aditya blog
Übersicht

Ereignisse wie SaltTyphoon sind eine hervorragende Erinnerung an die Anfälligkeit von Unternehmen und Anwendern für Sicherheitsverletzungen aufgrund von Abhängigkeiten von Infrastrukturen, die möglicherweise nicht unter ihrer Kontrolle stehen. Mit zunehmend verteilten Anwendungen, die von öffentlichen Clouds, SAAS und globalen Dienstleistern für Datenverarbeitung, Speicherung und Netzwerke betreut werden, entziehen sich die Angriffsflächen ihrer Kontrolle. Und wie man so schön sagt, sind Sicherheitsverletzungen zu einer Frage des Wenn und Aber geworden. Der offensichtlichste Ansatz, um in dieser Umgebung erfolgreich zu sein, ist die Reduzierung externer und interner Angriffsflächen unter Verwendung von Zero Trust-Prinzipien, um Sicherheit durch Design zu gewährleisten. Die Gewährleistung eines sicheren Netzwerkzugangs mit Unified SASE as a Service ist ein enormer Schritt nach vorn, da sie den Betrieb vereinfacht, indem sie den Wildwuchs an Netzwerk- und Sicherheitsanbietern beseitigt. Im Falle eines Sicherheitsverstoßes ist es umso wichtiger, das Problem einzugrenzen, die Explosionszone zu reduzieren und die Anforderungen des Unternehmens weiterhin zu erfüllen. SASE steuert den Einsatz verschiedener Sicherheitstechnologien und sorgt für eine schnellere Reaktionszeit, was die Netzwerkhygiene erheblich verbessert und die Angriffsfläche reduziert.

Gezielte Infrastruktur

Die meisten gängigen Infrastrukturprodukte wie Switches und Router sind in der Industrie weit verbreitet. Es ist bekannt, dass manchmal das werkseitig eingestellte Passwort nicht geändert wird. Angesichts der weiten Verbreitung von Cisco-Geräten ist es nicht überraschend, dass SaltTyphoon auf Cisco-Geräte abzielt. Im Folgenden werden mehrere Gründe dafür genannt:

  • In Anbetracht seiner Allgegenwärtigkeit und Marktdominanz ist Cisco einer der größten Netzwerkausrüster weltweit. Seine Geräte werden in Unternehmen, bei Service Providern und in kritischen Infrastrukturen eingesetzt. Eine erfolgreiche Kompromittierung von Cisco-Geräten kann Angreifern Zugang zu Netzwerken mit sensiblen und wertvollen Informationen verschaffen.
  • SaltTyphoon konzentriert sich häufig auf Behörden, das Militär und kritische Infrastrukturen, in denen Cisco-Geräte in großem Umfang eingesetzt werden. Cisco-Geräte wie Router, Switches und Firewalls sind von zentraler Bedeutung für die Verwaltung des Netzwerkverkehrs und damit ideale Punkte für das Abfangen, die Exfiltration von Daten oder die Manipulation des Datenverkehrs. Cisco-Geräte werden häufig in Organisationen eingesetzt, die politisch oder wirtschaftlich sensible Vorgänge verwalten, was sie zu einem perfekten Spionageziel macht. Diese Geräte nehmen vertrauenswürdige Netzwerkpositionen ein, und eine Kompromittierung kann Sicherheitsmaßnahmen umgehen und den Betrieb stören, so dass Angreifer Einfluss auf das Zielunternehmen nehmen können.
  • Aufgrund des dauerhaften Zugriffs und der heimlichen Operationen bieten Cisco-Geräte eine gute Grundlage für die Implantierung einer Backdoor. SaltTyphoon setzt häufig persistenten Schadcode direkt in der Netzwerkinfrastruktur ein, indem es Cisco-Geräte ins Visier nimmt, da kompromittierte Netzwerkgeräte häufig Endpunkt-Erkennungssysteme umgehen, was der Gruppe ein heimliches Standbein verschafft.
  • SaltTyphoon ist dafür bekannt, dass es ungepatchte Sicherheitslücken ausnutzt, und Cisco-Geräte wurden im Laufe der Jahre mit hochkarätigen Sicherheitslücken in Verbindung gebracht (z.B. Cisco Smart Install, VPN-Fehler). Es ist leicht, fortgeschrittene Exploits für Cisco-Systeme zu entwickeln oder zu erwerben. Indem sie Cisco-Geräte an strategischen Positionen ausnutzen, können Angreifer mehrere nachgelagerte Organisationen in einer Lieferkette gefährden.

