Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Zero Day

Zero-Day-Angriffe auf Network Edge Devices: Warum NDR wichtig ist

November 28, 2024
Lucie Cardiet
Leiter Produktmarketing
Zero-Day-Angriffe auf Network Edge Devices: Warum NDR wichtig ist

Zero-day Schwachstellen in Netzwerk-Edge-Geräten werden schnell zu einem der am häufigsten ausgenutzten Mittel, um in Unternehmensnetzwerke einzudringen. Ein kürzlich veröffentlichtes Gutachten der Cybersicherheitsbehörden der Five Eyes Alliance (USA, Großbritannien, Australien, Kanada und Neuseeland) unterstreicht diesen alarmierenden Trend und markiert eine Veränderung gegenüber den Vorjahren. Zum ersten Mal wurden die meisten der 15 am häufigsten ausgenutzten Schwachstellen zunächst als Zero-Day-Schwachstellen ausgenutzt, darunter kritische Schwachstellen in Citrix NetScaler, Fortinet VPNs und Cisco-Routern. Berichten zufolge nutzten Angreifer, darunter mutmaßliche staatliche Akteure, diese Schwachstellen, um Tausende von Geräten zu kompromittieren, sich dauerhaften Zugang zu verschaffen und Webshells einzuschleusen, um die Kontrolle über die Geräte zu erlangen.

Dieser Anstieg unterstreicht eine besorgniserregende "neue Normalität", bei der Angreifer vorrangig neu entdeckte Zero-Day-Schwachstellen ausnutzen, um Netzwerke zu infiltrieren.

Die Implementierung von Lösungen zur Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) ist unerlässlich, um Aktivitäten nach der Kompromittierung zu erkennen und die mit diesen raffinierten Angriffen verbundenen Risiken zu mindern.

Die eskalierende Bedrohungslage

Angreifer konzentrieren sich zunehmend auf Netzwerk-Edge-Geräte als Einstiegspunkte in Unternehmensnetzwerke. Diese Geräte sind attraktive Ziele, da sie sich oft an der Grenze zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken befinden und eine Kompromittierung dieser Geräte Angreifern die Möglichkeit gibt, innerhalb des Netzwerks Fuß zu fassen.

Die folgenden Beispiele verdeutlichen den wachsenden Trend von Zero-Day-Exploits, die auf diese kritischen Systeme abzielen:

  • Palo Alto Zero-Days: Ermöglicht unauthentifizierte Remote-Code-Ausführung, wodurch Angreifer ohne vorherige Authentifizierung die volle Kontrolle über die Firewall erhalten.
  • Ivanti (Pulse Secure) Sicherheitslücken: Schwachstellen bei der Umgehung der Authentifizierung ermöglichten es Angreifern, unbemerkt in Netzwerke einzudringen.
  • Citrix ADC Sicherheitslücken: Schwachstellen in der Remote-Code-Ausführung führten zu erheblichen Sicherheitslücken in Unternehmensumgebungen.
  • SonicWall Zero-Days: Ungepatchte Sicherheitslücken wurden ausgenutzt, um sichere Remote Access-Geräte zu kompromittieren.
  • Fortinet-Schwachstellen: Kritische Zero-Day-Schwachstellen wurden ausgenutzt, um die Kontrolle über Fortinet-Firewall-Systeme zu erlangen und die Netzwerkverteidigung zu untergraben.
  • F5 BIG-IP Sicherheitslücke: Kritische Sicherheitslücke bei der Remotecodeausführung, die ausgenutzt wird, um administrative Kontrolle über die Geräte zu erlangen, was zu einer potenziellen vollständigen Gefährdung des Netzwerks führen kann.
Zeitleiste der wichtigsten Sicherheitslücken und Enthüllungen der letzten Jahre.
Zeitleiste der wichtigsten Sicherheitslücken und Enthüllungen der letzten Jahre.

Diese Fälle zeigen, dass selbst vertrauenswürdige Sicherheitsgeräte zu einer Belastung werden können. Wenn Angreifer in diese Systeme eindringen, können sie Sicherheitsfunktionen manipulieren oder deaktivieren, wodurch herkömmliche Kontrollen unwirksam werden.

