Die Bedrohungslandschaft für IT-Infrastrukturen wird zunehmend komplexer: Cyberkriminelle verwenden nicht nur immer raffiniertere Methoden, sie nutzen auch neue Angriffsvektoren und nehmen dabei immer häufiger Firmware ins Visier. Das zeigen die Ergebnisse unseres neuen Security Signals Reports. Was das für Unternehmen bedeutet und wie sie sich auf diese neue Angriffsform vorbereiten können, beleuchten wir in diesem Blogpost.
Bereits seit vielen Jahren beobachten wir, wie sich die Bedrohungen im Bereich der IT-Sicherheit kontinuierlich weiterentwickeln. Aktuell sehen wir eine Welle komplexer Angriffe, die auf Bereiche abzielen, die nicht durch die Cloud geschützt sind: Unser Security Signals Report zeigt, dass besonders Firmware-Angriffe auf dem Vormarsch sind – und Unternehmen der Absicherung dieses kritischen Bereichs nicht genügend Aufmerksamkeit schenken. „Es gibt zwei Arten von Unternehmen – diejenigen, die einen Firmware-Angriff erlebt haben, und diejenigen, die einen Firmware-Angriff erlebt haben, es aber nicht wissen“, warnt Azim Shafqat, Partner bei ISG und ehemaliger Managing-Vizepräsident bei Gartner.
Security Signals Report: Angriffe entwickeln sich schneller als die Investitionen in Verteidigungsmaßnahmen
Der Security-Signals Report ist ein umfassender Forschungsreport, den die Hypothesis Group im Auftrag von Microsoft erstellt hat. Darin fließen die Ergebnisse aus Interviews mit 1.000 Sicherheitsentscheider*innen von Unternehmen aus verschiedenen Branchen in den USA, Großbritannien, Deutschland, China und Japan zusammen. Die wichtigste Erkenntnis: Die Angriffe auf Firmware entwickeln sich schneller als die Investitionen, die darauf abzielen, sie zu stoppen. Dem Report zufolge haben mehr als 80 Prozent der befragten Unternehmen in den letzten zwei Jahren mindestens einen Firmware-Angriff erlebt, aber nur 29 Prozent des Sicherheitsbudgets stehen für den Schutz der Firmware bereit.
Die Studie zeigt, dass die Unternehmen aktuell in Sicherheitsupdates, Schwachstellen-Scans und fortschrittliche Lösungen zum Schutz vor Bedrohungen investieren. Trotzdem sind viele Sicherheitsentscheider*innen besorgt über den Zugriff von Malware auf ihr System sowie die Schwierigkeit, Bedrohungen zu erkennen. Das legt nahe, dass Firmware schwieriger zu überwachen und zu kontrollieren ist.
Doch das Blatt könnte sich wenden und Firmware-Exploits künftig erschweren. Eine neu aufkommende Klasse von Secured-Core-Hardware zeigt, wie Unternehmen sich mit Sicherheit auf Chip-Ebene sowie neuen Automatisierungs- und Analysefunktionen schützen können.
Firmware ist fruchtbarer Boden für das Einschleusen von bösartigem Code
Die Firmware ist ein weiterer Layer unterhalb des Betriebssystems. Da sie zum Speichern sensibler Informationen wie Anmeldedaten und Kodierungsschlüsseln dient, entwickelt sie sich zu einem Hauptziel von Attacken. Viele der heute auf dem Markt erhältlichen Geräte bieten keinen Einblick in diesen Layer, um sicherzustellen, dass Angreifer*innen ein Gerät nicht vor dem Boot-Prozess oder dem Hochfahren des Kernels kompromittiert haben. Angreifer*innen machen sich das zunutze.
Nach Angaben des National Institute of Science and Technology (NIST) ist die Zahl der Angriffe auf Firmware in den letzten vier Jahren um mehr als das Fünffache gestiegen. Die Angreifer*innen haben ihre Techniken während dieser Zeit weiter verfeinert und sind bei der Umgehung des reinen Softwareschutzes vorangekommen. Dennoch wächst das Bewusstsein für diese Art von Bedrohung nur langsam, wie der Security Signals Report zeigt. So glauben Sicherheitsentscheider*innen, dass eine Bedrohung durch Angriffe auf Software dreimal so groß ist wie durch entsprechende Attacken auf Firmware.
Der OS-Kernel – eine wachsende Schwachstelle in der Verteidigung
Ein Blick auf die Investitionen der befragten Sicherheitsentscheider*innen bestätigt diese Diskrepanz. Hardware-basierte Sicherheitsfunktionen wie Kernel Data Protection (KDP) oder Speicherverschlüsselung, die Malware oder Cyberkriminelle davon abhält, den Kernel-Speicher des Betriebssystems zu beschädigen oder ihn während der Laufzeit auszulesen, sind ein wichtiger Indikator dafür, wie sich Organisationen auf einen Angriff auf Kernel-Ebene vorbereiten. Dem Security Signals Report zufolge investieren aber nur 36 Prozent der Unternehmen in Hardware-basierte Speicherverschlüsselung und weniger als die Hälfte (46 Prozent) in Hardware-basierte Kernel-Schutzmaßnahmen. Zudem zeigt der Report, dass sich Sicherheitsteams zu sehr auf veraltete „Protect and Detect“-Modelle konzentrieren und nicht genug Zeit für strategische Arbeit verwenden. Nur 39 Prozent ihrer Zeit nutzen Sicherheitsteams für Prävention und sie gehen nicht davon aus, dass sich das in den nächsten zwei Jahren ändern wird. Der Mangel an Investitionen in proaktive Abwehrmaßnahmen im Bereich der Kernel-Angriffe ist ein Beispiel für dieses überholte Modell.
