VPNs haben eine ganze Reihe von Nachteilen:

Viele Organisationen halten Remote-Access-VPNs nach wie vor für notwendig. In einigen Fällen mag das sogar stimmen. Weit häufiger exponieren VPNs jedoch das Netzwerk im Internet und vergrößern dadurch die Angriffsfläche des Unternehmens. VPNs haben eine ganze Reihe von Nachteilen: Patching erfolgt zu langsam oder wird ganz vergessen – Sicherheitsteams stehen zunehmend unter Druck, mit weniger Ressourcen mehr zu leisten – eine Überforderung, die zur Entstehung von Sicherheitslücken führt, wenn VPN-Server nicht rechtzeitig gepatcht werden. Einbinden von Benutzern in das Netzwerk – Womöglich ist dies der Ursprung aller Probleme im Zusammenhang mit Remote-Access-VPNs. VPNs können nur funktionieren, wenn das Netzwerk sichtbar ist. Dadurch macht die Organisation sich anfällig für Angriffe. Laterales Risiko in exponentiellem Umfang – Sobald Malware ins Netzwerk eingedrungen ist, kann sie sich lateral verbreiten, selbst wenn versucht wird, das Netzwerk zu segmentieren (was an sich schon ein komplexes Verfahren ist). Wie oben erwähnt, kann dies auch zum Ausfall anderer Sicherheitstechnologien wie MFA und Endgerätesicherheit führen. Der Ruf des Unternehmens – Ihre Kunden vertrauen darauf, dass Sie ihre Daten schützen und den bestmöglichen Service bieten. Um dazu in der Lage zu sein, müssen sich Unternehmen selbst schützen können. Die Nachricht von einem Ransomware-Angriff wirkt sich nachteilig auf den Ruf Ihrer Marke aus. Weiterlesen

Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Produkte & Lösungen

Remote-Access-VPNs übertragen Ransomware

Q: Ablauf eines Malware-Angriffs

Im Folgenden wollen wir uns genauer anschauen, wie Malware über VPN-Schwachstellen in ein Netzwerk eindringt: Cyberkriminelle durchsuchen das Internet nach nicht gepatchten Remote-Access-VPN-Servern. Sie verschaffen sich Remotezugriff auf das Netzwerk (ohne gültige Benutzernamen oder Passwörter). Angreifer sehen Logs und zwischengespeicherte Passwörter im Klartext. So erhalten sie Zugang zum Domain-Administrator. Über das gesamte Netzwerk hinweg findet eine laterale Verbreitung statt. Mehrstufige Authentifizierung (MFA) und Endgerätesicherheit werden deaktiviert. Ransomware (in diesem Fall Sodinokibi) wird in Netzwerksysteme eingeschleust. Das Unternehmen wird gezwungen, Lösegeld zu zahlen. Weiterlesen

CHRISTOPHER HINES - Director of Product & Solutions Marketing, ZPA / Zscaler Client Connector

January 07, 2020 - 6 Lesezeit: Min

Ransomware

Inhalt

Artikel
Weitere Blogs

Es vergeht leider kein Tag, an dem nicht ein neuer Cyberangriff versehentlich über VPN eingeleitet wird.

Kürzlich berichtete Computer Weekly über einen Angriff mit Sodinokibi-Ransomware, die am Silvesterabend die IT-Systeme des Devisenunternehmens Travelex lahmlegte. Der Angriff konnte nur gelingen, weil das Unternehmen vergessen hatte, seine Pulse-Secure-VPN-Server zu patchen.

Leider häufen sich derartige Vorfälle immer mehr, da VPNs zum bevorzugten Angriffsziel für Cyberkriminelle geworden sind.

Veraltete Technik führt zu Angriffen

Als Remote-Access-VPNs vor 30 Jahren eingeführt wurden, waren sie ziemlich beeindruckend. Remote-Access von überall aus war ein zukunftsorientiertes und wegweisendes Konzept. VPNs wurden allerdings zu einer Zeit entwickelt, als die meisten Applikationen in Rechenzentren ausgeführt wurden, die problemlos mit einer Reihe von Netzwerksicherheits-Appliances abgesichert werden konnten.

