Kleine Ursache, große Wirkung: Das jüngste Crowdstrike-Fiasko zeigt wie abhängig die Wirtschaft von zuverlässig funktionierenden und resilienten IT-Landschaften ist – und wie vulnerabel sie sein können.
In unserem Experten-Interview sprechen wir mit Tobias Traebing, Director of Sales Engineering & Field CTO bei XM Cyber, über die Tatsache, dass die Mehrheit der Cyberangriffe nicht über Software-Schwachstellen, sondern über schlecht konfigurierte Systeme erfolgt, was viele Unternehmen übersehen.
INVASE: Hallo Tobias, bei XMCyber zeigt ihr auf eindrucksvolle und präzise Weise wie Angriffe in Kundennetzwerken ablaufen. Eure Simulationen sind dabei schonungslos und zeigen grafisch auf, wie sich Angreifer im Netzwerk bewegen und wo die Einfallstore für Angreifer liegen. Ihr habt jüngst einen Report veröffentlicht, den „State of Exposure Management in 2024“, mit einer überraschenden Erkenntnis: Der Großteil der Cyber-Angriffe, deutlich über 80%, erfolgt über schlecht/falsch konfigurierte Systeme, und nur wenige Angriffe verlaufen tatsächlich über Schwachstellen. Unter Spezialisten und Experten für DFIR ist das nicht neu, bei Entscheidern ist die Gewichtung nicht überall bekannt.
Tobias Traebing: „Ja, das stimmt. Sicherlich gehen von klassischen Software-Schwachstellen (CVEs) ein Risiko aus, welches behandelt werden sollte. Wenn wir uns aber den Vergleich von Software-Schwachstellen zu unsicher konfigurierten Systemen oder Entitäten anschauen, wird deutlich, dass von Software-Schwachstellen selbst weniger häufig eine direkte Bedrohung auf kritische Systeme ausgeht.“
INVASE: Das Problem wird auch deutlich, wenn wir uns die Statistiken näher anschauen: Während viele Unternehmen sich um gutes Patch-Management bemühen, wird die Angriffsfläche innen und außen nicht so intensiv betrachtet. Ihr habt zahlreiche Simulationen mit Unternehmensnetzwerken durchgeführt, auf deren Ergebnisse sich der Bericht bezieht. Das ist für Sicherheitsverantwortliche sicherlich immer wieder überraschend, oder?
Tobias Traebing: „Auch für mich ist es immer wieder spannend, diese Tatsachen mit Statistiken und Zahlen untermauern zu können. Mit Deiner Aussage hast Du vollkommen Recht: Während Unternehmen sich häufig auf Software-Schwachstellen konzentrieren, werden andere Sicherheitsprobleme (Exposures) entweder übersehen, oder weniger dringend behandelt. Selbstverständlich müssen Software-Schwachstellen behandelt werden – aber gleichzeitig müssen wir auch das reale Risiko ausgehend von ebendiesen Software-Schwachstellen im Vergleich zu anderen Sicherheitsproblemen verstehen.
Basierend auf unseren Statistiken ist ja letztlich die Zahl der Schwachstellen so immens groß, dass ich mich auf die wichtigsten Themen konzentrieren muss. Ein durchschnittliches Unternehmen hat typischerweise rund 15.000 neue Software-Schwachstellen pro Monat – dabei sind allerdings nur 11 % insofern kritisch, als das diese 11 % der Software-Schwachstellen zu kritischen Systemen führen. Ein ganzheitliches Exposure Management (also der Prozess/die Verwaltung aller Sicherheitsprobleme) ist aber ebenso viel mehr als „nur“ Software-Schwachstellen Management. Unternehmen müssen anfangen, diesen traditionellen Ansatz zu überdenken, und anfangen, alle Sicherheitsprobleme ganzheitlich zu betrachten.“
INVASE: Die Schlussfolgerung, dass man sich nun weniger um Schwachstellen kümmern soll, ist dennoch faktisch falsch (siehe aktuelle Ereignisse) Wie erklärt sich das?
