Bedrohungslandschaft hat sich verändert
Studie enthüllt eingeschränkte Reaktionsfähigkeit von Unternehmen bei Angriffen auf die Vertrauenswürdigkeit von Schlüsseln und Zertifikaten
Umfrage offenbart, dass Unternehmen nicht wissen, wie sie Schwachstellen bei Schlüsseln und Zertifikaten erkennen und darauf reagiert können
(30.06.15) Venafi veröffentlicht die Ergebnisse einer Umfrage, die im Rahmen der RSA Conference bei 850 IT-Sicherheitsexperten in San Francisco durchgeführt wurde. Den Befragungsdaten zufolge bestätigen die meisten IT-Sicherheitsexperten, nicht zu wissen, wie man die Kompromittierung kryptographischer Schlüssel und digitaler Zertifikate, die Grundlagen für das Vertrauen in unsere moderne, digitale Welt, schnell erkennt oder beseitigt.
Angriffe auf Schlüssel und Zertifikate unterscheiden sich von den heute üblichen Cyberangriffen. Mit einem kompromittierten oder gestohlenen Schlüssel können Angreifer die ins Visier genommenen Unternehmen nachahmen, kontrollieren und überwachen sowie deren Traffic entschlüsseln und Webseiten, Codes oder Administratoren imitieren. Ungesicherte Schlüssel und Zertifikate bieten Angreifern ungehinderten Zugriff auf die Netzwerke ihres Opfers und sorgen dafür, dass sie bei vertrauenswürdigem Status und Zugriff lange Zeit unentdeckt bleiben.
"Die Ergebnisse dieser Umfrage sind sehr besorgniserregend, angesichts des Aufwärtstrends bei Angriffen auf das Vertrauen und all den großen SSL/TLS Schlüssel- und zertifikatbasierten Schwachstellen, die alleine in den vergangenen sechs Monaten aufgedeckt wurden. Von Heartbleed, ShellShock und POODLE über GoGo Man-in-the-Middle-Angriffe und Lenovos Superfish-Schwachstelle bis zu FREAK und dem nun jüngsten LogJam-Schlupfloch wissen Cyberkriminelle, dass ungeschützte Schlüssel und Zertifikate angreifbar sind, und sie werden diese ausnutzen, um Website-Spoofing zu betreiben und Man-in-the-Middle-Angriffe auszuführen", sagt Kevin Bocek, Vizepräsident für Sicherheitsstrategie und Threat Intelligence bei Venafi.
Die Bedrohungslandschaft hat sich verändert und Cyberkriminelle sind in der Lage, diese neuen Schwachstellen auszunutzen, weil die meisten Sicherheitssysteme Schlüsseln und Zertifikaten blind vertrauen. Fehlt ein Immunsystem für das Internet, sind Unternehmen nicht in der Lage zu ermitteln, was zu ihren Netzwerken gehört und damit vertrauenswürdig ist, und was nicht und daher gefährlich. Unternehmen, die nicht wissen, was vertrauenswürdig ist oder wie man Angriffe auf Schlüssel und Zertifikate erkennt und behebt, bleiben schutzlos vor Sicherheitsvorfällen und Kompromittierungen.
Venafis 2015 RSA-Umfrage macht deutlich:
>>Die Befragten sind schlecht informiert darüber, wie sie Probleme nach einem erfolgreichen Angriff, wie bei Sony, bei dem Schlüssel und Zertifikate gestohlen werden, beheben können. Nach einem erfolgreichen Angriff würden mehr als 3/4 (78 Prozent) der Befragten auch künftig nur Teilmaßnahmen ergreifen und wären so der Gefahr weiterer Angriffe ausgesetzt. Sie würden Standardpraktiken, wie Re-Imaging von Servern, Überprüfen von Protokollen, Beseitigen von Malware, Installieren von Patches und Änderung der Nutzerpasswörter. Jedoch nur 8 Prozent gaben an, Probleme nach Angriffen, wie bei Sony, umfassend zu beheben, indem sie, um weiteren Zugriff zu verhindern, potentiell kompromittierte Schlüssel und Zertifikate austauschen würden.
>> IT-Sicherheitsexperten wissen nicht, wie sie Schlüssel und Zertifikate schützen sollen, und ihre Unternehmen haben dazu keine klare Vorstellung oder Strategie. Auf die Frage, wie die Unternehmensstrategie zum Schutz des Online-Vertrauens aussieht, das Schlüssel und Zertifikate liefern, berichteten nur 43 Prozent der Befragten, dass sie ein "Schlüssel-Management-System" unterhielten. 16 Prozent wussten nicht, ob sie dafür ein Tool haben. 14 Prozent nutzen ein manuelles Verfahren zur Verwaltung und 22 Prozent legten die Verantwortung in fremde Hände. Ohne Strategie und implementierte Sicherheitskontrollen zum Schutz der Schlüssel und Zertifikate können Angreifer dauerhaft umfassenden Zugriff auf die Netzwerke ihrer Ziele erlangen und mit dem Status der Vertrauenswürdigkeit lange Zeit unentdeckt bleiben.
>>Viele IT-Sicherheitsexperten wissen nicht, wie man kompromittierte Schlüssel und Zertifikate ermittelt, oder sind dazu nicht in der Lage.
>> Die Untersuchungsergebnisse zeigen, dass 38 Prozent der Befragten nicht wissen, wie man kompromittierte Schlüssel und Zertifikate ermittelt, oder dass sie dazu nicht in der Lage sind. 56 Prozent gaben an, eine Kombination aus Next-Generation-Firewalls, Antivirus, IDS/IPS und Sandboxes zur Ermittlung dieses Angriffstyps einzusetzen. Damit setzen sie sich selbst der Gefahr weiterer Angriffe aus. Gartner zufolge werden bis 2017 50 Prozent aller nach innen und außen gerichteten Netzwerkangriffe SSL/TLS nutzen. Cyber-Kriminelle wissen, dass die meisten Sicherheitssysteme entweder auf SSL/TLS vertrauen oder keinen Zugriff auf die Schlüssel haben, um Traffic zu entschlüsseln und versteckte Bedrohungen zu ermitteln. Diese Sicherheitsmängel führen zu Einfallstoren und untergraben entscheidende Sicherheitskontrollen, wie Sandbox-Bedrohungsschutz, NGFW, IDS/IPs und DLP.
Über die Hälfte der IT-Sicherheitsexperten gibt zu, nicht schnell auf einen Angriff auf SSH-Schlüssel reagieren zu können. Fast zwei Drittel (64 Prozent) der Sicherheitsexperten geben zu, nicht in der Lage zu sein, schnell (innerhalb 24 Stunden) auf Angriffe auf SSH-Schlüssel reagieren zu können. Die Mehrheit gab sogar an, mindestens drei Tage oder sogar bis zu einer Woche zu brauchen, um kompromittierte Schlüssel zu erkennen, zu diagnostizieren und auf allen Hosts zu ersetzen. Cyber-Kriminelle machen sich die mangelnde Sichtbarkeit und Kontrolle über SSH-Schlüssel zu nutze, die zur Authentifizierung von Administratoren, Servern und Clouds verwendet werden. Da SSH-Schlüssel niemals verfallen, erlangen Cyber-Kriminelle und Insider gleichermaßen durch den Diebstahl von SSH-Schlüsseln einen fast permanenten Zugriff auf die Systeme und Netzwerke.
Bocek sagt weiter: "IT-Sicherheitsexperten müssen erkennen, dass Schlüssel und Zertifikate vertrauenswürdige Verbindungen für nahezu alles herstellen, was heutzutage IP-fähig ist. Genau wie das menschliche Immunsystem identifizieren SSL/TLS und SSH-Schlüssel, wenn sie gesichert sind und korrekt angewandt werden. Webserver, Software, Mobilgeräte, Applikationen und sogar Sicherheitsadministratoren sollten als "eigene Assets und damit vertrauenswürdig und solche, die missbraucht werden, sollten als "fremd" erkannt und ersetzt oder blockiert werden."
"Doch Schlüsseln und Zertifikaten wird oft blind vertraut, so dass Cyber-Kriminelle sie nutzen, um sich in verschlüsseltem Traffic zu verstecken, Webseiten zu spoofen, Malware zu implementieren und Daten zu stehlen. Sollte schließlich wahr sein, was die Daten unserer Studie besagen, und IT-Sicherheitsexperten nicht in der Lage sein, Schlüssel und Zertifikate zu sichern und schnell auf Angriffe, bei denen diese genutzt werden, zu reagieren, wird das Online-Vertrauen weiter schwinden - mit schwerwiegenden Folgen, insbesondere für die Wirtschaft, die beim Handel und auftragskritischen Geschäftstätigkeiten stark vom Online-Vertrauen abhängt", schließt Bocek. (Venafi: ra)
Venafi: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.