• Zuhause
  • Artikel
  • Volles Vertrauen und null Vertrauen: Eindrücke von der RSA Conference 2019
Veröffentlicht am 14-03-2019

Volles Vertrauen und null Vertrauen: Eindrücke von der RSA Conference 2019

Die RSA Conference 2019 in San Francisco zog über 50.000 Teilnehmer aus aller Welt an, um aktuelle IT-Themen zu diskutieren. Das graue Wetter in San Francisco ließ mich an die Sicherheit der Wolken denken, doch mir wurde schnell klar, dass der beste Schutz bei diesen Wolken ein schöner Regenmantel war.

Aber Spaß beiseite, auf der diesjährigen Konferenz wurden viele interessante und abwechslungsreiche Themen diskutiert. Während sich einige Gespräche noch immer auf maschinelles Lernen konzentrierten und wie es Organisationen dabei helfen kann, effizienter zu sein, wurden die Gespräche über künstliche Intelligenz (KI) aus dem letzten Jahr durch Diskussionen über verschiedene Vertrauensgrade ersetzt.

Der menschliche Faktor und Vertrauen

Ein gemeinsames Thema in den Panels und Keynotes war der menschliche Aspekt, von der Verhinderung von Insider-Bedrohungen bis zur Beibehaltung Ihrer Talente für Sie. Es wurde Wert darauf gelegt, wie wichtig das Vertrauen ist, das wir in die hypervernetzte Welt setzen, in der wir leben. Die Menschen müssen darauf vertrauen können, dass ihre Daten nicht Teil der nächsten Datenschutzverletzung sind, und Unternehmen, die das Vertrauen ihrer Kunden gefährden, werden mit Herausforderungen konfrontiert in der Zukunft. Durch die zunehmende Cloud-Akzeptanz und die Komplexität von IT-Lösungen setzen Kunden zunehmend auf mehrere Cloud-Service-Provider, ohne zu wissen, dass die Angreifer bereits begonnen haben, die Daten in die Cloud zu verfolgen.

In gleicher Weise folgten verschiedene Präsentationen, in denen es um Vertrauen in Informationen ging und um Informationen ohne Zensur zu kontrollieren. Gruppen wie NewsGuard gehen das Problem der gefälschten Nachrichten von der Journalisten-Seite in Angriff, indem sie die Hintergrundrecherche auf den Nachrichtenseiten überprüfen, und es gibt Dienstanbieter, die gegen Bot-Konten kämpfen, und solche Nachrichtenverstärker schließen. Angesichts von Ereignissen wie den Olympischen Spielen 2020 in Tokio und den nächsten Präsidentschaftswahlen in den USA ist der Umgang mit Propaganda, Desinformation und falschen Nachrichten ein sehr wichtiges Thema. Leider ist es auch nicht einfach zu lösen.

5G

Es überrascht nicht, dass 5G auch in vielen Gesprächen behandelt wurde. Obwohl es noch zu früh ist, um über die Auswirkungen der Technologie zu sprechen, ist klar, dass dies viele IoT-Geräte wie beispielsweise Smart Home-Geräte verändern wird. Maschinen, zum Beispiel im Agrarsektor, werden auch von der 5G-Konnektivität profitieren. Always-on und direkt mit dem Internet verbunden, bedeutet, dass alles, was 5G nutzt, geschützt werden muss, um nicht die tiefhängende Frucht der Angreifer von morgen zu werden. Die 5G-Phase-2-Spezifikationen weisen vielversprechende Überlegungen zur Verschlüsselung und Anonymisierung auf, aber wir werden auf die endgültigen Implementierungsdetails warten müssen, um zu sehen, ob wir in der Zukunft möglicherweise mit gewaltigen 5G-DDoS-Angriffen zu kämpfen haben.

Null Vertrauen

Ein anderes gemeinsames Thema auf der RSA-Konferenz war null Vertrauen. Es schien, als hätte jeder zweite Anbieter etwas gegen null Vertrauen in seinem Portfolio. Der Begriff wurde jedoch von verschiedenen Anbietern recht unterschiedlich festgelegt. Von „Keine Firewalls mehr“ über „Angenommen, unser Netzwerk sei feindselig“, „um niemals zu vertrauen, immer zu überprüfen“, gab es viele unterschiedliche Vorstellungen von null Vertrauen. Daher war es nicht verwunderlich, dass viele Präsentationen mit der Definition des Begriffs "Null-Vertrauen" und der Erklärung dessen, was es nicht ist, begonnen haben. Um ehrlich zu sein, hat es mir nicht alle Nebulosität aus meinem Kopf genommen, daher werde ich hier keine umfassende Definition geben, da dies den Rahmen dieses Artikels sprengen würde. Vereinfacht ausgedrückt, könnte es wahrscheinlich als ein Sicherheitsmodell beschrieben werden, das auf dem Prinzip basiert, strenge Zugriffskontrollen mit den geringsten Privilegien aufrechtzuerhalten und keinem standardmäßig zu vertrauen, unabhängig von seinem Standort oder Gerät. Es ist jedoch kein Produkt, das Sie installieren können, sondern ein Prozess- und Entwurfsmodell. Wenn Sie mehr über Symantecs Sicht auf Zero Trust erfahren möchten, empfehle ich die RSAC-Präsentation von Nico Popp: "Ein Zero-Trust-Modell auf Cloud, Daten und Identität anwenden". Nico diskutiert die Zukunft der Cloud-Sicherheit für Unmanaged Geräte und wie sie ihren Zugang zu Cloud-Diensten sichern können.

