Beiträge

Citrix-Sicherheitslücke: Panda-Security bietet auch Nicht-Kunden Schutz / Adaptive Defense 360-Nutzer haben nichts zu befürchten

Die seit Dezember bekannte Sicherheitslücke der Citrix-Netzwerkgeräte wird seit einigen Tagen in großem Ausmaß für Angriffe genutzt. Gerade aufgrund der hohen Anzahl potenziell gefährdeter Endpoints und Server sieht das CISA die Schwachstelle als eine der gefährlichsten Exploits der letzten Jahre an. Ein Patch für diese kritische Zero-Day-Lücke mit der Kennung CVE-2019-19781 soll erst Ende Januar veröffentlicht werden. Schnelle Hilfe bietet Panda Security und das auch für Nicht-Kunden. Unternehmen, die Pandas IT-Security-Lösung „Adaptive-Defense 360“ (AD 360) nutzen, haben generell nichts zu befürchten. Die dynamische Anti-Exploit-Technologie in Kombination mit dem 100-prozentigen „Attestation Service“ überwacht das Verhalten aller Prozesse und sucht nach Anomalien. Dies ist unabhängig von den im Angriff verwendeten Exploits hochgradig effektiv und verhindert die Ausnutzung von noch nicht geschlossenen Sicherheitslücken – egal ob bekannt oder unbekannt.

Aber auch Unternehmen, Behörden und Institute, die eine andere Sicherheitslösung im Einsatz haben, profitieren in dieser Gefahrenlage von Pandas ausgefeilter Technologie. So offeriert der IT-Security-Experte eine Cybersicherheitslösung die schnell und problemlos in jedem IT-System ausgerollt werden kann – parallel zum bestehenden Sicherheitskonzept. Kann also ein System durch die Abhängigkeiten mit anderer Software – wie im Fall der Citrix-Sicherheitslücke – nicht vollständig gepatched werden, bleibt die Lücke zwar offen, aber „Adaptive Defense 360“ von Panda Security verhindert vollautomatisch, dass diese Sicherheitslücke ausgenutzt werden kann. Bereits befallene Endpoints können unverzüglich isoliert und desinfiziert werden, ohne, dass dies den Workflow beeinträchtigt. Mit dem zukunftsweisenden „Advanced Reporting Tool“ (ART) von Panda lassen sich darüber hinaus mit nur einem Klick detaillierte Rückschlüsse aus dem IT- und Sicherheitsmanagement des Unternehmens ziehen. Dabei spielt die Analyse aller Telemetriedaten eines Unternehmens – also auch solche, die nicht als sicherheitsrelevant gelten oder als unbedenklich eingestuft werden – eine entscheidende Rolle.

Potenziell um die 80.000 Unternehmen weltweit gefährdet
Die bekannte Schwachstelle mit der Kennung CVE-2019-19781 kann eine große Gefahr für viele Unternehmen bedeuten. Mehrere Citrix-Produkte seien davon betroffen, ein Patch für diese kritische Lücke wird nach aktuellem Stand erst Ende Januar veröffentlicht werden, bis dahin sind Workarounds bis zum Update bereitgestellt worden.

Konfigurationsabhängig können Citrix-Anwendungen für die Anbindung von Arbeitsplätzen und geschäftskritischen Systemen (einschließlich ERP) genutzt werden. Diese sind in fast allen Fällen am Rande des Unternehmensnetzwerks zugänglich und werden daher als erstes angegriffen.

In den letzten Wochen haben Sicherheitsforscher laufende Scans für Citrix Application Delivery Controller (NetScaler ADC) und Citrix Gateway (NetScaler Gateway) Server durchgeführt: Zahlreiche Exploits wurden veröffentlicht, die es den Angreifern ermöglichen, die Kontrolle von Geräten zu übernehmen. CVE-2019-19781 ist im Base Rating als 9.8 Critical CVSS v3.1 bewertet. Bei einem erfolgreichen Hack wird nicht authentifizierten Angreifern erlaubt, auf Verzeichnisse zuzugreifen und dort die Ausführung eines beliebigen Codes durchzuführen.

