Drei Gründe, warum Patches bei der Endpunktsicherheit nicht ausreichen
Da Remote-Arbeit heute alltäglich ist, ist ein gutes Cyber-Hygieneprogramm für Unternehmen, die in der heutigen Bedrohungslandschaft überleben wollen, von entscheidender Bedeutung. Dazu gehört die Förderung einer Kultur des individuellen Cybersecurity-Bewusstseins und der Einsatz der richtigen Sicherheitstools, die beide für den Erfolg des Programms entscheidend sind.
Einige dieser Tools umfassen Endpunkt-Patching, Endpunkt-Erkennungs- und Reaktionslösungen (EDR) und Antivirus-Software. Aber wenn man sich die jüngsten Berichte zur Cybersicherheit ansieht, reichen sie nicht mehr aus, um die externe Angriffsfläche Ihres Unternehmens zu reduzieren.
Hier sind drei handfeste Gründe und reale Situationen, die Unternehmen widerfahren sind, die diese Bedrohung nicht ernst genommen haben.
- KI-generierte polymorphe Exploits können führende Sicherheitstools umgehen
- Patching-Fehlschläge und Patching-Müdigkeit erdrücken Sicherheitsteams
- Endpunkt-Patching funktioniert nur für bekannte Geräte und Anwendungen
- Wie können Unternehmen ihre externe Angriffsfläche reduzieren?
1. KI-generierte polymorphe Exploits können führende Sicherheitstools umgehen
In letzter Zeit wurde polymorphe KI-Malware entwickelt, um EDR und Antivirenprogramme zu umgehen, so dass Sicherheitsteams blinde Flecken in Bezug auf Bedrohungen und Sicherheitslücken haben.
Beispiel aus der Praxis: Polymorphe ChatGPT-Malware umgeht „führende“ EDR- und Antivirus-Lösungen
In einem Bericht erstellten Forscher polymorphe Malware, indem sie ChatGPT-Eingaben missbrauchten, die von Antiviren-Software nicht erkannt wurden. In einem ähnlichen Bericht haben Forscher eine polymorphe Keylogging-Malware entwickelt, die eine branchenführende automatisierte EDR-Lösung umgeht.
Diese Exploits erreichten dies, indem sie ihren Code bei jeder Iteration leicht veränderten und ihren bösartigen Code ohne einen Command-and-Control (C2)-Kommunikationskanal verschlüsselten.
Diese Mutation kann von herkömmlichen signaturbasierten und heuristischen Erkennungsprogrammen nicht erkannt werden. Das bedeutet, dass Sicherheitslücken entstehen, bis ein Patch entwickelt und veröffentlicht ist, bis der Patch auf seine Wirksamkeit getestet ist, bis das Sicherheitsteam Sicherheitslücken priorisiert hat und bis das IT-Team (Informationstechnologie) die Patches auf die betroffenen Systeme aufspielt.
Alles in allem kann dies mehrere Wochen oder Monate bedeuten, in denen ein Unternehmen auf andere Sicherheitstools zurückgreifen muss, um kritische Assets zu schützen, bis der Patching-Prozess erfolgreich abgeschlossen ist.
2. Patching-Fehlschläge und Patching-Müdigkeit erdrücken Sicherheitsteams
Leider kommt es immer wieder vor, dass Updates Systeme beschädigen, weil Patches nicht gründlich getestet wurden. Außerdem beheben einige Updates nicht alle Sicherheitslücken vollständig, so dass die Systeme anfällig für weitere Angriffe sind und zusätzliche Patches erforderlich sind, um sie vollständig zu beheben.
Beispiel aus der realen Welt: Der Ransomware-Angriff von Suffolk County
Die Regierung von Suffolk County in New York hat vor kurzem die Ergebnisse der forensischen Untersuchung der Datenpanne und des Ransomware-Angriffs veröffentlicht, bei dem die Sicherheitslücke in Log4j der Einstiegspunkt für den Angreifer war, um in ihre Systeme einzudringen. Der Angriff begann im Dezember 2021, also zur gleichen Zeit, als Apache Sicherheitspatches für diese Sicherheitslücken veröffentlichte.
Obwohl Updates zur Verfügung standen, wurden diese nie gepatcht, was dazu führte, dass 400 Gigabyte an Daten gestohlen wurden, darunter Tausende von Sozialversicherungsnummern und eine anfängliche Lösegeldforderung von 2,5 Millionen Dollar.
Das Lösegeld wurde nie gezahlt, aber der Verlust persönlicher Daten und der Produktivität der Mitarbeitenden sowie die anschließenden Ermittlungen überwogen die Kosten für aktualisierte Cyber-Hygienegeräte und -tools und eine endgültige Lösegeldforderung von 500.000 Dollar. Der Bezirk versucht noch heute, alle Systeme wiederherzustellen, nachdem er bereits 5,5 Millionen Dollar ausgegeben hat.
