SECURITY6. November 2024

Cybercrime kontra Intelligence Center: „OT gefährdet IT und IT die OT”

Andrew Grealy ist Head of Threat Intelligence bei Armis.Armis

Andrew Grealy ist Head of Threat Intelligence bei Armis. Er meint, dass die Echtzeit-Überwachung von Cyberrisiken über alle Arten von Assets hinweg gerade für Sektoren wie das Bankwesen, die stark von verschiedenen vernetzten Systemen abhängig sind, von entscheidender Bedeutung ist. Im Interview erklärt er, wie künstliche Intelligenz (KI) und maschinelles Lernen (ML) sowie ein Intelligence Center helfen können, Frühwarn-Konzepte umzusetzen.

von Dunja Koelwel

Herr Grealy, Sie meinten, es gäbe drei Sicherheitsprobleme bei Banken: IT, OT (Operational Technology) und Cloud. Was würde Ihnen als Banken-CISO die meisten Sorgen machen?

Die drei Probleme, die es zu lösen gilt, sind:

  • Zum Ersten: Zu wissen, was man hat (Geräte, Assets, Netzwerk, Cloud usw.) ist unerlässlich. Wenn man nicht weiß, was man hat, kann man es nicht schützen. Wir sehen, dass 60 Prozent der OT-Angriffe von der IT-Seite kommen, und wir sehen auch, dass OT genutzt wird, um die IT zu kompromittieren.
  • Zum Zweiten: Seien Sie den Bedrohungsakteuren einen Schritt voraus, damit Sie einen Angriff stoppen können, bevor er stattfinden kann.
  • Zum Dritten: Verwaltung und Priorisierung von Risiken und Behebung aller Sicherheitslücken von der Basis bis zur Cloud. Zu den Sicherheitslücken gehören fest codierte Passwörter, Fehlkonfigurationen, Schwachstellen, End-of-Life (EOL) usw. Passen Sie die Bedrohungslandschaft an Ihre Prioritäten an und versuchen Sie, die zugrundeliegende Schwachstelle zu beheben, anstatt nur eine Schwachstelle zu beheben. Zum Beispiel nutzen Menschen die Multi-Faktor-Authentifizierung (MFA), da es täglich zu Kontoübernahmen (ATO) kommt.

Armis hat ein sogenanntes Intelligence Center, hier können Sie Gefahren herunterbrechen auf Branchen und Devices und sehen, wo das höchste Risiko derzeit ist. Wie kann ich das verstehen und mit Blick auf Banken: Vor was würden Sie derzeit am meisten warnen?

Das KI-gesteuerte Intelligence Center bietet uns die Möglichkeit, Bedrohungen auf der Grundlage von Branchen und Geräten zu analysieren und zu kategorisieren. Die Überwachung von Cyberrisiken über alle Arten von Assets hinweg in Echtzeit ist für Sektoren wie das Bankwesen, die stark von verschiedenen vernetzten Systemen abhängig sind, von entscheidender Bedeutung.

Das Intelligence Center verfolgt kontinuierlich Milliarden von Geräten weltweit und baut eine dynamische Wissensbasis über Risikomuster und Bedrohungsverhalten auf. Diese kollektive Intelligence speist automatisch die gewonnenen Erkenntnisse in Armis Centrix, die Cyber Exposure Management Plattform, ein. Damit hilft sie, Einblick in die gesamte Angriffsfläche zu gewinnen, indem sie Sicherheitsteams benachrichtigt, wenn Assets außerhalb einer normalen, also gut bekannten Baseline, betrieben werden. Diese Fähigkeit ist besonders für Finanzinstitute von entscheidender Bedeutung, bei denen der Schutz von Kundendaten, die Einhaltung von Vorschriften und die Sicherheit von Transaktionssystemen nicht verhandelbar sind.

Wenn man den Bankensektor genauer unter die Lupe nimmt, würde ich mich auf einige Bereiche konzentrieren:

  • Banken geben viel Geld für „intelligente Gebäude“, kollaborative Geräte der nächsten Generation, POS-Systeme und VR/AR-Tools aus. Viele dieser OT/IOT-Geräte wurden jedoch nicht für moderne Cybersicherheitsbedrohungen entwickelt, wodurch sie anfällig sind. Daher sollte der Finanzsektor seinen Fokus verstärkt auf diese Bereiche richten. Man kann sehen, dass OT die IT und die IT die OT gefährdet.
  • Es sollte mehr Wert darauf gelegt werden, die von Bedrohungsakteuren genutzten Schwachstellen zu entschärfen/zu patchen. Die Erkennungsraten der meisten EDR-Tools sind bei diesen Arten von Angriffen, wie beispielsweise den Schwachstellen, die kontinuierlich mit der Mirai-Ransomware aktualisiert werden, deutlich zurückgegangen. Frühwarnung ist hier der Schlüssel.
  • Die wachsende Bedrohung durch Schwachstellen in Open-Source-Bibliotheken wird für Bankensysteme zu einem erheblichen Problem. Da fast jede Softwareanwendung weltweit Open-Source-Komponenten enthält, ist das Risiko, dass kompromittierte Bibliotheken die kritische Bankinfrastruktur beeinträchtigen, gestiegen. Die weit verbreitete Nutzung von Open-Source-Software bietet zwar Innovations- und Kostenvorteile, erfordert jedoch verstärkte Sicherheitsmaßnahmen, um eine potenzielle Ausnutzung durch Bedrohungsakteure zu verhindern.

