Wie man sich auf Supply-Chain-Angriffe wie Sunburst vorbereiten kann

bei

 / 26. May. 2021

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Mit geschätzten 18.000 betroffenen Unternehmen war der Angriff auf und durch SolarWinds einer der raffiniertesten und schwerwiegendsten der letzten Jahre. Die Angreifer schafften es, lange Zeit im Verborgenen zu bleiben, nachdem sie Schadcode in ein SolarWinds-Update eingeschleust hatten, das automatisch an Zehntausende von Kunden ausgeliefert wurde. Nachdem die Kundensysteme so infiziert wurden, öffnete die Malware eine Hintertür, durch die die Angreifer unbemerkt in das System eindringen und sensible Daten, darunter auch wertvolle Geschäftsdaten und geistiges Eigentum, stehlen konnten. Immer wieder tauchen neue Details auf, noch sind nicht alle Umstände geklärt und etliche Fragen offen, etwa wer hinter dem Angriff steckt. Zuletzt zeigte sich, dass auch Unternehmen, die keine direkte Verbindung zu SolarWinds hatten, von den Angriffen betroffen sind. Deswegen erscheint es ratsam, sich mit der Thematik Supply-Chain-Angriffe auseinanderzusetzen, um die grundlegende Problematik zu verstehen und entsprechende Verteidigungsstrategien zu entwickeln. Denn Sunburst wird nicht der letzte Angriff dieser Art gewesen sein.

Risiken erkennen

Supply-Chain-Angriffe, bei denen ein Angreifer einen vertrauenswürdigen Lieferanten oder ein Produkt ins Visier nimmt, anstatt ein Ziel direkt zu attackieren, sind ein wachsendes Risiko. Dabei liegt eine wesentliche Schwierigkeit bereits darin zu erkennen, ob und wann man Opfer eines solchen Angriffs geworden ist. Gerade bei diesen sehr aufwändigen Attacken legen die Cyberkriminellen höchsten Wert darauf, so lange wie möglich unentdeckt zu bleiben. Im Fall von SolarWinds gelang ihnen dies monatelang. Eine frühzeitige Erkennung wird so zur Herausforderung.

Bei der Cybersicherheit geht es immer darum, Risiken zu bewerten und entsprechend zu adressieren, also eine schnelle, aber auch angemessene und verhältnismäßige Reaktion einzuleiten. Im Fall von SolarWinds hat jedes Unternehmen, das mindestens zwei aktuelle Updates der Orion-Software heruntergeladen hat, die Backdoor installiert. Es wäre daher verlockend, sich aus vermeintlichen Sicherheitsgründen gegen die Durchführung von Updates zu entscheiden. Das Heilmittel sollte aber nie schlimmer als die Krankheit sein: Angesichts der Tatsache, dass es sich bei der überwiegenden Mehrheit der Angriffe nicht um hochentwickelte Zero-Day-Angriffe wie bei Sunburst handelt, eröffnet das Blockieren von Sicherheitsupdates einfach nur neue Risiken. Vielmehr sollten die Risiken der Lieferkette im Kontext der gesamten Angriffsfläche eines Unternehmens betrachtet werden. Entsprechend muss man nach Wegen suchen, wie man dieses Risiko unter Kontrolle bekommen kann. Zunächst ist es ratsam, auf vertrauenswürdige und seriöse Lieferanten zu setzen, die die höchsten Sicherheitsstandards und Best Practices befolgen. Allerdings sind auch diese nicht vor Angriffen gefeit, wodurch weitere Maßnahmen unumgänglich sind.

Auffälliges Verhalten erkennen

Eine der harten Lektionen aus dem SolarWinds-Angriff war die Erkenntnis, dass es den Angreifern gelang, sehr lange unentdeckt zu bleiben. Sie versuchten, möglichst wenig Spuren zu hinterlassen, um so eine Erkennung zu umgehen, während sie sich lateral in den Systemen bewegten. Dennoch: Selbst die fortschrittlichsten Angreifer sind nicht in der Lage, das normale Verhalten jedes Benutzers und jedes Geräts, das sie bedienen, genau nachzuahmen, wenn sie sich durch ein Netzwerk bewegen, auf neue Konten zugreifen und Daten berühren. Und genau dies öffnet ein Fenster für die Identifizierung auch solcher Angriffe.