Es ist möglich, dass ein Code, der vielleicht noch gar nicht schädlicher Natur ist, nicht sofort, sondern erst zu einem späteren Zeitpunkt ausgeführt wird. Aufgrund dieser Tatsache ist es notwendig, jede IT-Infrastruktur auf den technologisch modernsten Stand zu bringen und in Echtzeit sowie proaktiv alle laufenden Prozesse im Unternehmensnetzwerk 100-prozentig zu klassifizieren. Adaptive Defense 360 bietet dies und zudem einen Schutz gegen Zero-Day-Exploits, welche in den meisten Unternehmen und Organisationen außer Acht gelassen werden. Außerdem liegt eine Citrix-Zertifizierung vor, sodass eine Implementierung auch in größeren VDI-Umgebungen (Virtual Desktop Infrastructure) keine Herausforderungen darstellt.

Interessenten bietet Panda effektive, unbürokratische Hilfe und steht unter der Hotline 02065 961-200 für Fragen zur Verfügung.

Ansprechpartner für Journalisten: Nadine Konstanty • nadine(at)konstant.de

Insider-Bedrohungen erkennen und Hacker aufspüren: Ein Praxisbeispiel

Die Gefahr durch Datenlecks aus dem Inneren einer Organisation ist mindestens genauso groß wie durch Hackerangriffe, die von außen stattfinden. Laut aktuellem Insider Threat Index sollen in Europa Insider-Bedrohungen zwar leicht gesunken sein, aber immer noch sind 38 Prozent der Sicherheitsvorfälle auf die direkte Bedrohung durch böswillige oder unachtsame Mitarbeiter zurückzuführen. Entsprechend wichtig ist es, Daten gegen Bedrohungen von innen abzusichern. Da in diesen Fällen in der Regel keine Schadsoftware zum Einsatz kommt, können traditionelle Antivirenprogramme keinen Schutz bieten. Doch auch Insider hinterlassen Spuren und eben diese gilt es aufzuspüren – wie im Fall einer Berufsschule für angehende Informatiker in Österreich. Gerufen wegen einer unerklärlichen Störung, deckte die Firma EDV-Notruf live einen Angriff auf die Schulserver auf und konnte den Aufenthaltsort des Angreifers straßengenau bestimmen.

Auf frischer Tat ertappt
Was ist geschehen? Die Schule ist IT-seitig gut aufgestellt – die 300 Computer und mobilen Geräte im Netzwerk über mehrere Firewalls geschützt. Den IT-Verantwortlichen ist aufgefallen, dass diverse DNS-Auflösungen (Domain Name System) innerhalb des Schulnetzwerkes nicht mehr zugelassen wurden. Um der Ursache auf den Grund zu gehen, engagieren die Verantwortlichen einen externen Notfall-Service, der noch am selben Abend zur späten Stunde, zu der keine Rechner aktiv sein sollten, mit der Analyse beginnt. Grundlage dafür bildet die IT-Security-Lösung „Adaptive Defense 360“ (AD 360) inklusive des „Advanced Reporting Tool“ (ART), ein Modul, das mit wenigen Klicks detaillierte Rückschlüsse aus dem IT- und Sicherheitsmanagement einer Organisation zieht. Die Experten spielten AD 360 auf einen Administrationsrechner, um einen Überblick zu laufenden Prozessen und ungewöhnlichen Verhaltensmustern zu erhalten. Denn die Panda-Lösung bietet eine Echtzeitüberwachung und Klassifizierung aller Prozesse von allen Endpoints; gleichzeitig ermöglicht das integrierte ART-Modul einen automatisierten Abgleich aller gewonnenen Telemetriedaten. So können Angriffe und ungewöhnliche Aktivitäten erkannt werden. Nach nur 15 Minuten hatte das Team über die Analyse von Log-Files feststellen können, dass ein Server permanent mit einem Schülerübungs-PC im Labor kommuniziert. Zudem offenbarten die weitreichenden Analysemöglichkeiten von ART, dass sich ein zusätzlicher DNS-Server im Netzwerk befindet, der nicht zur Schule gehört, mit dem auf diverse Systeme, Rechner und Umgebungen zugegriffen wurde – unter anderem auf das Notensystem der Schule. Offensichtlich hatte der Angreifer ein sogenanntes goldenes Ticket gelöst – verkürzt bedeutet das, dass ein Hacker umfassenden und vollständigen Zugriff auf das gesamte Netzwerk hat, selbst dann, wenn Passwörter geändert werden. Viele IT-Security-Lösungen sind in so einem Fall machtlos, da der Angriff nicht als solcher erkannt wird. Das „Advanced Reporting Tool“ hingegen wertet alle Prozessdaten aus, also nicht nur als böswillig kategorisierte Angriffe, sondern auch Whitelisted-Vorgänge, die – wie in diesem Praxisfall – den ausschlaggebenden Hinweis auf illegale Vorgänge geben können. Letztlich konnte das EDV-Notruf-Team live beobachten, wie der Angreifer auf das Schulsystem zugreift. So kam ein weiteres Feature von Pandas ART zum Einsatz: Lokalisierung der Prozesse. Da auf Wunsch alle Prozessaktivitäten und die Kommunikation von Endpoints untereinander auf einer Karte angezeigt werden, konnte das Team schnell den Server ausfindig machen, der auf das Schulnetzwerk Zugriff hat und ihn straßengenau ausfindig machen. Bei der Überprüfung der Adresse wurde dann schnell klar: Es handelt sich um einen Schüler, der Prüfungsunterlagen von den Servern kopiert und Noten verbessert hat. In diesem Fall hat die Schule von einer Anzeige abgesehen, um dem Schüler die Möglichkeit zu geben, sich mit seinem Können für die „gute“ Seite einzusetzen und nicht als Hacker einen illegalen Weg einzuschlagen.

Dieses Beispiel zeigt, dass die Zeiten, in denen allein eine fortschrittliche Antiviren-Software ausreicht, vorbei sind. Gerade in Organisationen, in denen viele Mitarbeiter Zugang zu persönlichen und sensiblen Daten haben, muss die Bekämpfung von Bedrohungen durch Insider in die IT-Sicherheitsstrategie implementiert sein. Das im Fall der Berufsschule eingesetzte „Advanced Reporting Tool“ von Panda Security bietet umfangreiche Analysemöglichkeiten, denen kaum Grenzen gesetzt sind. Während andere Programme ausschließlich Blacklisted-Informationen für Auswertungen heranziehen, kann Panda auf sämtliche gewonnenen Prozessdaten zugreifen. Es enthält viele standardisierte Auswertungsmöglichkeiten zum Auffinden von Problemen oder Risiken – gerade in den Bereichen Compliance und Datenschutz. Integriert in Pandas umfassende Cyber-Sicherheitslösung „Adaptive Defense 360“, stellt das ART-Modul IT-Administratoren auf Knopfdruck ausführliche Sicherheitsinformationen auf Abruf bereit. So können eben nicht nur Angriffe von außen festgestellt werden, sondern eben auch ungewöhnliche Verhaltensmuster sowie ein interner Missbrauch der Firmennetzwerke und -systeme.

Es stehen diverse Dashboards mit Schlüsselindikatoren, Suchoptionen und individuell anpassbare Warnmeldeoptionen zur Verfügung. Dabei lassen sich Suchvorgänge und Alerts spielend leicht an die eigenen Gegebenheiten des Unternehmens anpassen. Das können beispielsweise die Kontrolle von Remote-Tools, die gegen Compliance-Richtlinien verstoßen, Ausführungen von Programmen mit Sicherheitslücken, unerlaubte Zugriffe auf Verzeichnisse oder Exfiltrationen besonderer Dokumente sein.

Doch das ART-Modul dient nicht nur als Kontrollebene und zeigt den Zugriff auf vertrauliche Dateien sowie Datenlecks im Netzwerk. Als flexibler, Cloud-basierter Big Data Service, der ausgefeilte und individuell konfigurierbare Analysemöglichkeiten in übersichtlichen Dashboards bietet, hilft es, den Workflow von IT-Administratoren zu optimieren und die Effizienz zu steigern. Ganz nebenbei haben Unternehmen und Organisationen über das Tool zusätzlich die Option, die Nutzungsmuster ihrer IT-Ressourcen zu analysieren, um Kostensenkungspotenziale zu definieren und umzusetzen. Beispielsweise erhalten sie die volle Kontrolle über die im Unternehmen genutzten RDP-Verbindungen oder können Anwendungen mit hoher Bandbreitennutzung anzeigen lassen.