Die Grenzen der kompromittierten Edge-Geräte

Herkömmliche Sicherheitstools können bösartige Aktivitäten, die von vertrauenswürdigen Geräten wie Firewalls ausgehen, oft nicht erkennen. Da diese Geräte standardmäßig als sicher gelten, können anormale Verhaltensweisen unbemerkt bleiben. Sobald diese Geräte kompromittiert sind, können sie ungestraft im gesamten Unternehmen eingesetzt werden und werden so zu mächtigen Werkzeugen für Angreifer, die ihre Aktivitäten ausweiten können.

Wenn ein Netzwerk-Edge-Gerät wie eine Firewall kompromittiert wird, untergräbt dies die Grundlage der Netzwerksicherheit. Angreifer können Sicherheitsfunktionen manipulieren oder deaktivieren, Konfigurationen ändern und auf sensible Daten zugreifen, die auf dem Gerät gespeichert sind. Nach der Ausnutzung von CVE-2024-3400 waren Angreifer beispielsweise in der Lage,:

  • Dumping von Firewall-Konfigurationen: Einblicke in die Netzwerkarchitektur, IP-Adressbereiche und Authentifizierungsmechanismen gewinnen.
  • Berechtigungsnachweise sammeln: Firewalls und Fernzugriffsdienste verfügen häufig über privilegierte Anmeldeinformationen für die Domäne und andere Unternehmensdienste. Diese Anmeldeinformationen können extrahiert und für die Ausweitung von Berechtigungen verwendet werden, wodurch Angreifer tieferen Zugang zu wichtigen Systemen erhalten.
  • Deaktivieren von Protokollierung und Warnmeldungen: Verhinderung der Entdeckung durch Unterdrückung von Sicherheitsmeldungen.
Wenn Sie mehr über die technischen Einzelheiten der Sicherheitslücke CVE-2024-3400, ihre Auswirkungen auf verschiedene PAN-OS-Versionen und die Dringlichkeit der laufenden Patching-Maßnahmen erfahren möchten, sehen Sie sich unser Threat Briefing an.

Aktivitäten nach dem Kompromiss: Wie geht es weiter?

Sobald sie in das Netzwerk eingedrungen sind, führen die Angreifer in der Regel mehrere Aktivitäten durch, nachdem sie das Netzwerk kompromittiert haben:

1. Erkundung

Angreifer erstellen eine Karte des internen Netzwerks, um wertvolle Ressourcen und kritische Systeme zu identifizieren. Sie analysieren die Netzwerkarchitektur, identifizieren Active Directory-Strukturen und lokalisieren Server oder Datenbanken mit wertvollen Informationen.

Beispiel: Bei dem SolarWinds-Angriff nutzten die Angreifer die Erkundung, um die Active Directory-Umgebungen der betroffenen Unternehmen abzubilden und privilegierte Konten und sensible Ressourcen zu identifizieren, die sie angreifen wollten.

2. Sammeln von Zugangsdaten

Angreifer extrahieren Anmeldedaten, um ihre Privilegien zu erweitern und tieferen Zugang zum Netzwerk zu erhalten. Dazu werden häufig gespeicherte Passwörter erbeutet, Tools zum Auslesen von Anmeldedaten eingesetzt oder Anmeldedaten aus Konfigurationen kompromittierter Systeme gestohlen.

Beispiel: Midnight Blizzard, eine raffinierte Bedrohungsgruppe, nutzte phishing und malware , um Zugangsdaten mit hohen Berechtigungen zu stehlen, die ihnen Zugang zu sensiblen E-Mail-Systemen und cloud Umgebungen gewährten.

3. Seitliche Bewegung

Angreifer nutzen Protokolle wie SMB, RDP und WinRM, um sich zwischen Systemen zu bewegen und ihre Position im Unternehmen zu stärken. Sie nutzen Vertrauensbeziehungen und schwache Zugangskontrollen aus, um sich auf hochwertige Ziele auszubreiten.

Beispiel: Während des WannaCry-Angriffs ransomware nutzten Angreifer die EternalBlue-Schwachstelle in SMB aus, um sich seitlich über Netzwerke zu verbreiten und zahlreiche Endgeräte zu infizieren.

4. Exfiltration von Daten

Angreifer sammeln sensible Daten und übertragen sie aus dem Netzwerk heraus, wobei sie sie häufig verschlüsseln oder an externe Server unter ihrer Kontrolle senden. Die gestohlenen Daten können für Erpressungen verwendet, im Dark Web verkauft oder für weitere Angriffe genutzt werden.

