Fortinet veröffentlicht die Prognosen der FortiGuard Labs für 2021. Die Vorhersagen zeigen Strategien auf, die das Team in naher Zukunft von Cyber-Kriminellen erwartet und geben Empfehlungen, die Sicherheitsexperten beim Schutz vor bevorstehenden Angriffen unterstützen können. Die Highlights der Prognosen sind nachfolgend zusammengefasst.
Cyber-Kriminelle werden zukünftig Intelligent Edges, 5G-fähige Geräte und eine höhere Rechenleistung ausnutzen. Anstatt nur das Kernnetzwerk ins Visier zu nehmen, werden sie beträchtliche Ressourcen aufbringen, um neu entstehende Edge-Umgebungen, wie z.B. Remote-Mitarbeiter oder sogar neue OT-Edge-Umgebungen anzugreifen.
Dementsprechend ist für es IT-Sicherheitsexperten entscheidend, jetzt vorausschauend zu planen, indem sie die Vorteile von Künstlicher Intelligenz (KI) und Machine Learning (ML) nutzen, um Prävention, Erkennung und Reaktion auf Bedrohungen zu beschleunigen.
Intelligent Edge als Zielscheibe
In den letzten Jahren wurde die traditionelle Netzwerkumgebung durch verschiedene Edge-Umgebungen oder Szenarien wie WAN, Multi-Cloud, Rechenzentren, Remote-Mitarbeiter, IoT und andere ersetzt, die jeweils ihre eigenen Risiken bergen. Einer der größten Vorteile für Cyber-Kriminelle bei dieser Entwicklung ist, dass viele Unternehmen die zentrale Sichtbarkeit und einheitliche Kontrolle zugunsten von Leistung und digitaler Transformation geopfert haben.
- Trojaner zielen auf Edge
Wenn Remote-Mitarbeiter bereits Opfer von Cyber-Kriminellen sind, werden erfahrene Angreifer diese als Sprungbrett für weitere Aktionen nutzen. Angriffe auf Unternehmensnetzwerke, die von einem Heimnetzwerk aus gestartet werden, können – insbesondere wenn das Nutzerverhalten analysiert wurde – ohne Verdacht zu erregen ausgeführt werden.
Fortschrittliche Malware verschafft zudem mit Hilfe neuer EATs (Edge Access Trojaner) Zugang zu noch wertvolleren Daten und kann invasive Eingriffe, wie zum Beispiel das Abfangen von Anfragen aus dem lokalen Netzwerk, ausführen. So können weitere Systeme beeinträchtigt oder zusätzliche Angriffsbefehle ausgeführt werden.
- Edge-aktivierte Schwarm-Angriffe
Cyber-Kriminelle machen Fortschritte bei der Entwicklung und Durchführung von Schwarm-Angriffen. Diese Angriffe nutzen gekaperte 5G-fähige Geräte, die in Untergruppen mit jeweils spezialisierten Fähigkeiten unterteilt sind. Sie zielen als integriertes System auf Netzwerke oder Geräte ab und tauschen in Echtzeit Informationen aus, um den Angriff zu präzisieren – noch während er stattfindet.
Schwarm-Technologien erfordern eine große Menge an Rechenleistung, um einzelne Schwarm-Roboter aufzubauen und Informationen in einem Schwarm-Bot effizient auszutauschen. Dadurch sind sie in der Lage Schwachstellen schnell zu entdecken, um dann die Angriffsmethoden entsprechend daran anzupassen.
- Social Engineering wird intelligenter
Smart Devices, die mit dem Nutzer interagieren, werden in Zukunft nicht nur zur Angriffszielscheibe, sondern auch zu Kanälen für tiefergehende Angriffe. Wichtige Kontextinformationen zu Nutzern, einschließlich täglicher Gewohnheiten oder Finanzdaten, macht Social Engineering-basierte Angriffe erfolgreicher.
