Die Bedeutung einer NDR-Lösung zur frühzeitigen Erkennung von Angriffen auf die Lieferkette in Unternehmensnetzwerken

Die digitale Transformation hat in den letzten Jahren einen Aufschwung erlebt, insbesondere im Zuge der COVID19-Pandemie, die die Einführung digitaler Technologien in nur wenigen Monaten um mehrere Jahre beschleunigt hat. Die Integration digitaler Technologien in Unternehmen hat erhebliche Vorteile mit sich gebracht. Sie hat jedoch auch die Tür für neue Sicherheitsrisiken und Schwachstellen weit geöffnet.

Die wichtigsten Erkenntnisse aus diesem Artikel:

  • Die digitale Transformation führt zu einer zunehmenden Abhängigkeit von Drittanbietern.
  • Schwachstellen bei diesen Drittanbietern öffnen Türen in Unternehmensnetzwerke (so genannte Supply-Chain-Angriffe).
  • Die jüngsten Cyberangriffe weltweit haben deutlich gezeigt, welch großes Risiko die Ausnutzung von Lieferkettennetzwerken durch Cyberkriminelle darstellt.
  • NDR-Lösungen nutzen fortschrittliche Technologien wie KI, maschinelles Lernen und Deep Learning, um Angriffe auf die Lieferkette zu erkennen und zu stoppen.

Das offensichtlichste Risiko war die Ausweitung der Lieferkettennetzwerke von Unternehmen auf eine große Anzahl von Drittpartnern. Dazu gehören Lieferanten, Auftragnehmer, Subunternehmer, IT-Dienstleister (Cloud, MSSP, MSP), Anbieter von Zahlungsverarbeitungsdiensten, Mitproduzenten, Spediteure und Händler. Unternehmen auf der ganzen Welt lagern viele ihrer Aufgaben, darunter auch Kerngeschäftsfunktionen, in zunehmendem Maße aus. Laut einer Studie des [Ponemon Institute] (https://www.ponemon.org/userfiles/filemanager/nvqfztft3qtufvi5gl60/) teilt das durchschnittliche Unternehmen sensible Informationen mit etwa 583 Drittanbietern. Die steigende Zahl externer Drittanbieter führt dazu, dass Unternehmen den Überblick über ihre IT-Umgebungen verlieren, was die Verwaltung der Zugriffsrechte externer Parteien und die Verfolgung ihrer Aktivitäten im Netzwerk komplexer macht.

Um der ständig steigenden Zahl von Cyberangriffen zu begegnen, setzen Unternehmen eine Reihe von Sicherheitslösungen ein, um ihre Cyberabwehr zu verbessern und zu verhindern, dass Cyberkriminelle eine Lücke ausnutzen, um sich Zugang zum Unternehmensnetzwerk zu verschaffen. Herkömmliche Sicherheitslösungen wie Firewalls, IDS/IPS und SIEM reichen jedoch nicht mehr aus, um ausgeklügelte Angriffe zu verhindern, die beispielsweise von staatlichen Akteuren oder organisierten kriminellen Gruppen durchgeführt werden. Die jüngsten Datenschutzverletzungen zeigen deutlich, dass solche Lösungen Bedrohungsakteure nicht fernhalten können. Darüber hinaus weisen herkömmliche Sicherheitslösungen viele blinde Flecken auf, und die meisten von ihnen können nicht auf IoT-Geräten eingesetzt werden, was eine erhebliche Lücke hinterlässt, die Cyberkriminelle ausnutzen können.

Was ist Netzwerkerkennung und -reaktion (Network Detection and Response, NDR)?

Network Detection and Response (NDR) ist eine moderne Sicherheitstechnologie, die verdächtige Aktivitäten durch Analyse des Netzwerkverkehrs erkennt. Eine NDR-Lösung scannt kontinuierlich den Netzwerkverkehr und überwacht alles, was zwischen allen Einheiten (z. B. Benutzern, Geräten oder Containern) im Netzwerk passiert. Auf diese Weise erstellt die NDR-Lösung eine Basislinie normaler Netzwerkaktivitäten. Wenn anormale Aktivitäten durch das Netzwerk laufen, löst die NDR-Lösung eine Warnung aus und informiert das Sicherheitsteam, um die verdächtigen Aktivitäten zu untersuchen.

Nach dem Einsatz einer NDR-Lösung im Netzwerk (im Fall von ExeonTrace eine rein softwarebasierte Lösung, die keine zusätzlichen Hardwaresensoren benötigt), muss das Sicherheitsteam die Netzwerkgeräte nicht mehr einzeln überwachen. Die NDR-Lösung bietet vollständige Transparenz über alle im Netzwerk angeschlossenen Geräte. Ein moderner NDR wie ExeonTrace kann auch den Datenverkehr zwischen Geräten vor Ort und der Cloud-Umgebung (einschließlich öffentlicher Clouds wie AWS, Azure und Google), IoT und industriellen Steuerungssystemen überwachen, um einen vollständigen Überblick über das gesamte digitale Ökosystem des Unternehmens zu erhalten.

Im Gegensatz zu herkömmlichen Sicherheitslösungen, die immer noch Signaturtechniken zur Erkennung von Malware verwenden, setzt NDR fortschrittliche Technologien zur Erkennung von bösartigem Datenverkehr ein, wie maschinelles Lernen, Deep Learning, KI und heuristische Analysen. Zukunftssichere NDR-Lösungen können verschlüsselten Datenverkehr entschlüsseln, z. B. mit TLS und SSL geschützten Datenverkehr, was dazu beiträgt, fortschrittliche Cyberangriffe (z. B. Ransomware und APT) zu umgehen, die einen C&C-Kanal mit dem angreifenden Server öffnen müssen, um Anweisungen zu erhalten.

Jüngste Cyberangriffe auf die Lieferkette

Ein Angriff auf die Lieferkette, der auf die Nutzung kompromittierender Dienste, Anwendungen oder Geräte eines Drittanbieters zurückzuführen ist, kann durch den Einsatz einer NDR-Lösung aufgedeckt werden. Der [Angriff auf SolarWinds] (https://exeon.com/blog/solarwinds-sunburst), bei dem weltweit 18'000 öffentliche und private Organisationen infiziert wurden, war beispielsweise auf einen fortgeschrittenen Angriff über die Lieferkette zurückzuführen. Bei diesem Angriff verwendeten die Angreifer eine signierte Malware-Version in der Software eines Anbieters, um die Infektionen auf alle angeschlossenen Clients zu übertragen. Andere Sicherheitslösungen können solche fortgeschrittenen Angriffe nicht erkennen, so dass die Installation einer NDR-Lösung ein Muss ist, um in der komplexen IT-Landschaft von heute zu überleben.

Ein weiterer Angriff, der sich durch Ausnutzung der Angriffsfläche in der Lieferkette verbreitete, war der Angriff auf das amerikanische Unternehmen für IT-Management-Software namens Kaseya. Die Angreifer drangen in die IT-Systeme von Kaseya ein und infizierten sie mit Ransomware, die sich auf alle angeschlossenen Clients verbreitete. Nach Angaben von Sicherheitsexperten waren Hunderte von Unternehmen weltweit betroffen, von Schweden bis Neuseeland. Die Angreifer fordern 70 Millionen Dollar für die Entschlüsselung der Geiseldateien.

Diese beiden Angriffe zeigen deutlich, welche Risiken ein Angriff auf die Lieferkette birgt und wie jedes Unternehmen weltweit Opfer eines solchen Angriffs werden kann. Trotz aller lokal getroffenen Sicherheitsmaßnahmen ist es sehr schwierig, solche Angriffe zu stoppen, da sie von Drittanbietern ausgehen, die legitimen Zugang zu den Netzwerken der Zielunternehmen haben.

Warum ist NDR wichtig für den Schutz von Unternehmensnetzen angesichts von Angriffen auf die Lieferkette?

Eine NDR-Lösung bietet die Möglichkeit, versteckte bösartige Aktivitäten wie APT, Ransomware und in diesem Fall insbesondere auch fortgeschrittene Supply-Chain-Angriffe (wie SUNBURST) zu erkennen, indem sie in Echtzeit Einblicke in Ihr Netzwerk gewährt. Angenommen, es gelingt den Angreifern, Ihre Verteidigungsmaßnahmen zu unterwandern und über Anwendungen von Drittanbietern einen Zugang zu Ihrem Netzwerk zu erhalten. In diesem Fall haben sie nicht genug Zeit, um sich seitlich zu bewegen und andere Stellen im Netzwerk zu infizieren, da die NDR-Lösung sie erkennt und das Sicherheitsteam informiert, das sofort reagieren kann.

Fazit

NDR gilt als integraler Bestandteil der SOC Visibility Triade von Gartner, die aus den folgenden drei Elementen besteht: SIEM, NDR und EDR. Diese drei Elemente verhindern, dass Angreifer innerhalb des Zielnetzwerks genügend Zeit für die Ausführung ihres Angriffs gewinnen, was die Zahl erfolgreicher Angriffe erheblich reduzieren kann.

Dieser Artikel beleuchtet die NDR-Technologie und zeigt, wie sie dazu beitragen kann, sehr ausgeklügelte Cyberangriffe (z. B. auf die Lieferkette) zu stoppen, die mit herkömmlichen Sicherheitslösungen nicht möglich sind.

csm_sunburst-dga-1_ebecad0208.png ExeonTrace erkennt die DGA von Sunburst.