[English]Administratoren und Leute, die sich mit dem Thema befassen, wissen oder ahnen es schon länger. Die Die nicht verwaltete Angriffsfläche von IT-Komponenten ist bei vielen Unternehmen zu komplex. Damit wird es Cyberkriminellen erleichtert, die Unternehmens-IT anzugreifen, während die Unternehmen selbst immer größere Schwierigkeiten haben, die Systeme sauber durchzupatchen. Mir sind interessante Informationen diesbezüglich von Palo Alto Networks auf den Tisch gekommen.
Anzeige
Wir haben es geahnt
Erfahrene Sicherheitsexperten wissen, dass Zero-Days zwar für Schlagzeilen sorgen, die wirklichen Probleme aber durch Dutzende von kleinen Entscheidungen entstehen, die jeden Tag in einem Unternehmen für die IT getroffen werden. Schon eine einzige versehentliche Fehlkonfiguration eines IT-Systems kann eine Schwachstelle in der Abwehr darstellen. Daher hat das Security Forschungsteam von Palo Alto Networks von mehr als 100 Unternehmen aus verschiedenen Branchen ausgewertet, um ihre nicht verwalteten Angriffsflächen zu kartieren.
Opportunistische Angreifer nehmen diese Versehen und Fehlkonfigurationen zunehmend ins Visier, da es einfach und kostengünstig geworden ist, Schwachstellen, Expositionen oder andere unbekannte offene Türen zu finden. Selbst weniger qualifizierte Angreifer können eine Scan-Infrastruktur aufbauen, um das Internet grob zu durchforsten und kompromittierbare Objekte zu entdecken.
Einige können sogar versuchen, diese Schwachstelle zu knacken, doch weitaus geschäftstüchtigere Angreifer verkaufen diese Scandaten im Dark Web an Bieter, die dann besonders ausgefeilte Angriffe starten können. Für Verteidiger ist es daher ein großer Vorteil, wenn sie die Angriffsfläche eines Angreifers kennen.
Für eine tiefer gehende Analyse untersuchten die Forscher eine Stichprobe von CVE-Daten (Critical Vulnerabilities and Exposure) von Januar bis Februar 2022, für die bereits aktive Exploits bekannt waren und die in wichtigen Cybersicherheitsempfehlungen von US-Bundesbehörden hervorgehoben wurden.
Anzeige
2022 Attack Surface Threat Report
Dies sind einige der wichtigsten Ergebnisse des ASM Threat Report 2022 (Registrierung erforderlich) von Palo Alto Networks, der auf beobachtbaren Daten von mehr als 100 Unternehmen und nicht auf selbst gemeldeten Umfragen basiert:
- Die Cloud ist nach wie vor ein Sicherheitsalbtraum: Fast 80 Prozent aller auf der globalen Angriffsfläche beobachteten Probleme fanden in der Cloud statt. Cloud-Bereitstellungen sind zwar einfach, führen aber aufgrund von Fehlkonfigurationen und Schatten-IT zu zahlreichen unbeabsichtigten Angriffen.
- Niedrig hängende Früchte bleiben weiterhin hängen: Nicht-Zero-Day-Gefährdungen gibt es überall. Nahezu jedes vierte Problem, das die Forscher auf der Angriffsoberfläche gefunden haben, stand im Zusammenhang mit einem ungeschützten RDP-Server, der inzwischen das bevorzugte Einfallstor für Ransomware ist. Die Xpanse-Untersuchung deckte auch über 700 unverschlüsselte Anmeldeseiten für verschiedene IT-Dienste auf, die unverschlüsselt und öffentlich zugänglich waren. Nahezu 3.000 Datenbankspeicher- und Analysesysteme und über 2.500 kritische Gebäudeleitsysteme (BCS) waren ebenfalls über das öffentliche Internet zugänglich.
- End-of-Life-Software = End-of-Life für die Sicherheit: 30 Prozent der Unternehmen setzten Softwareversionen am Ende ihrer Lebensdauer (EOL) ein, die von CVEs betroffen waren, für die bereits aktive Exploits bekannt waren und die in Cybersecurity-Advisories der US-Regierung aufgeführt wurden.