Unter dem Titel „ART – Die Kunst, Licht ins Dunkel zu bringen“ veranschaulichte Werner Lugschitz, Inhaber von EDV-Notruf, diesen Praxisfall jüngst auf der diesjährigen Panda Security Roadshow, die im vergangenen Monat in vier Ländern und elf Städten über 350 Partner sowie IT-Verantwortliche begeisterte.

 

Ansprechpartner für Journalisten: Nadine Konstanty • nadine(at)konstant.de

 

 

Insider-Bedrohungen erkennen: Panda Advanced Reporting Tool bietet detaillierte Sicherheitsinformationen mit nur einem Klick / Risiken minimieren und Potenziale erfassen

Cyberangriffe drohen nicht nur von außen, sondern können auch aus den eigenen Reihen stammen. Die Gefahr von Datenleaks durch Insider verdeutlicht, dass der Schutz vor externen Angriffen und Malware durch eine traditionelle Antivirensoftware nicht ausreicht.

Mit dem zukunftsweisenden „Advanced Reporting Tool“ (ART) von Panda Security lassen sich mit nur einem Klick detaillierte Rückschlüsse aus dem IT- und Sicherheitsmanagement des Unternehmens ziehen. Es enthält viele standardisierte Auswertungsmöglichkeiten zum Auffinden von Problemen oder Risiken – gerade in den Bereichen Compliance und Datenschutz. Integriert in Pandas umfassende Cyber-Sicherheitslösung „Adaptive Defense 360“, die eine Echtzeitüberwachung und Klassifizierung aller Prozesse von allen Endpoints bietet, ermöglicht das ART-Modul einen automatisierten Abgleich aller gewonnenen Prozessdaten. IT-Administratoren stehen damit auf Knopfdruck ausführliche Sicherheitsinformationen zum Abruf bereit. So können Angriffe und ungewöhnliche Verhaltensmuster festgestellt sowie ein interner Missbrauch der Firmennetzwerke und -systeme leicht erkannt werden.

Es stehen diverse Dashboards mit Schlüsselindikatoren, Suchoptionen und individuell anpassbare Standardwarnmeldungen zur Verfügung. Dabei lassen sich Suchvorgänge und Alerts spielend leicht an die eigenen Gegebenheiten des Unternehmens anpassen. Das können beispielsweise die Kontrolle von Remote-Tools, die gegen Compliance-Richtlinien verstoßen, Ausführungen von Programmen mit Sicherheitslücken, unerlaubter Zugriff auf Verzeichnisse oder Exfiltration besonderer Dokumente sein.

Doch das ART-Modul dient nicht nur als Kontrollebene und zeigt den Zugriff auf vertrauliche Dateien sowie Datenleaks im Netzwerk. Als flexibler, Cloud-basierter Big Data Service, der ausgefeilte und individuell konfigurierbare Analysemöglichkeiten in übersichtlichen Dashboards bietet, hilft es den Workflow von IT-Administratoren zu optimieren und die Effizienz zu steigern. Ganz nebenbei haben Unternehmen über das Tool die Option, die Nutzungsmuster ihrer IT-Ressourcen zu analysieren, um Kostensenkungspotenziale zu definieren und umzusetzen. Beispielsweise erhalten sie die volle Kontrolle über die im Unternehmen genutzten RDP-Verbindungen oder können Anwendungen mit hoher Bandbreitennutzung anzeigen lassen.

Integriert in die Sicherheitslösung „Adaptive Defense 360“ besticht das Advanced Reporting Tool nicht nur durch die vielfältigen Features, sondern auch durch die einfache Bedienung und Anpassung über die Cloud-basierte Verwaltungsplattform „Aether“.

Bestehende Fachhandelspartner sowie interessierte IT-Systemhäuser oder IT-Dienstleister haben die Möglichkeit, sich vom neuen Tool bei der anstehenden Panda-Roadshow in elf Städten in Deutschland, den Niederlanden, Belgien und Österreich überzeugen zu lassen. Unter dem Titel „Advanced Reporting Tool – Die Kunst, Licht ins Dunkel zu bringen“ skizziert ein langjähriger Partner anhand eines spannenden Fallbeispiels, wie er es schaffte, kriminelle Machenschaften in Österreich mit Hilfe der Panda-Technologie aufzudecken.

 

Informationen und Anmeldung zur Roadshow unter https://www.pandainside.de/roadshow2019

 

Ansprechpartner für Journalisten: Nadine Konstanty • nadine(at)konstant.de