Security-Ausblick auf 2023, Teil 2
Verbrechen as a Service
Fortsetzung des Artikels von Teil 1
Supply-Chain-Angriffe liegen im Trend
Arne Jacobsen, Director of Sales EMEA bei Aqua Security, weist darauf hin, dass Angriffe vermehrt auf die Softwarelieferanten der Unternehmen (die sogenannte „Software-Supply-Chain“) zielen. Denn kompromittiert eine Angreifergruppe Softwarelösungen oder Cloud-Services, die bei Unternehmen oder Behörden im Einsatz sind, kann sie dies als Sprungbrett für Angriffe auf zahlreiche Organisationen nutzen. Dies zeigte nicht zuletzt die Attacke auf diverse US-Behörden von 2020, bei dem sich die Angreifer unter anderem per Microsoft 365 Zugang verschafften (LANline berichtete).
„Es gibt immer mehr Angriffe auf die Software-Supply-Chain, allein von 2020 auf 2021 nahmen sie um 300 Prozent zu“, warnt Jacobsen. „Inzwischen beschäftigt die verschärfte Bedrohungslage auch die Politik: Das Weiße Haus veröffentlichte kürzlich eine entsprechende Durchführungsverordnung, und in einer aktuellen Richtlinie des EU-Parlaments ist die Absicherung der Supply-Chain sogar eine der vier zentralen Anforderungen.“ Diese Bestrebungen sind laut Jacobsen ein großer Schritt in die richtige Richtung, um Software sicherer zu machen.
„Die Absicherung von Software wird daher 2023 ganz oben auf der Prioritätenliste der CISOs stehen“, so Jacobsen weiter. „Konkret müssen sie vor allem in Lösungen zur Analyse der Software-Zusammensetzung, zur Absicherung der Tool-Chain sowie in Software Bills of Materials, kurz SBOM, investieren.“ Die Softwarebranche wiederum müsse jetzt in Lösungen investieren, die den kompletten Prozess absichern, um Fehler in Lösungen schnellstmöglich zu erkennen und zu beheben.
„Die meisten Angriffe nutzen nicht gepatchte und bereits bekannte CVEs (Common Vulnerabilities and Exposures, dokumentierte Sicherheitslücken, d.Red.) aus“, erläutert Shlomo Kramer, CEO von Cato Networks. „Wenn Unternehmen lediglich über begrenzte Ressourcen verfügen, werden sie kritische CVEs nur mit Verzögerung patchen. Das vergrößert die Angriffsfläche.“ Zum Beispiel habe Cato sechs Monate nach Bekanntwerden der Log4j-Schwachstelle Log4Shell bei seinen Kunden über 37 Millionen Log4j-basierte Angriffsversuche gestoppt.
„Die Herausforderung, Lieferketten-Angriffe rechtzeitig zu beheben, treibt die Einführung von virtuellen Patch-Lösungen voran“, so Kramer. Beim Virtual Patching kommen netzwerkbasierte Abwehrsysteme wie Intrusion-Prevention-Lösungen zum Einsatz, um anfällige Ressourcen auf Netzwerkebene zu schützen, bis man sie mit einem Patch des Softwareherstellers aktualisieren kann.
„Crime as a Service bleibt weiterhin ein Problem“, so der Cato-Chef. Im Laufe des Jahres 2022 haben sich IABs (Initial Access Broker, also Kriminelle, die sich auf das Erlangen des initialen Netzwerkzugriffs spezialisiert haben) laut Shlomo Kramer zu einer „veritablen Bedrohung“ entwickelt: „Durch den Verkauf von Netzwerkzugangsdaten an kriminelle Akteure ist es ihnen gelungen, im Darknet ein regelrechtes Wirtschaftssystem aufzubauen“, sagt er. „Im Jahr 2023 werden IABs mit Sicherheit erneut zuschlagen und einerseits Lösegelder erpressen, andererseits aber die gestohlenen Informationen im Darknet verkaufen.“
Das Fazit dieser Prognosen ist somit das gleiche wie schon seit Jahren: Die zunehmende Professionalisierung der Cybercrime-Szene wird den Security-Verantwortlichen auch in den kommenden zwölf Monaten große Probleme bereiten.
Teil 3 dieses Security-Ausblicks wird sich mit den Konsequenzen für die Security-Teams und ihre Sicherheitsstrategien befasssen. Er folgt in Kürze.
- Verbrechen as a Service
- Supply-Chain-Angriffe liegen im Trend
Lesen Sie mehr zum Thema