- Die unkontrollierte Angriffsfläche nimmt zu: Die Forscher stellten zudem fest, dass mehrere Unternehmen zwar eine große Anzahl aktiver Probleme hatten, die sie innerhalb eines Monats bekämpften, aber nie wirklich sicher waren. Diese Unternehmen blieben den ganzen Monat über verwundbar, weil ihre nicht verwaltete Angriffsfläche weiterwuchs, während andere Sicherheitsprobleme behoben wurden.
- Hartnäckig, komplex, aber einmalig: Die Untersuchungen von Xpanse haben ergeben, dass die Angriffsfläche in jeder Branche zwar einzigartig ist, die Schwachstellen jedoch bestehen bleiben. So waren beispielsweise fast 23 Prozent aller Probleme im Versorgungs- und Energiesektor auf gefährdete Gebäudeleitsysteme zurückzuführen. Nahezu 50 Prozent aller Probleme im Bereich der freiberuflichen und juristischen Dienstleistungen betrafen Datenspeichersysteme und unverschlüsselte Logins, die dem öffentlichen Internet ausgesetzt waren. Dadurch waren geistiges Eigentum, wichtige Kundendaten und andere hochsensible Informationen gefährdet.
Wenn Sicherheitsteams nicht wissen, wo sich die Schwachstellen befinden, ist es unmöglich dafür zu sorgen, dass die Probleme behoben werden. Für viele Unternehmen werden die Cloud und RDP ein ständiges Ziel sein, aber die Konstellation von Risiken und Schwachstellen auf Ihrer Angriffsfläche wird nur weiterwachsen, da die Angriffsflächen immer komplexer werden.
Angreifer profitieren von der Komplexität und den sich ständig verändernden Angriffsflächen, da sie das gesamte Internet auf der Suche nach diesen Schwachstellen durchsuchen können. Mit der Sichtweise eines Angreifers können Unternehmen Probleme identifizieren und priorisieren, um sie zu beheben. Dies bedeutet auch, dass die Konzentration auf Kennzahlen wie die mittlere Zeit bis zur Entdeckung (Mean Time To Detect, MTTD) und die mittlere Zeit bis zur Reaktion (Mean Time to Respond, MTTR) von Natur aus fehlerhaft ist.
Im Falle einer Sicherheitsverletzung sind MTTD und MTTR akzeptabel, aber die Sicherheit sollte sich nach Meinung von Palo Alto Networks darauf konzentrieren, alles zu tun, um Sicherheitsverletzungen zu verhindern, bevor sie passieren. Das bedeutet, dass Unternehmen mehr Wert auf die mittlere Zeit bis zur Bestandsaufnahme (Meant Time To Inventory, MTTI) legen sollten, da es unmöglich ist, unbekannte Assets vor unbekannten Risiken zu schützen.
Moderne Angriffsflächen sind dynamisch. Ohne einen klaren Überblick, der ständig aktualisiert wird, ist es nur allzu leicht möglich, anhaltende Schwachstellen und nicht verwaltete Anlagen zu haben. Sicherheitsexperten können nur so gut sein wie die Daten, die ihnen zur Verfügung stehen. Eine solide Grundlage für die kontinuierliche Erkennung und Überwachung stellt nach Meinung von Palo Alto Networks sicher, dass Unternehmen mit modernen, dynamischen Angriffsflächen Schritt halten können, um Schwachstellen zu finden, zu priorisieren und zu entschärfen, sobald sie auftreten.
Risks across attack surface, Source: Palo Alto Netzworks
Weitere wichtige Erkenntnisse über die nicht verwaltete Angriffsfläche, die auf Beobachtungsdaten von über 100 Unternehmen basieren, finden sich im 2022 Cortex Xpanse Attack Surface Threat Report.
Anzeige
Wenigsten wissen jetzt die "Hobby-Hacker" wo die Schwachstellen sitzen und werden nun die Finger davon lassen, weil diese ja jetzt geschlossen werden… (ironisch gemeint)
Es entspricht aber dem, was ich vor Wochen schon mal vorsichtig vermutet hatte. Es wird noch schlimmer werden. Angesichts der vielen Meldungen der letzten Tag über gehackte Seiten und Unternehmen, Zugänge etc., ist das auch nicht schwer zu erahnen.
