Nachrichten

Grundlegende Möglichkeiten zum Schutz geschlossener Netzwerke

Geschlossene Netzwerke sind isolierte Netzwerke, die nicht physisch mit einem anderen Netzwerk verbunden sind, um die Sicherheit zu erhöhen. Diese Technik kann zum Schutz der am stärksten gefährdeten Netzwerke beitragen, wie z. B. industrielle Kontrollsysteme (ICS), die Pipelines und Stromnetze betreiben, Abstimmungssysteme und SCADA-Systeme, die Nuklearzentrifugen betreiben. Systeme, auf denen kritische Infrastrukturen ausgeführt werden, sind das Ziel vieler Angreifer, einschließlich APT-Cluster. APT-Cluster werden heute hauptsächlich von Nationalstaaten unterstützt. Im Falle des Einschleichens in ein geschlossenes System können diese Bedrohungsakteure unbekannte Informationen erfassen, um Länder und Institutionen heimlich zu überwachen.

Alle bekannten Frameworks untersucht

Erst im ersten Halbjahr 2020 sind vier bösartige Frameworks aufgetaucht, die darauf ausgelegt sind, geschlossene Netzwerke zu infiltrieren. Mit diesen vier Frameworks hat die Zahl der lausigen zielgerichteten Frameworks 17 erreicht. Das Aufdecken und Analysieren eines solchen Frameworks hat seine eigenen Herausforderungen, da viele Komponenten in der Mitte analysiert werden müssen, um vollständig zu verstehen, wie der Fluss reguliert wird. ESET-Forscher unter der Leitung von Alexis Dorais-Joncas, die im Laufe der Jahre Informationen von 10 verschiedenen Organisationen verwendet haben, um einige technische Details und einige informelle Analysen zu klären oder zu bestätigen, lehren Cybersicherheitsexperten der Vergangenheit und sicherlich, was getan werden kann Verbesserung der Sicherheit geschlossener Netzwerke für ein breiteres Publikum. Er studierte diese Frameworks auch genau, um ihnen zu helfen, ihre Fähigkeiten zur Erkennung und Abwehr zukünftiger Angriffe zu verbessern. Sie haben alle bisher bekannten Frameworks überprüft und in der Mitte all dieser Frameworks die wichtigsten Gemeinsamkeiten aufgelistet, obwohl seit ihrer Entstehung 15 Jahre vergangen sind.

Angreifer verbessern sich ständig

Alexis Dorais-Joncas, Leiter der ESET Security Intelligence Group in Montreal, sagte: „Leider schaffen es Bedrohungscluster, hinterhältige Wege zu finden, um diese Systeme anzugreifen. Da geschlossene Netzwerke immer häufiger werden und Unternehmen immer innovativere Möglichkeiten zum Schutz ihrer Systeme finden, verfeinern Cyber-Angreifer ihre Fähigkeiten, um neue Schwachstellen für die Kompromittierung von Systemen zu finden.

Für Organisationen mit kritischen Informationssystemen und Verschlusssachen verursacht Datenverlust enorme Schäden. Das Potenzial dieser Frameworks ist überwältigend. Nach den Ergebnissen unserer Forschung verwenden diese Frameworks, die alle für Spionagezwecke entwickelt wurden, USB-Treiber als physikalisches Übertragungsmedium, um Informationen aus gezielten geschlossenen Netzwerken zu übertragen. ”

Durch die Identifizierung der Risiken hat ESET eine Liste von Erkennungs- und Gegenmaßnahmen zusammengestellt, mit denen geschlossene Netzwerke vor den grundlegenden Techniken aller bekannten bösartigen Frameworks geschützt werden können.

  • E-Mail-Zugriff von verbundenen Hosts blockieren

Das Blockieren des direkten Zugriffs auf E-Mails von verbundenen Systemen verhindert diesen erkannten Bedrohungsvektor. Dies kann mit einer Browser-/E-Mail-Isolationsarchitektur erreicht werden, bei der alle E-Mail-Aktivitäten in einer anderen isolierten virtuellen Umgebung ausgeführt werden.

  • Deaktivieren Sie die USB-Anschlüsse und bereinigen Sie die USB-Treiber

Das Entfernen oder Deaktivieren von USB-Anschlüssen auf allen Systemen in einem geschlossenen Netzwerk ist der beste Schutz. In einigen Organisationen ist es möglicherweise nicht möglich, USB-Anschlüsse von Systemen zu entfernen, aber die Funktion von USB-Anschlüssen kann auf Systeme beschränkt sein, die sie unbedingt benötigen. Viele Techniken, die von den überprüften Frameworks angewendet werden, können eliminiert werden, indem der USB-Laufwerk-Bereinigungsprozess durchgeführt wird, bevor ein USB-Laufwerk in einem geschlossenen System platziert wird.

  • Beenden Sie die Dokumentausführung auf entfernbaren Treibern

Viele Techniken zum Infiltrieren geschlossener Systeme beruhen auf der direkten Ausführung eines ausführbaren Dokuments, das irgendwo auf der Festplatte gespeichert ist. Dies kann vermieden werden, indem Richtlinien für den Zugriff auf Wechselmedien konfiguriert werden.

  • Führen Sie regelmäßig Systemanalysen durch

Die systematische Analyse des geschlossenen Systems zur Überprüfung auf bösartige Frameworks ist ein wertvoller Bestandteil der Datensicherheit.

Darüber hinaus können Endpoint-Sicherheitsartefakte häufig verschiedene Klassen von Sicherheitsverletzungen erkennen und blockieren. Daher wirkt sich der Einsatz einer solchen Technik und deren ständige Präsenz positiv aus.

ESET-Forscher Alexis Dorais-Joncas kommentiert: „Ein vollständig geschlossenes System ist nützlich, weil es zusätzlichen Schutz bietet. Wie bei allen anderen getreuen Mechanismen ist es jedoch möglich, das geschlossene System zu überwinden. Es verhindert nicht, dass miese Zielakteure von veralteten Systemen oder den Gewohnheiten sorgloser Mitarbeiter profitieren. ”

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.