:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Prävention gegen Zero-Day-Exploits Best Practices zur Abwehr von Zero-Day-Bedrohungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Bei Zero-Day-Angriffen handelt es sich um neu geschaffene Schwachstellen, für die es bisher „null Tage Zeit“ gab, sie zu beheben und daher noch keine Patches entwickelt wurden. Hacker nutzen dabei das enge Zeitfenster zwischen der Entdeckung einer Schwachstelle und der Veröffentlichung von Patches aus.
Software-Anbieter sind in der Regel ständig auf der Suche nach Schwachstellen in ihren Produkten. Bei Entdeckung durch den Hersteller oder auch sogenannten White Hats erfolgt die Veröffentlichung eines Patch, um ihre User davor zu schützen. Eine Zero-Day-Schwachstelle ist also eine Software-Schwachstelle, die von Angreifern entdeckt wird, bevor der Anbieter davon Kenntnis erlangt. Somit gibt es keinen Patch für Zero-Day-Schwachstellen und die Benutzersysteme verfügen im Grunde über keine Abwehrmechanismen, sodass Angriffe meist sehr wahrscheinlich erfolgreich sind.
Ziele von Zero-Day-Exploits
Ein Zero-Day-Angriff kann Schwachstellen in einer Vielzahl von Systemen ausnutzen:
- Betriebssysteme: Aufgrund der Möglichkeiten, die sie Hackern bieten, um die Kontrolle über Benutzersysteme zu erlangen, gehören Betriebssysteme zu den attraktivsten Zielen für Zero-Day-Angriffe.
- Webbrowser: Eine nicht gepatchte Schwachstelle kann es Hackern ermöglichen, Drive-by-Downloads zu realisieren, Skripte auszuführen oder sogar ausführbare Dateien auf Rechnern von Usern zu starten.
- Office-Anwendungen: In Dateien eingebettete Malware nutzt häufig Zero-Day-Exploits in einer jeweiligen Anwendung aus.
- Open-Source-Komponenten: Nicht selten werden Open-Source-Komponenten nicht aktiv gepflegt oder sind keinen IT-Security-Maßnahmen unterworfen. Selbst Software-Anbieter verwenden diese Komponenten, ohne sich der darin enthaltenen Schwachstellen bewusst zu sein.
- Internet der Dinge (IoT): Vernetzte Geräte aller Art, von Sensoren bis hin zu Autos mit Assistenzsystemen und Fabrikmaschinen, sind häufig anfällig für Zero-Day-Exploits. Denn nicht alle IoT-Geräte verfügen über einen zuverlässigen Mechanismus zum Patchen oder Aktualisieren ihrer Software.
Wesentliche Schutzmaßnahmen vor Zero-Day-Exploits
Zero-Day-Angriffe sind naturgemäß schwer abzuwehren. In der Folge sind einige der wichtigsten Best Practices skizziert, die dazu beitragen, die Bedrohung durch viele, wenn nicht alle Zero-Day-Angriffe zu verringern oder sogar zu beseitigen:
Next-Generation Antivirus (NGAV)
Herkömmliche Antivirenlösungen, die Malware anhand von Datei-Signaturen erkennen, sind gegen Zero-Day-Exploits nicht wirksam. Sie können erst nützlich sein, wenn der Antivirus-Anbieter seine Malware-Datenbank aktualisiert und der User das neue Patch aufgespielt hat.
Dagegen verwenden sogenannte Antivirus-Lösungen der „nächsten Generation“ Bedrohungsinformationen bzw. Verhaltensanalysen, die ein übliches Verhalten für ein System festlegen und dadurch verdächtiges anomales Verhalten erkennen können. Ferner kommen Code-Analysen für maschinelles Lernen (ML) zum Einsatz, um zu erkennen, dass ein System mit einem unbekannten Malware-Strang infiziert ist.
Bei der Identifikation solcher Malware kann NGAV bösartige Prozesse blockieren und verhindern, dass sich der Angriff auf andere Endpunkte ausbreitet. Mithilfe der aktuellen NGAV-Technologien lassen sich zwar nicht alle Zero-Day-Malwares erkennen, aber sie sind dazu in der Lage, die Wahrscheinlichkeit erheblich zu verringern.
Patch-Management implementieren
Jede Unternehmung sollte über Richtlinien und Prozesse für ein solides Patch-Management verfügen, die allen involvierten Mitarbeitern klare Vorgaben zur Verfügung stellen und mit Entwicklungs-, IT-Betriebs- und Sicherheitsteams koordiniert werden. Nicht nur in größeren Unternehmungen ist es wichtig, Prozesse der Automatisierung für die Administration und das Patchen zu verwenden.
Es empfiehlt sich, Patch-Management-Lösungen für den automatischen Bezug von Patches zu verwenden und die aufgespielten Änderungen zu testen. Dies vermeidet Verzögerungen und verhindert, dass vielleicht manche Teile eines Systems unberücksichtigt bleiben. Auch das Patch-Management kann Zero-Day-Angriffe nicht verhindern, aber es kann das Expositionsfenster erheblich verkürzen. Im Falle einer schwerwiegenden Schwachstelle können Software-Anbieter sogar innerhalb von Stunden oder Tagen einen Patch herausgeben.
Incident Response Plan implementieren
Alle Unternehmungen profitieren von einem Incident-Response-Plan, der einen organisierten Prozess zur Identifizierung und Bewältigung von Hacker-Attacken bietet. Spezielle Routinen, die sich auf Zero-Day-Exploits konzentrieren, verschaffen im Falle eines Angriffs einen großen Vorteil, verringern die Verwirrung und erhöhen die Chancen, Schäden zu vermeiden oder zu reduzieren. Bei der Ausarbeitung eines solchen Plans sollten folgende Phasen der Reaktion auf einen Vorfall berücksichtigt werden:
- Vorbereitung: Durchführung einer gründlichen Risikobewertung sowie Identifikation der sensibelsten Assets, die das IT-Security-Team fokussieren sollte. Vorbereitung einer Dokumentation für die jeweiligen Aufgaben, Verantwortlichkeiten und Prozesse.
- Identifizierung: Das Team muss festlegen, wie eine mögliche Zero-Day-Attacke von den jeweiligen Tools und/oder betrieblichen Prozessen erkannt werden kann. Validierungen, ob es sich wirklich um einen Angriff handelt, und welche zusätzlichen Daten gesammelt werden müssen, um die Bedrohung zu beseitigen.
- Bereinigung: Sobald das System einen Sicherheitsvorfall erkennt, muss es sofort angemessene Maßnahmen ergreifen, um den Angriff einzudämmen, zu bereinigen und weitere Schäden zu verhindern. Zudem müssen entsprechende Schritte unternommen werden, damit ähnliche Angriffe in der Zukunft verhindert werden.
- Wiederherstellung: Es ist ein Procedere zu entwickeln, wie beispielsweise Produktionssysteme oder Websites wieder zum Laufen gebracht, Tests ausgeführt bzw. Systeme über eine gewisse Zeit überwacht werden können, um sicherzustellen, dass sie wieder normal funktionieren.
- Retrospektive: Spätestens etwa zwei Wochen nach dem Ende des Vorfalls empfiehlt es sich, eine Retrospektive durchzuführen, um angewandte Tools und organisatorische Prozesse zu überprüfen und zu sehen, wie das Unternehmen auf den nächsten Angriff besser vorbereitet sein kann.
(ID:49433651)
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")