Intelligente Angriffe können zu weit mehr führen als ausschließlich zum Ausfall von Sicherheitssystemen, zum Deaktivieren von Kameras oder zum Fremdsteuern von Smart Devices. Sie können darüber hinaus Lösegeld fordern und zusätzliche Daten- oder Stealth-Angriffe ermöglichen.
- Lösegeldforderungen bei OT-Edges
Ransomware entwickelt sich ständig weiter, und da IT-Systeme zunehmend mit OT-Systemen (Operational Technology), insbesondere bei sogenannten Kritischen Infrastrukturen konvergieren, werden noch mehr Daten, Geräte und letztendlich auch Leben in Gefahr gebracht.
Erpressung und Verleumdung sind bereits Werkzeuge des Ransomware-Handels. In Zukunft werden Menschenleben in Gefahr sein, wenn Geräte und Sensoren am OT-Edge, zu denen Kritische Infrastrukturen gehören, zunehmend zur Zielscheibe von Cyber-Kriminellen werden.
Höhere Rechenleistung als Ziel
Andere Arten von Angriffen, die auf eine höhere Rechenleistung und auf Innovationen in der Konnektivität abzielen, werden vermehrt sichtbar und zielen speziell auf den Gewinn der Cyber-Kriminalität ab. IT-Sicherheitsexperten müssen dieser Form der Cyber-Kriminalität immer einen Schritt voraus sein.
- Fortgeschrittenes Kryptomining
Die Rechenleistung ist wichtig, wenn Cyber-Kriminelle zukünftige Angriffe mithilfe von ML und KI skalieren wollen. Cyber-Kriminelle könnten durch Kompromettierung von Edge-Geräten und Ausnutzung deren Rechenleistung massive Datenmengen verarbeiten und mehr darüber erfahren, wie und wann Edge-Geräte eingesetzt werden.
Dies ermöglicht in der Zukunft ein weitaus effektiveres Kryptomining. Infizierte PCs, die wegen ihrer Rechenressourcen gehackt werden, werden oft identifiziert, da sich die CPU-Nutzung direkt auf die Rechenleistung des Endnutzers auswirkt. Beeinträchtigte Sekundärgeräte können in diesem Zusammenhang weniger auffällig sein.
- Angriffe aus dem Weltraum
Die Konnektivität von Satellitensystemen und der Telekommunikation insgesamt stellen ein attraktives Ziel für Cyber-Kriminelle dar. In dem Maße, in dem neue Kommunikationssysteme skalieren und sich stärker auf ein Netzwerk von satellitenbasierten Systemen stützen, können Cyber-Kriminelle dies ins Visier nehmen.
Infolgedessen könnten Angreifer durch die Beeinträchtigung von Satelliten-Basisstationen und die anschließende Verbreitung dieser Malware über satellitengestützte Netzwerke, Millionen von verbundenen Nutzern beeinträchtigen oder DDoS-Angriffe durchführen, die lebenswichtige Kommunikation behindern können.
- Bedrohung durch Quanten-Computer
Aus Cybersecurity-Perspektive könnte das Quanten-Computing ein neues Risiko darstellen, wenn es zukünftig in der Lage ist, die Wirksamkeit der Verschlüsselung in Frage zu stellen. Die enorme Rechenleistung von Quanten-Computern könnte einige asymmetrische Verschlüsselungsalgorithmen knacken.
Unternehmen müssen sich darauf vorbereiten, zu quantenresistenten Kryptoalgorithmen überzugehen, indem sie das Prinzip der Kryptoagilität anwenden, um den Schutz von Daten zu gewährleisten. Der durchschnittliche Cyber-Kriminelle hat keinen Zugang zu Quanten-Computern, einige Nationalstaaten jedoch schon. Somit wird die mögliche Bedrohung Realität, insofern nicht jetzt ausreichend Vorbereitungen getroffen werden.
