BLOG

26. September 2018 - Forscher der "Unit 42" von Palo Alto Networks haben eine neue Malware-Familie gefunden, die auf Linux- und Microsoft Windows-Server abzielt. "Unit 42" konnte diese Malware, die "Xbash" getauft wurde, mit der "Iron Group" in Verbindung bringen, eine von früheren Ransomware-Angriffen bekannte Bedrohungsgruppe. "Xbash" besitzt sowohl Ransomware wie auch Coinmining-Fähigkeiten. Weiter sind ebenfalls selbst-propagierende Funktionalitäten enthalten (Wurmähnliche Eigenschaften ähnlich wie bei WannaCry oder Petya/NotPetya). Es verfügt daneben über Funktionen, die derzeit noch nicht aktiviert sind, um eine schnelle Verbreitung innerhalb eines Unternehmensnetzwerkes zu ermöglichen (Wiederum ähnlich wie bei WannaCry oder Petya/NotPetya).

"Xbash" verbreitet sich über Angriffsversuche auf schwache/standardisierte Kennwörter sowie über ungepatchte Softwareschwachstellen.

"Xbash" ist höchst destruktiv und darauf ausgelegt ganze Datenbanken, als Teil seiner Ransomware-Fähigkeit, komplett zu zerstören. Palo Alto Networks konnte auch keine Funktionalität innerhalb von "Xbash" finden, welche eine Wiederherstellung nach der Lösegeldzahlung ermöglichen würde. Dies bedeutet, dass "Xbash", ähnlich wie "NotPetya", eine rein datenschädigende Malware ist, welche sich trotzdem als Ransomware ausgibt bzw. tarnt.

Organisationen können sich gegen "Xbash" schützen, indem sie:

• Starke, nicht standardmässige Kennwörter verwenden
• Aktuelle Sicherheitsupdates einspielen
• Eine Endpunktschutzlösung auch auf Microsoft Windows- und Linux-Server-Systemen implementieren
• Zugriffe auf unbekannte Hosts im Internet verhindern (um die Kommunikation mit Befehls- und Kontrollserver (C&C) zu verhindern)
• Implementierung und Wartung von rigorosen und effektiven Sicherungs- und Wiederherstellungsprozessen und -prozeduren praktizieren

Im Folgenden finden Sie einige genauere Informationen zu "Xbashs" Fähigkeiten:

• Es kombiniert Botnet, Coinmining, Ransomware und Selbstausbreitung
• Es zielt auf Linux-basierte Systeme für seine Ransomware- und Botnet-Fähigkeiten ab
• Es zielt auf Microsoft Windows-basierte Systeme für seine Coinmining- und Selbstausbreitungsfähigkeiten ab
• Die Ransomware-Komponente zielt und löscht Linux-basierte Datenbanken

Bis heute hat die "Unit 42" bereits 48 eingehende Transaktionen zu den entsprechenden Bitcoin-Wallets mit einem Gesamteinkommen von etwa 0,964 Bitcoins beobachtet, was bedeutet, dass 48 Opfer insgesamt etwa 6.000 US-Dollar bezahlt haben (zum Zeitpunkt der Erstellung dieses Artikels). Allerdings gibt es keine Beweise dafür, dass die bezahlten Lösegelder zu einer Wiederherstellung der Opferdatenbanken geführt haben. In der Tat kann "Unit 42" im Schadcode keinen Beweis für irgendeine Funktionalität finden, die eine Wiederherstellung durch eine Lösegeldzahlung ermöglicht würde. Die Analyse zeigt, dass dies wahrscheinlich die Arbeit der "Iron Group" ist, einer Gruppe, die öffentlich mit anderen Ransomwarekampagnen in Verbindung steht, einschliesslich jener, die das Fernsteuerungssystem (RCS) verwenden, dessen Quellcode im Jahr 2015 vom "HackingTeam" gestohlen wurde.

Übrigens: Kunden von Palo Alto Networks sind gegen "Xbash" geschützt.

Den ganzen Artikel mit weiteren, interessanten Informationen finden Sie hier.

25.09.2018 - Nehmen Sie beim ARP-GUARD Webinar vom 16. Oktober 2018 um 14.00 Uhr teil und erfahren Sie mehr über die Vorzüge und Neuerungen der aktuellen Version 4.0. Anmeldungen werden unter anmeldungen@isl.de entgegengenommen, bitte beachten Sie, dass die Teilnehmerzahl beschränkt ist.  