Wenn ich mir die Praxis so ansehe, dann komme ich persönlich nur zu einer Empfehlung: Abreißen und neu aufbauen, also die IT-Infrastruktur samt IT-Landschaft.
Haarsträubend ist dabei immer wieder das Thema Dokumentation: "So etwas haben wir nicht." oder "Die Dokumentation ist veraltet." höre ich dabei sehr oft.
Nicht weniger defizitär sind die Themen Identitätsmanagement und Rechteverwaltung. Welche Benutzer haben welche Rechte? "Einfach ausprobieren.", bekam ich da schon als Antwort.
Letztendlich sind die IT-Infrastruktur und IT-Landschaft bei vielen Kunden ein Abbild ihrer veralteten, ineffizienten und teilweise chaotischen Betriebsorganisation.
Ich musste mal meiner Führungsetage die Frage beantworten, warum die Generaldokumentation so veraltet sei, als diese ad hoc angefordert wurde.
Ich sagte dann, dass man halt nicht 24/7/365 im operativen Krisenmodus arbeiten könne und danach alles so sei, als wäre man planvoll tätig. Sie können aber die ca. 1000 Changes des letzten Jahres – die alleine auf der Basisinfrastruktur ausgerollt wurden – gerne nachlesen, um sich den neuen Stand zusammen zu reimen.
Fanden sie unhöflich, waren aber zufrieden damit, dass man irgendwie feststellen könnte, wie es jetzt genau aussieht.
Dass die IT im ständigen Hop-Hop-Modus tätig ist und der tatsächlich belastbare Überblick in der Dokumentation fehlt, scheint auch völlig normal zu sein. Selbst in größeren Behörden bin ich mit Fragen zur Technik schon aufgelaufen, weil der zuständige Bereichsadmin "gerade nicht da" war. Aber man könne das bei der nächsten Teamsitzung eruieren.
Das beste, was man im aktuellen Management-Irrsinn tun kann, ist wohl wenigstens das Containment der Brandherde sicherzustellen. Und wenn das nicht mehr ins Hop-Hop passt, das Licht ausmachen.
Die Veröffentlichungen der Palo Alto Truppe sind mir inhaltlich oft irgendwie suspekt, aber thematisch liegen sie trotzdem oft auf dem Punkt.
Mit der nächsten Teamsitzung folgt dann erst das Lippenbekenntnis zur Notwendigkeit ("Ja, wir müssen es dokumentieren, weil wir dazu auch verpflichtet sind."), um dann mit dem aktuellen Auftrag in den alten Modus zurückzukehren ("Ich habe dafür gerade keine Zeit.", weil ein anderer Auftrag gerade wichtiger schien).
Da fragte ich den Admin, warum er den Auftrag nicht mit der Dokumentation abschließt, wenn der Kunde das schon mit beauftragt. Hach ja, wenn Blicke… ;)
Naja, ist halt eine Dauerdiskussion, was eine ausreichende Dokumentation eigentlich ist.
Eine honorige Beraterbude fand es mal abwegig, dass ich nicht nur die Changes als Arbeits- und Änderungsvorgang dokumentiert haben wollte, sondern eine echte "stehende" Gesamtdokumentation für nötig erachtetete.
Beides ergab sich irgendwie so aus rechtlichen Erfordernissen. So Vorschriften zur Aktenführung (1), die sich so aus dem GG nach unten durch die Gesetze und Verordnungen quasi durch trickle down ergeben. Und halt dem Informationssicherheitskram (2) und ein paar gesetzlichen Vorschriften hierzu.
Fand ich also hilfreich.
Die Beraterbude nicht. Deshalb hat sie die für
(2) vorgesehenen Zeiteinheiten gestrichen und die für (1) halbiert.
Und weil Beraterbuden immer Recht haben, ist das dann halt so.und neben vielen anderen, wird auch die Zeit hierfür gestrichen. Man soll halt 90% machen machen machen und maximal 10% dokumentieren.
Und weil Gesetze und Vorschriften auch immer Recht haben, muss aber trotzdem alles ordentlich stattfinden. Halt in einer Raum-Zeit-Falte oder so.
