Deshalb empfiehlt das BSI eine Anomalieerkennung zur Detektion von Log4Shell-bedingten Angriffen
Schnelles und komplettes Sicherheitspatching unwahrscheinlich
»Selbstverständlich steht an erster Stelle das Update aller im Unternehmen existierender Log4j-Bibliotheken auf die derzeit aktuellste Version. Jedoch begeben sich damit viele Unternehmen auf die sprichwörtliche Suche nach der Nadel im Heuhaufen«, erklärt Rhebo-CTO Martin Menschner. Nicht nur fehlt Unternehmen häufig die Klarheit darüber, welche Anwendungen die verwundbare Bibliothek nutzen. Es reicht auch kein einmaliges, globales Java-Update der Log4j-Bibliothek über die Softwareverwaltung der Betriebssysteme. Das BSI verweist explizit darauf, dass nur die jeweiligen »Softwarehersteller [das Update] vornehmen [können], die die Bibliothek in ihre Programme eingebunden haben«. Die daraus entstehende Komplexität der Mitigation wird weiter dadurch erschwert, dass Log4j seit Bekanntwerden der Schwachstelle bereits mehrfach aktualisiert wurde.
Zudem basieren laut BSI aktuell alle bekannten Mitigationsmaßnahmen, die die Nutzung der Bibliothek betreffen, auf dem Deaktivieren der problematischen Funktionalität. Systeme in Unternehmen, die auf die Funktionalität der Log4j-Bibliothek zwingend angewiesen sind, laufen somit Gefahr, nach Implementierung nicht mehr funktionsfähig zu sein. Insbesondere bei kritischen Services geraten u.a. Kritische Infrastrukturen und Industrieunternehmen in eine ausweglose Situation.
Darüber hinaus sollten sich Unternehmen auch nach einem Update nicht in Sicherheit wiegen. »Die Log4Shell-Schwachstelle könnte in einigen Unternehmen bereits ausgenutzt worden sein. Das heißt, mitunter haben sich Angreifende bereits in der IT oder – per lateraler Bewegung – in der Operational Technology (OT) etabliert und per Backdoors den Zugriff gesichert«, ergänzt Martin Menschner. Schließlich existiert die Schwachstelle seit über einem Jahr. Und Sicherheitsorganisationen weltweit haben seit dem offiziellen Bekanntwerden von Log4Shell im Dezember 2021 eine massive Zunahme von Netzwerkscans und -angriffen beobachtet (siehe auch den Kommentar zu Log4Shell von Rhebo).
Detektion von Anomalien sollte im Fokus stehen
Aus diesen Gründen empfiehlt das BSI Unternehmen, kurzfristig erweiterte Maßnahmen zur Detektion verdächtiger und schädlicher Kommunikationsvorgänge umzusetzen. Neben der Auswertung von Anfragedaten (z. B. über Webserver Logs) nennt das BSI explizit eine Anomalieerkennung auf Netzwerkebene. »Diese Lösung erkennt nicht nur bislang unbekannte Angriffsmuster, die typisch für Zero-Day-Schwachstellen sind«, erklärt Martin Menschner. »Sie meldet auch Vorgänge, die auf bereits bestehende Kompromittierungen hinweisen, wie beispielsweise laterale Bewegung, Änderung von Funktionen und Befehlsstrukturen in Systemen oder Scans«. Rhebo bietet mit seiner Next Generation OT Intrusion Detection eine Lösung, die speziell auf industrielle Netzwerke zugeschnitten ist.
Das OT-Monitoring überwacht die gesamte Kommunikation innerhalb eines industriellen Netzwerkes, während die integrierte Threat und Intrusion Detection jegliche Anomalie, also Abweichung, im Kommunikationsverhalten identifiziert und in Echtzeit meldet. Dadurch wird Kommunikation erkannt, die im überwachten Netzwerk neuartig ist und auf bösartiges Verhalten hinweist – von der Kommunikation über Backdoors, über laterale Bewegungen und Spoofing-Aktivitäten bis zum direkten Eingriff in industrielle Prozesse. Mit der Anomalieerkennung werden Aktionen von Angreifenden innerhalb des OT-Netzwerkes in Echtzeit sichtbar, nachvollziehbar und bekämpfbar, selbst wenn diese bislang unbekannte Signaturen nutzen oder authentifizierte Benutzerkonten übernommen haben. Für die schnelle Inbetriebnahme der Anomalieerkennung bietet Rhebo bei Bedarf technische Betriebsunterstützung oder eine umfängliche Managed Protection Dienstleistung. Um das Risiko abzuschätzen, ob bereits eine Kompromittierung in der OT vorliegt, empfiehlt sich zudem eine OT-Risikobewertung und -Sicherheitsanalyse.
Mehr Informationen zur Anomalieerkennung von Rhebo erhalten Sie unter https://rhebo.com/de/produkte/rhebo-industrial-protector/.
Rhebo entwickelt und vermarktet OT- und IIoT-Cybersecurity-Lösungen für Energieunternehmen, Kritische Infrastrukturen und Industrie. Das Unternehmen bietet standortübergreifende Cybersicherheit, Angriffserkennung und Sichtbarkeit in industriellen Netzwerken (ICS) durch OT-Monitoring und Threat & Intrusion Detection von der initialen Risikoanalyse bis zum Betrieb. Rhebo ist seit 2021 Teil der Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft mit weltweit rund 5.000 Mitarbeiter:innen in über 30 Ländern.
Rhebo ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Teletrust – Bundesverband IT-Sicherheit e.V.. Als vertrauenswürdiges IT-Sicherheitsunternehmen ist Rhebo offizieller Träger der Gütesiegel »IT Security Made in Germany« sowie »Cybersecurity Made In Europe«. https://rhebo.com/
Rhebo GmbH
Spinnereistr. 7
04179 Leipzig
Telefon: +49 (341) 393790-180
Telefax: +49 (341) 393790-0
http://www.rhebo.com
Public Relations
Telefon: +49 (341) 393790191
E-Mail: jens.pacholsky@rhebo.com