Moderne Cyber-Angriffe

Heimlich, still und leise

Virenscanner und Firewalls begleiten die IT-Welt seit Jahren und haben sich in den Köpfen als die anerkannten Sicherheitsmaßnahmen etabliert. Leider – denn der Angriff auf Computersysteme ist längst nicht mehr ein kleiner Spaß von Teenagern, sondern ein organisierter Angriff auf IT-Ressourcen, der zum Teil von staatlichen Organen anderer Länder durchgeführt wird. Und die bewährten Abwehrmaßnahmen können der aktuellen Bedrohungslage nicht mehr standhalten.
Kleine Unternehmen haben ähnliche Anforderungen an die IT wie Konzerne, jedoch weniger Budget und Personal. Wie sie trotzdem eine zuverlässige und ... (mehr)

Warum sollte gegen diese gerichteten Angriffe eine Firewall nicht ausreichen? Ein gutes Beispiel dafür kann eine Stadtmauer sein. Diese hat in früheren Zeiten eine Stadt gegen ungebetene Gäste geschützt, ähnlich einer Firewall. Jetzt lassen sich Cyberangriffe nicht unbedingt mit einer Kanone vergleichen, die sozusagen die Firewall einreißt. Vielmehr müssen wir uns die zu schützende Stadt wie eine stark genutzte Handelsstadt vorstellen, in der sich die Hacker haben sich als Händler verkleidet haben. Die Stadtmauer (Firewall) und auch die Stadtwachen (Virenscanner) können den bis dato unbekannten Dieb nicht erkennen, da er sich erst mal wie andere Händler verhält. Ist er aber erst mal in der Stadt, hilft die Stadtmauer nicht mehr und die Stadtwachen nur noch bedingt.

Wie geht so ein Hacker aktuell in der Praxis vor? Im Prinzip läuft der Angriff immer in den gleichen Phasen ab:

1. Eindringen

2. Persistenz

3. Vorarbeiten (lateral movement)

4. Im System verbleiben und ausspähen

Als Erstes muss sich der Hacker Zugang zu dem System verschaffen. Dazu muss er entweder eine Sicherheitslücke ausnutzen oder einen Anwender dazu verleiten einen schadhaften Code auszuführen. Sicherheitslücken gibt es immer wieder, aktuell zum Beispiel die bekannten Bedrohungen "Spectre" und "Meltdown". Automatisiert prüfen die Angreifer permanent, ob sie Rechner im Internet finden, die die entsprechenden Sicherheitslücken aufweisen. Wir müssen dabei beachten, dass der Angreifer lediglich einen Rechner benötigt, den er angreifen kann, insofern ist die Kette immer nur so stark wie ihr schwächstes Glied.

Angesichts dessen ist doch immer wieder verwunderlich, wie leichtsinnig Firmen zum Teil Rechner an das Internet anbinden und Ports freigeben, die gar nicht notwendig wären, und damit natürlich zusätzliche Angriffsfläche bieten. So wurde zum Beispiel Anfang 2017 eine Lücke im SMB-Protokoll öffentlich und es

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019