MITRE ATT & CK Framework

Das MITRE ATT & CK-Framework wurde in vielen Vorträgen auf der RSA-Konferenz referenziert. Die ATT & CK-Matrix ist ein hervorragendes Werkzeug, um gegnerische Verhaltensweisen in einer einheitlichen Sprache zu beschreiben und Verteidigungslücken zu identifizieren, die in Ihrer Umgebung verbessert werden müssen. Es ist eine schöne Wissensbasis für verschiedene Angriffsmethoden, aber es ist kein Instrument zur Risikobewertung. Bei den meisten Präsentationen lag der Schwerpunkt auf den gewonnenen Erkenntnissen und der Frage, wie der Rahmen in der Praxis effizient auf Dinge wie Bedrohungsjagd angewendet werden kann. Wir haben über unsere Ansicht geschrieben und warum wir der Meinung sind, dass das ATT & CK-Framework von Bedeutung ist.

Profitieren Sie von kompromittierten IoT-Geräten

Um nicht ausgelassen zu werden, habe ich auf der RSA-Konferenz IoT-Bedrohungen vorgestellt, oder genauer gesagt, wie Angreifer von kompromittierten IoT-Geräten profitieren. Die Prämisse für meinen Vortrag war, dass wir immer wieder neue Geschichten darüber hören, wie das IoT-Produkt XY leicht gekappt werden kann und dass Suchmaschinen wie BinaryEdge oder Shodan Tausende von exponierten Geräten auflisten, aber wir diskutieren selten, wofür diese Geräte wirklich eingesetzt werden, sobald sie gefährdet sind . Wir haben die verschiedenen Angriffsvektoren diskutiert und die Konferenz hielt auch einige Gespräche zu diesem Thema. Standard-Anmeldeinformationen oder schwache Kennwörter sind seit Jahren ein bekannter Schwachpunkt. Dasselbe gilt für nicht gepatchte Schwachstellen, die von Malware aus der Ferne ausgenutzt werden können. Darüber hinaus sollten LAN-Angriffe wie das Umbinden von DNS oder UPnP-Angriffe oder Risiken in der Lieferkette nicht vergessen werden.

Formjacking im Handumdrehen.

In unserem kürzlich veröffentlichten Internet Security Threat Report 24 (ISTR) sprechen wir ausführlicher über die Bedrohungslandschaft des IoT. Unser IoT-Honeypot registriert jeden Monat mehr als 5.200 einzigartige Angreifer. Mit 75 Prozent stammten die meisten von infizierten Routern, gefolgt von angeschlossenen Kameras mit 15 Prozent und Multimediageräten mit 5 Prozent. Auf der anderen Seite werden immer mehr IoT-Geräte zu Hause gekauft und installiert, was das Meer potenzieller Ziele erweitert. Die Telemetrie unseres Norton-Kernprodukts hat gezeigt, dass in den USA bereits durchschnittlich sechs angeschlossene IoT-Geräte pro Haushalt zu sehen sind.

Also, wofür verwenden Cyberkriminelle diese Geräte? Bei den drei wichtigsten IoT-Bedrohungen sehen wir, dass die DDoS-Funktionalität die häufigste Nutzlast ist. LightAidra (31 Prozent), Kaiten (31 Prozent) und Mirai (16 Prozent) konzentrieren sich alle auf DDoS-Angriffe. Solche Angriffe sind einfach zu bewerkstelligen, erzielen jedoch für den Angreifer nur einen Umsatz von 5.000 bis 10.000 $ pro Monat, wenn er als Booter / Stresser-Service vermietet wird.

Eine weitere verbreitete Annahme ist, dass die Geräte für den Krypto-Mining missbraucht werden. Dies war definitiv Anfang 2018 der Fall. Leider fiel der Preis für Kryptowährungen wie Monero im letzten Jahr um 87 Prozent. Damit ist auch die Profitabilität für Angreifer drastisch gesunken. Beispielsweise generierte das Hide’n’Seek-Botnet im Jahr 2019 nur XMR-Münzen im Wert von 25 US-Dollar pro Monat. Nicht der große Zahltag, den Cyberkriminelle suchen. Natürlich lieben Angreifer immer noch das Münz-Mining, da es einfach zu implementieren ist und keine Benutzerinteraktion erfordert, wie dies bei Ransomware der Fall ist. Die generierten Kryptowährungen ermöglichen auch eine anonyme Auszahlungsmethode. Möglicherweise spekulieren einige Cyberkriminelle oder hoffen, dass der Kryptowinter bald vorüber ist und ihre Münzen wieder an Wert gewinnen werden.

Diese zwei Beispielszenarien zeigen jedoch, dass die Gewinne zurückgegangen sind, was bedeutet, dass Angreifer an neuen Möglichkeiten interessiert sind, von kompromittierten IoT-Geräten zu profitieren. In meinem Vortrag habe ich die 12 wahrscheinlichsten Szenarien dafür beschrieben und die Vor- und Nachteile der Angreifer erörtert. Diese Liste enthält:

• DDoS-Angriffe - einschließlich des Missbrauchs von IoT-Protokollen zur Verstärkung

• Spam-Angriffe - einschließlich Spam-Drucker oder intelligente Lautsprecher

• Cryptocurrency Mining - direkt oder indirekt auf IoT-Geräten

• Ransomware / Locker - funktioniert nicht für alle Geräteklassen, kann aber für teure Geräte

• Erpressung / Erpressung - was wir bereits gesehen haben und wahrscheinlich mit der Menge der privaten Daten wachsen werden, die geteilt werden

• Streiche / Belästigungen - die Zahl nimmt zu, obwohl die Angreifer keinen Gewinn erzielen

• Diebstahl von Informationen - ein weiterer Weg für Datenschutzverletzungen

• Klickbetrug / Anzeigenbetrug - sehr profitabel und oft übersehen

• Premium-Services - weniger wichtig als selten

• Netzwerk-Sniffing - interessant, aber mit zunehmender Verschlüsselung des Datenverkehrs schwierig

• Angriff auf andere Geräte - ein Hauptanliegen für Unternehmenskunden

• Proxy-Netzwerk - einfach und flexibel für zukünftige Angriffe

Wenn Sie mehr darüber erfahren möchten, wie Sie von kompromittierten IoT-Geräten profitieren können, finden Sie meine Folien auf der Konferenzseite (PDF).

Ausstellungshalle

Natürlich gibt es auf der RSA-Konferenz auch eine große Ausstellungshalle mit vielen Anbietern, die ihre neuesten Produkte zeigen, und die frühe Ausstellungsphase mit einigen aufstrebenden Unternehmen. Ich gehe immer gerne herum, lasse mich von Ideen inspirieren oder fühle den Puls der neuesten Trends. Obwohl es mit so vielen Leuten und Standpersonal, die Sie jagen, ein bisschen stressig werden kann, um Ihre Ausweisdetails zu scannen.

Für mich bedeutete die Ausstellungshalle auch die Durchführung einer Live-Hack-Demo auf dem Symantec-Stand. Unser Thema war es, zu zeigen, welche verheerenden Angriffe in nur sieben Minuten passieren könnten. Um dies zu überprüfen, zeigte mein Kollege Antonio Forzieri, wie ein Angreifer einen fehlerhaft konfigurierten S3-Datenbereich beeinträchtigen und die Online-Präsenz eines Unternehmens übernehmen kann. Meine eigene Demo bestand aus einem Angriff der Lieferkette auf einen JavaScript-Besucherzähler, mit dem ich Formjacking-Malware in einen Online-Shop einschleusen konnte. Alles in weniger als sieben Minuten. Es hat viel Spaß gemacht und viele nette Gespräche mit den Besuchern ausgelöst.

In sieben Minuten kann viel passieren!

Besuchen Sie den Security Response-Blog und folgen Sie Threat Intel auf Twitter, um über die neuesten Ereignisse in der Welt der Bedrohungsinformationen und der Cyber-Sicherheit auf dem Laufenden zu bleiben.

Siehe auch

DELL und BAN sind Partner für die Verfolgung von eWasteNeue Tech-GadgetsQuantencomputing, Testreaktionen und mehr…Die Inspektionssoftware „Sterblue“ für Stromnetz und Windkraftanlagen dringt in den US-amerikanischen Markt einGedanken zu Hong KongNew York hat keine andere Wahl, als daran zu arbeiten, der dynamischste Innovationsstandort des Landes zu werden