Die Neue Norm: Trend Micro Sicherheitsprognosen für 2020
2020 stellt den Übergang zu einem neuen Jahrzehnt dar und parallel dazu weisen die jüngsten bedeutsamen Ereignisse und Trends ebenfalls auf einen Wandel in der Bedrohungslandschaft hin. Cybersicherheit 2020 und darüber hinaus muss unter vielen Gesichtspunkten betrachtet werden - von unterschiedlichen Motivationen der Angreifer und cyberkriminellen Arsenalen bis hin zu technologischen Weiterentwicklungen und globalen Bedrohungsinformationen. Nur so können Verteidiger Schritt halten mit Mainstream-Cyberkriminellen aber auch neuen Spielern sowie völlig neuen Angreifertypen.
Das Paradigma, dass Netzwerke isoliert hinter einer Unternehmens-Firewall betrieben werden, ist nicht mehr aktuell. Auch sind die Zeiten vorbei, in denen ein begrenzter Stack von Unternehmensanwendungen eingesetzt wurde. Die heutige Praxis umfasst eine Vielzahl von Anwendungen, Diensten und Plattformen, die alle geschützt werden müssen. Mehrschichtige Sicherheit, die auf verschiedene Implementierungen ausgerichtet ist und mit den Veränderungen der Ökosysteme Schritt hält, wird eine wesentliche Rolle bei der Bekämpfung des breiten Spektrums von Bedrohungen spielen.
Erprobte Methoden wie Erpressung, Verschleierung und Phishing werden weiterhin zum Tagesgeschäft gehören. Daneben werden sich jedoch unaufhaltsam neue Risiken entwickeln. So erhöht beispielsweise die zunehmende Migration in die Cloud die Häufigkeit menschlicher Fehler: Fehlkonfigurationen führen zu exponentiell steigender Kompromittierung von Systemen. Die schiere Zahl der vernetzten Assets und Infrastrukturen schafft zudem eine Vielzahl von Problemen, die Tür und Tor für Bedrohungen öffnen. Unternehmensbedrohungen werden nicht weniger komplex sein, da sie traditionelle Risiken mit neuen Technologien wie künstlicher Intelligenz (KI) für Geschäftsbetrug verknüpfen.
Unsere Sicherheitsprognosen für das Jahr 2020 stützen sich auf die Ansichten und Erkenntnisse unserer Experten zu aktuellen und neuartigen Bedrohungen und Technologien. Die beschriebenen Szenarien und Entwicklungen betreffen eine Zukunft, in der technologischer Fortschritt und weiterentwickelte Bedrohungen die Haupttreiber für den Wandel in der Bedrohungslandschaft sind. Dieser Bericht soll Unternehmen dabei unterstützen, fundierte sicherheitstechnische Entscheidungen für bestimmte Schwerpunktbereiche zu treffen, die 2020 und in den kommenden Jahren Herausforderungen und Chancen darstellen.
Angreifer werden unvollständige, weil in Eile entwickelte Patches bestrafen.
Systemadministratoren müssen wachsam sein, nicht nur bezüglich der zeitnahen Verteilung, sondern auch hinsichtlich der Qualität der von ihnen installierten Patches. Unvollständige oder mangelhafte Patches können zum Ausfall kritischer Systeme führen. Durch eine verzögerte Anwendung jedoch können ganze Systeme Bedrohungen ausgesetzt werden. Frühere Fälle zeigen, wie einfach unvollständige Patches umgangen werden können, um die Schwachstelle auszunutzen, die der Patch eigentlich beheben soll. Die Angreifer werden außerdem von „Patch Gaps“ profitieren: Sicherheitslücken zwischen einem in Korrektur befindlichen Fehler in einer Open-Source-Komponente und dessen Patch, der auf die Software angewendet wird, die diese Komponente nutzt.
Banksysteme werden durch Open-Banking- und Geldautomaten-Malware im Fadenkreuz stehen.
Cyberkriminelle Anwender von mobiler Malware für Angriffe auf Online-Banking- und Zahlungssysteme werden 2020 sehr aktiv sein;da mobile Online-Zahlungen in Europa im Zuge der überarbeiteten Zahlungsdiensterichtline der Europäischen Union (EU) (PSD2) an Bedeutung gewinnen werden. Die Umsetzung der Richtlinie wird cybersicherheitsbezogene Auswirkungen auf die Bankenbranche haben, darunter Fehler in Anwendungsprogrammierschnittstellen (APIs) und neue Phishing-Angriffe.