Sie haben Log4Shell Ihrer Aussage nach zwei Monate früher entdeckt, als es bekannt wurde…wie machen Sie das?

Mit KI-gestützter Technologie, die das Dark Web, intelligente Honeypots und menschliche Intelligenz nutzt, hat unsere KI-basierte Bedrohungsermittlung Bedenken hinsichtlich eines Kommentars eines chinesischen Forschers zu einer möglichen Schwachstelle in Log4j geäußert. Wir haben dann herausgefunden, dass eine chinesische APT-Gruppe sich darauf konzentriert, diese Schwachstelle zu einer Waffe zu machen. Wir haben überprüft, ob der Exploit funktionieren würde, und dann einen Flash-Alert an unsere Kunden gesendet.

Sie meinten „early warning is key“ und das der einzige Weg dazu ist, Schwachstellen frühzeitig herauszufinden. Wie lassen sich Schwachstellen entdecken, bevor etwas passiert?

Mit künstlicher Intelligenz (KI) und maschinellem Lernen (ML) können Organisationen das Frühwarnkonzept anwenden, um Cyberangriffe bereits in der Formulierungsphase zu erkennen und zu stoppen. Durch umsetzbare Bedrohungsinformationen können Sicherheitsteams Erkenntnisse aus verschiedenen Quellen – Dark Web, intelligente Honeypots und menschliche Intelligenz – gewinnen, um Bedrohungen zu antizipieren und ihre Bedrohungsbestimmung zu verstehen. Wir haben Zugang zu speziellen Foren/Bedrohungsakteuren und können sehen, wie sie ihre Angriffe frühzeitig im Prozess formulieren und testen.

Wir platzieren unsere täuschungsbasierten Honeypots in der Nähe von Bedrohungsakteuren, damit sie ihre Angriffe auf unsere Infrastruktur üben, bevor sie sie auf Organisationen anwenden.”

In unserer KI-Sammlung finden wir Forschungsarbeiten, die für Bedrohungsakteure von Interesse sind und die wir bestimmen/reproduzieren, um die Bedrohung zu ermitteln. Ein Wechsel von einer reaktiven zu einer proaktiven Haltung ist heute wichtiger denn je, angesichts des Ausmaßes und der Geschwindigkeit der KI-gestützten Bedrohungsakteure von heute.

Andrew Grealy, Head of Threat Intelligence Armis
Andrew Grealy ist Head of Threat Intelligence bei Armis (Website). Zuvor hatte er das Security-Unternehmen CTCI gegründet, das von Armis übernommen wurde. Andrew Grealy hat einen Bachelor of Information Technology der University of Queensland.

Eine der großen Schwachstellen sind veraltete Browser, warum?

Aus diesen Gründen:

  • Ein häufiger und kritischer Einstiegspunkt für Cyberbedrohungen in Organisationen sind Ein- und Ausgänge, insbesondere bei E-Mail und Webbrowsern. Da die meisten E-Mails über Browser angezeigt werden, werden diese Angriffsvektoren mehrfach genutzt, was die Gefährdung erhöht. Da Browser in Organisationen allgegenwärtig sind, stellen sie ein breites und äußerst attraktives Ziel für Bedrohungsakteure dar.
  • Cyber-Angreifer automatisieren zunehmend Methoden, um Chrome-basierte Browser wie Microsoft Edge, Google Chrome und Apple Safari Webkit zu kompromittieren. Ein erhebliches Sicherheitsrisiko entsteht, wenn Unternehmen es versäumen, auf Servern in Rechenzentren aktuelle Browser zu installieren. Bei Aktivitäten wie Umbauten oder Wartungsarbeiten in diesen Rechenzentren können Benutzer versehentlich über Typo-Squatting auf bösartige Websites zugreifen oder Opfer von Phishing-Angriffen werden, was zur Kompromittierung von Servern und Infrastruktur führt.
  • Browser und andere Client-Anwendungen wie PDF-Reader sind häufig das Ziel von Malware, die Schwachstellen ausnutzt. Vor allem veraltete Browser stellen ein erhebliches Risiko dar, da sie nicht über die erforderlichen Sicherheitspatches und -updates verfügen und Unternehmen dadurch anfällig für Angriffe sind. Bedrohungsakteure nutzen diese bekannten Schwachstellen in ungepatchten Browsern routinemäßig aus, um sich unbefugten Zugriff zu verschaffen, Malware zu verbreiten und Datenlecks zu verursachen.
  • Für Sektoren wie das Bankwesen oder kritische Infrastrukturen, in denen Sicherheit von größter Bedeutung ist, erhöht die Verwendung veralteter Browser das Risiko einer netzwerkweiten Kompromittierung erheblich. Dies gefährdet nicht nur sensible Daten, sondern bedroht auch die Integrität und Verfügbarkeit wesentlicher Systeme. Regelmäßige Browser-Updates sind daher unerlässlich, um sicherzustellen, dass Organisationen gegen neu auftretende Cyber-Bedrohungen gewappnet sind. Dies ist die häufigste Art und Weise, wie die IT die OT gefährdet.

Herr Grealy, vielen Dank für das Interview.dk

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert