X

Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Akamai logo
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Dark background with blue code overlay
Blog
RSS

Standorten zu vertrauen, wird uns erneut zum Verhängnis

Charlie Gero

Verfasser

Charlie Gero

June 07, 2021

Charlie Gero

Verfasser

Charlie Gero

Charlie Gero ist VP und CTO der Enterprise Division bei Akamai und führt daneben die Advanced Projects Group. Aktuell konzentriert er sich darauf, die Edge-Forschung in die Bereiche Sicherheit, angewandte Mathematik, Kryptografie und verteilte Algorithmen zu integrieren, um Technologien der nächsten Generation zu entwickeln und so den wachsenden Kundenstamm von Akamai auch weiterhin zu schützen. Durch seine Arbeit bei Akamai konnte Gero sich fast 30 Patente auf den Gebieten Kryptografie, Kompression, Performance-Netzwerksysteme, Echtzeit-Medienverteilung usw. sichern. Er verfügt über Universitätsabschlüsse in Physik und Computerwissenschaft. Gero arbeitet seit fast 15 Jahren bei Akamai. Zuvor gründete er ein Startup-Unternehmen und bekleidete wichtige Positionen im Bereich Computerwissenschaft in der Pharma- und Networkingbranche.

Vor Kurzem gab Microsoft die Entdeckung eines weiteren Angriffs bekannt, der von der mittlerweile berüchtigten Gruppe Nobelium durchgeführt wurde. Diese Gruppe ist für zahlreiche erfolgreiche Attacken verantwortlich, einschließlich des umfangreichen SolarWinds-Angriffs 2020. Glücklicherweise war dieser jüngste Versuch nicht so wirkungsvoll wie in der Vergangenheit. Er wurde frühzeitig entdeckt und durch mehrere Schutzmaßnahmen weitgehend abgewehrt.

Als ich das Sicherheitsbriefing durchgelesen habe, stachen jedoch zwei Dinge hervor. Erstens ist Nobelium sicherlich ein sehr fortgeschrittener Angreifer. Die Gruppe nutzt zahlreiche Techniken, um Systeme zu infizieren, sich im Netzwerk zu bewegen und die Erkennung zu umgehen, während sie ihren Ansatz kontinuierlich weiterentwickelt, um neue Sicherheitshindernisse zu überwinden.

Zweitens liegt der Kern einiger ihrer Umgehungstechniken in dem anhaltenden, aber fehlplatzierten Vertrauen, das mit dem Standort in Verbindung steht. Während der sich ständig weiterentwickelnden Angriffskampagne hat Nobelium beispielsweise häufig öffentliche Services wie Google Firebase, Dropbox, Constant Contact und andere genutzt, um Malware zu hosten, Telemetriedaten zu sammeln und die für den Betrieb erforderlichen Dienste auszuführen.

Wofür der ganze Aufwand? Die Antwort ist einfach: um die Wahrscheinlichkeit einer Erkennung zu verringern, indem sich die Gruppe an Orten versteckt, denen Unternehmen bereits vertrauen. Wie viele Angreifer in diesem Bereich weiß auch Nobelium, dass es immer schwieriger wird, Angriffe von riskanten Domains aus zu starten, da Unternehmen zunehmend wichtige Services wie DNS-Firewalls nutzen. Sie sind auf „Blackhole“-Domains ausgerichtet, die möglicherweise schädlich sind.

Anstatt dieses System zu knacken, ist es viel einfacher, sich mit vertrauenswürdigen Elementen bei SaaS- und IaaS- Anbietern zu verbinden. Schließlich können Unternehmen nicht einfach den Zugriff auf die legitimen Services blockieren, die sie täglich nutzen, wie Dropbox. Durch das Verbergen schädlicher Inhalte an vertrauenswürdigen Standorten „waschen“ Nobelium und ähnliche Gruppen Malware und schädliche Aktionen effektiv über legitime Anbieter.

In einigen extremen Fällen richten Angreifer sogar DNS-Datensätze für ihre eigene Command-and-Control-Infrastruktur ein. Sie imitiert die Hostnamen, die von den angegriffenen Unternehmen selbst verwendet werden. Wenn ein Unternehmen schon den Zugriff auf SaaS-Domains nicht einfach so blockieren kann, dann erst recht nicht den auf die eigenen Domains.