Im Untergrund wird währenddessen der Verkauf von Geldautomaten-Malware weiter Fahrt aufnehmen. Wir gehen davon aus, dass verschiedene Familien von Geldautomaten-Malware um die Vormachtstellung kämpfen werden, wobei sie sich in Bezug auf die Features und den Preis der Malware gegenseitig zu über- bzw. zu unterbieten versuchen. Beispielsweise werden im Untergrund bereits Varianten von Cutlet Maker, Hello World und WinPot verkauft
Deepfakes werden die nächste Front beim Unternehmensbetrug sein.
Der Einsatz von Deepfakes – KI-basierten Fälschungen von Bild-, Video- oder Audiomaterial – wird sich zunehmend verlagern: von der Erstellung gefälschter pornografischer Videos von Prominenten hin zur Manipulation von Unternehmen und deren Abläufe. Ein Beispiel hierfür wäre die Täuschung von Mitarbeitern, damit diese Geldmittel transferieren oder kritische Entscheidungen treffen. Ein solcher Fall ereignete sich bei dem Versuch, ein Energieunternehmen unter Zuhilfenahme der gefälschten, KI-generierten Stimme seines CEOs um 243.000 USD zu betrügen. Diese Technologie stellt eine Ergänzung des Instrumentariums von Cyberkriminellen dar – und eine Weiterentwicklung der herkömmlichen Business Email Compromise (BEC)-Methode. Bevorzugte Zielpersonen für diese Art von Betrug werden Mitglieder der obersten Geschäftsleitung sein, da sie häufig telefonieren oder in Konferenzen, Medien oder Online-Videos auftreten.
Die Angreifer werden Kapital aus für Würmer anfälligen Schwachstellen und Deserialisierungs-Bugs schlagen.
Weitere Versuche der Ausnutzung von kritischen und schwerwiegenden Schwachstellen, wie etwa das auf Würmer anfällige BlueKeep, werden bekannt. Gängige Protokolle wie Server Message Block (SMB) und Remote Desktop Protocol (RDP) werden zur Kompromittierung anfälliger Systeme missbraucht. Letztere sind bereits ein gängiger Einstiegsvektor für Ransomware.
Fehler und Schwachstellen im Zusammenhang mit der Deserialisierung von nicht vertrauenswürdigen Daten werden ein erhebliches Problem darstellen, besonders für die Sicherheit von Unternehmensanwendungen. Durch Bedrohungen, die Schwachstellen auf dieser Ebene ausnutzen, können vermeintlich modifizierungsgeschützte Daten geändert und für die Ausführung von angreifergesteuertem Code zugänglich gemacht werden. Anstatt mehrere Schwachstellen ausfindig zu machen und aneinander zu koppeln, um schädlichen Code auszuführen, werden sich Angreifer zunehmend Deserialisierungsfehler zu Nutze machen, um auch in komplexen Umgebungen leichter die Kontrolle über die Systeme zu gewinnen.
Cyberkriminelle werden sich zum Zweck der Spionage- und Erpressung auf IoT-Geräten einnisten.
Cyberkriminelle werden Machine Learning (ML) und künstliche Intelligenz (KI) zum Anzapfen vernetzter Geräte wie Smart-TVs und Lautsprecher einsetzen, um persönliche und geschäftliche Gespräche zu belauschen. Dies kann wiederum als Material für Erpressung und Unternehmensspionage genutzt werden.
Weitere Möglichkeiten für Cyberkriminelle, Geld mit IoT-Angriffen zu verdienen, erfordern allerdings erst noch ein skalierbares Geschäftsmodell, um Kapital aus der breiten Angriffsfläche des Internet of Things (IoT) schlagen zu können. Die Monetarisierung von IoT-Angriffen, die noch in den Kinderschuhen steckt, wird von Cyberkriminellen auf verschiedene Weise getestet. Digitale Erpressung gehört zu den wahrscheinlichsten Methoden. Diese Vorgehensweisen werden zunächst auf Verbrauchergeräten ausprobiert; als nächstes logisches Ziel werden vernetzte industrielle Anlagen anvisiert: eine Entwicklung, die bereits bei unseren letzten Streifzügen durch den Untergrund erkennbar waren.
Botnets aus kompromittierten IoT-Geräten, wie z. B. Routern, werden im Untergrund weiter feilgeboten, ebenso wie der Zugriff auf Webcam-Streams und smarte Messgeräte über modifizierte Firmwar
5G-Anwender müssen sich beim Umstieg auf softwaredefinierte Netzwerke mit den Folgen für die Sicherheit auseinandersetzen.
FWenn die 5G-Einführung 2020 an Momentum gewinnt, müssen die Anwender von einer Vielzahl von vorhandenen Schwachstellen ausgehen, allein schon aufgrund der Neuartigkeit der Technologie, einschließlich ihrer Codes und des dynamischen Wechsels zwischen den Umgebungen. Da 5G-Netzwerke softwaredefiniert sind, werden die Bedrohungen durch anfällige Softwarevorgänge sowie die verteilte Topologie verursacht. Ein Bedrohungsakteur, der die Kontrolle über die Software erlangt, mit der 5G-Netzwerke verwaltet werden, kann folglich auch das Netzwerk selbst übernehmen. Upgrades in Verbindung mit 5G werden Updates bei Smartphones ähneln und damit Schwachstellen beinhalten. Die Ausnutzung von 5G-Schwachstellen durch preisgünstige Hardware- und Softwareplattformen hat sich bereits als möglich erwiesen.
Kritische Infrastrukturen werden noch mehr von Angriffen und Produktionsausfällen betroffen sein.
Kritische Infrastrukturen (KRITIS) werden auch 2020 noch geeignete Ziele für Erpresser und andere Angreifer sein. Aufgrund ihrer zerstörerischen Wirkung wird Ransomware nach wie vor die bevorzugte Waffe von Bedrohungsakteuren sein. Es zeichnen sich jedoch noch weitere Arten von Cyberattacken ab: Botnets, die Distributed-Denial-of-Service-Angriffe (DDoS) auf Betriebstechnologie (OT)-Netzwerke verursachen; Angriffe auf Herstellungssysteme, die Cloud-Services nutzen; Angriffe auf Lieferketten, bei denen Drittanbieter als Sprungbrett für Bedrohungsakteure missbraucht werden, um kritische Sektoren zu treffen.
Verschiedene Bedrohungsakteure haben bei dem Versuch, Zugangsdaten von industriellen Steuersystemen (ICSs) und SCADA-Systemen (Supervisory Control and Data Acquisition) abzugreifen, bereits verschiedene Energieanlagen weltweit ins Visier genommen und ausgekundschaftet. Wir rechnen jedoch nicht nur mit Angriffen auf den Versorgungssektor, sondern auch auf die Bereiche Lebensmittelproduktion, Transportwesen und Herstellung, in denen immer häufiger IoT-Anwendungen und Mensch-Maschine-Schnittstellen (HMIs) zum Einsatz kommen.
Schwachstellen in Container-komponenten werden zum Top-Sicherheitsanliegen für DevOps-Teams.
Container sind äußerst schnelllebig: Releases erfolgen schnell, Architekturen werden kontinuierlich integriert und Softwareversionen regelmäßig aktualisiert. Herkömmliche Sicherheitsverfahren können hier nicht mithalten. Eine Anwendung mag es erforderlich machen, Hunderte von Containern zu sichern, die über mehrere virtuelle Maschinen in verschiedenen Cloud-Service-Plattformen verteilt sind. Unternehmen müssen ihre Sicherheit in Bezug auf unterschiedliche Komponenten der Containerarchitektur – von den Containerlaufzeiten (z. B. Docker, CRI-O, Containerd und runC) über Orchestratoren (z. B. Kubernetes) bis hin zu Entwicklungsumgebungen (z. B. Jenkins) – im Auge behalten.
Serverlose Plattformen werden durch Fehlkonfiguration und sicherheitsanfälligem Code eine Angriffsfläche bieten.
Serverlose Plattformen bieten „Function as a Service“ und ermöglichen Entwicklern die Ausführung von Code, ohne dass das Unternehmen für ganze Server oder Container bezahlen muss. Veraltete Bibliotheken, Fehlkonfigurationen sowie bekannte und unbekannte Schwachstellen werden die Eintrittspunkte von Angreifern auf serverlosen Anwendungen sein. Eine höhere Netzwerktransparenz sowie verbesserte Prozesse und Dokumentationsabläufe werden für die Ausführung von serverlosen Anwendungen entscheidend sein. Serverlose Umgebungen können außerdem von der Einführung von DevSecOps profitieren. Bei dieser Lösung ist die Sicherheit im DevOps-Prozess integriert.