12. September 2018 - Cybersicherheit stellt im Finanzsektor noch immer ein grosses Problem dar. Während die Technologie sich in rasantem Tempo weiterentwickelt, verändern sich die Grundlagen der Finanzwirtschaft nur langsam. Diese und weitere Faktoren wie Expertenmangel nutzen Cyberkriminelle aus, um finanziellen Gewinn zu generieren – durch die Digitalisierung sogar in höherem Ausmass und mit weniger Aufwand. Daran muss sich etwas ändern – beispielsweise durch die Behebung folgender fünf Fehler, die Palo Alto Networks definiert.

1. Fehlende Sichtbarkeit digitaler Prozesse
Durch eine Trennung zwischen Technologie und Geschäft sind komplexe digitale Prozesse oftmals nicht in Echtzeit sichtbar. Dies verhindert die Identifikation von bösartigen Aktivitäten im Netzwerk. Finanzdienstleister sollten auf eine ganzheitliche Ausrichtung setzen, um reguläre Aktivitäten von Angriffen zu unterscheiden und schnelle Massnahmen einleiten zu können.

2. Langsame Freigabe von Cybersicherheitsmassnahmen
Obwohl Cloud-Computing-Ressourcen in kürzester Zeit erworben werden können, werden für die meisten Sicherheitsfunktionen feste Mehrjahresverträge abgeschlossen. Heutzutage erstellen Banken Anwendungen und digitale Dienste über mehrere Kanäle hinweg, was die Cybersicherheit berücksichtigen sollte. Um mit der digitalen Transformation mitzuhalten, sollte ein Cloud-first-Sicherheitsansatz in Erwägung gezogen werden.

3. Eine breite Angriffsfläche
Offene, vernetzte Systeme sind schneller und einfacher zu implementieren und werden daher von Banken gern genutzt. Allerdings fehlt hierdurch der Überblick über den Ursprung möglicher Risiken und deren Auswirkungen. Eine bessere Abstimmung zwischen Geschäftsprozessen und Technologie stellt sicher, dass nur der erforderliche Zugriff gewährt wird. Dieses Konzept des “Zero Trust Networking” reduziert die Auswirkungen im Falle eines Sicherheitsvorfalls.

4. Unzureichende Grundlagen
Auch wenn es viele der Grundlagen guter Cyberhygiene schon seit vielen Jahren gibt, ändern sich die Umgebungen der Anwendung ständig. Beispielsweise ist die Definition und Verwaltung von Geschäftspasswörtern in Public-Cloud-Bereichen in der Hälfte der Fälle schlecht. Folglich müssen die Verantwortlichen als ersten Schritt ihre grundlegenden Hausaufgaben erledigen, Passwortrichtlinien einhalten und effizient verwalten.

5. Cybersicherheit zu wenig automatisiert
DevOps-Strategien erfordern einen hohen Automatisierungsgrad und die native Einbettung von Sicherheit in jeden vollzogenen Prozess. Für einen Übergang zu DevSecOps sind sowohl die richtigen nativen Integrationspunkte, als auch Automatisierung, um diese in die Änderungsprozesssteuerung zu integrieren, nötig. Cybersicherheitslösungen müssen für das Tempo von zunehmend automatisierten Angriffen gewappnet sein.

Quelle: cloudmagazin.com, 14.08.2018
https://www.cloudmagazin.com/2018/08/14/cybersecurity-im-finanzsektor/

Ausserdem:
Lesen Sie ebenfalls das spannende Whitepaper „Cybersicherheitslösungen für die Finanzbranche“ zu diesem Thema.

06. September 2018 - Es scheint, als wäre nicht immer ganz klar, was Zero Trust wirklich bedeutet. Deshalb schafft Palo Alto Networks etwas Klarheit im Cybersicherheitsdschungel. In letzter Zeit hat das Sicherheitsprinzip Zero Trust deutlich an Akzeptanz gewonnen, vorallem auch durch spektakuläre Cyberangriffe auf diverse Firmennetze. Die Hersteller entwickeln aktuell viele entsprechende Sicherheitslösungen und immer mehr Organisationen greifen nun diesen Sicherheitsansatz auf. Obwohl das grundsätzliche Konzept an Popularität gewinnt, scheint nicht immer ganz klar zu sein, was Zero Trust wirklich bedeutet. 