Mit der zunehmenden Verlagerung von internen Anwendungen in die Cloud hat sich die Lage jedoch verändert. Organisationen wollen einerseits positive Anwendererfahrungen gewährleisten, die den Ansprüchen ihrer User entsprechen. Andererseits wissen sie nur allzu gut, dass 98 % aller Angriffe über das Internet erfolgen.

Der Zugriff über Remote-Access-VPNs setzt voraus, dass Server im Internet zugänglich sind und User über statische Tunnel ins Unternehmensnetzwerk eingebunden werden. Dadurch werden sozusagen Löcher in die Firewall gebohrt. Dieselbe Technologie, die Unternehmen früher zuverlässig schützte, macht sie heute anfällig für Angriffe durch neuartige Malware und Ransomware.

Wie konnte es dazu kommen?

Ablauf eines Malware-Angriffs

In einem letzte Woche auf Medium.com veröffentlichten Beitrag werden die Methoden beschrieben, mit denen die Sodinokibi-Gruppe ihre Ransomware über VPNs ins Unternehmensnetzwerk einschleust. Im Folgenden wollen wir uns dieses Verfahren im Einzelnen anschauen:

Cyberkriminelle durchsuchen das Internet nach nicht gepatchten Remote-Access-VPN-Servern.
Remote-Access ins Netzwerk gelingt (ohne gültige Benutzernamen oder Passwörter).
Angreifer sehen Logs und zwischengespeicherte Passwörter im Klartext.
So erhalten sie Zugang zum Domain-Administrator.
Über das gesamte Netzwerk hinweg findet eine laterale Verbreitung statt.
Multifaktorenauthentifizierung (MFA) und Endgerätesicherheit werden deaktiviert.
Ransomware (in diesem Fall Sodinokibi) wird in Netzwerksysteme eingeschleust.
Das Unternehmen wird gezwungen, Lösegeld zu zahlen.

Negative Auswirkungen von VPN

Viele Organisationen halten Remote-Access-VPNs nach wie vor für notwendig. In einigen Fällen mag das sogar stimmen. Weit häufiger exponieren VPNs jedoch das Netzwerk im Internet und vergrößern dadurch die Angriffsfläche des Unternehmens.

Patching erfolgt zu langsam oder wird ganz vergessen – Sicherheitsteams stehen zunehmend unter Druck, mit weniger Ressourcen mehr zu leisten – eine Überforderung, die zur Entstehung von Sicherheitslücken führt, wenn VPN-Server nicht rechtzeitig gepatcht werden.

Einbinden von Benutzern in das Netzwerk – Vielleicht der Ursprung aller Probleme im Zusammenhang mit Remote-Access-VPNs. Damit VPNs funktionieren, müssen Netzwerke erkennbar sein. Die Sichtbarkeit macht Organisationen anfällig für Angriffe.

Laterales Risiko in exponentiellem Umfang – Sobald Malware ins Netzwerk eingedrungen ist, kann sie sich lateral verbreiten, selbst wenn versucht wird, das Netzwerk zu segmentieren (was an sich schon ein komplexes Verfahren ist). Wie oben erwähnt, kann dies auch zum Ausfall anderer Sicherheitstechnologien wie MFA und Endgerätesicherheit führen.

Der Ruf des Unternehmens – Ihre Kunden vertrauen darauf, dass Sie ihre Daten schützen und den bestmöglichen Service bieten. Um dazu in der Lage zu sein, müssen sich Unternehmen selbst schützen können. Die Nachricht von einem Ransomware-Angriff wirkt sich nachteilig auf den Ruf Ihrer Marke aus.

Argumente für einen neuen Ansatz

Viele Organisationen sind sich der negativen Auswirkungen von VPNs inzwischen bewusst und suchen aktiv nach Alternativen. Laut Einschätzung von Gartner wird dieser Trend dazu führen, dass „60 % aller Unternehmen bis 2023 den Großteil ihrer Remote-Access-VPNs außer Betrieb nehmen und stattdessen auf Zero Trust Network Access (ZTNA) umstellen werden“.