Tobias Traebing: „Absolut! Software-Schwachstellen müssen behandelt werden. Wenn von einer Software-Schwachstelle heute noch kein direktes Risiko auf kritische Systeme in Unternehmen ausgeht, kann das Bild morgen ein komplett anderes sein. Entsprechend ist neben dem ganzheitlichen Ansatz, ebenso ein kontinuierlicher Ansatz notwendig.
Was wir allerdings auch sehen, sind typische Überlappungen: Systeme, die gravierende Software-Schwachstellen aufweisen, sind typischerweise auch zeitgleich anderweitig nicht wirklich abgesichert. Ein Beispiel wären hier ungesicherte Admin-Zugänge, Standard-Passwörter, unsichere Authentifizierungsmethoden etc.
Diese Fehlkonfigurationen sind typischerweise „einfacher“ für einen Angreifer auszunutzen: Wenn über falsche AD-Gruppenmitgliedschaften das AD-Tiering Modell einfach umgegangen werden kann, muss ich als Angreifer doch gar nicht mehr den Lärm beim Ausnutzen einer Software-Schwachstelle auslösen. Mit möglichen Nebenwirkungen der Ausnutzung fliege ich dann womöglich als Angreifer auf, oder das Ziel-System ist nicht mehr verfügbar.“
INVASE: Und es besteht die Möglichkeit, dass Detektionsmaßnahmen eher bei bekannten Software-Lücken anschlagen, als bei Fehlkonfigurationen.
Tobias Traebing: „Ja, total – gute Detektionsmaßnahmen werden zwar auch bei anderen Exposure alarmieren können; aber natürlich auch nur dann, wenn etwas bösartiges passiert. Bei der Ausnutzung von Software-Schwachstellen ist das natürlich der Fall. Das gilt aber nicht für alle Exposures.
Nehmen wir ein anderes Beispiel: Ein Unternehmen nutzt einen Cloud Provider. Der Cloud Provider wird mit eigenen oder Dritt-Tools auf Sicherheitsprobleme untersucht, schneidet aber gut dabei ab. Wenn nun aber ein Angreifer in der „klassischen“ On-Premise Umgebung Tokens oder anderes Schlüsselmaterial auf Geräten findet, welche den Weg in die Cloud ermöglichen, habe ich als Unternehmen trotzdem offene Angriffspfade in meine Cloud Umgebung – und das, obwohl ich womöglich einen guten Job in dem Cloud Security Bereich mache. Gerade in diesem Bereich (Cloud Security bzw. Hybride Angriffspfade), aber auch im klassischen Active Directory Umfeld sehen wir ein Nachsehen der Detektionsmaßnahmen. Tatsächlich ist es so, dass lt. unserer Statistik und Datenerhebung AD-Security mit eines der größten Probleme in Unternehmen ist: Bis zu knapp 80 % aller Exposures lässt auf Active Directory zurückführen!“
INVASE: Die Gefahr durch nicht geschlossene Schwachstellen bleibt also weiterhin relevant?
Tobias Traebing: „Selbstverständlich. Nicht geschlossene Schwachstellen, die in einem Unternehmen ausnutzbar sind, müssen behandelt werden. Wir müssen dabei aber auch verstehen, dass Angreifer immer weiter dazulernen: Das trifft sowohl auf die Geschwindigkeit zu, als auch auf die Taktiken als solche. Wir sehen auch, dass die Zeiten zwischen bekannt werden einer Software-Schwachstelle und einem öffentlich-zugänglichem Exploit kürzer werden.
Und häufig sind Software-Schwachstellen auch ein gutes Einfallstor für einen Angreifer, um dann nachgelagert weitere Systeme/Informationen über andere Exposures zu kompromittieren.“
INVASE: Crime-as-a-Service-Anbieter professionalisieren sich bekanntermaßen weiter und werden besser darin, auch komplizierte Schwachstellen auszunutzen.