Um herauszufinden ob jemand Zero Trust wirklich versteht, muss analysiert werden, wie diese Person über das Wort „Vertrauen“ spricht. Versucht ein Sicherheitsexperte etwas in einen „vertrauenswürdigen“ Zustand zu bringen, dann können Sie davon ausgehen, dass er oder sie den Begriff Zero Trust nicht versteht. Der Sinn von Zero Trust ist nicht Netzwerke, Clouds oder Endpunkte vertrauenswürdiger zu machen, sondern das Konzept des Vertrauens aus digitalen Systemen zu eliminieren. Das Vertrauensmass ist gleich „Null“, daher auch Zero Trust.

Ein klassisches „Vertrauen“ ist ein Gefühl, das sich auf das Vertrauen bezieht, das jemand in etwas setzt – aber in einem digitalen System geht es um Verwundbarkeit und Schwachstellen. In digitalen Systemen, wie zum Beispiel Netzwerken, ist klassisches Vertrauen fehl am Platz. Denn Cyberkriminelle nutzen dieses Vertrauen für ihren eigenen Vorteil aus und deshalb besteht eine grosse Gefahr, dass das grundsätzlich positive Vertrauen in ein digitales System untergraben und zum Risiko für die Datensicherheit wird.

Für viele Menschen ist es verwirrend, dass sich die digitale Welt im Laufe der Zeit total vermenschlicht hat. Die meisten verwechseln deshalb die Vertrauenswürdigkeit von Menschen mit der Vertrauenswürdigkeit von Datenpaketen. Indem die Pakete entpersonalisiert werden, können wir das tun, was wir tun müssen, nämlich die Pakete inspizieren und Zugriffskontrollmethoden anwenden. Auf diese Weise erhält das Paket nur Zugriff auf genehmigte Ressourcen zum genehmigten Zeitpunkt – und das alles wird protokolliert und analysiert. Dadurch kann beurteilt werden, ob ein bestimmtes digitales Verhalten tatsächlich stattgefunden hat.

Unternehmen, welche versuchen in eine Zero-Trust-Umgebung zu wechseln, müssten als ersten Schritt das Wort „Vertrauen“ aus ihrem Wortschatz eliminieren - wenn es sich um digitale Systeme handelt. Denn Vertrauen ist binär; es ist an oder aus. Darüber sollte man nachdenken statt voreilig den Begriff zu verwenden. Das alte Modell des Versuchs „vertrauenswürdige“ digitale Systeme zu schaffen, hat nie funktioniert, um Sicherheitsverletzungen zu verhindern. Wenn das Denken bezüglich Zero Trust reift, ist es unerlässlich das grundlegendste Prinzip des Konzepts zu verstehen: "Vertrauen ist nicht der gewünschte Zustand. Vertrauen ist die Schwachstelle, die es zu vermeiden gilt."

Lesen Sie den kompletten Bericht auf der Infopoint Security Seite

04. September 2018 - Die Palo Alto Networks IT-Sicherheitsexperten der Unit 42 haben in neueren Untersuchungen herausgefunden, dass Hacker speziell auf Heim-Router abzielen, um die Kontrolle zu übernehmen und diese für Angriffe auf andere Websites nutzen und so zum Absturz zu bringen.

Gegenüber Netzwerker.News erklärt Palo Alto Networks was es mit diesen Attacken auf sich hat und was die privaten Nutzer von Routern tun können. Lesen Sie anbei den Bericht:

Warum ist es von Bedeutung für mich und was kann passieren?

Diese Angriffe kann die Router privater Internetnutzer auf zwei Arten beeinträchtigen: 

1. Sie können die Internetverbindung verlangsamen oder unterbrechen.
2. Sie können Privatleute zu einem unwissentlichen Teilnehmer an Angriffen auf andere Websites machen.

Was verursacht diese Art von Angriff?

Schwache Passwörter und veraltete Software ermöglichen es Angreifern, heimlich die vollständige Kontrolle über die Heim-Router zu übernehmen.

Wie können Privateleute das verhindern?

