Der SolarWinds-Hack und die Sache mit der DNS-Sicherheit
Es war ganz groß in den Nachrichten, als einige der führenden Regierungsbehörden und Unternehmen der Welt Opfer des SolarWinds-Angriffs wurden. Doch für diejenigen von uns, die im Sicherheitsbereich tätig sind und die Unternehmen ständig dazu drängen, ihren Schutz vor den wachsenden Bedrohungen zu modernisieren, war das Ganze keine Überraschung. So wie ich es verstanden habe, kam es zu den Verstößen, nachdem Schadcode in einen Softwarepatch eingefügt worden war, der von den Unternehmen und Agenturen heruntergeladen wurde. Bei der Installation des Patches wurde schädlicher Code namens SUNBURST ausgeführt, der einen Einstiegspunkt für andere schädliche Codes (TEARDROP/RAINDROP) schuf. Diese zusätzlichen Codes wurden verwendet, um es Angreifern zu ermöglichen, sich innerhalb des Netzwerks zu bewegen und sensible Kundendaten an einen öffentlichen Command-and-Control-Server zu übertragen.
Dieser Angriff auf die Lieferkette verstärkt die Notwendigkeit, die Sicherheitsinfrastruktur des Unternehmens zu modernisieren. Zwar verfügen größere Unternehmen möglicherweise über die Ressourcen, um sich von einem Angriff dieser Größe zu erholen, doch das gilt nicht für kleinere Unternehmen. Wenn ein Unternehmen wie SolarWinds mit Produkten, die in der Branche weitverbreitet sind, von einem Verstoß betroffen sein kann, bei dem schädlicher Code in die Pipeline und den Aktualisierungsprozess eingefügt wird, wäre derselbe Angriff für kleinere Unternehmen sehr schädlich. Viele administrative Ressourcen müssten sowohl die infizierten Computer als auch die Ressourcen, die vertrauliche Informationen enthalten, identifizieren und isolieren.
Ein wiederkehrender Gedanke, den ich bei der Untersuchung des Angriffs hatte, war, wie wichtig es ist, die DNS-Schicht (Domain Name System) des Netzwerks zu schützen. Moderne Sicherheitsstrategien für Unternehmen ermöglichen eine bessere Segmentierung des Netzwerks, einschließlich der Isolierung geschäftskritischer Assets vom Rest des Netzwerks. Es ist wichtig, daran zu denken, dass geschäftskritische Assets eine gemeinsame Infrastruktur darstellen und somit zum Ziel von Angreifern werden. Sobald diese Ressourcen kompromittiert sind, haben die Angreifer möglicherweise Zugriff auf das gesamte Netzwerk. Die Angreifer müssen jedoch die sensiblen Daten extrahieren. Daher muss eine moderne Sicherheitsstrategie für Unternehmen den Schutz des DNS-Traffics beinhalten. Der SolarWinds-Angriff unterstreicht das. Während mir die Methode der Malware-Bereitstellung ausgeklügelt erschien, war die Methode des Datendiebstahls eher banal. Als Medium wurde DNS-Tunneling gewählt, bei dem Daten durch Anhängen an rekursive DNS-Abfragen übertragen werden, um Kundendaten zu stehlen. Abfragen wurden an DNS-Command-and-Control-Server innerhalb derselben Region der angegriffenen Unternehmensnetzwerke gesendet, um die Erkennung zu umgehen. Die Server wiederum haben Befehle oder andere Informationen an die implantierte Malware zurückgeleitet.
Das DNS ist für Geschäftsfunktionen von entscheidender Bedeutung. Dennoch ist es eine oft übersehene Ebene, wenn es um den Schutz des Unternehmensnetzwerks geht. Für jeden Aspekt der Internetaktivität muss die DNS-Ebene auf jedem Gerät funktionieren: von integrierten Chips in elektronischen Geräten, die Informationen über das Wetter erhalten, über Server, die in einem Rechenzentrum betrieben werden, bis hin zuIaaS-Umgebungen (Infrastructure as a Service), die Softwareupdates für Anwendungen erhalten. Der Schutz des DNS ist daher unerlässlich und bietet eine proaktive Methode, um die Bereitstellung von Malware wie SUNBURST im Netzwerk und auch den Datendiebstahl über DNS-Tunneling oder Domain Generation Algorithms (DGA) zu verhindern.
Der Schutz des DNS-Traffics kann auf verschiedene Weise erfolgen. Stellen Sie zunächst sicher, dass alle DNS-Abfragen an die designierten Server in den Firewalls zugelassen sind. Einige Malware ändert bekanntermaßen die DNS-Konfiguration des Geräts, um Abfragen an einen anderen DNS-Server zu erzwingen. Stellen Sie außerdem sicher, dass der DNS-Traffic nur an bestimmte Ports geleitet wird. Eine weitere Möglichkeit ist die Implementierung von Services, die sicherstellen, dass rekursive DNS-Abfragen für schädliche Webseiten blockiert werden. Internetgebundener Traffic umfasst rekursive DNS-Aktivitäten. Hierbei ist es von entscheidender Bedeutung, dass der DNS-Anbieter sicherstellt, dass jede rekursive DNS-Abfrage, die von einem Gerät im Netzwerk gesendet wird, sichere Inhalte betrifft. Unabhängig davon, ob die Abfrage von Nutzergeräten zu Servern und IoT-Geräten (Internet of Things) erfolgt, die in Rechenzentren oder IaaS-Umgebungen bereitgestellt werden, sollte sie zunächst anhand einer Bedrohungsdatenbank überprüft werden, um Malware-/Phishing-Domains oder eine komplexere DNS-Bedrohungsaktivität zu identifizieren, die Domain Generation Algorithms (DGA) oder DNS-Tunneling nutzt.
Ein einfallsreicher und motivierter Angreifer wird immer einen Weg finden, um sich Zugang zu verschaffen, doch angemessene Sicherheitsmaßnahmen stellen sicher, dass der Angreifer Schwierigkeiten hat, sich innerhalb des Netzwerks zu bewegen und – was noch wichtiger ist – sensible Informationen aus dem Netzwerk zu extrahieren, insbesondere aus gemeinsamen Infrastrukturelementen. Der Schutz des DNS-Traffics sollte Teil Ihrer Netzwerksicherheitsmaßnahmen sein.
Weitere Informationen zum Schutz Ihres Netzwerks finden Sie unter www.akamai.com/de/products/secure-internet-access-enterprise.
