Kryptojacking mit Entschlüsselung und Inspektion abwehren
Investoren, Early Adopters und technikaffine Verbraucher sind nicht die einzigen, die sich heutzutage für Kryptowährungen interessieren. Cyberkriminelle verwenden jetzt Ransomware-ähnliche Taktiken und vergiftete Websites, um in die Computer von Unternehmensmitarbeitern einzudringen und sie heimlich für das Mining von Kryptowährungenzu nutzen - einExploit, der als Cryptojacking bezeichnet wird. Die Auswirkungen dieser Angriffe gehen über die gestohlene Rechenleistung und die unterminierte Mitarbeiterproduktivität hinaus. Indem sie in das Netzwerk des Zielunternehmens eingedrungen sind, haben die Hacker eine klaffende Schwachstelle in dessen Cyberabwehrfähigkeiten aufgezeigt. Da die Cryptojacking-Malware so konzipiert ist, dass sie im Laufe der Zeit nicht entdeckt wird, bleibt sie dauerhaft in der Unternehmensumgebung präsent und stellt eine ständige Bedrohung für die Abläufe des Unternehmens dar.
Die Verteidigung gegen Cryptojacking-Malware hängt von vielen der gleichen Taktiken ab, die für den Schutz vor Ransomware und anderer Malware verwendet werden - insbesondere von einem Zero-Trust-Sicherheitsmodell. Wie bei anderen Arten von Bedrohungen hängt die Wirksamkeit von Zero Trust von der Fähigkeit des Unternehmens ab, Malware, die sich im legitimen Datenverkehr verbirgt, am Eindringen in das eigene Netzwerk zu hindern. Dies wiederum hängt von der SSL-Inspektion ab, einem Prozess, der sich negativ auf die Leistung auswirken kann. Um Zero Trust als Teil einer Cybersicherheitsstrategie gegen Cryptojacking oder jede andere Art von Malware zu nutzen, müssen Unternehmen in der Lage sein, die Entschlüsselung, Inspektion und Wiederverschlüsselung des Netzwerkverkehrs mit hoher Geschwindigkeit und im Unternehmensmaßstab durchzuführen, ohne Leistungseinbußen oder übermäßige Komplexität in Kauf nehmen zu müssen.
Das Null-Vertrauensmodell ist ohne TLS-Prüfung bedeutungslos
Ohne spezielle TLS-Prüfung ist das Zero-Trust-Modell nicht in der Lage, unsere Netze, Nutzer und Daten vor Bedrohungen innerhalb und außerhalb des Netzes zu schützen.
Wie Kryptojacking funktioniert
Der Mechanismus des Cryptojacking ist unkompliziert und einfach. Die Hacker verleiten einen Mitarbeiter entweder durch einen Phishing-Angriff dazu, auf einen bösartigen E-Mail-Link zu klicken, oder sie infizieren eine Website oder eine Online-Anzeige mit JavaScript-Code, der automatisch im Browser ausgeführt wird, wenn die Website besucht wird. In beiden Fällen wird die infizierte Nutzlast auf dem Computer abgelegt, und der Kryptomining-Code beginnt mit seiner Arbeit, indem er den Computer des Opfers dazu benutzt, die komplexen mathematischen Probleme auszuführen, mit denen Kryptowährung geschürft wird. In einigen Fällen nutzt die Kryptojacking-Software Wurmfunktionen, um andere Geräte und Server in einem Netzwerk zu infizieren.
Während Angriffe wie Ransomware so konzipiert sind, dass sie ihre Anwesenheit verkünden und eine Reaktion des Opfers erzwingen, halten sich Kryptojacking-Skripte zurück, um sich der Entdeckung zu entziehen. Sie sind sorgfältig kalibriert, um gerade genug CPU-Verarbeitungsressourcen zu stehlen, um ihre Arbeit zu verrichten und möglicherweise Helpdesk-Ressourcen mit Fehlersuche und Abhilfemaßnahmen zu binden, ohne tatsächlich einen Alarm wegen einer Verletzung der Cybersicherheit auszulösen.
Eine wachsende Bedrohung - und ein Zeichen größerer Verwundbarkeit
Während ein Ransomware- oder Datenexfiltrationsangriff dramatischere Auswirkungen auf ein Unternehmen haben kann, darf auch ein Kryptojacking-Angriff nicht auf die leichte Schulter genommen werden. Zum einen zeigt ein erfolgreicher Angriff, dass die Hacker erfolgreich in die Cybersicherheitsabwehr des Unternehmens eingedrungen sind, was zeigt, dass das Unternehmen auch für andere Arten von Malware anfällig ist. Kryptojacking-Software, die für einen kontinuierlichen Ressourcendiebstahl konzipiert ist, ermöglicht es Cyberkriminellen außerdem, eine ständige Präsenz im Netzwerk des Opfers aufrechtzuerhalten und so möglicherweise den Weg für schwerwiegendere Schäden zu ebnen, wenn sich die Taktiken der Cyberkriminellen weiter entwickeln.
Kryptojacking erfreut sich unterdessen bei kriminellen Organisationen weiterhin großer Beliebtheit. Da Unternehmen immer besser in der Lage sind, die Auswirkungen von Ransomware-Angriffen zu erkennen und abzumildern, und immer weniger bereit sind, Lösegeld zu zahlen, bietet Cryptojacking eine sicherere Rendite für Hacker - vor allem, wenn man bedenkt, dass nur relativ geringe technische Fähigkeiten erforderlich sind. In einigen Fällen nutzen Hacker einfach die zuvor für Ransomware oder Adware verwendeten Verbreitungsmethoden, um Kryptomining-Software an das ahnungslose Ziel zu übermitteln. Im Jahr 2020 waren etwa 90 Prozent aller Angriffe mit Remote-Code-Ausführung mit Cryptomining verbunden, während Cryptojacking für 4,32 Prozent der gesamten im Umlauf befindlichen Kryptowährung Monero verantwortlich ist. Laut der Agentur der Europäischen Union für Cybersicherheit (ENISA) ist Kryptojacking zwischen März 2019 und März 2020 um 30 Prozent gestiegen. Docker, GitHub und Kubernetes haben sich allesamt als fruchtbarer Boden für Kryptomining-Malware erwiesen.
