Get best of the week

Fünf Sicherheitsrisiken bei Remote-Arbeiten



Cybersecurity-Experten in Unternehmen mussten sich plötzlich darauf einstellen, dass fast 100% der Benutzer remote arbeiten. Angesichts der Unsicherheit versuchen Unternehmen heute, Geschäftsprozesse zu erhalten, und die Sicherheit tritt in den Hintergrund. Fachleute, die zuvor hauptsächlich lokale Computer gewartet haben, sind möglicherweise nicht bereit, mit neuen Bedrohungen für den Remotezugriff umzugehen.

Unser Incident-Response-Team hilft unseren Kunden täglich bei der Lösung von Sicherheitsproblemen. In den letzten Monaten hat sich jedoch die Art der Angriffe beim Verbinden eines VPN und beim Verwenden von Cloud-Anwendungen und -Daten geändert. Wir haben eine Liste mit fünf Bedrohungen für die Fernarbeit zusammengestellt, um Ihnen mitzuteilen, was unsere Experten während der COVID-19-Pandemie erleben.

1. VPN-Brute-Force-Angriffe


Da viele Menschen jetzt von zu Hause aus arbeiten, haben Angreifer mehr Möglichkeiten für Brute-Force-Angriffe über VPN. ZDNet berichtet, dass die Anzahl der VPN-Verbindungen in letzter Zeit um 33% gestiegen ist. Dies bedeutet, dass Angreifer seit Anfang 2020 mehr als eine Million neue Ziele haben.

In ungefähr 45% der Fälle muss das Varonis-Reaktionsteam Brute-Force-Angriffe untersuchen. Die meisten dieser Angriffe zielen darauf ab, Zugriff auf ein VPN oder Active Directory zu erhalten. Es kam vor, dass Unternehmen integrierte Sperren und andere Einschränkungen für die Verbindung zu einem VPN deaktivierten, um die Arbeit nicht zu beenden oder die IT-Kosten zu senken. Dies macht das System anfällig für solche Angriffe.

Angreifer führen Brute-Force-Angriffe durch. Sie wählen ein VPN-Portal aus und versuchen wiederholt, sich mithilfe vorkompilierter Anmeldeinformationslisten zu authentifizieren. Dieser Angriff wird als Anmeldeinformationsfüllung bezeichnet. Wenn mindestens ein Login oder Passwort korrekt ausgewählt ist, kann ein Angreifer das System hacken.

Wenn das System Single Sign-On (SSO) verwendet, kann ein Angreifer außerdem die richtige Domänenanmeldung erhalten. Ein Angreifer dringt sehr schnell in das Netzwerk ein. Er kann die Aufklärung starten, indem er sich bei der Domäne anmeldet und versucht, die Berechtigungen zu erhöhen.

Wie Varonis helfen kann


Varonis-Lösungen verfügen über mehr als hundert integrierte Bedrohungsmodelle zur Erkennung verdächtiger Authentifizierung (Anmeldeinformationen, Kennwortspoofing, Brute Force) in einem VPN oder Active Directory. Sie werden feststellen, dass unsere Bedrohungsmodelle mehrere Quellen berücksichtigen: VPN-Aktivitätsdaten werden durch Informationen aus Active Directory, Webproxys und Data Warehouses wie SharePoint oder OneDrive ergänzt.



Sie können auch schnell kontextbezogene VPN-Aktivitäten (verarbeitete Protokolle) in der gespeicherten Suchbibliothek anzeigen, mit der Sie Berichte erstellen oder nach Bedrohungen suchen können:



Mehrere hundert fehlgeschlagene Anmeldeversuche von derselben IP-Adresse oder demselben Gerät können als Beweis für einen Brute-Force-Angriff dienen. Selbst wenn Angreifer leise und langsam handeln, kann Varonis geringfügige Abweichungen erkennen, indem Perimetertelemetrie, Active Directory-Aktivität und Datenzugriff analysiert und diese Informationen dann mit dem Grundmodell des Benutzer- oder Geräteverhaltens verglichen werden.