Physische Angriffe mit Hardware
Zusätzlich zu den Firmware-Angriffen gaben die Befragten an, dass sie sich Sorgen über Angriffsvektoren machen, die über die Hardware möglichen Angriffen ausgesetzt sind. Der jüngste ThunderSpy-Angriff zielte auf Thunderbolt-Ports ab und nutzte die DMA-Funktionalität (Direct Memory Access), um Geräte über den Hardwarezugriff auf den Thunderbolt-Controller zu kompromittieren. Eine weitere Schwachstelle, die sich nicht beheben lässt, wurde im T2-Sicherheitschip gefunden, der in vielen gängigen Consumer-Geräten eingesetzt wird. Weitere größere Firmware-Angriffe im letzten Jahr waren unter anderem die Angriffe RobbinHood, Uburos, Derusbi, Sauron und GrayFish, die allesamt Schwachstellen in Treibern ausnutzten.
Investitionen nehmen zu – und zahlen sich aus
Viele Unternehmen erkennen, wie wichtig Investitionen in die IT-Sicherheit angesichts der globalen Bedrohungslage sind. 81 Prozent der befragten Unternehmen aus Deutschland geben an, dass sie für Beschaffungen von Sicherheitslösungen bereit sind. In China sind es sogar 95 Prozent der Unternehmen, in Großbritannien, den USA und Japan jeweils 91 Prozent. In regulierten Wirtschaftszweigen wollen 89 Prozent der Unternehmen in ihre IT-Sicherheit investieren, wobei Unternehmen aus der Finanzindustrie weniger bereit für Investitionen sind als jene in anderen Märkten.
Wer investiert, wird belohnt: Nahezu zwei Drittel (65 Prozent) der IT-Entscheider*innen geben an, dass die Investition in Sicherheitslösungen zu einer erhöhten Effizienz der gesamten Organisation geführt habe. So haben IT-Sicherheitsteams nun mehr Zeit für andere Projekte, die Ausfallzeit der Systeme wurde reduziert, Geschäftskontinuität sichergestellt und Investitionen eingespart, die an anderer Stelle benötigt wurden. Über alle Branchen hinweg können bewährte Konzepte den Grundstein für eine erfolgreiche Sicherheitsstrategie legen – mit Automatisierung, erhöhter Proaktivität und messbarem Fortschritt bei der Sicherheit.
Hardware-Sicherheit ist zentral zum Schutz vor zukünftigen Bedrohungen
Wir haben gemeinsam mit unseren Partnern eine neue Geräteklasse entwickelt: Secured-Core-PCs. Sie sind so designt, dass sie Angriffe auf die Firmware verhindern. Wie auf der diesjährigen Microsoft Ignite angekündigt, haben wir diesen Ansatz zuletzt auch auf Server und Internet-of-Things-Geräte erweitert.
Unser „Zero Trust“-Ansatz erlaubt IT-Entscheider*innen, ihre Ressourcen für die Prävention zukünftiger Attacken aufzuwenden, statt permanent aktuelle Angriffe abwehren zu müssen. Unsere Studie belegt, dass Sicherheitsexpert*innen, die in Secured-Core-PCs investiert haben, sich zuversichtlicher mit ihren Sicherheitsvorkehrungen und in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität der Daten zeigen im Vergleich zu jenen, die noch nicht auf diese Technologie setzen. Eine Analyse der Microsoft Threat Intelligence-Daten ergibt, dass Secured-Core-PCs einen Schutz vor einer Infektion der Firmware bieten, der mehr als doppelt so groß ist wie jener der Non-Secured-Core-PCs. 60 Prozent der Unternehmen, die in Secured-Core-PCs investiert haben, geben die Beobachtung und Kontrolle der Lieferkette als Hauptgrund dafür an. Laut dem „State of Cyber Resilience“-Report der Unternehmensberatung Accenture machen indirekte Attacken in der Lieferkette mittlerweile etwa 40 Prozent aller Sicherheitsvorfälle aus.
Secured-Core-PCs bieten mit Funktionen wie Virtualization-Based Security, Credential Guard und Kernel-DMA-Schutz. Der Security-Signals-Report zeigt zudem, dass Unternehmen in größere Geräte investieren, um ihre Hardware zu schützen. Gemeinsam mit unseren Partnern AMD und Intel haben wir die Erweiterung von Secure-Core auf Server und Edge-Geräte auf unserer virtuellen Spring Ignite angekündigt. Weitere Informationen zu den mehr als 100 zertifizierten Secured-Core-PCs, die bereits von Microsoft, Acer, Dell, HP, Lenovo, Panasonic und anderen Herstellern erhältlich sind, haben wir hier bereitgestellt.
Insgesamt wollen Unternehmen proaktivere Strategien für die Sicherheit einführen, insbesondere wenn es darum geht, Firmware-Angriffe abzuwehren. Das ist das zentrale Ergebnis des Security Signals Report. Wir bei Microsoft arbeiten daran, diesen Bedarf der Unternehmen abzudecken. Dazu kooperieren wir mit führenden PC-Herstellern und Silizium-Anbietern, um proaktive Strategien für die Gerätesicherheit zu entwickeln und Unternehmen so dabei zu unterstützen, ihre IT weiterhin auf allen Ebenen umfassend zu schützen.
Ein Beitrag von Stratos Komotoglou
Head of Security, Compliance, Identity Customer Success bei Microsoft Deutschland
@HerrStratos