Risikominderung mit Zero Trust und Verkehrsüberwachung
Um Cryptojacking-Malware aus dem Netzwerk fernzuhalten - ebenso wie Ransomware und jede andere Art von Bedrohung - ist eine mehrschichtige Cybersicherheitsstrategie mit Zero Trust als Kernstück erforderlich. Da die traditionellen Konzepte von Sicherheitszonen, Perimetern und Netzwerksegmenten im Zeitalter von Cloud Computing, Remote-Arbeit und der sich entwickelnden Unternehmensarchitektur verschwinden, müssen Unternehmen in der Lage sein, sich gegen Angriffe von überall und jedem zu schützen - auch gegen Insider mit legitimem Zugang. Mit Zero Trust vertrauen Unternehmen "niemandem", weder innerhalb noch außerhalb des Netzwerks, und nutzen Mikrosegmente und Mikroperimeter, eingeschränkte Benutzerrechte, mehrschichtige Lösungsintegration und umfassende Transparenz, um Angriffe zu verhindern und Bedrohungen zu erkennen, wo immer sie ihren Ursprung haben.
Die Netzwerküberwachung spielt eine zentrale Rolle bei Zero Trust. Cryptojacking ist im unverschlüsselten Netzwerkverkehr relativ leicht zu erkennen, vor allem, da die Anbieter von Endpunktschutz- und Antivirensoftware ihre Produkte um eine Kryptomining-Erkennung erweitern. Die überwiegende Mehrheit des Internetverkehrs ist jedoch inzwischen mit SSL/TLS verschlüsselt, darunter über 90 Prozent des Datenverkehrs, der über Google-Dienste läuft, wobei andere Anbieter ähnliche Werte melden. Dies macht die SSL-Prüfung zu einem Schlüsselelement der Cybersicherheit gegen Kryptojacking und andere Malware.
Warum Zero Trust von zentraler, dedizierter SSL-Inspektion abhängt
Das Zero-Trust-Modell setzt eine vollständige Transparenz der Menschen und ihrer Aktivitäten voraus. Die weit verbreitete Verschlüsselung war zwar ein Segen für die Datensicherheit und den Schutz der Privatsphäre, hatte aber auch unbeabsichtigte Folgen für die Cybersicherheit, da sie es Hackern ermöglichte, Malware im legitimen Netzwerkverkehr zu verstecken und so Überwachungslösungen und andere Elemente des Netzwerksicherheitsstapels unwirksam zu machen.
Viele Sicherheitsanbieter haben dieses Problem erkannt und ihre Lösungen um eine SSL-Prüfung erweitert, um die Entschlüsselung, Prüfung und erneute Verschlüsselung des Datenverkehrs beim Eintritt und Austritt aus dem Unternehmen zu ermöglichen. Die verteilte Ausführung dieser Funktion mit separaten Entschlüsselungs-, Prüf- und Wiederverschlüsselungsprozessen führt jedoch zu Engpässen und Leistungsproblemen im Netzwerk, die die Servicequalität für Geschäftsanwender und Kunden ebenso beeinträchtigen können wie die Kryptojacking-Malware selbst. Die Notwendigkeit, private Schlüssel an mehreren Orten in der Sicherheitsinfrastruktur mit mehreren Anbietern und Geräten bereitzustellen, vergrößert die Angriffsfläche und erhöht das Risiko.
A10 Networks ermöglicht es Unternehmen, die Nachteile einer verteilten SSL-Inspektion durch eine dedizierte, zentralisierte SSL-Entschlüsselungslösung zu vermeiden. Mit dem Ansatz "einmal entschlüsseln, mehrmals prüfen" ermöglicht A10 Networks Thunder® SSL Insight der gesamten Sicherheitsinfrastruktur, den gesamten Datenverkehr im Klartext und mit hoher Geschwindigkeit zu prüfen, ohne die Leistungseinbußen und die übermäßige Komplexität, die mit dem traditionellen "einmal entschlüsseln, einmal prüfen" einhergehen. Mit diesem integrierten Ansatz kann jeder Teil des Sicherheitsstapels seine Aufgabe effektiver erfüllen, während die IT-Abteilung eine einfachere Möglichkeit erhält, die gesamte Infrastruktur zu verwalten.
Durch eine praktischere, effizientere Herangehensweise an die SSL-Inspektion können Organisationen das gesamte Spektrum der Zero-Trust-Prinzipien besser unterstützen, einschließlich:
- Durchführung der SSL-Prüfung auf eine Art und Weise, die es jedem Gerät ermöglicht, auf bestmögliche Weise zu funktionieren
- Ermöglichung einer umfassenden Überwachung und Prüfung des Datenverkehrs in der gesamten Netzwerkumgebung
- Anwendung des Konzepts des am wenigsten privilegierten Zugangs für jede Entscheidung über den Benutzerzugang
- Sicherstellung, dass die Richtlinien in der gesamten Umgebung und Organisation einheitlich definiert und durchgesetzt werden
- Sicherstellen, dass die Administratoren einen vollständigen Überblick über den gesamten Datenverkehr im Netz haben, der durch Datenanalysen und Automatisierung unterstützt wird, um sicherzustellen, dass die Systeme effizienter arbeiten.