Skip to main content
Dark background with blue code overlay
Blog
RSS

Standorten zu vertrauen, wird uns erneut zum Verhängnis

Charlie Gero

Written by

Charlie Gero

June 07, 2021

Charlie Gero is a VP & CTO of the Enterprise Division at Akamai as well as leads the Advanced Projects Group. He currently focuses on bleeding edge research in the areas of security, applied mathematics, cryptography, and distributed algorithms in order to build the next generation of technologies that will protect Akamai's growing customer base. Through his research at Akamai, he has secured nearly 30 patents in cryptography, compression, performant network systems, real time media distribution, and more, and has degrees in both Physics and Computer Science. He has been at Akamai for nearly 15 years, having prior founded a startup and served in key computer science positions in the pharmaceutical and networking industries.

Vor Kurzem gab Microsoft die Entdeckung eines weiteren Angriffs bekannt, der von der mittlerweile berüchtigten Gruppe Nobelium durchgeführt wurde. Diese Gruppe ist für zahlreiche erfolgreiche Attacken verantwortlich, einschließlich des umfangreichen SolarWinds-Angriffs 2020. Glücklicherweise war dieser jüngste Versuch nicht so wirkungsvoll wie in der Vergangenheit. Er wurde frühzeitig entdeckt und durch mehrere Schutzmaßnahmen weitgehend abgewehrt.

Als ich das Sicherheitsbriefing durchgelesen habe, stachen jedoch zwei Dinge hervor. Erstens ist Nobelium sicherlich ein sehr fortgeschrittener Angreifer. Die Gruppe nutzt zahlreiche Techniken, um Systeme zu infizieren, sich im Netzwerk zu bewegen und die Erkennung zu umgehen, während sie ihren Ansatz kontinuierlich weiterentwickelt, um neue Sicherheitshindernisse zu überwinden.

Zweitens liegt der Kern einiger ihrer Umgehungstechniken in dem anhaltenden, aber fehlplatzierten Vertrauen, das mit dem Standort in Verbindung steht. Während der sich ständig weiterentwickelnden Angriffskampagne hat Nobelium beispielsweise häufig öffentliche Services wie Google Firebase, Dropbox, Constant Contact und andere genutzt, um Malware zu hosten, Telemetriedaten zu sammeln und die für den Betrieb erforderlichen Dienste auszuführen.

Wofür der ganze Aufwand? Die Antwort ist einfach: um die Wahrscheinlichkeit einer Erkennung zu verringern, indem sich die Gruppe an Orten versteckt, denen Unternehmen bereits vertrauen. Wie viele Angreifer in diesem Bereich wissen auch Nobelium, dass es immer schwieriger wird, Angriffe von riskanten Domains aus zu starten, da Unternehmen zunehmend wichtige Services wie DNS-Firewalls nutzen. Sie sind auf „Blackhole“-Domains ausgelegt, die möglicherweise schädlich sind.

Anstatt dieses System zu knacken, ist es viel einfacher, sich mit vertrauenswürdigen Elementen bei SaaS- und IaaS-Anbietern zu verbinden. Schließlich können Unternehmen nicht einfach den Zugriff auf die legitimen Services blockieren, die sie täglich nutzen, wie Dropbox. Durch das Verbergen schädlicher Inhalte an vertrauenswürdigen Standorten „waschen“ Nobelium und ähnliche Gruppen Malware und schädliche Aktionen effektiv über legitime Anbieter.

In einigen extremen Fällen richten Angreifer sogar DNS-Datensätze für ihre eigene Command-and-Control-Infrastruktur ein. Sie imitiert die Hostnamen, die von den angegriffenen Unternehmen selbst verwendet werden. Wenn ein Unternehmen schon den Zugriff auf SaaS-Domains nicht einfach so blockieren kann, dann erst recht nicht den auf die eigenen Domains.

Daraus ergibt sich die Frage: Was können wir tun, um uns besser vor dieser Technik zu schützen? Die Antwort liegt in demselben Zero-Trust-Prinzip, das für den internen Anwendungszugriff gilt: Vertrauen Sie Elementen nicht nur aufgrund ihres Standorts. 

Im Fall des Zero-Trust-Netzwerkzugriffs (Zero Trust Network Access, ZTNA) sind diese „Elemente“ die Mitarbeiter. Aus diesem Grund bemühen wir uns, mit ZTNA strenge Authentifizierungs- und Sicherheitsprüfungen für jede Transaktion und Verbindung durchzuführen.

Im Fall von SaaS und externen Websites sind die „Elemente“ die Daten, die wir herunterladen und mit denen wir interagieren. Der Schutz erfolgt in Form einer starken Inhaltsüberprüfung. Unternehmen müssen zunehmend Secure Web Gateways (SWG) und Cloud Access Security Broker (CASB) verwenden, um neben dem auf Domainnamen basierenden Schutz durch DNS-Firewalls auch Virenscans, Sandboxing und Data Loss Prevention (DLP) einzusetzen. Indem wir die Inhalte selbst überprüfen und davon ausgehen, dass alle Standorte gefährlich sein können, schaffen wir eine zusätzliche Hürde, die es für Angreifer viel schwieriger macht, Zugriff zu erlangen.

Sobald wir die veraltete Vorstellung hinter uns lassen, dass der bloße Standort Vertrauen schafft – ganz gleich, ob bei den Endnutzern, die auf interne Anwendungen zugreifen, oder bei den externen Websites und SaaS-Anbietern, auf die Endnutzer zugreifen –, können wir uns auf relevante und aktuelle Schutzmaßnahmen konzentrieren, die unser aller Leben sicherer machen.

Und das ist wohl etwas, das wir alle wollen.



Charlie Gero

Written by

Charlie Gero

June 07, 2021

Charlie Gero is a VP & CTO of the Enterprise Division at Akamai as well as leads the Advanced Projects Group. He currently focuses on bleeding edge research in the areas of security, applied mathematics, cryptography, and distributed algorithms in order to build the next generation of technologies that will protect Akamai's growing customer base. Through his research at Akamai, he has secured nearly 30 patents in cryptography, compression, performant network systems, real time media distribution, and more, and has degrees in both Physics and Computer Science. He has been at Akamai for nearly 15 years, having prior founded a startup and served in key computer science positions in the pharmaceutical and networking industries.