2. Management und Kontrolle durch Phishing


Eine weitere bekannte Bedrohung, die an Pandemiebedingungen angepasst ist, ist Phishing. Angreifer nutzen die Ängste der Menschen während einer Pandemie, indem sie Benutzer dazu verleiten, auf bösartige Links zu klicken und Malware herunterzuladen. Phishing ist wirklich böse.
Die Kriminellen entwickelten Karten der Vertriebszentren von COVID-19 und erstellten Websites, auf denen medizinische Versorgung verkauft oder wundersame Mittel angeboten werden. Anschließend installieren Sie Malware auf Ihrem Computer. Einige Betrüger handeln zum Beispiel dreist und verlangen 500 US-Dollar für eine N-95-Maske. Andere Angriffe zielen darauf ab, Zugriff auf Ihren Computer und alle darauf befindlichen Daten zu erhalten. Sobald Sie auf den schädlichen Link klicken, wird ein Programm auf Ihren Computer heruntergeladen, mit dessen Hilfe der Angreifer eine Verbindung zum Befehlsserver herstellt. Er beginnt dann mit der Aufklärung und erhöht die Berechtigungen, um Ihre sensiblen Daten zu finden und zu stehlen.

Wie Varonis helfen kann


Varonis erkennt Netzwerkaktivitäten, die der Verwaltung und Kontrolle ähneln (nicht nur die Verbindung zu bekannten schädlichen IP-Adressen oder Domänen herstellen). Die Lösung führt einen eingehenden Scan des DNS-Verkehrs durch und erkennt schädliche Programme, die die Übertragung von Daten im HTTP- oder DNS-Verkehr maskieren.

Varonis-Bedrohungsmodelle erkennen nicht nur Malware und ihre Verbindungen zum Befehlsserver, sondern erkennen häufig einen gefährdeten Benutzer, indem sie ungewöhnliche Versuche aufzeichnen, auf Dateien oder E-Mails zuzugreifen. Varonis überwacht die Dateiaktivität und die Perimetertelemetrie und erstellt grundlegende Benutzerverhaltensprofile. Die Lösung vergleicht dann die aktuelle Aktivität mit diesen Basisprofilen und einem ständig wachsenden Katalog von Bedrohungsmodellen.



3. Schädliche Apps in Azure


Dieser Angriffsvektor ist relativ neu und wurde letzten Monat erstmals in unserem Blog diskutiert . Wir empfehlen, die Vollversion des Artikels zu lesen, da wir hier nur eine kurze Beschreibung des Artikels geben.
Laut Microsoft ist die Anzahl der Azure-Mandanten im letzten Monat um 775% gestiegen. Dies bedeutet, dass einige von Ihnen jetzt Azure-Umgebungen für Ihre Remote-Mitarbeiter erstellen und viele alle Anstrengungen unternehmen, um das Geschäft am Laufen zu halten und schnell neue Funktionen einzuführen. Vielleicht trifft dies auf Sie zu.

Sie müssen wissen, welche Anwendungen Benutzer Zugriff auf Daten gewähren, und regelmäßige Überprüfungen genehmigter Anwendungen planen, um alles blockieren zu können, was ein Risiko birgt.

Die Kriminellen erkannten, dass sie in Phishing-Kampagnen schädliche Anwendungen für Azure verwenden können. Wenn der Benutzer die Anwendung installiert, erhalten die Angreifer Zugriff auf das Netzwerk.



Wie Varonis helfen kann


Varonis kann Installationsanforderungen für eine Azure-Anwendung verfolgen und von Anfang an Anzeichen dieses Angriffs erkennen. Varonis sammelt, analysiert und profiliert alle Ereignisse in Office 365 für jede Komponente. Sobald sich eine böswillige Anwendung als Benutzer ausgibt (E-Mails senden und Dateien hochladen), funktionieren unsere Verhaltensbedrohungsmodelle.

4. Umgehen Sie die Multi-Faktor-Authentifizierung


Eine weitere Bedrohung für entfernte Mitarbeiter ist ein Man-in-the-Middle-Angriff. Ihre Mitarbeiter haben möglicherweise noch nicht remote gearbeitet und sind mit Office 365 nicht sehr vertraut. Daher werden sie möglicherweise durch gefälschte Anmeldefenster in Office 365 in die Irre geführt . Angreifer verwenden diese Anmeldefenster, um Anmeldeinformationen und Authentifizierungstoken zu stehlen, die ausreichen, um einen Benutzer zu simulieren und sich anzumelden. Darüber hinaus können Remote-Mitarbeiter einen unsicheren WLAN-Router verwenden, der leicht gehackt werden kann.

