 11 Sekunden stattfinden und jährlich weltweit über 20 Milliarden Dollar kosten. Die Erfahrung zeigt, dass Bedrohungsakteure es auf Unternehmen abgesehen haben mit mehreren miteinander verbundenen Systemen, sowie vorhandenen Sicherheitslücken und die bereit sind, für die Wiederherstellung geschäftlicher Services zu zahlen.
In der Zeitspanne zwischen der Entdeckung der Schwachstelle und der Veröffentlichung eines Patches durch den Hersteller versuchen die Cyberkriminellen, die Schwachstelle auszunutzen. Laut einer Studie von Cisco werden 5 % der Sicherheitslücken innerhalb eines Monats nach ihrer Entdeckung, wohingegen 67 % innerhalb von drei Monaten behoben werden. Über 16 % bleiben ein ganzes Jahr oder länger offen. Die Studie ergab, dass satte 95 % der Anlagen mindestens eine hochgradig angreifbare Sicherheitslücke aufweisen.
Verlässt sich ein Unternehmen bei der Aktualisierung seiner Systeme ausschließlich auf die Anbieter, eröffnet es Bedrohungsakteuren immense Möglichkeiten, auf die Systeme zuzugreifen und sie auszunutzen. Darüber hinaus hat die Zunahme digitaler Transformationsprozesse in modernen Unternehmen zu einer raschen Vergrößerung der Angriffsfläche geführt, die wiederum für bösartige Akteure attraktiv ist.
Weltweites Bedrohungswissen für die Prävention
Die Cyberlandschaft wird immer vielfältiger und weiträumiger, denn immer mehr Anwendungen, Geräte und Netzwerke speichern und übertragen mehr Informationen als je zuvor. So haben Cyberkriminellen immer mehr Angriffsmöglichkeiten. Die meisten dieser Attacken zielen entweder auf die gesamte Infrastruktur eines Unternehmens oder auf einen Teil der Infrastruktur, der eine Schwachstelle aufweist.
Man denke nur an all die Geräte, die Teil des Internets der Dinge (IoT) sind. So kann beispielsweise eine Schwachstelle in einem angeschlossenen medizinischen Gerät böswilligen Akteuren den Zugang und die Möglichkeit geben, sich lateral durch die Infrastruktur eines Krankenhauses zu bewegen und einen Ransomware-Angriff zu starten. Die wirksamsten Möglichkeiten zur Eindämmung dieser Art von Risiken ergeben sich aus Methoden der Früherkennung, die durch kontinuierliche Untersuchungen möglich sind.
Zu wissen, wie und warum Angriffe funktionieren, ist der Schlüssel, um den nächsten Schritt zu antizipieren und hilft bei der Entwicklung von Präventivmaßnahmen. Trend Micro Research nutzt seine Ressourcen, um Informationen zu sammeln und zu analysieren, die auf potenzielle Bedrohungen hinweisen können. Mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) durchforstet unser Forschungsteam riesige Datenmengen, um konkrete und potenzielle Bedrohungen in Echtzeit zu identifizieren. Diese Teams stützen sich auf das Wissen über Bedrohungsmuster, das sie in jahrelanger globaler Aufklärungsarbeit gewonnen haben, um die wichtigsten Teile aus dem Informationssturm herauszufiltern. Angriffe können als Variation eines bestehenden Angriffs erfolgen oder als gezielter Angriff auf ein Unternehmen mit ähnlicher Infrastruktur wie das bereits angegriffene.
Vorbeugung, Erkennung und Reaktion sind entscheidende Schritte zur Eindämmung von Zero-Day-Risiken. Nach der Identifizierung einer Zero-Day-Schwachstelle ist es ein Wettlauf mit der Zeit, sie zu blockieren.
Methoden zum Schutz vor Zero Day-Schwachstellen
Virtual patching
Virtual patching bietet Schutz in Produktionsumgebungen, um verdächtige Aktivitäten zu erkennen und zu blockieren und die Verbindungen zwischen der Malware und ihrem Ziel zu beseitigen. Als Teil der regulären Sicherheitsmaßnahmen schützen diese Fähigkeiten vor bekannten und unbekannten Bedrohungen.
Cloud-natives virtuelles Patching ergänzt die bestehenden Sicherheitstechnologien eines Unternehmens sowie die Richtlinien für Schwachstellen- und Patch-Management:
- Beseitigt das Risiko eines erfolgreichen Sicherheitsverstoßes oder Angriffs. Die Anwendungen bleiben geschützt, bis ein vom Hersteller bereitgestellter Patch veröffentlicht wird oder solange der Patch getestet und angewendet wird.
- Verschafft zusätzliche Zeit, um die Schwachstelle zu bewerten und die notwendigen und dauerhaften Patches zu testen und anzuwenden. Bei firmeninternen Anwendungen verschafft das virtuelle Patching Softwareentwicklern und Programmierern Zeit, um Fehler in ihrem Code zu beheben.
- Vermeidet unnötige Ausfallzeiten und gibt Unternehmen mehr Freiheit, ihre Patch-Management-Richtlinien nach ihrem eigenen Zeitplan durchzusetzen. Dadurch werden potenzielle Umsatzeinbußen aufgrund ungeplanter oder überflüssiger Unterbrechungen des Geschäftsbetriebs gemindert.
- Verbessert die Einhaltung von Vorschriften. Virtuelles Patching hilft bei der Einhaltung von Zeitvorgaben, wie z. B. die der EU-Datenschutzgrundverordnung (GDPR).
- Liefert eine zusätzliche Sicherheitsebene durch Sicherheitskontrollmechanismen für Komponenten in IT-Infrastrukturen, für die keine Patches mehr veröffentlicht werden (z. B. Altsysteme und Betriebssysteme, die nicht mehr unterstützt werden, wie Windows Server 2008) oder deren Patching zu kostspielig wäre.
- Bietet Flexibilität, indem es die Notwendigkeit reduziert, Workarounds oder Notfall-Patches zu installieren. Es erleichtert zum Beispiel die Aufgabe, bestimmte Punkte im Netzwerk zu bestimmen, die gepatcht werden müssen (oder ob ein Patch auf alle Systeme angewendet werden muss).
- Cloud-weiter Schutz. Mit Cloud-nativem virtuellem Patching müssen sich IT-Teams nicht um die Wartung des Patching-Systems selbst kümmern. Cloud-native Systeme rationalisieren den Patching-Prozess, so dass alle Kunden geschützt werden können.
MITRE ATT&CK
MITRE ist eine gemeinnützige Organisation, die mit Hilfe der weltweit verfügbaren Datenbank MITRE ATT&CK ein Bedrohungsmodell erstellt hat, wobei Trend Micro im Rahmen der Evaluierung von Sicherheitssoftware für einen besonders guten Schutz erwähnt wird.
Für Unternehmen mit Cloud- oder hybriden Infrastrukturen bietet etwa Trend Micro Cloud One™ - Workload Security Suchfunktionen, um Hosts zu erkennen, auf denen verdächtige Aktivitäten stattfinden könnten. Auch sind vorbeugende Maßnahmen in Form von Regeln, Filtern und Erkennungsfunktionen vorhanden, und lässt nur Datenverkehr von bekannten und vertrauenswürdigen Domänen zu.
Mit Network Security können sich Unternehmen vor Zero Day-Bedrohungen wie Log4j schützen, indem die Lösung ein- und ausgehenden Verkehr inspiziert und filtert. Die Lösung nutzt Informationen, die aus unserer Forschungsabteilung und von der Zero Day Initiative™ (ZDI) stammen und für virtuelles Patching genutzt werden können-
Fazit
Die wichtigste Möglichkeit, die Cyber-Community zu schützen, besteht in einer umfassenden Recherche, der Entwicklung von Präventivmaßnahmen und der Einbindung dieser Informationen in Lösungen, die diese Maßnahmen umsetzen können.
ZDI bringt eine herstellerunabhängige Community zusammen, die bei der Suche und Erkennung der neuesten Software-Schwachstellen hilft. Mit den gewonnenen Informationen über die neuesten gemeldeten Schwachstellen kann Trend Micro schnell virtuelle Patching-Technologien implementieren, um die Anwendungen und Infrastrukturen der Kunden zu schützen.