Drei neue Sicherheitstrends
Schutz der ständig wachsenden Angriffsfläche
Um ihr Unternehmen zu schützen, ist es für CISO unerlässlich, den Entwicklungen der Bedrohungslandschaft immer einen Schritt voraus zu sein. In der Praxis ist dies allerdings schwierig. Angreifer agieren immer schneller und nehmen Unternehmen zunehmend sowohl mit etablierten als auch mit neuen Methoden ins Visier. Sicherheitsprogramme werden ständig erweitert, um eine sich verändernden Angriffsfläche zu schützen – insbesondere, da Unternehmen nun schnellstmöglich interne KI-Modelle entwickeln und einsetzen wollen. Sicherheitsteams stehen dabei im Kreuzfeuer, denn sie müssen sowohl mit den Gegnern als auch mit den Fortschritten im Unternehmen Schritt halten.
In diesem Beitrag werden drei neue Trends herausgearbeitet, die durch Daten und Beobachtungen aus der Praxis untermauert werden und die sofortige Aufmerksamkeit und Maßnahmen von CISO erfordern.
Trend Nr. 1: Programme zum Schwachstellenmanagement sind auf das höhere Tempo der Angreifer nicht vorbereitet
Programme für den Umgang mit Sicherheitslücken haben seit Jahren Mühe, bei der Patchfrequenz mit der Offenlegung von Sicherheitslücken Schritt zu halten. Die durchschnittliche Zeit für das Patchen einer kritischen Sicherheitslücke bei einer Webanwendung liegt bei stolzen 35 Tagen. Leider wird die Aufrechterhaltung eines verantwortungsvollen Patching-Zeitplans immer schwieriger, weil jedes Jahr mehr Schwachstellen entdeckt werden: 2023 gab es mehr als 5.000 kritische Sicherheitslücken.
Erschwerend kommt hinzu, dass Sicherheitslücken von Angreifern immer häufiger blitzschnell ausgenutzt werden. So waren beispielsweise die Server von TeamCity durch die am 4. März 2024 aufgedeckte Sicherheitslücke CVE-2024-27198 einer vollständigen Kompromittierung ausgesetzt. Angreifer versuchten noch am selben Tag, die Schwachstelle auszunutzen. Bereits 22 Minuten nach der Veröffentlichung des Proof-of-Concept-Codes wurden die ersten Angriffe registriert.
Allein im Jahr 2023 wurden fast 100 Zero-Day-Sicherheitslücken identifiziert, was einen Anstieg um 50 Prozent im Jahresvergleich darstellte. Damit müssen Unternehmen andauernd Notfallmaßnahmen einleiten, sobald solche Schwachstellen bekannt werden.
Empfehlungen:
Um das Risiko von Sicherheitslücken wirksam zu verringern, muss eine mehrgleisige Strategie verfolgt werden, die weit über das reine Patchen hinausgeht. Beginnen Sie damit, die ausnutzbare Angriffsfläche durch Netzwerksegmentierung und die Anwendung von Zero Trust-Prinzipien zu verringern.
Als Nächstes sollten Sie Schutzmaßnahmen implementieren, um den Missbrauch von Assets zu verhindern, für die noch keine Patches oder Patching-Ressourcen verfügbar sind. Ein Beispiel dafür wäre die Nutzung von Bedrohungsdaten durch (Netzwerk- und Anwendungs-)Firewalls zum Unterbinden von Exploit-Versuchen.
Schließlich sollten beim Patchen nicht die schwerwiegendste Sicherheitslücke Priorität erhalten, sondern die, bei der das Missbrauchsrisiko am größten ist. Ressourcen wie die von der US-Cybersicherheitsbehörde CISA herausgegebene Liste der bekannten ausgenutzten Schwachstellen sind bei der Festlegung der Prioritäten von unschätzbarem Wert.
Trend 2: Sicherheitsteams müssen sich auf den Schutz interner KI-Modelle vorbereiten
Es ist viel darüber gesprochen worden, dass Mitarbeitende durch eine falsche Verwendung öffentlich zugänglicher LLM-Modelle sensible Daten preisgegeben haben, weshalb Unternehmen wie Samsung deren Verwendung verboten haben.
Internen KI-Modellen, die ein bevorzugtes Ziel für Angreifer sind, wird in der öffentliche Debatte jedoch weitaus weniger Aufmerksamkeit geschenkt. Dabei investieren Unternehmen massiv in diesen Bereich: Es wird prognostiziert, dass die entsprechenden Ausgaben sich 2027 auf 143 Milliarden US-Dollar belaufen werden.
Interne LLM haben wahrscheinlich weitreichenden Zugang zu sensiblen Informationen und geistigem Eigentum. Beispiele hierfür wären ein KI-gestützter Kopilot, der zur Erstellung maßgeschneiderter Angebote mit Verkaufsdaten und Kundeninteraktionen trainiert wurde, oder ein mit einer internen Wissensdatenbank, die von Entwicklern abgefragt werden kann, trainiertes LLM. Da die Modelle auf leistungsstarken Rechnern laufen, können finanziell motivierte Kriminelle sie auch wegen ihrer Rechenleistung ins Visier nehmen.
Angriffe auf interne LLM sind keineswegs rein hypothetisch, vielmehr ist es schon dazu gekommen. Angreifer haben das beliebte quelloffene KI-Framework Ray ausgenutzt, das Zugang zu KI-Workloads im Produktivbetrieb Hunderter von Unternehmen gewährt hat. Auf diesem Weg ist es ihnen gelungen, vertrauliche Informationen, Passwörter und Cloud-Zugangsdaten zu stehlen. Außerdem haben sie Schadsoftware zum Krypto-Mining eingesetzt.
Empfehlungen:
Sicherheitsverantwortliche sollten sich überzeugen, dass ihre Teams die Risiken der Nutzung von LLM kennen und sich aktiv an Firmenprojekten zur Einführung interner LLM beteiligen. Die OWASP Top 10 für LLM können für Unternehmen ein gutes erstes Hilfsmittel bei der Priorisierung von Schutzmaßnahmen sein, die sich von der Vermeidung von Datenverlusten bis hin zu speziellen KI-Firewalls. erstrecken.
Trend Nr. 3: Zunehmende Angriffe auf VPN veranlassen Unternehmen, sich auf die Suche nach alternativen Fernzugriffslösungen zu machen
Im vergangenen Jahr wurde ein deutlicher Anstieg erfolgreicher Angriffe auf Sicherheitsanwendungen verzeichnet, insbesondere auf VPN. Und allein in den ersten vier Monaten 2024 gab es schwerwiegende Zero-Day-Schwachstellen bei dem SecureConnect VPN von Ivanti, GlobalProtect VPN/Firewall von Palo Alto Networks und den VPN-Funktionen der Adaptive Security Appliance von Cisco.
Angreifer nehmen absichtlich diese Tools ins Visier. Denn sobald diese kompromittiert sind, bieten sie einen weitreichenden Zugang zum Netzwerk eines Unternehmens. Da VPN allzu häufig angegriffen werden, prüfen viele Unternehmen inzwischen alternative Optionen für den Fernzugriff.
Zero Trust Network Access (ZTNA)-Tools sind eine solche Option, denn sie ermöglichen authentifizierten Zugriff auf eine bestimmte Anwendung, nicht auf das gesamte übergeordnete Netzwerk. Sie bieten auch Performance-Vorteile, da Mitarbeitende schneller und unkomplizierter auf interne Ressourcen zugreifen können.
ZTNA ist ein gängiger Einstiegspunkt für Unternehmen bei der Einführung eines Zero Trust-Modells. Laut einer ESG-Umfrage* unter 200 Cybersicherheits- und IT-Experten sind die beiden am höchsten eingestuften Anwendungsfälle für die erste Zero Trust-Implementierung die Durchsetzung von Zero Trust App Access (ZTAA)-Richtlinien für SaaS-Anwendungen und die Bereitstellung von Zero Trust Network Access (ZTNA) für private Applikationen. Tatsächlich berichten 75 Prozent der Cybersicherheits- und IT-Fachleute, die derzeit ZTNA nutzen, dass sie eine VPN-Lösung für alle Mitarbeitenden ersetzt haben oder dies planen.
Empfehlungen:
Perimeterbasierte Verteidigungsmaßnahmen wie VPN sind angesichts der heutigen Bedrohungslandschaft und der Zunahme mobiler Arbeit inzwischen überholt. CISO sollten einen Plan für die Einführung von Zero Trust erarbeiten, an dessen Anfang der Ersatz von VPN stehen sollte. Um schnell einen Nachweis für den Nutzen erbringen zu können, empfiehlt es sich, mit einem kleineren Anwendungsfall oder einer ganz bestimmten Nutzergruppe zu beginnen und diesen dann nach und nach auszuweiten. Zu berücksichtigen sind Faktoren wie die Geschwindigkeit der Implementierung, Risikoprofile von Nutzern und Anwendungen, Feedback von Mitarbeitenden und bestehende Vertragslaufzeiten, damit die Implementierung Priorität erhält und möglichst effektiv ist.
Neuen Risiken immer einen Schritt voraus sein
Die verstärkte Verwendung dezentraler IT-Infrastruktur und ortsunabhängiges oder hybrides Arbeiten machen die Absicherung von Unternehmen immer komplizierter. Bisher musste zur Bekämpfung von Bedrohungen aus dem Internet (sei es durch eingehende Daten oder durch das Surfen im Web) eine immer größere Zahl von traditionellen, isoliert arbeitenden Tools für verschiedene Sicherheitsbereiche (z. B. Bedrohungsdaten sowie Anwendungs-, Daten- und Netzwerksicherheit) mühsam manuell in Einklang gebracht werden.
Cloudflare ist eine konsolidierte, smarte Plattform mit programmierbaren cloudnativen Diensten, die ortsunabhängige Sicherheit für Menschen, Anwendungen und Netzwerke bietet. Unternehmen haben dadurch die Möglichkeit, die Kontrolle zurückzuerlangen, ihre Kosten zu senken und die Risiken im Zusammenhang mit der Absicherung einer ausgedehnteren Netzwerkumgebung zu reduzieren.
*Enterprise Strategy Group, eine Geschäftssparte von TechTarget, Inc. Forschungsumfrage, Cloudflare-Umfrage zu Zero Trust für die Belegschaft, Mai 2024
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Mehr über die aktuellen Sicherheitstrends erfahren Sie im neuen Cloudflare-Bericht „Sicherheitsreport: Bedrohungen für Menschen, Anwendungen und Infrastruktur“.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie Sicherheitsabteilungen sowohl mit Gegnern als auch mit Fortschritten im Unternehmen Schritt halten müssen
Drei neue Trends, die sofortige Aufmerksamkeit von CISO erfordern
Praktische Empfehlungen, die Unternehmen helfen, immer einen Schritt voraus zu sein