Netzwerkbedrohungen (Network-Delivered Threats)

Wie funktioniert das?

Netzwerkbedrohungen (Network-Delivered Threats) gehören gewöhnlich zu einer von zwei grundlegenden Arten:

  • Passive Netzwerkbedrohungen: Aktivitäten wie Abhören und Zombie Scans (Idle Scans), die Verkehr durch das Netzwerk abfangen.
  • Aktive Netzwerkbedrohungen: Aktivitäten wie DoS-Angriffe (Denial of Service) und SQL-Einschleusungsangriffe, bei denen der Angreifer versucht, Befehle auszuführen, um den normalen Netzwerkbetrieb zu unterbrechen.

Um einen erfolgreichen Netzwerkangriff auszuführen, müssen Angreifer in der Regel aktiv in die Infrastruktur eines Unternehmens eindringen (Hacking), um Software-Schwachstellen auszunutzen, durch die Befehle an den internen Betriebssystemen aus der Ferne ausgeführt werden können. DoS-Angriffe und Shared Network Hijacking (Beispiel: wenn ein Unternehmensbenutzer in einem öffentlichen WLAN-Netz aktiv ist) der Kommunikation sind Ausnahmen.

Angreifer erhalten gewöhnlich über Netzwerkbedrohungen per E-Mail Zugriff auf interne Betriebssysteme, wodurch anfänglich bestimmte Computer infiziert werden. Danach wird vom Angreifer gesteuerte Malware installiert, damit sich der Angreifer lateral ausbreiten kann. Dies erhöht die Wahrscheinlichkeit, nicht schon beim Eindringen erkannt zu werden, und bietet dem Angreifer gleichzeitig einen mühelosen Zugangspunkt.

Eines neuen Microsoft Security-Intelligence-Berichts nach ist für mehr als 45 % von Malware ein Benutzereingriff erforderlich. Das bedeutet, dass an Benutzer gerichtete E-Mail zum Täuschen der Benutzer die primäre Taktik ist, mit denen Angreifer Zugriff erlangen wollen.

Einige Angriffe zielen darauf ab, den Betrieb einer Organisation zu unterbrechen, anstatt stillschweigend Informationen für finanziellen Gewinn oder Spionage zu sammeln. Die häufigste Methode wird als DoS-Angriff (Denial of Service) bezeichnet. Diese Angriffe überlasten die Netzwerkressourcen wie Web- und E-Mail-Gateways, Router, Switches usw. und verhindern Benutzer- und Anwendungszugriff, wodurch ein Dienst praktisch offline geschaltet oder die Qualität des Services stark beeinträchtigt wird. Dazu ist nicht unbedingt aktives „Hacking“ erforderlich. Dies beruht auf der Fähigkeit des Angreifers, den Verkehr zu einer Organisation so stark zu erhöhen, um falsch konfigurierte oder mangelhaft geschützte Infrastruktur auszunutzen. Das bedeutet, dass Angreifer häufig ein Netzwerk aus beeinträchtigten Computersystemen nutzen, die parallel arbeiten, um das Ziel zu überwältigen. Dies wird als DDoS-Angriff (Distributed Denial of Service) bezeichnet. In vielen Fällen starten Angreifer DoS- und DDoS-Angriffe, während gleichzeitig aktives Hacking oder Verschicken von schädlichen E-Mails versucht wird, um durch Ablenkungen die eigentliche Motive den Informationssicherheitsteams gegenüber zu verschleiern.

Während Erkennung, Verstärkung der Grenzen (Perimeter Hardening) und das Korrigieren von Prozessen erforderlich ist, um die Gefahren durch aktive und passive Netzwerkbedrohungen abzuwenden, müssen sich Orgnisationen als Ausgangspunkt speziell vor per E-Mail verbreiteten Angriffen schützen, um die daraus resultierenden Netzwerkbedrohungen erfolgreich abzuwehren.