Auch beim Sunburst-Angriff gab es ungewöhnliche Aktivitäten von Konten und Systemen. Einige unserer Kunden erkannten ein seltsames Verhalten der mit SolarWinds verbundenen Dienstkonten, einschließlich ungewöhnlicher Dateiaktivitäten und Verbindungen zu Endnutzer-Computern. Genau dieses abnormale Verhalten, etwa der Zugriff einer Person aus der Personalabteilung auf eine Threat Intelligence-Datenbank, kann Angreifer verraten. Dies gilt insbesondere für den Sicherheitsverstoß bei SolarWinds, bei dem die Angreifer vor allem auf Dienstkonten und nicht auf Benutzerkonten abzielten, um erhöhte Rechte zu erlangen und sich seitlich im Netzwerk zu bewegen. Die Untersuchung von Alarmen und Aktivitäten auf ungewöhnliches Authentifizierungs- und Zugriffsverhalten kann einen guten Hinweis auf eine Kompromittierung geben. Entsprechend empfehlen Organisationen wie die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das britische National Cyber Security Centre (NCSC) auch die Verhaltensmodellierung im Bereich der Bedrohungserkennung.

Die Hürden für Angreifer erhöhen

In den allermeisten Fällen sind Daten das Ziel der Angreifer: sei es, um Lösegeld zu erpressen, für Spionagezwecke, für finanziellen Gewinn oder als eine Art Pfand für politische Zwecke. Doch allzu oft sind die Sicherheitsmaßnahmen rund um wertvolle Daten nicht so stark, wie sie sein könnten. Deshalb ist es wichtig, ein sicheres Fundament zu legen, einschließlich Tools und Best Practices, um sich zu schützen. Ein besonders effektiver Weg, die Sicherheit zu erhöhen, ist die Sicherstellung angemessener Kontrollen darüber, wer auf was Zugriff hat. Neben der Sicherstellung starker Authentifizierungspraktiken, einschließlich der Multi-Faktor-Authentifizierung (MFA), ist es wichtig, Konten mit hohen Privilegien zu schützen und einen Einblick in diese zu erhalten. Unternehmen müssen kontinuierlich überwachen, wer Zugriff hat, warum er Zugriff hat und wie er auf die Daten zugreift.

Supply-Chain-Angriffe sind ein starkes Argument für die Einführung eines Zero-Trust-Modells. Vereinfacht ausgedrückt bedeutet Zero Trust, dass man niemandem vertrauen soll, nicht einmal den Benutzern innerhalb des Perimeters. Dies hat zur Konsequenz, dass bei jedem Benutzer und jedem Gerät die Zugangsdaten bei jedem Zugriff auf eine Ressource innerhalb oder außerhalb des Netzwerks überprüft werden müssen. Idealerweise wird Zero Trust mit dem Least-Privilege-Ansatz kombiniert, bei dem jeder nur den Zugriff erhält, den er auch tatsächlich benötigt. Gerade hier herrscht noch viel Nachholbedarf, wie zuletzt der Datenrisiko-Report für den Finanzsektor [1] gezeigt hat. Selbst in einem Datensicherheits-affinen Bereich wie der Finanz- und Versicherungsbranche hat jeder Mitarbeiter durchschnittlich Zugriff auf knapp 11 Millionen Dateien, in größeren Unternehmen sogar auf rund 20 Millionen.

SolarWinds ist eine Warnung an uns alle, dass ein entschlossener und motivierter Angreifer selbst die besten Schutzmaßnahmen umgehen kann. Es gilt deshalb, auch auf die Eventualität eines Lieferketten-Angriffs vorbereitet zu sein. Denn falls dieser Fall eintritt, müssen Unternehmen in der Lage sein, kriminelle Aktivitäten nicht nur zu erkennen, sondern diese auch zu stoppen – noch bevor die wertvollen Daten in die falschen Hände geraten.

 

Quellen und Referenzen:

[1] https://info.varonis.com/hubfs/docs/research_reports/2021-Financial-Data-Risk-Report.pdf

Über den Autor / die Autorin:


Michael Scheffler verantwortet seit April 2020 verantwortet als Country Manager DACH und Osteuropa das Wachstum und die Positionierung das Datensicherheits-Spezialisten Varonis in dieser Region. Er verfügt über eine mehr als 20-jährige Erfahrung im Bereich beratungsintensiver Security-Lösungen.