Risiken von Advanced Persistent Threats (APT) für IoT-Geräte

Die meisten Nachrichten über Angriffe auf das Internet der Dinge (IoT) konzentrierten sich auf Botnets und Kryptomining-Malware. Diese Geräte bieten jedoch auch ein ideales Ziel für schädlichere Angriffe innerhalb des Netzwerks eines Opfers, ähnlich wie die von UNC3524 verwendete Methodik, die die Unsicherheit von Netzwerk-, IoT- und OT-Geräten ausnutzt, um sich langfristig in einem Netzwerk zu halten. Diese Art von Advanced Persistent Threat (APT) wird in naher Zukunft wahrscheinlich zunehmen.

Speziell angefertigte IoT- und OT-Geräte, die mit dem Netzwerk verbunden sind und die Installation von Endpunktsicherheitssoftware nicht zulassen, können leicht kompromittiert und für eine Vielzahl von böswilligen Attacken verwendet werden. Ein Grund dafür ist, dass diese Geräte oft nicht so genau überwacht werden wie die herkömmliche IT. Ein Großteil der Unternehmen kann sogar die Mehrzahl der IoT- und OT-Geräte in ihren Netzwerken nicht identifizieren. Oft herrscht auch Unklarheit darüber, wer für die Verwaltung dieser Geräte verantwortlich ist. Ist es die IT, die IT-Sicherheit, der Netzwerkbetrieb, der Geräteanbieter? Folglich weisen nicht verwaltete Geräte regelmäßig hochgradige und kritische Schwachstellen auf und es fehlt an Firmware-Updates, Härtung und Zertifikatsvalidierung.

Kein aktives Management von IoT-Geräten

Diese Probleme spielen den Angreifern direkt in die Hände. Da Netzwerk-, IoT- und OT-Geräte keine agentenbasierte Sicherheitssoftware unterstützen, können Angreifer speziell entwickelte bösartige Tools installieren, Konten ändern und Dienste auf diesen Geräten einschalten, ohne entdeckt zu werden. Und da Schwachstellen und Anmeldeinformationen nicht verwaltet werden und die Firmware nicht aktualisiert wird, können Angreifer ihre Angriffe sogar über einen längeren Zeitraum aufrechterhalten.

Aufgrund der geringen Sicherheit und Sichtbarkeit dieser Geräte sind sie eine ideale Umgebung, um sekundäre Angriffe auf wertvollere Ziele im Netzwerk des Opfers zu inszenieren. Zu diesem Zweck verschafft sich ein Angreifer zunächst über herkömmliche Methoden wie Phishing Zugang zum Unternehmensnetzwerk. Angreifer können sich auch Zugang verschaffen, indem sie auf ein IoT-Gerät mit Internetanschluss wie ein VoIP-Telefon, einen intelligenten Drucker, ein Kamerasystem oder ein OT-System wie ein Gebäudezugangskontrollsystem abzielen. Da die meisten dieser Geräte Standardkennwörter verwenden, ist diese Art des Einbruchs oft trivial.

Gerätesteuerung aus der Ferne

Sobald der Angreifer in das Netzwerk eingedrungen ist, wird er sich seitlich und im Verborgenen bewegen, um andere anfällige, nicht verwaltete IoT-, OT- und Netzwerkgeräte ausfindig zu machen. Sobald diese Geräte kompromittiert wurden, muss der Angreifer nur noch einen Kommunikationstunnel zwischen dem kompromittierten Gerät und der Umgebung des Angreifers einrichten.  An diesem Punkt kann der Angreifer die Geräte der Opfer aus der Ferne steuern.

Einer der Hauptvorteile des IoT für Angreifer besteht darin, dass Reaktion auf Vorfälle und deren Behebung deutlich schwieriger sind und  Angreifer kaum  vollständig auszuschalten sind. Die einzige Möglichkeit für Unternehmen, diese Angriffe zu verhindern, besteht darin, einen vollständigen Überblick über ihre verschiedenen IoT-, OT- und Netzwerkgeräte zu haben sowie den Zugriff auf diese Geräte und deren Verwaltung zu gewährleisten.

Grundlegende Gerätehärtung und aktive Verwaltung

Auf der Geräteebene ist diese Sicherheit einfach zu erreichen. Auch wenn ständig neue Schwachstellen auftauchen, können die meisten dieser Sicherheitsprobleme durch die Verwaltung von Passwörtern, Anmeldeinformationen und Firmware sowie durch grundlegende Gerätehärtung behoben werden. Da es für Unternehmen mit einer großen Anzahl von Geräten schwierig ist, diese manuell zu sichern, sollten sie die Investition in automatisierte Lösungen in Betracht ziehen.

Der erste Schritt, den Unternehmen unternehmen sollten, ist die Erstellung eines Inventars aller speziell angefertigten Geräte und die Ermittlung von Schwachstellen. Als Nächstes sollten sie Risiken im Zusammenhang mit schwachen Passwörtern, veralteter Firmware, fremden Diensten, abgelaufenen Zertifikaten und hochgradigen bis kritischen Schwachstellen in großem Umfang beheben. Schließlich müssen die Unternehmen diese Geräte kontinuierlich auf Veränderungen in der Umgebung überwachen, um sicherzustellen, dass das, was behoben wurde, auch behoben bleibt.

Roger Homrich

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

11 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

12 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

12 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

17 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago