Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware

NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Raghu Nandakumara
,
Leitender Direktor, Marketing für Branchenlösungen
Illumio Editorial
April 16, 2021
23 min. Lesedauer

Die Sammlung von NAME:WRECK Sicherheitslücken ermöglicht es Angreifern, kritische Server und IoT-Geräte aus der Ferne zu kompromittieren, auch solche, die sich hinter Perimeterfirewalls befinden, indem sie Fehler bei der Verarbeitung von DNS-Antworten (Domain Name System) ausnutzen. Hunderte Millionen Geräte weltweit — darunter Medizintechnik, intelligente Geräte und Industrieanlagen — könnten mithilfe von NAME:WRECK potenziell kompromittiert werden.

Kürzlich veröffentlichte Forschungsergebnisse von Forescout und JSOF beschreiben diese Sammlung von Sicherheitslücken, die das Analysieren von DNS-Antworten nutzen. Diese Fehler sind in den TCP/IP-Stacks einer Reihe von Betriebssystemen zu finden und können zur Remotecodeausführung oder Diensteverweigerung auf dem Zielsystem führen. Um diese Sicherheitsanfälligkeiten ausnutzen zu können, muss ein Angreifer in der Lage sein, auf eine gültige DNS-Anfrage zu antworten — indem er sich als Mann in der Mitte zwischen dem anfälligen Client und dem DNS-Server einfügt — und eine Antwort erhalten, deren Nutzlast so formatiert ist, dass sie die Schwachstelle auslöst. Zu den Plattformen, die sich als anfällig erwiesen haben, gehören FreeBSD, das in Rechenzentren weit verbreitet ist, sowie Nucleus und NetX, die beide häufig als Betriebssysteme im Internet der Dinge verwendet werden OT-Geräte. Den vollständigen Artikel auf NAME:WRECK finden Sie hier.

BLOG

Da die anfängliche Gefährdung davon abhängt, dass der Angreifer Netzwerkzugriff auf das Zielgerät hat, und eine laterale Bewegung nach der Gefährdung einen umfassenden Netzwerkzugriff erfordert, bieten Sichtbarkeit und Mikrosegmentierung Funktionen, die sowohl die Erkennung als auch die Abwehr eines möglichen Angriffs unterstützen könnten.

Der Ausgangspunkt für beide ist eine genaue Bestandsaufnahme der Geräte in der Umgebung, in der die betroffenen Plattformen ausgeführt werden. Dies mag für Server in einem Rechenzentrum einfach sein, für IoT- oder OT-Geräte, die über mehrere Standorte verteilt sind, eine größere Herausforderung: Wenn diese Informationen nicht perfekt sind, ist es ein guter Ausgangspunkt, zu wissen, wo im Netzwerk sie eingesetzt werden (auch auf Subnetzebene, wenn nicht sogar auf einer bestimmten IP).

Sichtbarkeit

Da ein Angreifer ein MITM (Man in the middle) ausführen müsste, um die bösartige DNS-Antwort einzuschleusen, kann es schwierig sein, die bösartige Verbindung zu identifizieren. Folgendes könnte jedoch einige Einblicke bieten:

  • Versuchte DNS-Verbindungen zu unbekannten oder unerwarteten DNS-Servern.
  • Ungewöhnlich hohe Aktivitäten auf einem bestimmten DNS-Server.
  • DNS-Antworten mit großen Nutzlasten.

Mögliche seitliche Bewegungen nach einer Kompromittierung könnten anhand der folgenden Merkmale erkannt werden:

  • Target Estate (FreeBSD, NetX, Nucleus) Konnektivität zu internen Geräten, zu denen sie normalerweise keine Verbindung herstellen.
  • Neue Internetverbindungsversuche von der Zielanlage aus.
  • Neue große Datenübertragungen von/zur Zielanlage.

Eindämmung

Unternehmen können die Mikrosegmentierung nutzen, um die potenzielle Angriffsfläche zu reduzieren und laterale Bewegungen zu verhindern:

  • Beschränken Sie Geräte so, dass sie nur auf autorisierte DNS-Server (sowohl intern als auch extern) zugreifen können.
  • Beschränken Sie den Zugriff auf/von Geräten, sodass Regeln nur Abläufe zulassen, die für den Geschäftsbetrieb erforderlich sind, und verhindern Sie so den uneingeschränkten Zugriff auf das Netzwerk.
  • Verhindern Sie den Zugriff von Geräten auf das Internet oder beschränken Sie den Zugriff nur auf bestimmte Domains.

Illumio-Kunden können die beispiellose Transparenz von Illumio Core nutzen, um diese Überwachung zu ermöglichen und angemessene Segmentierungsrichtlinien zu erstellen. Wenden Sie sich an Ihr Illumio Account-Team, um zu erfahren, wie das geht.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann
Eindämmung von Ransomware

Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann

Wie die Mikrosegmentierung die Angriffsfläche hätte reduzieren und die Folgen des Kaseya-Angriffs abschwächen können.

Lesen Sie mehr
Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran
Eindämmung von Ransomware

Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran

Learn more about how airlines defend sensitive data (while grounded), nation‑state and financially motivated threats, airline attack surfaces, and Zero Trust micro‑segmentation.

Lesen Sie mehr
NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann
Eindämmung von Ransomware

NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Wie Mikrosegmentierung zu Transparenz und Eindämmung beitragen kann, um WRECK-Sicherheitslücken, Remotecodeausführung oder Denial-of-Service zu verhindern.

Lesen Sie mehr
Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr