Steigendes Risiko: Multi-Vektor-Angriffe als neue Norm

Wie eine konsolidierte Plattform diese Herausforderungen bewältigt

Mehr Vektoren heißt mehr Chancen

Nehmen Angreifer jedoch mehrere Angriffsflächen oder Angriffsvektoren auf einmal ins Visier, erhöht sich ihre Chance auf einen erfolgreichen Zugriff dramatisch.

Ein „Multi-Vektor-Angriff“ – also der Versuch, ein Netzwerk über mehrere Kompromittierungspunkte zu infiltrieren – war früher nur den raffiniertesten und finanzstärksten Angreifern vorbehalten. Heute sieht es anders aus. Angreifer setzen immer häufiger mehrere Taktiken gleichzeitig ein; manchmal, um verschiedene Verteidigungsmaßnahmen herauszufordern, manchmal, um subtile Sicherheitslücken auszunutzen, und manchmal einfach nur, um die Reaktionsfähigkeit eines Unternehmens zu überwältigen.

Aufgrund der zunehmenden Häufigkeit dieser Multi-Vektor-Angriffe ist ein stärker integrierter und gestraffter Sicherheitsansatz erforderlich – ein Ansatz mit weniger Nischendiensten.

Warum nutzen Angreifer auf diese Weise mehrere Vektoren?

Die Verwendung von zwei (oder mehr) Angriffsvektoren erhöht die Erfolgsquote des Angriffs. Wenn der Angriff auf mehrere Einstiegspunkte in einems Netzwerk abzielt (z. B. durch E-Mail-Phishing, Voice-Phishing und über eine Sicherheitslücke in einem VPN), muss nur einer dieser Versuche gelingen, damit der Angriff insgesamt zum Erfolg führt. Phishing ist genau aus diesem Grund ein häufiger Bestandteil von Multi-Vektor-Angriffen. Dieser Angriff basiert eher auf menschlichen Fehlern als auf Software-Schwachstellen und lässt sich daher nur schwer anhalten.

Leider werden diese Gefahren mit der Zunahme hybrider Arbeitsformen immer wahrscheinlicher. Der gut belegte Anstieg von „Bring-your-own-device“-Umgebungen (BYOD) hat das langjährige Netzwerkperimeter ausgehöhlt, gleichermaßen beigetragen haben die zunehmende Abhängigkeit von Public Cloud, SaaS-Anwendungen und unsicheren Drahtlosnetzwerken. Eine wachsende Zahl von weniger vertrauenswürdigen Identitäten und Geräten haben Zugriff auf sensible Daten, die im Internet gespeichert und gemeinsam genutzt werden. Dies schafft weitaus mehr Sicherheitslücken und verringert gleichzeitig die Transparenz und Kontrolle für Sicherheitsteams.

So ist es nicht verwunderlich, dass Ransomware im Jahr 2021 einen Rekord aufstellte und es in den ersten drei Quartalen des Jahres 2022 338,4 Millionen Ransomware-Versuche gab.

Raffinesse nicht erforderlich

Erreicht ein Unternehmen eine gewisse Größe und Komplexität, entstehen eine Reihe möglicher Angriffsvektoren. Angriffsvektoren sind Pfade oder Mittel, über die Angreifer auf ein Netzwerk oder Gerät zugreifen können. Die Open-Source-Matrix MITRE ATT&CK führt eine detaillierte Liste der verschiedenen Vektoren die Angreifer anvisieren, sowie der Taktiken und Techniken, die zu ihrer Ausnutzung eingesetzt werden.

Jüngste Beispiele zeigen, dass Angreifer die Vektoren im Verlauf einer einzigen Kampagne kombinieren. Im Jahr 2022 nutzte eine als 0ktapus bekannte Gruppe eine Kombination aus SMS-Phishing und dem Hintergrund-Download von Fernzugriffs-Malware, um mehr als 160 Organisationen zu attackieren – von denen viele in unterschiedlichem Ausmaß kompromittiert wurden. Ein entscheidender Punkt: Eine unabhängige Analyse des Angriffs zeigte, dass die Angreifer überraschend unerfahren waren. Sie waren weit entfernt von der Raffinesse, die man bei Multi-Vektor-Angriffen oft erwartet.

In ähnlicher Weise ereigneten sich in jüngster Zeit eine Reihe von Royal Ransomware-basierten Angriffen mit einer Kombination aus Phishing, dem Kompromittieren des Remote Desktop Protocol und dem Herunterladen von Malware, um kritische Infrastrukturen anzugreifen. Und die weit verbreitete Log4j-Sicherheitslücke bot Angreifern die Möglichkeit, die Kompromittierung der Supply Chain mit mehreren anderen Vektoren zu kombinieren.

Herausforderungen beim Abwehren von Multi-Vektor-Angriffen

Multi-Vektor-Angriffe auf Unternehmensnetzwerke lassen sich aus vielen Gründen nur schwer anhalten. Einer davon ist die nach wie vor verbreitete perimeterbasierte Sicherheitsstrategie. Wenn ein Angreifer einen Vektor ausnutzt, um sich beispielsweise Zugang zum VPN eines Unternehmens zu verschaffen, bekommt er eventuell ungehinderten Zugriff auf das gesamte Netzwerk.

Ein Mangel an Personal und Ressourcen ist ein weiteres Problem. Viele Unternehmen schaffen es nicht, ihr Sicherheitsteam aufzustocken und verfügen nicht über das nötige Budget, um nicht erfüllte Aufgaben an Anbieter von verwalteten Diensten auszulagern. Die meisten Unternehmen haben jahrzehntelang auf traditionelle Abwehrmechanismen gesetzt, doch heute sind die traditionellen Abwehrmechanismen durch die Zunahme von hybriden Arbeitsmethoden und hybrider Cloud überfordert. Für diese zwei Phänomene waren lokale Firewalls, Gateways und sogar Einzelsicherheitslösungen für die Cloud nicht gedacht.

Firewalls und Gateways für den Netzwerkperimeter reichen nicht aus, wenn Angreifer es auf persönliche Geräte oder Cloud-Bereitstellungen abgesehen haben. Vor allem dann nicht, wenn sie sich bereits innerhalb des Netzwerks befinden, was viel zu oft der Fall ist. Wenn der Sicherheitsstack komplex und fragmentiert ist und sich aus nicht kompatiblen Einzelprodukten zusammensetzt, entstehen Lücken, deren sich die Sicherheitskräfte nicht bewusst sind. Und das auch, wenn es sich bei den Einzellösungen an sich um die besten Produkte auf dem Markt handelt. Wenn ein Einzelproduktt böswillige Aktivitäten erkennt, kann es andere Lösungen nicht automatisch alarmieren. Stattdessen werden immer mehr Sicherheitswarnungen ausgelöst und entsteht eine Abstumpfung gegenüber Warnmeldungen.

Der Vorstoß in Richtung Cloud-nativer, plattformgesteuerte Bedrohungsabwehr

In der Vergangenheit gab es triftige Gründe für Unternehmen, ihre Netzwerke mit Einzelprodukten für jeden einzelnen Vektor zu schützen. Aber dieser Ansatz ist für moderne Multi-Vektor-Angriffe nicht gut geeignet. Stattdessen brauchen Unternehmen einen von Haus aus integrierten Ansatz – und zwar einen mit folgenden Eigenschaften:

1. Cloud-nativ und verteilt, sodass der gesamte Traffic die Sicherheitsplattform durchläuft, unabhängig von Protokoll, Ursprung oder Ziel. Es kann nicht mehr davon ausgegangen werden, dass Nutzer beim Zugriff auf Unternehmensressourcen und -daten Netzwerkverbindungen nutzen, die vom Unternehmen kontrolliert werden.

2. Enge Integration mit der Zugriffskontrolle über Authentifizierung, Autorisierung und Überwachung. Laterale Bewegungen sind für Angreifer einfacher, wenn Konten zu viele Zugriffsrechte genießen. Die Verifizierung (sowohl der Identität als auch des Kontexts) ist entscheidend. So sollte beispielsweise keiner Nutzerrolle und keinem Gerätetyp automatisch vertraut werden.

3. Widerstandsfähigkeit gegen Phishing. Phishing und Social Engineering sind weit verbreitete Techniken von Angreifern, die sich einen ersten Zugang verschaffen wollen. Viele Angriffe beginnen mit einer Phishing-E-Mail. So bedarf es eines umfassenden Schutzes gegen gezielte und täuschende Kampagnen, die darauf abzielen, Vertrauen aufzubauen und Mitarbeitende auszunutzen, indem sie sie über verschiedene Kommunikationsformen ansprechen (z. B. E-Mail, Web, soziale Netzwerke, IM und SMS).

4. Nahtlos für den Endnutzer. Browserbasierte Bedrohungen wie böswillige Skripte, Drive-by-Downloads und Diebstahl von Anmeldedaten sind mittlerweile vorprogrammiert. Die Remote-Browserisolierung kann ein Sicherheitsnetz bieten, das Nutzer vor unbekanntem und nicht vertrauenswürdigem Inhalt im Internet schützt, aber sie ist nur dann effektiv, wenn das Nutzungserlebnis nicht von dem eines lokalen Browsers zu unterscheiden ist.

5. Kosteneffizient.Unternehmen müssen Bedrohungen mit begrenzten Ressourcen bekämpfen. Ein klarer Weg ist es, die Sicherheitskosten zu senken, indem man für weniger Anbieter bezahlt und diese Anbieter sich auf eine plattformbasierte Sicherheitskonsolidierung konzentrieren.

Einzelprodukte und On-Premises-Hardware können bei der Umsetzung der oben genannten Prinzipien nicht helfen. Unternehmen benötigen heute eine weitreichende Bedrohungsabwehr über alle Angriffsvektoren – sowohl innerhalb als auch außerhalb des Netzwerks.

Cloudflare One konsolidiert die Bedrohungsabwehr und die On-Ramps, die für die Absicherung hybrider Arbeitsformen erforderlich sind. Cloudflare One wehrt Bedrohungen ab, indem es sichere Web-Gateway- und Cloud-E-Mail-Sicherheitsservices nativ integriert – mit Remote-Browserisolierung und Data Loss Prevention. Die Plattform geht über die Bedrohungsabwehr hinaus und integriert diese Dienste mit Zero Trust-Netzwerkzugang (ZTNA) und Cloud Access Security Broker (CASB) – Dienste, die den Zugang sichern.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Die Bandbreite der Angriffsvektoren, die heute verwendet werden

• Die MITRE ATT&CK-Matrix

• Herausforderungen bei der Bekämpfung von Multi-Vektor-Angriffen

• Wie eine konsolidierte Plattform diese Herausforderungen bewältigt

Verwandte Ressourcen

• Referenzarchitektur für eine internetnative Transformation

• Abstumpfung in Sicherheitsfragen gefährdet Unternehmen

• Whitepaper: Eine Roadmap zur Zero-Trust-Architektur