Remote-Access-VPNs übertragen Ransomware

Es vergeht leider kein Tag, an dem nicht ein neuer Cyberangriff versehentlich über VPN eingeleitet wird.

Laut einem Artikel in Computer Weekly wurde Travelex von Sodinokibi-Ransomware getroffen, die an Silvester die IT-Systeme des Devisenunternehmens deaktivierte. Der Angriff wurde ermöglicht, weil das Unternehmen vergessen hatte, seine Pulse Secure VPN-Server zu patchen. 

Leider hört man solche Berichte immer häufiger, da VPNs zum bevorzugten Ziel von Cyberkriminellen geworden sind.
 

Veraltete Technik führt zu Angriffen

Als Remote-Access-VPNs vor 30 Jahren eingeführt wurden, waren sie ziemlich beeindruckend. Remote-Access von überall aus war ein zukunftsorientiertes und wegweisendes Konzept. VPNs wurden allerdings zu einer Zeit entwickelt, als die meisten Applikationen in Rechenzentren ausgeführt wurden, die problemlos mit einer Reihe von Netzwerksicherheits-Appliances abgesichert werden konnten.

Seit interne Applikationen jedoch in die Cloud verlagert wurden, hat sich die Welt verändert. Sie müssen Benutzern einerseits die von ihnen erwartete großartige Erfahrung bieten, wissen andererseits aber, dass 98 Prozent aller Angriffe aus dem Internet stammen.

Bei Remote-Access-VPNs müssen Server im Internet verfügbar sein und Benutzer über statische Tunnel, die Löcher in Firewalls bohren, ins Unternehmensnetzwerk eingebunden werden. Dieselbe Technologie, die Unternehmen einst schützte, macht sie jetzt anfällig für Angriffe durch moderne Malware und Ransomware. 

Wie passiert das genau?
 

Ablauf eines Malware-Angriffs

Erst letzte Woche veröffentlichte Medium.com einen Artikel, der beschreibt, wie Sodinokibi-Ransomware über VPN eingeschleust wird. Lassen Sie uns einen genaueren Blick auf den typischen Prozess werfen, wie Malware über VPN-Schwachstellen in ein Netzwerk eindringt:
 

1. Cyberkriminelle durchsuchen das Internet nach nicht gepatchten Remote-Access-VPN-Servern.
2. Remote-Access ins Netzwerk gelingt (ohne gültige Benutzernamen oder Passwörter).
3. Angreifer sehen Logs und zwischengespeicherte Passwörter im Klartext.
4. So erhalten sie Zugang zum Domain-Administrator.
5. Über das gesamte Netzwerk hinweg findet eine laterale Verbreitung statt.
6. Multifaktorenauthentifizierung (MFA) und Endgerätesicherheit werden deaktiviert.
7. Ransomware (in diesem Fall Sodinokibi) wird in Netzwerksysteme eingeschleust.
8. Das Unternehmen wird gezwungen, Lösegeld zu zahlen.

Negative Auswirkungen von VPN

Viele Organisationen halten Remote-Access-VPNs immer noch für notwendig. Und in einigen Fällen könnten sie das auch noch sein. Aber weit häufiger setzen VPNs das Netzwerk dem Internet aus, was Unternehmen anfälliger machen. 
 

• Patchen geschieht oft zu langsam oder wird vergessen – An das Patchen zu denken oder Zeit dafür zu finden, ist einfach schwierig. Es wird von Teams erwartet, mit weniger mehr zu erreichen, was oft eine menschliche Herausforderung ist, die zu Sicherheitslücken führt.  

• Einbinden von Benutzern in das Netzwerk – Vielleicht der Ursprung aller Probleme im Zusammenhang mit Remote-Access-VPNs. Damit VPNs funktionieren, müssen Netzwerke erkennbar sein. Die Sichtbarkeit macht Organisationen anfällig für Angriffe.

• Laterales Risiko in exponentiellem Umfang – Sobald Malware ins Netzwerk eingedrungen ist, kann sie sich lateral verbreiten, selbst wenn versucht wird, das Netzwerk zu segmentieren (was an sich schon ein komplexes Verfahren ist). Wie oben erwähnt, kann dies auch zum Ausfall anderer Sicherheitstechnologien wie MFA und Endgerätesicherheit führen.

• Der Ruf des Unternehmens – Ihre Kunden vertrauen darauf, dass Sie ihre Daten schützen und den bestmöglichen Service bieten. Um dazu in der Lage zu sein, müssen sich Unternehmen selbst schützen können. Die Nachricht von einem Ransomware-Angriff wirkt sich nachteilig auf den Ruf Ihrer Marke aus.

Argumente für einen neuen Ansatz

Die negativen Auswirkungen von VPN haben zur Suche nach einer Alternativlösung geführt. Laut Gartner werden aufgrund dieses Trends „60% aller Unternehmen bis 2023 die meisten ihrer Remote-Access-VPNs (Virtual Private Networks) auslaufen lassen und auf Zero Trust Network Access (ZTNA) umsteigen.“

Wenn Sie alternative Methoden wie ZTNA in Betracht ziehen, beachten Sie folgende Punkte, um Ihre Führungskräfte zu überzeugen:
 

• Minimierung des Unternehmensrisikos – ZTNA ermöglicht den Zugriff auf bestimmte Geschäftsanwendungen (basierend auf Richtlinien), ohne dass Netzwerkzugang erforderlich ist. Außerdem wird mit ZTNA keine Infrastruktur offen gelegt, sodass Applikationen und Services niemals im Internet sichtbar sind.

• Kostensenkung – ZTNA kann häufig komplett als Cloud-Service bereitgestellt werden, was bedeutet, dass keine Server gekauft, gepatcht oder verwaltet werden müssen. Dies beschränkt sich nicht auf den VPN-Server. Das gesamte eingehende VPN-Gateway kann verkleinert oder völlig entfernt werden (externe Firewall, DDoS, interne Firewall, Load Balancer usw.).

• Vermittlung einer besseren Nutzererfahrung – Angesichts der höheren Verfügbarkeit von ZTNA-Services aus der Cloud, im Vergleich zu begrenzten eingehenden VPN-Appliance-Gateways, erhalten Remote-Benutzer unabhängig von Anwendung, Gerät oder Standort eine schnellere und nahtlosere Erfahrung.

HINWEIS: Nicht alle ZTNA-Lösungen sind gleich. Hüten Sie sich vor Anbietern, die sich selbst als „Zero Trust“ bezeichnen, aber Lösungen anbieten, mit denen Benutzer weiterhin im Netzwerk platziert und Geschäftsanwendungen dem Internet ausgesetzt sind.
 

Wenn Sie Ihr Remote-Access-VPN ersetzen möchten, finden Sie vielleicht diese Seite hilfreich. Vergessen Sie in der Zwischenzeit nicht, Ihre VPN-Server zu patchen, und sorgen Sie dafür, dass Sie Angriffen immer einen Schritt voraus sind, indem Sie sich diese unverzichtbaren Ressourcen ansehen:
 

• Drei Methoden, wie ZTNA vor Ransomware schützt
   
• Decken Sie Bereiche der Netzwerkexposition mit dem Zscaler-Tool zur Analyse der Internet-Angriffsfläche auf.

Christopher Hines ist Leiter des Produktmarketings für Zscaler Private Access und Z App.