Risiken von Advanced Persistent Threats (APT) für IoT-Geräte
Erfolgreiche APT-Angriffe durch vollständigen Überblick über und Verwaltung von vernetzten IoT-Geräten verringern.
Die meisten Nachrichten über Angriffe auf das Internet der Dinge (IoT) konzentrierten sich auf Botnets und Kryptomining-Malware. Diese Geräte bieten jedoch auch ein ideales Ziel für schädlichere Angriffe innerhalb des Netzwerks eines Opfers, ähnlich wie die von UNC3524 verwendete Methodik, die die Unsicherheit von Netzwerk-, IoT- und OT-Geräten ausnutzt, um sich langfristig in einem Netzwerk zu halten. Diese Art von Advanced Persistent Threat (APT) wird in naher Zukunft wahrscheinlich zunehmen.
Speziell angefertigte IoT- und OT-Geräte, die mit dem Netzwerk verbunden sind und die Installation von Endpunktsicherheitssoftware nicht zulassen, können leicht kompromittiert und für eine Vielzahl von böswilligen Attacken verwendet werden. Ein Grund dafür ist, dass diese Geräte oft nicht so genau überwacht werden wie die herkömmliche IT. Ein Großteil der Unternehmen kann sogar die Mehrzahl der IoT- und OT-Geräte in ihren Netzwerken nicht identifizieren. Oft herrscht auch Unklarheit darüber, wer für die Verwaltung dieser Geräte verantwortlich ist. Ist es die IT, die IT-Sicherheit, der Netzwerkbetrieb, der Geräteanbieter? Folglich weisen nicht verwaltete Geräte regelmäßig hochgradige und kritische Schwachstellen auf und es fehlt an Firmware-Updates, Härtung und Zertifikatsvalidierung.
Kein aktives Management von IoT-Geräten
Diese Probleme spielen den Angreifern direkt in die Hände. Da Netzwerk-, IoT- und OT-Geräte keine agentenbasierte Sicherheitssoftware unterstützen, können Angreifer speziell entwickelte bösartige Tools installieren, Konten ändern und Dienste auf diesen Geräten einschalten, ohne entdeckt zu werden. Und da Schwachstellen und Anmeldeinformationen nicht verwaltet werden und die Firmware nicht aktualisiert wird, können Angreifer ihre Angriffe sogar über einen längeren Zeitraum aufrechterhalten.
Aufgrund der geringen Sicherheit und Sichtbarkeit dieser Geräte sind sie eine ideale Umgebung, um sekundäre Angriffe auf wertvollere Ziele im Netzwerk des Opfers zu inszenieren. Zu diesem Zweck verschafft sich ein Angreifer zunächst über herkömmliche Methoden wie Phishing Zugang zum Unternehmensnetzwerk. Angreifer können sich auch Zugang verschaffen, indem sie auf ein IoT-Gerät mit Internetanschluss wie ein VoIP-Telefon, einen intelligenten Drucker, ein Kamerasystem oder ein OT-System wie ein Gebäudezugangskontrollsystem abzielen. Da die meisten dieser Geräte Standardkennwörter verwenden, ist diese Art des Einbruchs oft trivial.
Gerätesteuerung aus der Ferne
Sobald der Angreifer in das Netzwerk eingedrungen ist, wird er sich seitlich und im Verborgenen bewegen, um andere anfällige, nicht verwaltete IoT-, OT- und Netzwerkgeräte ausfindig zu machen. Sobald diese Geräte kompromittiert wurden, muss der Angreifer nur noch einen Kommunikationstunnel zwischen dem kompromittierten Gerät und der Umgebung des Angreifers einrichten. An diesem Punkt kann der Angreifer die Geräte der Opfer aus der Ferne steuern.
Einer der Hauptvorteile des IoT für Angreifer besteht darin, dass Reaktion auf Vorfälle und deren Behebung deutlich schwieriger sind und Angreifer kaum vollständig auszuschalten sind. Die einzige Möglichkeit für Unternehmen, diese Angriffe zu verhindern, besteht darin, einen vollständigen Überblick über ihre verschiedenen IoT-, OT- und Netzwerkgeräte zu haben sowie den Zugriff auf diese Geräte und deren Verwaltung zu gewährleisten.
Grundlegende Gerätehärtung und aktive Verwaltung
Auf der Geräteebene ist diese Sicherheit einfach zu erreichen. Auch wenn ständig neue Schwachstellen auftauchen, können die meisten dieser Sicherheitsprobleme durch die Verwaltung von Passwörtern, Anmeldeinformationen und Firmware sowie durch grundlegende Gerätehärtung behoben werden. Da es für Unternehmen mit einer großen Anzahl von Geräten schwierig ist, diese manuell zu sichern, sollten sie die Investition in automatisierte Lösungen in Betracht ziehen.
Der erste Schritt, den Unternehmen unternehmen sollten, ist die Erstellung eines Inventars aller speziell angefertigten Geräte und die Ermittlung von Schwachstellen. Als Nächstes sollten sie Risiken im Zusammenhang mit schwachen Passwörtern, veralteter Firmware, fremden Diensten, abgelaufenen Zertifikaten und hochgradigen bis kritischen Schwachstellen in großem Umfang beheben. Schließlich müssen die Unternehmen diese Geräte kontinuierlich auf Veränderungen in der Umgebung überwachen, um sicherzustellen, dass das, was behoben wurde, auch behoben bleibt.