3. Juni 2014 | pArtikel drucken | kKommentieren

E-Mail als Wolf im Schafspelz

Palo Alto Networks hat Forschungsergebnisse veröffentlicht, wie Cyber-Angreifer gängige Business-Anwendungen ausnutzen, um Sicherheitskontrollen zu umgehen. Ein Fazit: Mehr-Phasen-Angriffe beginnen oft mit einer simplen E-Mail.

Die Studie basiert auf der Analyse erfasster Traffic-Informationen von 5 500 Netzwerken und Milliarden von Logdaten über einen Zeitraum von zwölf Monaten.

Die wichtigsten Ergebnisse der Untersuchung:

– Gängige Anwendungen wie E-Mail, Social Media und Video bleiben die bevorzugten Vehikel für die Ausführung von Angriffen, sind aber oft nur die Initialzündung für Mehr-Phasen-Angriffe.

– 99 Prozent aller Malware-Logdaten wurden von einer einzigen Bedrohung generiert, die User Datagram Protocol (UDP) verwendete; Angreifer nutzen auch Dienste wie FTP, RDP, SSL und NetBIOS, um ihre Aktivitäten zu verschleiern.

– 34 Prozent der beobachteten Anwendungen können SSL-Verschlüsselung verwenden; viele Netzwerkadministratoren seien sich nicht bewusst, welche Anwendungen in ihren Netzwerken ungepatchte Versionen von OpenSSL nutzen und damit Schwachstellen wie Heartbleed ausgesetzt sind.

Palo Alto

Quelle: Palo Alto Networks

„Die häufigsten Netzwerkangriffe gehen auf Anwendungen wie E-Mail zurück, mit denen Exploits ins Unternehmen gelangen. Im Netzwerk angekommen, nutzen die Angreifer andere Programme oder Services, um ihre Aktivitäten fortzusetzen – versteckt als Wolf im Schafspelz. Zu wissen, wie Cyber-Kriminelle Anwendungen ausnutzen, hilft den Unternehmen fundierte Entscheidungen zu treffen, um ihre Umgebungen vor Angriffen zu schützen“, erklärt Matt Keil, Senior Research Analyst bei Palo Alto Networks.

Zusätzlich zu den Ergebnissen enthält der Bericht Ratschläge für einen besseren Schutz von Netzwerken.

Empfehlungen für IT-Sicherheitsteams:

– Die Einführung ausgewogener Richtlinien, um gebräuchliche Anwendungen sicher zu erlauben. Der Schlüssel zum Erfolg sei die Dokumentation aller relevanten Richtlinien, die Aufklärung der Nutzer und die regelmäßige Aktualisierung der Richtlinien.

– Die effektive Überwachung von unbekanntem Traffic, der nicht zugeordnet werden kann. Klein im Datenvolumen, mache dieser im Durchschnitt nur zehn Prozent der Bandbreite aus, berge jedoch ein hohes Risiko. Durch die Beobachtung von unbekanntem UDP- und TCP-Verkehr lasse sich ein signifikantes Aufkommen von Malware schnell ausschalten.

– Die selektive Entschlüsselung von Anwendungen, die SSL verwenden. Sie decke potenzielle Verstecke für Cyber-Bedrohungen auf.

Die Studie steht nach Registrierung hier zum Download zur Verfügung.

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info