Alternativen wie ZTNA bieten Ihrer Organisation eine ganze Reihe handfester Vorteile gegenüber Remote-Access-VPN, die auch der Geschäftsführung unmittelbar einleuchten dürften:

Minimierung des Unternehmensrisikos – ZTNA ermöglicht den Zugriff auf bestimmte Geschäftsanwendungen (basierend auf Richtlinien), ohne dass Netzwerkzugang erforderlich ist. Außerdem wird mit ZTNA keine Infrastruktur offen gelegt, sodass Applikationen und Services niemals im Internet sichtbar sind.

Kostensenkung – ZTNA kann häufig komplett als Cloud-Service bereitgestellt werden, was bedeutet, dass keine Server gekauft, gepatcht oder verwaltet werden müssen. Dies beschränkt sich nicht auf den VPN-Server. Das gesamte eingehende VPN-Gateway kann verkleinert oder völlig entfernt werden (externe Firewall, DDoS, interne Firewall, Load Balancer usw.).

Vermittlung einer besseren Nutzererfahrung – Angesichts der höheren Verfügbarkeit von ZTNA-Services aus der Cloud, im Vergleich zu begrenzten eingehenden VPN-Appliance-Gateways, erhalten Remote-Benutzer unabhängig von Anwendung, Gerät oder Standort eine schnellere und nahtlosere Erfahrung.

HINWEIS: Nicht überall, wo ZTNA draufsteht, ist tatsächlich ZTNA drin. Vorsicht ist insbesondere bei Anbietern geboten, die vermeintliche „Zero Trust“-Lösungen anbieten, mit denen User weiterhin im Netzwerk platziert und Geschäftsanwendungen im Internet exponiert werden.

Organisationen, die ihr Remote-Access-VPN durch eine zukunftsfähige Lösung ersetzen wollen, finden hier wichtige Hinweise. Ansonsten sollten Sie unbedingt daran denken, Ihre VPN-Server regelmäßig zu patchen. Wenn Sie mehr darüber wissen wollen, wie Sie Angriffe effektiv abwehren können, empfehlen wir Ihnen folgende Ressourcen zur Lektüre:

Christopher Hines ist Leiter des Produktmarketings für Zscaler Private Access und Z App.

Danke fürs Lesen

War dieser Beitrag nützlich?

Ja, sehr hilfreich!

Nicht wirklich

Haftungsausschluss: Dieser Blog-Beitrag wurde von Zscaler ausschließlich zu Informationszwecken erstellt und wird ohne jegliche Garantie für Richtigkeit, Vollständigkeit oder Zuverlässigkeit zur Verfügung gestellt. Zscaler übernimmt keine Verantwortung für etwaige Fehler oder Auslassungen oder für Handlungen, die auf der Grundlage der bereitgestellten Informationen vorgenommen werden. Alle in diesem Blog-Beitrag verlinkten Websites oder Ressourcen Dritter werden nur zu Ihrer Information zur Verfügung gestellt, und Zscaler ist nicht für deren Inhalte oder Datenschutzmaßnahmen verantwortlich. Alle Inhalte können ohne vorherige Ankündigung geändert werden. Mit dem Zugriff auf diesen Blog-Beitrag erklären Sie sich mit diesen Bedingungen einverstanden und nehmen zur Kenntnis, dass es in Ihrer Verantwortung liegt, die Informationen zu überprüfen und in einer Ihren Bedürfnissen angemessenen Weise zu nutzen.

Weitere Zscaler-Blogs erkunden

Technical Analysis of CryptNet Ransomware

Blog lesen

Technical Analysis of Trigona Ransomware

Blog lesen

Nevada Ransomware: Yet Another Nokoyawa Variant

Blog lesen

Nokoyawa Ransomware: Rust or Bust

Blog lesen

01 / 02