Kurz gesagt, ein Angreifer fängt ein Authentifizierungstoken ab, das der Server an Sie sendet, und verwendet es dann, um von seinem Computer aus in das System einzutreten. Nachdem ein Angreifer Zugriff erhalten hat, übernimmt er die Kontrolle über Ihren Computer. Es versucht, die Computer anderer Benutzer zu infizieren oder sucht sofort nach vertraulichen Daten.

Wie Varonis helfen kann


Varonis kann die gleichzeitige Anmeldung von verschiedenen Orten aus sowie Anmeldeversuche erkennen, die nicht mit dem vorherigen Benutzerverhalten übereinstimmen und als Beweis für Betrug dienen. Varonis überwacht Ihre Daten auf abnormale Zugriffsversuche, die Cyberkriminelle durchführen können, indem sie sich einfach in Ihrem Netzwerk befinden.



5. Interne Bedrohungen


Jetzt ist eine Zeit großer Unsicherheit für alle. Die Menschen unternehmen alle Anstrengungen, um die Krise zu überwinden, und Angst und Unsicherheit führen dazu, dass sie sich ungewöhnlich verhalten.

Benutzer laden Arbeitsdateien auf einen ungeschützten Computer herunter. Dies liegt an der Angst, einen Job zu verlieren oder an der Unfähigkeit, ihn effektiv zu erledigen. Beide Optionen haben einen Platz zu sein. Dies erschwert die Arbeit der IT- und Informationssicherheitsdienste, die die Datensicherheit gewährleisten müssen.

Interne Bedrohungen können schwierig zu erkennen sein, insbesondere wenn ein Mitarbeiter ein persönliches Gerät verwendet, um auf vertrauliche Daten zuzugreifen . Es gibt keine Sicherheitskontrollen für Unternehmen wie DLP, die den Benutzer erkennen könnten, der diese Daten überträgt.

Wie Varonis helfen kann


Wir erkennen interne Bedrohungen, indem wir ermitteln, wo sich vertrauliche Unternehmensdaten befinden, und untersuchen dann, wie Benutzer normalerweise mit diesen Daten arbeiten. Varonis überwacht lange Zeit die Aktionen von Benutzern mit Daten und Dateien und ergänzt sie dann mit VPN-, DNS- und Proxy-Daten. Daher benachrichtigt Varonis Sie, wenn ein Benutzer eine große Datenmenge über das Netzwerk herunterlädt oder auf vertrauliche Daten zugreift, auf die er zuvor keinen Zugriff hatte, und kann eine vollständige Liste der Dateien bereitstellen, auf die der Benutzer zugegriffen hat.



In den meisten Fällen haben Mitarbeiter keine böswillige Absicht. Für das Unternehmen ist es jedoch wichtig zu verstehen, wie vertrauliche Daten gespeichert werden, da interne Bedrohungen häufig auftreten. Die Fähigkeit, direkt auf das Verhalten der Mitarbeiter zu reagieren, ist nicht nur eine Möglichkeit, Risiken zu reduzieren, sondern auch Probleme mit dem Team zu besprechen.

Abschließende Gedanken


Varonis kann Ihnen dabei helfen, verdächtige Dinge zu untersuchen und Empfehlungen zur Wiederherstellung nach einem Angriff zu geben. Bei Bedarf stellen wir kostenlose Testlizenzen zur Verfügung.
Wie Sie verstehen, verlassen wir uns nicht auf eine Art von Schutz. Wir stehen für verschiedene Schutzstufen, die alle Systeme abdecken, wie z. B. ein Web. Unser Incident-Response-Team hilft Ihnen bei der Integration von Varonis in Ihre aktuelle Cybersicherheitsstrategie und gibt Empfehlungen zu anderen Sicherheitssystemen, in die Sie möglicherweise investieren möchten.

More articles:


All Articles