Beispiel: Die Gruppe Clop ransomware nutzte die Sicherheitslücke MOVEit Transfer aus, um vertrauliche Daten von Hunderten von Unternehmen zu stehlen, und erpresste die Opfer später mit der Drohung, sie öffentlich zu machen.

5. Feststellung der Persistenz

Angreifer erstellen Hintertüren, um den ständigen Zugriff auf das kompromittierte Netzwerk aufrechtzuerhalten und sicherzustellen, dass sie auch nach Abhilfemaßnahmen zurückkehren können. Diese Persistenz kann Webshells, malware -Implantate oder manipulierte Konten umfassen.

Beispiel: Im Jahr 2023 nutzten Angreifer eine Zero-Day-Schwachstelle in Citrix NetScaler ADC-Appliances (CVE-2023-3519) aus, um Webshells zu implantieren. Diese Webshells ermöglichten einen dauerhaften Zugriff, so dass die Angreifer das Active Directory des Opfers ausfindig machen und Daten sammeln und exfiltrieren konnten.

Im Falle eines Firewall-Exploits nutzen Angreifer das kompromittierte Gerät, um Verbindungen zu mehreren internen Systemen zu initiieren, und zielen dabei auf Domänen-Controller, Backup-Datenschutzschlüssel und Benutzer-Workstations ab.

Die Notwendigkeit von Network Detection and Response (NDR)

Angesichts dieser ausgeklügelten Angriffe ist es unzureichend, sich nur auf herkömmliche Sicherheitsmaßnahmen zu verlassen. Unternehmen benötigen ein unabhängiges und umfassendes Mittel zur Erkennung bösartiger Aktivitäten, die kompromittierte Geräte umgehen oder von ihnen ausgehen. An dieser Stelle kommt Network Detection and Response (NDR) eine entscheidende Bedeutung zu.

Warum der NDR so wichtig ist

  • Unabhängige Erkennung von Bedrohungen: NDR arbeitet unabhängig von endpoint Sicherheit und kompromittierten Geräten und gewährleistet so eine kontinuierliche Sichtbarkeit.
  • Verhaltensanalyse: Durch die Analyse von Netzwerkverkehrsmustern kann NDR Anomalien erkennen, die auf Aufklärung, Seitwärtsbewegungen und andere bösartige Aktivitäten hinweisen.
  • Schnelle Erkennung: NDR-Lösungen wie Vectra AI nutzen fortschrittliche maschinelle Lernmodelle, um Bedrohungen in Echtzeit zu erkennen und das Zeitfenster für Angreifer zu minimieren.
  • Umfassende Abdeckung: Der NDR überwacht den gesamten Netzverkehr, einschließlich der (internen) Ost-West-Kommunikation, die häufig bei seitlichen Bewegungen ausgenutzt wird.

Wie Vectra AI Aktivitäten nach der Kompromittierung erkennt

Die PlattformVectra AI wurde speziell dafür entwickelt, Bedrohungen zu identifizieren, zu untersuchen und darauf zu reagieren, die sich einer kompromittierten Sicherheitsinfrastruktur entzogen haben oder von ihr ausgehen. Vectra AI's Attack Signal Intelligence nutzt fortschrittliche künstliche Intelligenz (KI) und maschinelles Lernen (ML), um den Netzwerkverkehr in Echtzeit zu analysieren und subtile Anzeichen von bösartigem Verhalten zu erkennen.

Unser Attack Signal Intelligence erkennt:

  • Verdächtiges administratives Verhalten: Erkennt die ungewöhnliche Verwendung von Verwaltungsprotokollen wie WinRM, SSH und RDP. Wenn ein Gerät, z. B. eine Firewall, plötzlich über diese Protokolle Verbindungen zu internen Systemen herstellt - ein Verhalten, das zuvor nicht beobachtet wurde -, wird es vonVectra AI als verdächtig gekennzeichnet.
  • Verdächtige Remote-Ausführung: Überwacht auf Remote-Ausführungsaktivitäten mit Tools wie PowerShell Remoting und PsExec. Anomalien bei der Verwendung dieser Tools aus unerwarteten Quellen sind ein Hinweis auf Seitwärtsbewegungen.
  • Analyse des privilegierten Zugriffs: Analysiert Kerberos-Authentifizierungsmuster, um abnormale Zugriffe auf Dienste und Hosts zu erkennen. Wenn ein kompromittiertes Gerät beginnt, auf Dienste oder Hosts zuzugreifen, mit denen es zuvor nicht interagiert hat, insbesondere auf solche, die hohe Berechtigungen erfordern, identifiziert Vectra AI dies als potenzielle Bedrohung.

