Übersicht
Ereignisse wie SaltTyphoon sind eine hervorragende Erinnerung an die Verwundbarkeit von Unternehmen und Nutzern gegenüber Sicherheitsverletzungen aufgrund von Abhängigkeiten von Infrastrukturen, die möglicherweise nicht unter ihrer Kontrolle stehen. Mit zunehmend verteilten Anwendungen, die durch öffentliche Clouds, SAAS und globale Serviceanbieter für Computing, Speicherung und Netzwerke betrieben werden, befinden sich die Angriffsflächen außerhalb ihrer Kontrolle. Und wie man so sagt, sind Sicherheitsverletzungen eher eine Frage von „Wann“ als von „Ob“. Der offensichtlichste Ansatz, um in dieser Umgebung zu gedeihen, ist, die externen und internen Angriffsflächen mithilfe von Zero-Trust-Prinzipien durch eine Sicherheitsgestaltung zu reduzieren. Die Sicherstellung eines sicheren Netzwerkzugriffs mit Unified SASE as a Service ist ein großer Schritt nach vorne, um eine betriebliche Einfachheit zu bieten, indem die Netzwerk- und Sicherheitsanbieter-Spaltung beseitigt wird. Im Falle einer Sicherheitsverletzung ist es noch wichtiger, das Problem zu isolieren, die Ausbreitungszone zu verkleinern und weiterhin die Bedürfnisse des Unternehmens zu erfüllen. SASE steuert die Bereitstellung verschiedener Sicherheitslösungen und bietet eine schnellere Reaktionszeit, was erheblich zur Netzwerksicherheit beiträgt und die Angriffsflächen reduziert.

Angreifbare Infrastruktur

Die beliebtesten Infrastrukturprodukte wie Switches und Router sind in der Branche weit verbreitet. Es ist bekannt, dass manchmal das werkseitig eingestellte Passwort nicht geändert wird. Angesichts der Verbreitung von Cisco-Geräten ist es nicht überraschend, dass SaltTyphoon auf Cisco-Geräte abzielt. Es gibt mehrere Gründe, die im Folgenden erläutert werden:

  • Angesichts seiner Allgegenwart und Marktbeherrschung ist Cisco einer der größten Anbieter von Netzwerkausrüstung weltweit. Seine Geräte werden in Unternehmen, bei Dienstleistern und in kritischer Infrastruktur eingesetzt. Eine erfolgreiche Kompromittierung von Cisco-Geräten kann Angreifern Zugang zu Netzwerken mit sensiblen und hochgradig wertvollen Informationen verschaffen.
  • SaltTyphoon konzentriert sich oft auf Regierungen, Militärs und kritische Infrastrukturen, in denen Cisco-Geräte weit verbreitet sind. Cisco-Geräte wie Router, Switches und Firewalls sind zentral für die Verwaltung des Netzwerkverkehrs, was sie zu idealen Punkten für Abhörung, Datenexfiltration oder Manipulation von Verkehr macht. Cisco-Ausrüstung wird häufig in Organisationen eingesetzt, die politisch oder wirtschaftlich empfindliche Operationen verwalten, was sie zu einem perfekten Ziel für Spionage macht. Diese Geräte nehmen vertrauenswürdige Netzwerkpositionen ein, und eine Kompromittierung kann Sicherheitsmaßnahmen umgehen und den Betrieb stören, wodurch Angreifern Einfluss auf die betroffenen Organisationen gegeben wird.
  • Durch persistierenden Zugriff und heimliche Operationen bieten Cisco-Geräte einen starken Fuß in die Tür für das Implantieren von Hintertüren. SaltTyphoon platziert oft persistenten schadhaften Code direkt in die Netzwerkinfrastruktur, da kompromittierte Netzwerkgeräte häufig den Endpunkterkennungsmechanismen entgehen, wodurch der Gruppe ein unauffälliger Zugriff gewährt wird.
  • SaltTyphoon ist bekannt dafür, ungeschlossene Sicherheitslücken auszunutzen, und Cisco-Geräte wurden im Laufe der Jahre mit hochkarätigen Schwachstellen in Verbindung gebracht (z. B. Cisco Smart Install, VPN-Fehler). Die Entwicklung oder der Erwerb fortschrittlicher Exploits, die auf Cisco-Systeme abzielen, ist einfach. Durch das Ausnutzen von Cisco-Geräten an strategischen Positionen können Angreifer mehrere nachgelagerte Organisationen in einer Lieferkette kompromittieren.

