Highlights
- Cyberkriminelle identifizieren Software-Schwachstellen inzwischen extrem professionell und starten darauf basierende Attacken, die sich Zero-Day-Exploits zunutze machen.
- Die Angriffe basieren auf Methoden, die auch Security-Experten noch unbekannt sind. Sie sind daher für Unternehmen weltweit besonders gefährlich.
In diesem Artikel
Was bedeutet Zero-Day?
Unbekannte Schwachstellen verstehen und bekämpfen
Als Zero-Day (auch: 0-Day) bezeichnet man eine Schwachstelle in einem IT-System, die den Systemverantwortlichen unbekannt ist. Ein Zero-Day-Exploit nutzt diese Anfälligkeit gezielt aus, um Computer, Daten, Programme oder Netzwerke in Mitleidenschaft zu ziehen.
Software-Schwachstellen können also den Zugriff auf sensible Daten ermöglichen. Und da viele Softwarelösungen in zahlreichen Ländern eingesetzt werden, kann eine einzige Anfälligkeit zum Risiko für Tausende von Menschen werden. Um dieses Risiko zu mindern, sind regelmäßige Updates unumgänglich.
Normalerweise kümmern sich Behörden um die Verfolgung der entsprechenden Delikte. Doch in vielen Ländern entsteht dabei ein Konflikt, denn die Behörden benötigen zur Strafverfolgung die persönlichen Daten der Betroffenen. Infolgedessen verbergen nicht nur die kriminellen Täter, sondern auch die nationalen Sicherheitsbehörden selbst bestimmte Software-Schwachstellen vor Benutzern und Entwicklern.
Schwächen ausnutzen
Die drei Phasen einer Zero-Day-Attacke
Schwachstelle
Exploit
Angriff
Angreifer suchen nach Schlupflöchern, um sich Zugang zu Infrastrukturen, kritischen Daten und Anwendungen zu verschaffen. Dafür stehen ihnen eine ganze Reihe von Angriffsmethoden zur Verfügung, beispielsweise JNDI-Attacken, Injections und Cross-Site-Skripte.
Use Cases
Zero-Day verstehen
Bei der „Operation Aurora“ erfolgten 2009 eine Reihe von Cyberattacken gegen Unternehmen wie Adobe Systems, Google und Yahoo. Ein hochkarätiger Zero-Day-Exploit ermöglichte es, den Quellcode der Unternehmen zu kompromittieren und somit zu verändern.
Sony Pictures wiederum wurde 2014 Opfer einer Zero-Day-Attacke, die das Unternehmen regelrecht zum Stillstand brachte. Private Unternehmensdaten wurden auf Filesharing-Websites veröffentlicht, darunter die E-Mail-Adressen von Sony-Führungskräften, Details zu geplanten Filmen sowie Businesspläne. Wie genau es zu dem Vorfall kam, ist bis heute ungeklärt.
Die Beispiele zeigen: Die Zero-Day-Gegenstrategie eines Unternehmens ist entscheidend für die Sicherheit der Kunden-, Mitarbeitenden- und Geschäftsdaten..
Gegenmaßnahmen ergreifen
Unbekannte Software-Schwachstellen lassen sich jetzt aufspüren
Häufig bleiben Zero-Day-Angriffe lange unerkannt – selbst in gesicherten Netzwerken. Auch Anwender vermeintlich sicherer Systeme müssen also Vorsicht walten lassen. Patches oder Antivirus-Signaturen sind für Zero-Day-Exploits nicht verfügbar, was die Erkennung schwierig macht.
Buffer Overflows: Die Auswirkungen von speicherbezogenen Zero-Day-Angriffen lassen sich begrenzen. Betriebssysteme wie macOS, Windows, Linux, Solaris, Unix und Unix-ähnliche Umgebungen bringen solche Schutzmechanismen mit. Software für den Schutz von Desktops und Servern kann zudem Risiken im Zusammenhang mit Buffer Overflows senken. Dabei werden häufig heuristische Terminationsanalysen verwendet, um Attacken zu unterbinden, bevor sie Schaden anrichten können.
Detailliertes Systemmonitoring: Unternehmen müssen so viele Ereignisse wie möglich überwachen, um moderne Zero-Day-Angriffe zu erkennen. Das schließt den gesamten Netzwerkverkehr mit ein, aber auch alle versteckten Systeme, Hooks, Code-Fragmente und weiteres. Algorithmen zur Verhaltensanalyse verarbeiten die nötigen Prozesse als Datenstrom und sie erkennen und dokumentieren die Beziehungen zwischen verschiedenen Datensätzen. Ein zeitaufwendiger Vorgang.
Verhaltensanalyse mit Ausgangswerten: Bei Algorithmen zur Verhaltensanalyse werden alle überwachten Daten und alle zuvor aufgezeichneten Daten in Echtzeit weiter analysiert, um Ausgangswerte für das normale Verhalten festzulegen – die Baseline. Die Algorithmen müssen in der Lage sein, alle zukünftigen Ereignisse als einheitlichen Strom zu analysieren, anstatt sie einzeln zu behandeln, um zukünftige Ereignisse vorherzusagen. Mit einem größeren Datensatz lassen sich genauere Ausgangswerte erstellen, die es wiederum ermöglichen, Abweichungen präziser zu erkennen. Malware- und Nicht-Malware-Angriffe lassen sich ebenfalls berücksichtigen. Doch das dauert und ist teuer.
Web Application Firewall (WAF): die wohl schnellste Methode, schadhaften Traffic herauszufiltern und Exploits zu vermeiden. Um Zero-Day-Attacken zu verhindern, werden Schwachstellen gesucht, gepatched und abgesichert. Web-Traffic hingegen kann Anfälligkeiten weiterhin gezielt anvisieren. Um auf dem aktuellen Stand zu bleiben, muss sich die WAF ständig adaptieren und in Echtzeit reagieren können.
Mit einer Maßnahme ließe sich das Problem möglicherweise lösen: einem Programm, das Security-Forschende finanziell dafür entlohnt, wenn sie Schwachstellen verantwortlich melden, statt die Information an den Höchstbietenden zu verkaufen. Wenn die Security-Forschenden zusammenarbeiten und ihre Erkenntnisse mit Softwareherstellern teilen, können sie die Bedrohung durch Hacker eindämmen. Die Gefahr von Zero-Day-Exploits würde im Keim erstickt. Dennoch: Unternehmen sollten Patches schnellstmöglich einspielen, um das Zeitfenster, in dem sie verwundbar sind, so klein wie möglich zu halten.
Bislang unbekannte Software-Schwachstellen lassen sich mithilfe mehrerer Strategien identifizieren.
Kontakt
Kontakt