Ein Beispiel aus der Praxis: Ein fehlerhaftes Windows-Server-Update führte dazu, dass ich 24 Stunden am Stück arbeiten musste.
Aus eigener Erfahrung weiß ich, dass ich einmal 24 Stunden am Stück gearbeitet habe, weil an einem Patch Tuesday ein Microsoft Windows Server-Update automatisch heruntergeladen und installiert wurde, das die Authentifizierungsdienste zwischen den IoT-Clients (Internet of Things) und den AAA-Servern (Authentifizierung, Autorisierung und Abrechnung) unterbrochen hat und die Produktion zum Stillstand brachte.
Das interne Kundenreferenznetzwerk unseres Unternehmens, das von unseren größten Kunden implementiert wurde, setzte Microsoft-Server für Active Directory Certificate Services (ADCS) und Network Policy Servers (NPS) ein, die für die 802.1x EAP-TLS-Authentifizierung für unsere über Funk verwalteten IoT-Netzwerkgeräte verwendet wurden.
Dies geschah vor zehn Jahren, aber ähnliche Vorfälle wiederholten sich auch in den folgenden Jahren, einschließlich dieses Updates vom Juli 2017, bei dem die NPS-Authentifizierung für drahtlose Clients nicht mehr funktionierte und im Mai letzten Jahres wiederholt wurde.
Zu diesem Zeitpunkt war noch keine sofortige Lösung für den fehlerhaften Patch verfügbar, so dass ich die nächsten 22 Stunden damit verbrachte, die Microsoft-Server für die Public-Key-Infrastruktur (PKI) und die AAA-Dienste des Unternehmens neu aufzubauen, um den normalen Betrieb wiederherzustellen. Die Rettung bestand darin, dass wir die ursprüngliche Stammzertifizierungsstelle offline genommen haben und der Server nicht von dem fehlerhaften Update betroffen war.
Am Ende mussten wir jedoch alle Identitätszertifikate widerrufen, die von den untergeordneten Zertifizierungsstellen für Tausende von Geräten, darunter Router, Switches, Firewalls und Access Points, ausgestellt worden waren, und sie mit neuen Identitätszertifikaten wieder in den AAA-Dienst einbinden.
Wir haben aus dieser Erfahrung gelernt und die automatischen Updates für alle Windows-Server deaktiviert und häufiger Backups von wichtigen Diensten und Daten erstellt.
3. Endpunkt-Patching funktioniert nur für bekannte Geräte und Anwendungen
Mit der Pandemie kam die Verlagerung zum Arbeiten von jedem Ort, bei dem die Mitarbeitenden von zu Hause aus arbeiteten und oft ihre persönlichen Geräte mit dem Netzwerk ihres Unternehmens verbanden. Dadurch hatten die Sicherheitsteams einen blinden Fleck im Bereeich Schatten-IT. Bei der Schatten-IT werden Assets nicht verwaltet, sind möglicherweise veraltet und verursachen unsichere persönliche Geräte und undichte Anwendungen.
Das Wiederaufleben von BYOD-Richtlinien (Bring Your Own Device) und das Fehlen eines vom Unternehmen genehmigten sicheren Fernzugriffs haben die externe Angriffsfläche des Unternehmens schnell vergrößert und weitere Angriffsvektoren für Angreifer eröffnet.
Ein Beispiel aus der Praxis: Die jüngste Sicherheitsverletzung bei LastPass
LastPass ist ein sehr beliebter Passwortmanager, der Ihre Passwörter in einem Online-Tresor speichert. Es hat mehr als 25 Millionen Nutzer und 100.000 Unternehmenskunden. Letztes Jahr gab es bei LastPass eine massive Datenschutzverletzung mit zwei Sicherheitsvorfällen.
Der zweite Vorfall nutzte die beim ersten Einbruch gestohlenen Daten, um vier DevOps-Entwickler ins Visier zu nehmen, genauer gesagt, ihre Heimcomputer. Ein leitender Softwareentwickler nutzte seinen persönlichen Windows-Desktop für den Zugriff auf die Entwicklungs-Sandbox des Unternehmens. Auf dem Desktop war auch eine ungepatchte Version von Plex Media Server (CVE-2020-5741) installiert.
Plex hat bereits vor drei Jahren einen Patch für diese Sicherheitslücke bereitgestellt. Angreifer nutzten diese Sicherheitslücke, um Malware auszuliefern, eine Privilegienerweiterung (PE) durchzuführen, dann eine Remotecodeausführung (RCE), um auf den Cloud-basierten LastPass-Speicher zuzugreifen und DevOps-Geheimnisse sowie Multi-Faktor- (MFA) und Federation-Datenbanken zu stehlen.
„Leider hat der Mitarbeiter von LastPass seine Software nicht aktualisiert, um den Patch zu aktivieren“, so Plex in einer Erklärung. „Die Version, die diese Schwachstelle behebt, ist etwa 75 Versionen alt.“
Wenn Patches nicht ausreichen, wie können Unternehmen dann ihre externe Angriffsfläche reduzieren?
