Am 7. Mai 2021 wurde das FBI "über eine Netzwerkstörung bei Colonial Pipeline" informiert. Später erfuhr die Öffentlichkeit, und das FBI bestätigte, dass diese Störung auf einen Ransomware-Angriff der russischsprachigen DarkSide-Ransomware-Bande mit Sitz in Osteuropa zurückzuführen war.
Ein Blick auf den Ransomware-Angriff auf die Colonial Pipeline 2021
Dieser Angriff führte zu einer Unterbrechung der Ölverteilung und zu einem Anstieg der Kraftstoffpreise in weiten Teilen der Ostküste der USA. Später wurde bekannt, dass dieser Verstoß durch ein wiederverwendetes Passwort in einem Virtual Private Network (VPN) ohne Multi-Faktor-Authentifizierung ermöglicht wurde. Diese Störung veranlasste Censys dazu, seine Plattform Universal Internet Dataset and Attack Surface Management (ASM) zu nutzen, um das Risiko und die Gefährdung kritischer Infrastrukturen und wichtiger Ressourcen (CIKR) in der Öl- und Gaspipeline-Industrie aus der Perspektive externer Angreifer zu ermitteln. Censys untersuchte nicht nur Colonial Pipeline, sondern auch 10 weitere führende Öl- und Gaspipelines in den USA.
Besuchen Sie uns auf dem Gartner Security & Risk Management Summit
Zusätzlich zu mindestens 17 Hosts, die dem Internet ausgesetzt waren und zu diesem Zeitpunkt noch veraltete Software verwendeten, sowie 48 Hosts, die unsichere Protokolle nutzten, entdeckte Censys mehr als 300 dem Internet ausgesetzte Anmeldeaufforderungen auf Hosts, die diesen Unternehmen gehörten, von denen mehr als 80 Zugriff auf Anlagen gewährten, die möglicherweise kritische Vorgänge kontrollierten, einschließlich Verwaltungsfenster und SCADA-Geräte.
Koloniale Pipeline: Bewertung der Risiken ein Jahr später
Ein Jahr später untersuchte Censys dieselben Unternehmen erneut mit unserer Attack Surface Management-Plattform, um festzustellen, ob sich ihre Internetbelastung verbessert hatte.
Erkenntnis Nr. 1: Die Angriffsflächen haben sich in allen Unternehmen erheblich vergrößert.
Auch wenn sich die Angriffsfläche nicht bei jedem Unternehmen vergrößert hat, hat Censys insgesamt einen Anstieg der öffentlich zugänglichen Hosts um 232 % und einen Anstieg der unsicheren Dienste/Protokolle, die auf der Gesamtzahl der Hosts laufen, um 66 % festgestellt. Wir beobachteten auch einen 130-prozentigen Anstieg der abgelaufenen Zertifikate im Zusammenhang mit der von uns analysierten Gruppe von Organisationen. Abgelaufene Zertifikate führen zu Warnungen in Webbrowsern, was einen Rückgang des Besucherverkehrs zur Folge haben kann; ein abgelaufenes Zertifikat lässt auch die Verschlüsselung fallen, was Websites für mögliche Man-in-the-Middle-Angriffe öffnet und es Angreifern ermöglicht, Benutzeranmeldedaten für Website-Anmeldungen abzufangen.
Es ist anzumerken, dass Censys im vergangenen Jahr beträchtliche Ressourcen in unsere Fähigkeit investiert hat, mehr Hosts zu entdecken, indem wir die Abdeckung unserer Port-Scans erhöht haben und in der Lage sind, mehr Protokolle zu identifizieren und mehr Software-Versionen zu identifizieren. Diese Verbesserungen könnten einen Einfluss darauf haben, warum die analysierten Angriffsflächen scheinbar gewachsen sind. Es sollte jedoch beachtet werden, dass, wenn Censys lediglich in der Lage war, mehr Angriffsflächen zu entdecken, die bereits existierten, die Angriffsflächen im Allgemeinen entweder gleich geblieben oder gestiegen sind. Wie auch immer, die wichtigste Erkenntnis ist, dass Angriffsflächen nicht statisch sind.