Ein Beispiel: Erkennung eines Firewall-Exploits

In dem Szenario, dass Angreifer eine Firewall-Schwachstelle ausnutzen:

  • Erkennung von anormalem Datenverkehr: Vectra AI würde erkennen, dass die Firewall ungewöhnliche Verbindungen zu internen Systemen über Verwaltungsprotokolle initiiert.
  • Identifizierung des Missbrauchs von Anmeldeinformationen: Die Verwendung erbeuteter Zugangsdaten für den Zugriff auf kritische Dienste würde aufgrund von Abweichungen von normalen Authentifizierungsmustern Warnmeldungen auslösen.
  • KI-gesteuerte Triage: Vectra AI Die KI-gesteuerte Triage ordnet erkannte Bedrohungen automatisch zu, reduziert das Rauschen und hebt die kritischsten Vorfälle für eine sofortige Reaktion hervor, was eine schnellere und effektivere Untersuchung ermöglicht.
  • KI-gesteuerte Priorisierung: Die Priorisierung von Vectra AI sorgt dafür, dass diese kritischen Bedrohungen den Sicherheitsteams sofort zur Kenntnis gebracht werden, damit sie schnell handeln können. Sehen Sie sich unsere Infografik darüber an , wie sich hybride Angreifer über die Endpoint hinaus bewegen.

Über die Entdeckung hinaus: die Bedeutung einer schnellen Reaktion

Die Erkennung ist nur der erste Schritt. Eine schnelle Reaktion ist entscheidend, um Bedrohungen einzudämmen und den Schaden zu minimieren.

Vectra AIReaktionsfähigkeit

  • Automatisierte Aktionen: Vectra AI kann automatisch kompromittierte Benutzerkonten deaktivieren oder betroffene Hosts isolieren und so die Möglichkeiten des Angreifers einschränken, sich seitlich zu bewegen.
  • Integration in das Sicherheits-Ökosystem: Arbeitet nahtlos mit vorhandenen Sicherheitstools wie Firewalls und endpoint Schutzplattformen zusammen, um Sicherheitsrichtlinien durchzusetzen.
  • Umsetzbare Erkenntnisse: Bietet detaillierten Kontext und Empfehlungen zur Unterstützung von Sicherheitsteams bei Untersuchungen und Abhilfemaßnahmen.

Zero-day Angriffe auf Netzwerk-Edge-Geräte stellen eine erhebliche und sich ständig weiterentwickelnde Bedrohung dar. Sobald Angreifer diese Geräte kompromittiert haben, können sie sich unbemerkt im Netzwerk bewegen, wodurch herkömmliche Sicherheitsmaßnahmen unwirksam werden. Manchmal reichen proaktive Maßnahmen nicht aus, weshalb die Implementierung einer NDR-Lösung wie Vectra AI unerlässlich ist:

  • Erkennung von Aktivitäten nach der Kompromittierung: Identifizierung bösartiger Verhaltensweisen, die nach dem ersten Einbruch auftreten.
  • Aufrechterhaltung der Sicherheitstransparenz: Gewährleistung einer kontinuierlichen Überwachung, selbst wenn die primären Verteidigungsmaßnahmen beeinträchtigt sind.
  • Ermöglichung einer schnellen Reaktion: Schnelles Handeln zur Eindämmung und Beseitigung von Bedrohungen. Bleiben Sie den Bedrohungen jenseits der Grenze voraus. Fordern Sie noch heute eine Demo an, um zu erfahren, wie Sie Angriffe erkennen und darauf reagieren können - selbst wenn Ihre primären Verteidigungsmechanismen beeinträchtigt sind.

Bleiben Sie den Bedrohungen jenseits der Grenze voraus. Fordern Sie noch heute eine Demo an und erfahren Sie, wie Sie Angriffe erkennen und darauf reagieren können - selbst wenn Ihre primären Verteidigungsmaßnahmen beeinträchtigt sind.

Häufig gestellte Fragen