Cyber-Hygiene
Die Mitarbeitenden sind das schwächste Glied im Cyber-Hygieneprogramm eines Unternehmens. Unweigerlich vergessen sie, ihre persönlichen Geräte zu aktualisieren, verwenden dasselbe schwache Passwort für verschiedene Internet-Websites, installieren undichte Anwendungen und klicken oder tippen auf Phishing-Links in einer E-Mail, einem Anhang oder einer Textnachricht.
Bekämpfen Sie dies, indem Sie in Ihrem Unternehmen eine Kultur des Bewusstseins für Cybersicherheit fördern und Wachsamkeit praktizieren, die Folgendes beinhaltet:
- Sicherstellen, dass die neuesten Software-Updates auf ihren persönlichen und Firmengeräten installiert sind.
- Erkennen von Social Engineering-Angriffstechniken, einschließlich der verschiedenen Arten von Phishing-Angriffen.
- Einsatz einer Multi-Faktor-Authentifizierung, wann immer möglich.
- Installation und automatische Aktualisierung der Datenbanken von Antiviren-Software für Desktops und mobiler Bedrohungsabwehr für mobile Geräte;
Kontinuierliche Weiterbildung ist der Schlüssel zur Förderung einer guten Cyber-Hygiene in Ihrem Unternehmen, insbesondere für Anti-Phishing-Kampagnen.
Empfehlungen für Cyber-Hygiene-Tools
Im Bereich der Cybersicherheit gilt das Sprichwort: „Man kann nicht schützen, was man nicht sieht!“ Eine vollständige Erkennung und genaue Bestandsaufnahme aller mit dem Netzwerk verbundenen Hardware, Software und Daten, einschließlich der Schatten-IT-Assets, ist der erste wichtige Schritt zur Bewertung des Risikoprofils der Sicherheitslücken eines Unternehmens. Die Asset-Daten sollten in ein unternehmensweites Endpunkt-Patch-Management-System einfließen.
Ziehen Sie auch die Einführung einer Risiko-basierten Verwaltung von Sicherheitslücken in Betracht, um die überwältigende Anzahl von Sicherheitslücken auf diejenigen zu beschränken, die das größte Risiko für Ihr Unternehmen darstellen. Die risikobasierte Verwaltung von Sicherheitslücken beinhaltet häufig eine Bedrohungsanalyse, die in das Patch-Management-System einfließt.
Bedrohungsdaten sind Informationen über bekannte oder potenzielle Bedrohungen für ein Unternehmen. Diese Bedrohungen können aus einer Vielzahl von Quellen stammen, z.B. von Sicherheitsforschern, Behörden, Scannern für Sicherheitslücken in Infrastrukturen und Anwendungen, internen und externen Penetrationstests und sogar von Angreifern selbst.
Diese Informationen, einschließlich spezifischer Patch-Fehler und Zuverlässigkeit, die von verschiedenen Crowdsourced Feeds gemeldet werden, können Unternehmen dabei helfen, interne Patch-Testanforderungen zu beseitigen und die Zeitspanne bis zur Bereitstellung von Patches für kritische Assets zu verkürzen.
Eine vereinheitlichte Endpunktverwaltung (UEM) ist notwendig, um mobile Geräte, einschließlich Schatten-IT und BYOD-Assets, aus der Ferne zu verwalten und Endpunktsicherheit zu bieten.
Die Lösung kann Patches auf das neueste mobile Betriebssystem (OS) und Anwendungen erzwingen, E-Mail und sichere Fernzugriffsprofile bereitstellen, einschließlich Identitätsnachweisen und Multifaktor-Authentifizierungsmethoden (MFA) wie Biometrie, Smart Cards, Sicherheitsschlüssel, zertifikatsbasierte oder tokenbasierte Authentifizierung.
Die UEM-Lösung sollte auch eine auf KI und maschinellem Lernen basierende Lösung zur Abwehr mobiler Bedrohungen (MTD) für mobile Geräte integrieren, während für Desktops ein Antivirenprogramm der nächsten Generation (NGAV) mit robuster Heuristik erforderlich ist, um Bedrohungen für Geräte, Netzwerke und Apps zu erkennen und zu beseitigen und einen Echtzeitschutz gegen Phishing zu bieten.
Und schließlich müssen Cyber-Hygiene-Tools schnell weiterentwickelt werden, damit sie mit den immer ausgefeilteren polymorphen Angriffen mithalten können, die sich am Horizont abzeichnen, um gegen KI-generierte Malware bestehen zu können.
Die oben beschriebenen Lösungen werden dazu beitragen, Cyberangriffe abzuschrecken, indem sie Angreifern Steine in den Weg legen, so dass sie frustriert sind und sich leichtere Ziele suchen, die sie angreifen können.