Die Angriffsfläche eines Unternehmens ändert sich wahrscheinlich von Woche zu Woche, von Tag zu Tag oder sogar von Stunde zu Stunde. Dies gilt insbesondere, da immer mehr Unternehmensbereiche wie Marketing und Personalwesen Cloud-Ressourcen nutzen können, um den Zugriff auf Daten zu verbessern. Da unsere Belegschaft wächst und schrumpft, können wir davon ausgehen, dass unsere Angriffsflächen entsprechend mitwachsen, was die Notwendigkeit einer umfassenden Abdeckung auf einer möglichst echtzeitnahen Basis unterstreicht.
Erkenntnis Nr. 2: Colonial Pipeline scheint wirksame Schritte unternommen zu haben, um seine Angriffsfläche zu verringern.
Colonial Pipeline konnte nicht nur seine digitalen Abläufe optimieren, indem es die Angriffsfläche insgesamt verringerte, sondern auch erhebliche Fortschritte bei der Reduzierung von Hosts mit veralteter, anfälliger Software, der Verringerung der Anzahl von Zertifikaten mit schwachen Chiffren und - was am wichtigsten ist - bei der Beseitigung von öffentlich zugänglichen Logins für mögliche kritische Ressourcen.
Diese Verbesserungen scheinen darauf zurückzuführen zu sein, dass die Führung von Colonial Pipeline aus den Fehlern gelernt hat, die zu dem Ransomware-Angriff geführt haben, und der digitalen Sicherheit Vorrang einräumt, da sie erkannt hat, dass öffentlich zugängliche digitale Sicherheitslücken für Bedrohungsakteure einen Angriffsmultiplikator darstellen. Solche Täter können über einen einzigen verwundbaren Angriffsvektor den gesamten Betrieb eines Unternehmens beeinträchtigen. Ein weiterer Beleg für die Bedeutung der digitalen Sicherheit ist die Ernennung eines CISO durch Colonial Pipeline im Februar 2022.
Erkenntnis Nr. 3: Von den 10 anderen Organisationen, die Censys beobachtet hat, hat nur eine einen Vollzeit-CISO.
Darüber hinaus hat die Organisation, die zum Zeitpunkt der Veröffentlichung des ersten Berichts durch Censys die geringsten Risiken aufwies, jetzt die meisten erkennbaren Risiken der gesamten Gruppe - diese Organisation hat keinen CISO. Viele erwarteten, dass ähnlich wie der Trend zu mehr Sicherheit im Finanzsektor in den letzten zwei Jahrzehnten, ein größerer Sicherheitsverstoß in der Öl- und Gaspipeline-Industrie andere dazu motivieren würde, der Sicherheit Vorrang einzuräumen und die Angriffsflächen zu verringern, um die Wahrscheinlichkeit eines störenden Cyberangriffs zu minimieren. Dies scheint jedoch nicht der Fall zu sein.
Es ist zwar schwierig, die Zunahme von Angriffsflächen und Risiken direkt mit dem Fehlen eines CISO in Verbindung zu bringen, aber es ist klar, dass sich Angriffsflächen mit der Zeit verändern. Und aufgrund der Zunahme von Geräten nicht nur bei den Mitarbeitern, sondern auch bei der Betriebstechnologie, die zur Überwachung und Kontrolle kritischer Infrastrukturen beiträgt, kann man mit Sicherheit sagen, dass die Angriffsflächen zunehmen.
Die Priorisierung der Sicherheit für ein Unternehmen und das Verständnis des Umfangs der eigenen Angriffsfläche erfordert eine Vollzeitstelle wie einen CISO mit der Befugnis, technische Entscheidungen zu treffen. Ein tägliches oder stündliches Verständnis der gesamten Angriffsfläche eines Unternehmens ist jedoch ohne eine Attack Surface Management-Plattform nicht möglich, die nicht nur bekannte Assets scannt, sondern auch neue digitale Assets entdeckt, die zu einem bestimmten Zeitpunkt online gehen, und damit verbundene Risiken zur Behebung aufzeigt.
Angreifer, die eine halbe Welt entfernt sind, automatisieren die Aufklärung - CISOs für kritische Infrastrukturen müssen Tools wie Attack Surface Management-Plattformen nutzen, um ihre Risiken zu kennen, bevor es die Angreifer tun, um zukünftige katastrophale Angriffe auf kritische Infrastrukturen zu vermeiden.
Haben Sie Fragen zum Attack Surface Management?
Rufen Sie uns an
Zu den weiteren Autoren dieses Blogs gehören Censys Technical Account Executive Tyler Crabtree und Product Marketing Manager Kaz Greene.