Daraus ergibt sich die Frage: Was können wir tun, um uns besser vor dieser Technik zu schützen? Die Antwort liegt in demselben Zero-Trust-Prinzip, das für den internen Anwendungszugriff gilt: Vertrauen Sie Elementen nicht nur aufgrund ihres Standorts. 

Im Fall des Zero-Trust-Netzwerkzugriffs (Zero Trust Network Access, ZTNA) sind diese „Elemente“ die Mitarbeiter. Aus diesem Grund bemühen wir uns, mit ZTNA strenge Authentifizierungs- und Sicherheitsprüfungen für jede Transaktion und Verbindung durchzuführen.

Im Fall von SaaS und externen Websites sind die „Elemente“ die Daten, die wir herunterladen und mit denen wir interagieren. Der Schutz erfolgt in Form einer starken Inhaltsüberprüfung. Unternehmen müssen zunehmend Secure Web Gateways (SWG) und Cloud Access Security Broker (CASB) verwenden, um neben dem auf Domainnamen basierenden Schutz durch DNS-Firewalls auch Virenscans, Sandboxing und Data Loss Prevention (DLP) einzusetzen. Indem wir die Inhalte selbst überprüfen und davon ausgehen, dass alle Standorte gefährlich sein können, schaffen wir eine zusätzliche Hürde, die es für Angreifer viel schwieriger macht, Zugriff zu erlangen.

Sobald wir die veraltete Vorstellung hinter uns lassen, dass der bloße Standort Vertrauen schafft – ganz gleich, ob bei den Endnutzern, die auf interne Anwendungen zugreifen, oder bei den externen Websites und SaaS-Anbietern, auf die Endnutzer zugreifen –, können wir uns auf relevante und aktuelle Schutzmaßnahmen konzentrieren, die unser aller Leben sicherer machen.

Und das ist wohl etwas, das wir alle wollen.

Charlie Gero

Verfasser

Charlie Gero

June 07, 2021

Charlie Gero

Verfasser

Charlie Gero

Charlie Gero ist VP und CTO der Enterprise Division bei Akamai und führt daneben die Advanced Projects Group. Aktuell konzentriert er sich darauf, die Edge-Forschung in die Bereiche Sicherheit, angewandte Mathematik, Kryptografie und verteilte Algorithmen zu integrieren, um Technologien der nächsten Generation zu entwickeln und so den wachsenden Kundenstamm von Akamai auch weiterhin zu schützen. Durch seine Arbeit bei Akamai konnte Gero sich fast 30 Patente auf den Gebieten Kryptografie, Kompression, Performance-Netzwerksysteme, Echtzeit-Medienverteilung usw. sichern. Er verfügt über Universitätsabschlüsse in Physik und Computerwissenschaft. Gero arbeitet seit fast 15 Jahren bei Akamai. Zuvor gründete er ein Startup-Unternehmen und bekleidete wichtige Positionen im Bereich Computerwissenschaft in der Pharma- und Networkingbranche.

Verwandte Blogbeiträge

Assessing threat readiness is an essential part of the conversation — one that Akamai is well-versed to lead.

Killnet nimmt Gesundheitsdienstleister ins Visier – Was Sie wissen und was Sie tun müssen

February 01, 2023
Während sich der Krieg in der Ukraine weiter aufheizt, intensiviert sich auch der Krieg gegen Cyberangriffe zu Hause, da die pro-russische Gruppe Killnet Gesundheitsorganisationen ins Visier nimmt.
von Carley Thornell
Weitere Informationen
In today’s unpredictable world, having a proven DDoS mitigation strategy in place is imperative for shielding your business from downtime and disruption.

Akamai Prolexic erhält Upgrade für DDoS-Plattform der sechsten Generation

October 25, 2022
Wir freuen uns, Ihnen heute Prolexic vorstellen zu dürfen. Prolexic ist eine bedeutende Weiterentwicklung der DDoS-Schutzlösung (Distributed Denial-of-Service) von Akamai.
von Ankita Kharya
Weitere Informationen

Akamai-Blog | Plattform-Update: Entwickeln Sie die Zukunft mit Akamai

April 28, 2022
Heutzutage ist die Technologie in fast alles, was wir tun, eingebunden. Die Daten, die für personalisierte Empfehlungen, vernetzte Geräte und Wearables verwendet werden, haben die Art und Weise verändert, wie wir mit der Welt um uns herum interagieren – ob wir nun zu einem neuen Ziel fahren, bei einem neuen Händler einkaufen oder unsere Gesundheit überwachen.
von Ari Weil
Weitere Informationen