Herausforderungen im Zusammenhang mit der Reinigung von IT-Systemen

Der Hauptgrund für den hohen Arbeitsaufwand sind die zusammengestückelten, fragmentierten Lösungen, die mehrere Unternehmen oft anbieten. Hinzu kommt, dass es nur sehr wenig Transparenz und keine Überwachungssysteme gibt, was bedeutet, dass die Malware in jedem Teil der Infrastruktur lauern könnte. Die Herausforderung besteht also darin, herauszufinden, welche Systeme infiziert sind, und dann einen Weg zu finden, diese zu beseitigen. Lassen Sie uns die technischen Zwänge verstehen:

  • APTs verwenden Stealth-Taktiken (dateilose Malware, Verschlüsselung und Verschleierung), Persistenzmechanismen (versteckte Registrierungsschlüssel, geplante Aufgaben, Modifikationen auf Firmware-Ebene) und maßgeschneiderte Tools, um Entdeckungs- und Bereinigungsversuche zu vermeiden.
  • Komplexe Umgebungen, wie z.B. weitläufige IT-Systeme mit zahlreichen Endpunkten, Servern und Cloud-Integrationen, erschweren die Überwachung. Viele Unternehmen protokollieren nicht genug Daten oder bewahren sie nicht lange genug auf, um das gesamte Ausmaß der Kompromittierung nachzuvollziehen.
  • Menschliche Einschränkungen durch fehlende Fähigkeiten und langsame Reaktionszeiten ermöglichen es Angreifern, stärker Fuß zu fassen. Vielen Unternehmen fehlen spezialisierte Fähigkeiten und Ressourcen, um auf APTs zu reagieren. Hinzu kommt, dass die Unternehmen den betrieblichen Erfordernissen Vorrang vor der Sicherheit einräumen und so Lücken in der Verteidigung hinterlassen.
  • Die Verzögerung bei der Entdeckung aufgrund der Verweildauer ist ebenfalls ein wichtiger Faktor, da APTs über Monate oder sogar Jahre unentdeckt bleiben können. In dieser Zeit können sie mehrere Hintertüren einbauen und verschiedene Systeme kompromittieren. Bis sie entdeckt werden, können die Angreifer bereits tief eingedrungen sein.

Vereinheitlichter SASE als Dienst als integrierte Schutzmaßnahme

Unified SASE as a Service, eine Schlüssellösung im Arsenal von Aryaka, spielt eine wichtige Rolle im Kampf gegen fortschrittliche, hartnäckige Bedrohungen (APTs) wie SaltTyphoon. Die proaktiven und reaktiven Abwehrmechanismen sind so konzipiert, dass sie fortgeschrittene Angriffe ausmanövrieren können, was sie zu einem wichtigen Bestandteil der Sicherheitsstrategie eines jeden Unternehmens macht.