Angreifer nehmen solche Heim-Router ins Visier, indem sie auf Standardkennwörter und veraltete Software auf den Routern zielen. Nutzer können für Sicherheit sorgen, indem sie das Passwort auf ihrem Router andern und die Software aktualisieren. Wenn sie sich nicht sicher sind, wie sie dies tun sollen, so können sie sich an ihren Internetanbieter wenden, der den Router zur Verfügung stellt.

Wie funktionieren diese Hackerangriffe auf die Router von Privathaushalten?

Wenn Geräte (in diesem Fall die Router) unter fremder Kontrolle stehen, spricht man von einem „Botnet“, einem Netzwerk von ferngesteuerten Systemen oder Geräten.

Thorsten Henning, Senior Systems Engineering Manager von Palo Alto Networks erklärt: „Wenn Angreifer die vollständige Kontrolle über den Heim-Router haben, können sie ihre Angriffssoftware installieren und das Gerät in einen „Bot“ verwandeln. Angriffe können alle kontrollierten Router in einem Botnet dazu bringen, alles zu tun, was sie wollen, einschließlich des Sendens riesiger Datenmengen, um zu versuchen, Websites zum Absturz zu bringen.“

Solche Angriffe werden als „Distributed Denial of Service“ oder „DDoS“-Angriffe bezeichnet. Angreifer benutzen sie aus verschiedenen Gründen:

• Persönliche oder politische Gründe
• Erpressung, um an Geld zu kommen oder damit sich Websitebetreiber einem Angriff stellen müssen
• Als Ablenkung für andere schwerwiegendere Angriffe
• Einfach nur, um Unruhe zu stiften

22. August 2018 - Die gute Nachricht zu erst: Angriffe durch Ransomware sind im Vergleich zum Vorjahr gesunken. Dies ergibt eine Umfrage von Barracuda, die weltweit rund 630 Unternehmen (145 aus Europa) konsultiert hat. Etwa ein Drittel (30 Prozent) der Firmen gibt demnach an, Opfer eines Ransomware-Angriffs geworden zu sein. Damit verzeichnet sich ein Rückgang im Vergleich zum Vorjahr (48 Prozent). Gleiches gilt für die Einschätzung der Bedrohungslage, auch wenn immer noch eine überwältigende Mehrheit (84 Prozent) Ransomware für eine Bedrohung der Unternehmenssicherheit hält (vgl. 91 Prozent in 2017).

Eine Umfrage von Barracuda legt es an den Tag: Zwar gehen die Ransomware-Angriffe zurück. Allerdings steigt die Bereitschaft der Opfer, auf die Forderungen der Cyberkriminellen einzugehen.

Quelle: Computerworld, Jens Stark, 22. August 2018

Lesen Sie den ganzen Artikel hier:
Computerworld.ch - Umfrage von Barracuda Networks "Ransomware - Die Zahlungsbereitschaft wächst"

15. August 2018 - Bereits seit 1999 entwickeln die IT-Experten der ISL Internet Sicherheitslösungen GmbH mit besonderem Fokus auf die Netzwerkzugangskontrolle (NAC). Als Ergebnis sorgt ARP-GUARD seit 2003 als weltweit erste wirtschaftliche NAC Lösung für kontrollierten und sicheren Zugang zu IT-Netzwerken.

Innovationsgetrieben schützt ARP-GUARD nicht nur vor internen Angriffen und dem unbemerkten Eindringen nicht autorisierter Geräte, vielmehr kombinieren die ISL Entwickler etablierte Verfahren wie RADIUS und SNMP ergänzen und sichern diese mit weiteren Authentisierungs-Methoden. Neben dem 802.1X IEEE Verfahren ist hier der ISL eigene "Fingerprint" mittels kryptographischem Verfahren hervorzuheben.

Die NAC Lösung ARP-GUARD erhöht die Verfügbarkeit Ihres Netzwerkes und sorgt für kontrollierten Zugriff auf Computer-Ressourcen und sichert den Zugang zu unternehmenskritischen Applikationen (Authentication, Authorization, Accounting (AAA)). ARP-GUARD unterstützt dabei aktiv Ihr IT-Sicherheitsmanagement.