Tobias Traebing: „Absolut. Und gerade solche Anbieter bzw. Tools nutzen ja i. d. R. auch nicht nur eine Software-Schwachstelle aus, sondern bedienen sich an div. Methoden & Techniken, um kritische Systeme zu kompromittieren. Insbesondere die kritischen Systeme dürfen beim Exposure Management nicht vernachlässigt werden – hier ist das geschäftliche Risiko natürlich am höchsten. Solange wir Risiken aber nicht ganzheitlich verstehen, kann das kritische System zwar einem sicheren Stand entsprechend – wenn allerdings vorgelagert die komplette Domäne kompromittiert werden kann, kann ein Angreifer „legitimerweise“ das kritische Ziel-System ebenfalls übernehmen; und dass, obwohl es eben abgesichert war.“
INVASE: Kritische Systeme müssen aber auch identifiziert werden, das fällt nicht allen Unternehmen leicht. Und Einstiegspunkte für Angreifer zu erkennen, bedarf tiefer Fachkenntnisse.
Tobias Traebing: „Software-Schwachstellen, Fehlkonfigurationen und andere Exposures lassen sich heutzutage wesentlich einfacher erkennen, also noch vor einigen Jahren. Das trifft sowohl auf die Datenqualität, die Sichtbarkeit und die Invasivität der Scans/Datenerhebungen zu. Während man vor einigen Jahren noch vorsichtig Remote Scans durchführen musste, um den Betrieb nicht gefährden, können etwaige Exposure heutzutage wesentlich einfacher erkannt und insbesondere zusammengefügt werden. Das erlaubt es mir als Unternehmen, nicht wieder mit langen Listen von Problemen konfrontiert zu sein, sondern Risiken adäquat & ganzheitlich verstehen zu können.
Die Identifikation von kritischen Systemen spielt dabei natürlich eine zentrale Rolle und stellt sich als grundlegende Hausaufgabe dar, die moderne Unternehmen machen müssen, besonders die regulierten und beaufsichtigten Unternehmen kennen das. Typischerweise eignet sich dabei eine konkrete Zusammenarbeit mit der operativen IT, aber auch direkt mit den Geschäftseinheiten, um wirklich zu verstehen, welche IT-Systeme für das Unternehmen wichtig sind. Ich denke, im IT Umfeld fällt uns das typischerweise einfacher (bspw. Domain Controller) – im Geschäftskontext hilft nur der aktive Dialog. Zu verstehen, welche Systeme oder Entitäten aktiv eine Rolle in einem kritischen Geschäftsprozess spielen, ist wichtig, sodass ich Geschäftsrisiken auch entsprechend verstehe bzw. adressieren kann.“
INVASE: Welche Auswirkungen es hat, wenn man die Hausaufgaben nicht macht, zeigt ihr mit euren Produkten und Dienstleistungen sehr eindrucksvoll. Die Behörden in Europa und den USA warnen regelmäßig und nachdrücklich vor Schwachstellen, und Vorfälle, bei denen Schwachstellen im großen Stil ausgenutzt wurden, gibt es zahlreiche. Kriminelle nutzen das bereits auch im großen Stil aus, besonders die bekannten Ransomware-Gruppen. Werden sich die Angreifer in Zukunft häufiger auf Schwachstellen konzentrieren?
Tobias Traebing: „Software-Schwachstellen werden immer eine wichtige Rolle bei Angriffen spielen – absolut. Das kann im Bereich des initialen „foothold“ eine Rolle spielen – genauso wie Social Engineering – aber natürlich dann auch intern, im Fall für das Lateral Movement. Dennoch ist es wichtig, dass wir unseren Ansatz des traditionellen Schwachstellen-Managements überdenken und überarbeiten, und anfangen, alle Exposures in Gänze und im Kontext des Risikos für das Unternehmen zu verstehen.“
Vielen Dank für das Interview an Tobias Träbing, Director of Sales Engineering & Field CTO, EMEA
Die Themen rund um Cyber-Risiken und Cybercrime behandeln wir auch in anderen Blog-Artikeln.
Weiterführende Links:
XMCyber: https://xmcyber.com
„Navigating the paths of risk – The State of Exposure Management in 2024“