  • Die Durchsetzung des Prinzips der geringsten Privilegien ist ein wichtiger Schritt im Kampf gegen APTs. Unternehmen müssen mithilfe von ZTNA granulare Zugriffskontrollen implementieren, um sicherzustellen, dass Benutzer, Geräte und Anwendungen nur mit den spezifischen Ressourcen interagieren können, die für ihre Rolle erforderlich sind. Dadurch wird das Potenzial eines APTs, weitreichenden Schaden anzurichten, erheblich reduziert, was ihn zu einer wichtigen Verteidigungsstrategie macht.
  • Identitäts- und kontextbewusste Richtlinien, die Standort, Zeit und Verhalten berücksichtigen, sind im Kampf gegen APTs entscheidend. Indem sie eine kontinuierliche Überprüfung von Benutzern und Geräten ermöglichen, verringern diese Richtlinien die Wahrscheinlichkeit, dass sich ein Angreifer erfolgreich als legitimer Benutzer ausgibt, erheblich. Das schafft Vertrauen in die Sicherheitsmaßnahmen und macht sie zu einem wichtigen Bestandteil der Verteidigungsstrategie eines jeden Unternehmens.
  • Unified SASE as a Service bietet Eindämmungsfunktionen durch Mikrosegmentierung, um Workloads, Anwendungen und Geräte innerhalb des Netzwerks zu isolieren. Diese Strategie schränkt die seitliche Bewegung einer APT ein und hindert Angreifer daran, weitere Systeme zu kompromittieren, selbst wenn sie bereits Fuß gefasst haben.
  • Mit Unified SASE as a Service können Unternehmen die Überwachung und Transparenz auf Netzwerk- und Sicherheitsebene verbessern, um Anomalien zu erkennen und Indikatoren zu korrelieren, um potenzielle APT-Aktivitäten frühzeitig zu identifizieren und darauf zu reagieren. Darüber hinaus bieten Sicherheitsfunktionen wie SWG, FwaaS, IPS, File Scanning usw. Echtzeitwarnungen und automatische Reaktionen auf verdächtige Aktivitäten, so dass Unternehmen APT-Aktionen schnell erkennen und eindämmen können.
  • Es ist allgemein bekannt, dass APTs sensible Daten und geistiges Eigentum aus den Zielnetzwerken stehlen, so dass Angreifer diese Informationen an entfernte Standorte exfiltrieren müssen. Mit Unified SASE as a Service können sensible Datenlecks und Anomalien bei der Datenübertragung während der Exfiltration, einschließlich des Missbrauchs von Protokollen, mithilfe von Sicherheitsfunktionen wie CASB, DLP und Sicherheits-Engines, die ML/AI für die Erkennung von Anomalien nutzen, erkannt werden.

Allgemeine Empfehlungen

Ein entscheidender Punkt ist die Einfachheit der Abläufe, denn diese Prozesse können eine erhebliche Belastung darstellen und sind nur schwer nachhaltig zu pflegen. Die Schaffung klarer Rollen und Verantwortlichkeiten für die Erstellung und Verwaltung von Sicherheitsrichtlinien und -verfahren ist sehr hilfreich. Unternehmen können mehr tun als das, was die CISA und das FBI vorgeschlagen haben. Siehe unten:

  • Implementieren Sie eine Zero-Trust-Architektur, um für jede Zugriffsanfrage – ob intern oder extern – eine Authentifizierung und Autorisierung zu verlangen. Wenn Unternehmen den Grundsatz „Niemals vertrauen, immer überprüfen“ befolgen, tragen sie dazu bei, Seitwärtsbewegungen einzuschränken und die Auswirkungen einer Kompromittierung zu verringern.
  • Die proaktive Bedrohungsjagd spielt eine wichtige Rolle bei der schnellstmöglichen Suche nach APTs. Suchen Sie regelmäßig nach bekannten APT-Indikatoren (Indicators of Compromise, IOCs), wie bösartige IPs, Datei-Hashes und Domänen. Unternehmen sollten sich auch auf den Indikator des Angriffs (Indicator of Attack, IOA) konzentrieren, um böswillige Absichten und Taktiken wie Seitwärtsbewegungen, Privilegienerweiterung und Datenexfiltration zu erkennen.
  • Machen Sie sich die Leistungsfähigkeit fortschrittlicher Sicherheits- und Netzwerktechnologien zunutze. Erstens: Die Segmentierung unterteilt Ihr Netzwerk in kleinere Zonen, um Bedrohungen einzudämmen und die Bewegungsfreiheit von Angreifern zu begrenzen. Zweitens können Täuschungstechnologien wie Honeypots und Lockvögel eingesetzt werden, um das Verhalten von Angreifern zu erkennen und zu untersuchen. Drittens kann die KI-gesteuerte Automatisierung für eine schnellere Erkennung, Triage und Reaktion auf APT-Aktivitäten genutzt werden.
  • Unternehmen sollten regelmäßig Tabletop-Übungen durchführen, um die Wirksamkeit ihres IR-Plans mit realistischen Szenarien zu ermitteln, einschließlich APT-Simulationen und Angriffs-Playbooks für gängige Angriffsszenarien. Darüber hinaus sollten sie Backups häufig testen, um sicherzustellen, dass sie funktionstüchtig sind und schnell wiederhergestellt werden können.

Durch die Nutzung der Leistungsfähigkeit von Unified SASE as a Service können Unternehmen ihre Netzwerke in hochgradig widerstandsfähige Umgebungen verwandeln, in denen APTs in jeder Phase des Angriffslebenszyklus – von der Aufklärung bis zur Ausnutzung und Exfiltration – auf ständige Hindernisse stoßen.