Cloud-Plattformen werden Opfer von Code-Injection-Angriffen über die Bibliotheken Dritter
Code-Einschleusungsangriffe, die entweder direkt auf den Code abzielen oder über eine Bibliothek Dritter erfolgen, werden in erster Linie gegen Cloud-Plattformen gerichtet sein. Diese Angriffe, vom Cross-Site-Scripting bis hin zur SQL-Einschleusung, dienen der Ausspähung, Kontrolle und sogar Modifizierung von sensitiven, in der Cloud gespeicherten Daten und Dateien. Alternativ können die Angreifer auch schädlichen Code in Bibliotheken Dritter einschleusen, der dann von den Anwendern unwissentlich heruntergeladen und ausgeführt wird. Im Zuge der immer größeren Verbreitung von Cloud-Computing-Modellen für Software-, Infrastructure- und Platform-as-a-Service (SaaS, IaaS und PaaS) wird es zu einem Anstieg von Datenschutzverletzungen in der Cloud kommen. Die Verhinderung von Cloud-Kompromittierungen wird äußerste Sorgfalt bei Entwicklern, eine gründliche Prüfung von Anbietern und angebotenen Plattformen sowie Verbesserungen beim Management des Cloud-Sicherheitsstatus voraussetzen.
Die Forscher gehen davon aus, dass Angriffe 2020 und darüber hinaus gründlicher geplant, verbreitet und taktisch vielfältiger sein werden. Auch mangelnde Cybersicherheitskompetenz und schlechte Sicherheitshygiene werden nach wie vor bedeutende Faktoren in der künftigen Bedrohungslandschaft sein. Das Risiko der Kompromittierung durch fortschrittliche Bedrohungen, persistente Malware, übliches Phishing, potenzielle Zero-Day und andere Angriffe kann mit Maßnahmen der Detection&Response verhindert bzw. in ihrer Ausbreitung und Gefährlichkeit eingedämmt werden. Mithilfe von umsetzbaren Bedrohungsinformationen, die in Sicherheits- und Risikomanagement-Prozesse integriert sind, können Unternehmen ihre Umgebungen proaktiv verteidigen. Hierzu dienen ihnen die Ermittlung von Sicherheitslücken, die Behebung von Schwachstellen und die Kenntnis der Strategien von Angreifern. Um ein umfassenderes Bild ihrer Online-Infrastrukturen zu gewinnen, können Entscheider und IT-Manager auf Experten zurückgreifen, z. B. Security Operations Center (SOC)-Analysten, die mit ihren Erkenntnissen einen Bezug zu globalen Bedrohungsinformationen herstellen können. Dadurch ergibt sich ein besserer Kontext über den Endpunkt hinaus, der E-Mail, Server, cloudbasierte Workloads und Netzwerke einbezieht.
Die im ständigen Wandel begriffene Bedrohungslandschaft wird eine generationenübergreifende Kombination aus mehrschichtigen und vernetzter Verteidigung (Connected Defense) erfordern, die von Sicherheitsfähigkeiten wie den folgenden unterstützt werden:
- Umfassende Transparenz. Ermöglicht eine priorisierte und optimierte Untersuchung von Bedrohungen anhand von Tools und Know-how, die die Auswirkungen mindern und Risiken beheben.
- Bedrohungsschutz durch effiziente Eindämmung. Reduziert automatisch Bedrohungen, sobald diese sichtbar gemacht und erkannt wurden, sowie Einsatz von Anti-Malware, Machine Learning und KI sowie Techniken für Applikationskontrolle, Web Reputation und Anti-Spam.
- Managed Detection and Response. Bereitstellung von Sicherheits-Know-how zur Korrelierung von Warnmeldungen und Erkennungen für die Bedrohungssuche, umfassende Analysen und sofortige Behebung anhand von optimierten Threat Intelligence-Tools.
- Verhaltens-Monitoring. Blockt proaktiv ausgereifte Malware und Techniken, erkennt abweichendes Verhalten und verdächtige Routinen, die auf Malware schließen lassen.
- Endpoint-Sicherheit. Schützt Anwender mittels Sandboxing, Erkennung von Datenschutzverletzungen und Endpunktesensorfunktionen.
- Intrusion Detection and Prevention. Verhindert verdächtigen Netzwerkdatenverkehr, wie z. B. Command-and-Control (C&C)-Kommunikation und Datenexfiltrierung.
Erfahren Sie, was die Bedrohungslandschaft 2020 prägen wird und wie Anwender und Unternehmen sich darin zurechtfinden können: Lesen Sie unseren Report, „Die neue Norm: Trend Micro Sicherheitsprognosen für 2020.“
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.