Das derzeitige Ende der Geschichte ist übrigens, dass das Zusammenführen der Arbeitsdokumentation mit einer Gesamtdokumentation on the fly, das wir dann versucht haben, weder den Vorschriften zu (1) entspricht, noch für (2) vernünftig verwendet werden kann. Jetzt wird geklärt, was wir bei gleichem Personal, gleichem Zeitbudget und steigender Zahl von Änderungsanforderungen noch alles zusätzlich machen müssen, damit alles wieder gut ist.
In einem Beispiel-Aktenvorgang, der allen rechtlichen Erfordernissen standhält, wurden über 20 Dokumente und Gesprächsnotizen verzeichnet, um die Übergabe eines Handys von einer Person an eine andere zu dokumentieren. Hat irgendwie Zeit gekostet. Ne Menge.
Die Übergabe selbst hat dann 1 Minute gedauert.
War ne Krankheitsvertretung, geht bald wieder andersrum.
Meine ursprüngliche Schätzung Änderungsarbeit: Dokumentationsarbeit = 50:50 wich stark von 90:10 ab. Jetzt pendelt es wohl zu 10:90.
Wobei man dabei nicht vergessen darf, dass das in einem Umfeld stattfindet, in dem alles genehmigt werden muss. Und in dem bei einem Gesamtzeithorizont von 7 Kalendertagen bis zur Gesamterledigung 5 Werktage vergehen, bis die Genehmigungen vorliegen. Also wenns gut läuft. Da ist die Idee, die IT viel viel mehr in viel viel weniger Zeit schaffen zu lassen, wohl eine logische Konsequenz.
Alles, was mit IT zu tun hat, funktioniert schlichtweg genauso bescheiden, wie alles andere. Nur dass dann die Spezial-Logik zuschlägt, dass mit IT ja alles möglich ist und entsprechend nichts wirklich durchdacht und schon gar keine zusätzlichen Ressourcen geplant werden müssen. Und natürlich, dass die Folgen wenns dann schief geht, sehr schnell katastrophal sind.
Falsches Werkzeug ausgegeben? Naja, wird halt getauscht. Falschen Dienst irgendwo freigegeben und schon steht die Bude offen zur dauerhaften Abschaltung
Statt die Technik abzureißen und neu zu bauen, sollten wir vielleicht die ganzen Realitätsverzerrungen mal glatt ziehen und auch alles drumherum neu denken, bevor wir dann genau das machen. Also alles abreißen und vernünftig neu aufbauen.
Hätten wir das 2012 so gemacht, wären wir z.B. mit dem eGovernment schon 2015 da gewesen, wo wir so vielleicht 2025 sein werden (also vielleicht).
Etwaige Geschichten kenne ich zur Genüge.
Solche Beraterbuden kannst du mit gezielten Fragen relativ einfach entlarven. Da zeigt sich rasch, wer wirklich Ahnung hat. Ich habe bei einem Ex-Arbeitgeber eine Consulting-Firma aus der Nähe von München auflaufen lassen. Da konnte der Berater dann auch nicht mehr mit seinem Audi S6 Avant imponieren.
Das Ende vom Lied war, dass mein damaliger Chef erkannte, wie wichtig Dokumentation ist. Er räumte allerdings auch ein, dass er seinerzeit schlecht beraten worden sei, als er seine Firma gründete. Vom KonTraG hatte er bis dahin auch nichts gehört. Halleluja. ;)
Sicherheitsalbtraum Cloud:
Gilt diese Aussage absolut generell auf alle Cloud-Anbieter oder gibt es Unterschiede? Ich frage, denn in den Medien *erscheint* Microsofts Azure & Co. relativ safe. Kommt dieser Albtraum durch die vielen (kleinen) Admins zustande, die ihre Cloud nicht absichern (warum auch immer)?
auf viele dieser cloud Systeme gehen Vertriebler (Nutzer) und andere nicht Admins total ab.
Man kann da einfach selbst (ohne Admin der rum nervt mit das kannst man nicht so machen, weil unsicher etc ) was freigeben und es geht sofort.
Was da bei rauskommt ist, klar. Wenn früher (lokal im Netz) derartige Leute selbst Rechte hatten Netzwerk Shares etc freizugeben kam oft "Everyone r/w" bei raus.
Und dann wurde später rumgeheult wenn irgendjemand anderes Dateien gelöscht hatte……