Herausforderungen bei der Bereinigung von IT-Systemen
Der Hauptgrund für den hohen Arbeitsaufwand ist die fragmentierte Lösung, die viele Unternehmen oft bieten. Zudem gibt es wenig Sichtbarkeit und keine Monitoring-Systeme, sodass Malware in jedem Teil der Infrastruktur lauern könnte. Die Herausforderung besteht daher darin, zu ermitteln, welche Systeme infiziert sind und dann einen Weg zur Bereinigung zu finden. Lassen Sie uns die technischen Einschränkungen verstehen:

  • APT-Angriffe verwenden Tarnungstaktiken (dateilose Malware, Verschlüsselung und Obfuskation), Persistenzmechanismen (verborgene Registrierungsschlüssel, geplante Aufgaben, Firmware-Modifikationen) und maßgeschneiderte Tools, um Entdeckungen und Bereinigungsversuche zu vermeiden.
  • Es fehlt an Sichtbarkeit aufgrund komplexer Umgebungen wie weitverzweigten IT-Systemen mit zahlreichen Endpunkten, Servern und Cloud-Integrationen, was die Überwachung erschwert. Viele Organisationen protokollieren nicht genügend Daten oder behalten sie nicht lange genug, um das gesamte Ausmaß der Kompromittierung zurückzuverfolgen.
  • Die menschlichen Einschränkungen aufgrund von Kompetenzlücken und langsamen Reaktionszeiten ermöglichen es Angreifern, einen stärkeren Fuß in die Tür zu bekommen. Viele Organisationen fehlen spezialisierte Fachkenntnisse und Ressourcen, um auf APTs zu reagieren. Zudem priorisieren Organisationen betriebliche Bedürfnisse über Sicherheitsmaßnahmen, wodurch Lücken in der Verteidigung entstehen.
  • Die Verzögerung bei der Erkennung aufgrund der Verweilzeit ist ebenfalls ein mitwirkender Faktor, da APTs Monate oder sogar Jahre unentdeckt bleiben können. In dieser Zeit können sie mehrere Hintertüren platzieren und verschiedene Systeme kompromittieren. Bis sie entdeckt werden, haben die Angreifer möglicherweise bereits tief infiltriert.

Unified SASE as a Service als integrierte Schutzmaßnahme
Unified SASE as a Service, eine Schlüsseltechnologie im Arsenal von Aryaka, ist entscheidend im Kampf gegen fortschrittliche, hartnäckige Bedrohungen (APT) wie SaltTyphoon. Ihre proaktiven und reaktiven Abwehrmaßnahmen wurden entwickelt, um fortschrittliche Angriffe zu überlisten und sind daher ein wesentlicher Bestandteil der Sicherheitsstrategie jeder Organisation.

  • Die Durchsetzung des Prinzips der geringsten Privilegien ist ein entscheidender Schritt im Kampf gegen APTs. Organisationen müssen granulare Zugriffskontrollen mit ZTNA implementieren, um sicherzustellen, dass Benutzer, Geräte und Anwendungen nur mit den für ihre Rolle erforderlichen Ressourcen interagieren können. Dies reduziert das Potenzial für eine weite Verbreitung von Schäden durch APTs erheblich und macht es zu einer wichtigen Verteidigungsstrategie.
  • Identitäts- und kontextabhängige Richtlinien, die Standort, Zeit und Verhalten berücksichtigen, sind im Kampf gegen APTs von entscheidender Bedeutung. Durch die kontinuierliche Verifizierung von Benutzern und Geräten wird die Wahrscheinlichkeit verringert, dass ein Angreifer erfolgreich einen legitimen Benutzer imitiert. Dies stärkt das Vertrauen in die Sicherheitsmaßnahmen und macht sie zu einem wesentlichen Bestandteil der Verteidigungsstrategie jeder Organisation.
  • Unified SASE as a Service bietet Isolierungsfunktionen durch Mikroseparation, um Workloads, Anwendungen und Geräte innerhalb des Netzwerks zu isolieren. Diese Strategie schränkt die laterale Bewegung eines APTs ein und verhindert, dass Angreifer zusätzliche Systeme kompromittieren, selbst wenn sie einen anfänglichen Fuß in die Tür bekommen haben.
  • Mit Unified SASE as a Service können Organisationen die Überwachung und Sichtbarkeit auf Netzwerk- und Sicherheitsebene verbessern, um Anomalien zu erkennen und Indikatoren zu korrelieren, um potenzielle APT-Aktivitäten frühzeitig zu identifizieren und darauf zu reagieren. Darüber hinaus bieten Sicherheitsfunktionen wie SWG, FwaaS, IPS, Dateiscanning usw. Echtzeitwarnungen und automatisierte Reaktionen auf verdächtige Aktivitäten, die es den Organisationen ermöglichen, APT-Aktionen schnell zu erkennen und einzudämmen.
  • Es ist weithin bekannt, dass APTs sensible Daten und geistiges Eigentum aus den Zielnetzwerken stehlen. Daher müssen Angreifer diese Informationen an entfernte Orte exfiltrieren. Mit Unified SASE as a Service können Anomalien bei der Datenlecks und -übertragung während der Exfiltration, einschließlich Protokollmissbrauch, durch Sicherheitsfunktionen wie CASB, DLP und Sicherheits-Engines, die ML/AI zur Anomalieerkennung nutzen, erkannt werden.

Allgemeine Empfehlungen
Ein wichtiger Aspekt ist die betriebliche Einfachheit, da diese Prozesse erhebliche Belastungen mit sich bringen und schwer nachhaltig aufrechterhalten werden können. Es ist sehr hilfreich, klare Rollen und Verantwortlichkeiten für die Erstellung und Verwaltung von Sicherheitsrichtlinien und -verfahren zu schaffen. Organisationen können mehr tun, als es die CISA