Network Access Control mit ARP-GUARD - Die NAC-Lösung für jede Netzwerkgrösse
ARP-GUARD kommt branchenübergreifend zum Einsatz. Flexibilität, Architektur und Funktionsweisen der Sicherheitslösung eignen sich hervorragend für die Bereiche Gesundheitswesen, Industrie, Forschung, Handel, Finanzen, Bildung und Behörden. ARP-GUARD bedient zuverlässig Sicherheitsanforderungen der Standards ISO 27001 und DIN EN 80001-1, PCI/DSS sowie Zertifizierung auf der Basis des IT-Grundschutzes.

Sie möchten Ihre IT-Infrastruktur und Ihr IT-Sicherheitsmanagement optimieren und denken über die Einführung einer Netzwerkzugangskontrolle (NAC) nach?
Wir von Omicron sind bereits seit 2006 Partner von ISL und durften eine grosse Anzahl erfolgreicher Projekte mit ARP-GUARD umsetzen. Fragen Sie uns für weitere Details an, wir beraten Sie gerne.

Network Access Control in Zeiten von DSGVO und aktuellen Cyberbedrohungen - Veranstaltung am 28. März 2019 - Jetzt anmelden!

Übrigens, ARP-GUARD ist aktuell in der neusten Version 4.0 verfügbar. Jetzt testen oder Ihre Infrastruktur auf den neusten Stand updaten.

Datenblatt:
ARP-GUARD 4.0 - NAC smart und simple

10. August 2018 - Finanzdienstleister haben jahrzehntelang sehr hart am Cyberrisikomanagement gearbeitet. Der jüngste Bericht der Bank of England zeigt jedoch einen Anstieg jenes Anteils an Banken, die sagen, dass ein Cyberangriff das Risiko ist, das sie am schwierigsten bewältigen könnten. Warum ist die Cybersicherheit immer noch so ein Problem?

Palo Alto Networks nimmt das Thema "Cyber Security im Finanzsektor" unter die Lupe und gibt fünf wesentliche Ratschläge.

Die Grundlagen der Finanzwirtschaft verändern sich nur langsam, doch die Technologie in diesem Sektor entwickelt sich in einem rasanten, weiter zunehmenden Tempo. Genau dies wird von den Cybergegnern ausgenutzt. Das häufigste Ziel für Kriminelle ist der finanzielle Gewinn. Durch die Digitalisierung von immer mehr Finanzprozessen wird der Weg zu kriminellen Einnahmen kürzer und die „Renditen“ werden grösser.

Sicherlich hätte die Finanzbranche lernen müssen, wie man diese Angriffe verhindern kann. Hierzu gilt es jedoch auch die Auswirkungen eines immer komplexeren und sich weiterentwickelnden FinTech-Umfelds zu berücksichtigen. Die PSD2 (Payment Service Directive 2), eine EU-Richtlinie für Zahlungsdienstleister, zielt darauf ab, die Lieferkette für viele weitere Finanzdienstleister zu öffnen. Hinzu kommt die bestehende technische Infrastruktur des Bankensektors. Die IT-Anbieter entwickeln ihre Technologie immer schneller weiter, aber selbst finanzkräftige Banken können nicht im gleichen Tempo auf neuere Plattformen migrieren. Schliesslich gibt es noch den Faktor „Mensch“, einschliesslich des schlechten Sicherheitsbewusstseins und des Mangels an Fachkräften und Expertenwissen im Bereich der Cybersicherheit.

Damit sich etwas ändert, sind nach Meinung von Palo Alto Networks die folgenden Massnahmen erforderlich:

1. Finanzdienstleister müssen ihre komplexen digitalen Prozesse in Echtzeit sichtbar machen
2. Schnellere Freigabe von Cybersicherheitsmassnahmen bei Finanzinstituten
3. Verringern der Angriffsfläche
4. Die grundlegenden Hausaufgaben erledigen
5. Cybersicherheit viel stärker automatisieren

Lesen Sie den ganzen Artikel "Cybersecurity im Finanzsektor - Wie können Banken ihre Cybersicherheit verbessern?", mit den Details zu den 5 Punkten, hier:
https://www.infopoint-security.de/wie-koennen-banken-ihre-cybersicherheit-verbessern/a16527/

Quelle: Infopoint-Security.de, 10.08.2018, Herbert Wieler

Gerne zeigen wir Ihnen auch in einer Demonstration die Leistungsfähigkeit der IT-Sicherheitslösungen von Palo Alto Networks. Wir freuen uns auf Ihre Kontaktaufnahme.