KI entscheidend für die Verteidigung gegen künftige Angriffe
Da fortschrittliche Angriffsszenarien nach und nach Realität werden, ist es nur eine Frage der Zeit, bis die Ressourcen, die diese Angriffe ermöglichen, zu einer Ware und als „Darknet-Service“ oder Teil von Open-Source-Toolkits verfügbar werden. Daher bedarf es eines sorgfältigen Zusammenspiels von Technologie, Mitarbeitern, Weiterbildung und Partnerschaften, um sich gegen zukünftige Cyber-Angriffe zu schützen.
- Weiterentwicklung von KI
Die Weiterentwicklung von KI ist entscheidend für die Angriffsverteidigung. Dazu gehört die Nutzung lokaler Lernknoten, die von ML als Teil eines integrierten Systems, ähnlich dem menschlichen Nervensystem, betrieben werden. KI-basierte Technologien, die Angriffe erkennen und abwehren können, müssen Realität werden, da die Cyber-Attacken der Zukunft in Mikrosekunden ausgeführt werden.
Die Hauptaufgabe des Menschen wird darin bestehen, dafür zu sorgen, dass die Sicherheitssysteme genügend Informationen erhalten, um Angriffe nicht nur aktiv abzuwehren, sondern auch vorauszusehen, und somit letztlich zu verhindern.
- Partnerschaften wichtig für die Zukunft
Von Unternehmen kann nicht erwartet werden, dass sie sich allein gegen Cyber-Angreifer verteidigen. Sie müssen wissen, wen sie im Falle eines Angriffs informieren müssen, damit die „Fingerabdrücke“ ordnungsgemäß weitergegeben werden und die Strafverfolgungsbehörden weitere Maßnahmen treffen können.
Anbieter von Cyber-Sicherheit, Bedrohungsforschungsorganisationen und andere Industrien müssen beim Informationsaustausch miteinander, sowie auch mit den Strafverfolgungsbehörden zusammenarbeiten, um gegnerische Infrastrukturen zu entlarven und künftige Angriffe zu verhindern. Da Cyber-Kriminelle keine Grenzen kennen, muss auch der Kampf gegen die Cyber-Kriminalität über Grenzen hinausgehen und Partnerschaften müssen gebildet werden.
- Auf Blue Teams setzen
Taktiken, Techniken und Verfahren von Bedrohungsakteuren (Tactics, Techniques, and Procedures, kurz TTPs), die von Threat Intelligence Teams für Bedrohungsszenarien erforscht, und zum Beispiel in Threat Actor Playbooks festgehalten werden, können in KI-Systeme eingespeist werden, um die Angriffsmuster zu erkennen. Ähnlich, wie Unternehmen Heatmaps von derzeit aktiven Bedrohungen anlegen, können intelligente Systeme proaktiv Netzwerkziele verschleiern und attraktive Köder (Decoys) entlang der Angriffspfade platzieren.
Blue Teams nehmen in diesem Zusammenhang eine übergeordnete Kontrollinstanz ein, sodass Unternehmen auf Angriffe reagieren können noch bevor sie geschehen. Diese Art der Weiterbildung gibt Security-Teams die Möglichkeit, ihre Fähigkeiten zu verbessern und gleichzeitig das Netzwerk zu schützen.
Derek Manky von FortiGuard Labs kommentiert die Ergebnisse:
„2020 hat gezeigt, dass Cyber-Kriminelle extreme Veränderungen in unserem täglichen Leben als Gelegenheit für Angriffe in einem noch nie dagewesenen Ausmaß nutzen. In 2021 und den darauffolgenden Jahren stehen wir – mit dem Aufkommen neuer Intelligent Edges – vor einem weiteren bedeutenden Wandel. Dabei geht es um weit mehr als um Endanwender und Geräte, die eine Remote-Verbindung mit einem Netzwerk besitzen.“
„Um dieser neuen Realität zuvorzukommen, müssen alle Edges Teil einer größeren, integrierten und automatisierten Security-Fabric-Plattform sein, die über das Kernnetzwerk, Multi-Cloud-Umgebungen, Zweigstellen und Remote-Mitarbeiter hinweg funktioniert.“