07. August 2018 - Angriffsversuche über besonders präparierte Office-Daten gibt es seit vielen Jahren. Derzeit nehmen allerdings die Versuche von Kriminellen, über solche Dateien Schwachstellen in Unternehmensnetzwerken auszunutzen, wieder zu. Das Bewusstsein für das Problem und Vorbeugung sind deswegen nach wie vor nötig.

Der Versuch, mit entsprechend aufbereiteten Office-Dokumenten das System des Anwenders mit Malware zu infizieren, um darüber Lücken im Netzwerk auszunutzen, ist keine neue Erscheinung.
Allerdings scheinen diese Angriffsversuche aktuell eine Renaissance zu erleben. Das zeigen jedenfalls die Erfahrungen von Unit42, der Abteilung für Cybersicherheit des US-Unternehmens Palo Alto Networks, die in einem Blogbeitrag darüber berichtet.

Ganzer Artikel: Office-Dokumente - Gefährdungspotenzial bleibt hoch
Quelle: Datenschutz-Praxis.de, 07.08.2018, Stephan Lamprecht

Blogeintrag von Palo Alto Networks: The Gorgon Group - Slithering Between Nation State and Cybercrime

Gerne zeigen wir Ihnen auch in einer Demonstration die Leistungsfähigkeit der IT-Sicherheitslösungen von Palo Alto Networks. Wir freuen uns auf Ihre Kontaktaufnahme.

24. Juli 2018 - Nahezu täglich müssen sich IT Sicherheits- und Systemverantwortliche mit neuen, zunächst unbekannten Cyber Bedrohungen auseinandersetzen. Gerade wenn sogenannte Zero-Day Exploits und Malware ihr Unwesen treiben, ist es wichtig, dass die IT Sicherheitsexperten in der Organisation schnell, effektiv und vor allem möglichst automatisiert Gegenmassnahmen ergreifen können. 

Automatisierung ist hierbei der Schlüssel in der IT Sicherheit, der zur schnellen Erkennung und Abwehr von aufkeimenden Angriffsvektoren führt. 

Mit Palo Alto Networks WildFire werden unbekannte Bedrohungen innerhalb von Minuten in bekannte Bedrohungen verwandelt und Threat Intelligence, Analytics und Correlations geliefert. Mittels AutoFocus erhalten Organisationen detaillierte Informationen zu aktuellen Threats, deren Relevanz und Kontext. MineMeld ist die Palo Alto Networks Threat Intelligence Syndication Engine, mit der Threat Intelligence Informationen von Drittanbietern hinzugezogen und bestehende Informationen verdichtet werden können. Gemeinsam bieten diese drei Werkzeuge eine schlagkräftige automatisierte Lösung, um sich gegen unbekannte Bedrohungen, die Ihre Organisation oder Ihre Branche im Visier haben, zu schützen.  

Im Rahmen dieses Webinars geben wir Ihnen anhand von praktischen Use-Cases einen Einblick, wie die Palo Alto Networks Werkzeuge AutoFocus, MineMeld und WildFire hierfür gezielt eingesetzt werden und laden Sie herzlich zu unserer August-Ausgabe von "Die Zwei um Zwölf" ein.  

Das kostenlose Live-Webinar findet am 03. August 2018 um 12 Uhr, moderiert von Thorsten Kolb und Christopher Feussner von Palo Alto Networks, statt und wird ca. 60 Minuten dauern. Die Plätze sind limitiert, daher melden Sie sich noch heute an! Wir freuen uns auf Ihre Teilnahme.

Hier gehts zur Registration bei Palo Alto Networks.

Lesen Sie ausserdem dazu den aktuellen Testbericht von NSS Labs "Next Generation Firewall Test 2018":

• NSS Labs Bericht - NGFW Test 2018
• NSS Labs Bericht - NGFW Test 2018 - Security Value Map

Gerne zeigen wir Ihnen auch in einer Demonstration die Leistungsfähigkeit der IT-Sicherheitslösungen von Palo Alto Networks. Wir freuen uns auf Ihre Kontaktaufnahme.