Mehr als 300.000 Angriffe auf IoT-Geräte

Zscaler, Inc. hat in der Studie „IoT in the Enterprise: Empty Office Edition“ über 575 Millionen Gerätetransaktionen und 300.000 IoT-spezifische Malware-Angriffe analysiert, die im Lauf von zwei Wochen im Dezember 2020 von der Zscaler Security Cloud geblockt wurden. Im Vergleich zu Untersuchungen vor der Pandemie wurde ein Anstieg von Malware-Angriffen auf IoT-Geräte von 700 Prozent beobachtet.

Diese Angriffe zielten auf 553 verschiedene Gerätetypen, wie Drucker, Digital Signage und Smart TVs ab, die mit IT-Netzwerken von Unternehmen verbunden waren, während viele Mitarbeiter wegen der COVID-19-Pandemie aus der Ferne arbeiteten. Das Zscaler ThreatLabz-Forschungsteam identifizierte die anfälligsten IoT-Geräte, die häufigsten Angriffsursprünge und -ziele sowie die Malware-Familien, die für den Großteil des bösartigen Datenverkehrs verantwortlich sind, um Unternehmen besser beim Schutz ihrer wertvollen Daten zu unterstützen.

„Mehr als ein Jahr lang standen die meisten Unternehmensbüros weitgehend leer, da die Mitarbeiter während der COVID-19-Pandemie weiterhin aus der Ferne arbeiteten. Unsere Serviceteams stellten jedoch fest, dass die Unternehmensnetzwerke auch ohne Mitarbeiter nur so brummten durch IoT-Datenverkehr“, sagt Deepen Desai, CISO bei Zscaler. „Das Volumen und die Vielfalt der IoT-Geräte, die mit Unternehmensnetzwerken verbunden sind, ist enorm und umfasst alles von Musiklampen bis hin zu IP-Kameras. Unser Team stellte fest, dass 76 Prozent dieser Geräte immer noch über unverschlüsselte Klartextkanäle kommunizieren, so dass durch diese IoT-Transaktionen ein großes Risikopotenzial für Unternehmen entsteht.“

Welche Geräte sind am meisten gefährdet?

Von den über einer halben Milliarde IoT-Gerätetransaktionen identifizierte Zscaler 553 verschiedene Geräte von 212 Herstellern, von denen 65 Prozent in drei Kategorien fielen: Set-Top-Boxen (29 Prozent), Smart-TVs (20 Prozent) und Smartwatches (15 Prozent). Die Kategorie „Home Entertainment & Automation“ wies die größte Vielfalt an einzigartigen Geräten auf, die jedoch im Vergleich zu Geräten aus den Bereichen „Manufacturing“, „Enterprise“ und „Healthcare“ die geringste Anzahl an Transaktionen ausmachten.

Der meiste Datenverkehr kam stattdessen von Geräten aus der Fertigungsindustrie und dem Einzelhandel – 59 Prozent aller Datentransaktionen stammten von Geräten aus diesem Bereich und umfassten 3D-Drucker, Geolocation-Tracker, Multimedia-Systeme für Fahrzeuge, Datenerfassungsterminals wie Barcode-Leser und Zahlungsterminals. Geräte aus dem Unternehmensbereich waren mit 28 Prozent der Transaktionen am zweithäufigsten vertreten, und Geräte aus dem Gesundheitswesen folgten mit fast acht Prozent des Datenverkehrs.

ThreatLabz entdeckte auch eine Reihe unerwarteter Geräte, die sich mit der Cloud verbanden, darunter intelligente Kühlschränke und Musiklampen, die dennoch Datenverkehr durch Unternehmensnetzwerke sendeten.

Wer ist dafür verantwortlich?

Das ThreatLabz-Team untersuchte auch die spezifischen Aktivitäten von IoT-Malware, die in der Zscaler-Cloud aufgezeigt wurden. In einem Zeitraum von 15 Tagen wurden insgesamt 18.000 einzelne Hosts und etwa 900 einzelne Payloads beobachtet. Auf die beiden Malware-Familien Gafgyt und Mirai stieß das ThreatLabz-Team am häufigsten. Sie machten 97 Prozent der 900 Payloads aus. Diese beiden Familien sind dafür bekannt, Geräte zu kapern, um Botnets zu erstellen – große Netzwerke aus privaten Computern, die als Gruppe gesteuert werden können, um Malware zu verbreiten, die Infrastruktur zu überlasten oder Spam zu versenden.

Wer wird ins Visier genommen?

Die drei Länder, die am häufigsten in den Fokus von IoT-Angriffen gerieten, waren Irland (48 Prozent), die USA (32 Prozent) und China (14 Prozent). Fast 90 Prozent der kompromittierten IoT-Geräte sendeten Daten zurück an Server in einem der drei Länder China (56 Prozent), die USA (19 Prozent) oder Indien (14 Prozent).

Wie können sich Organisationen schützen?

Da die Liste der „intelligenten“ Geräte weltweit nahezu täglich ansteigt, ist es nahezu unmöglich, sie von Unternehmen fernzuhalten. Anstatt zu versuchen, diese Art der Schatten-IT zu eliminieren, sollten IT-Teams Zugriffsrichtlinien einführen, die verhindern, dass diese Geräte offene Türen zu den sensibelsten Geschäftsdaten und Anwendungen im Netzwerk bilden. Diese Richtlinien und Strategien können unabhängig davon angewendet werden, ob die IT-Teams (oder andere Mitarbeiter) vor Ort sind oder nicht. ThreatLabz empfiehlt die folgenden Tipps, um die Bedrohung durch IoT-Malware sowohl auf verwalteten als auch auf BYOD-Geräten einzudämmen:

• Einblick in alle Geräte im Netzwerk. Implementieren von Lösungen, die in der Lage sind, Netzwerkprotokolle zu überprüfen und zu analysieren für den Einblick, welche Geräte in einem Netzwerk kommunizieren und was sie tun.
• Alle Standard-Passwörter ändern. Die Kontrolle von Passwörtern ist vielleicht nicht immer möglich, aber ein grundlegender erster Schritt beim Einsatz von unternehmenseigenen IoT-Geräten sollte darin bestehen, Passwörter zu aktualisieren und eine Zwei-Faktor-Authentifizierung einzusetzen.
• Regelmäßige Updates und Patches. Viele Branchen – vor allem die Fertigungsindustrie und das Gesundheitswesen – verlassen sich für ihre täglichen Arbeitsabläufen auf IoT-Geräte. Organisationen sollten sicherstellen, dass sie über alle neu entdeckten Schwachstellen auf dem Laufenden bleiben und die Gerätesicherheit mit den neuesten Patches auf dem neuesten Stand halten.
• Implementieren einer Zero-Trust-Sicherheitsarchitektur. Umsetzung strenger Richtlinien für Unternehmensressourcen, so dass Benutzer und Geräte nur auf das zugreifen können, was sie benötigen, wenn sie authentifiziert sind. Beschränken der Kommunikation auf relevante IPs, ASNs und Ports, die für den externen Zugriff benötigt werden. Nicht genehmigte IoT-Geräte, die einen Internetzugang benötigen, sollten eine Traffic Inspection durchlaufen und von allen Unternehmensdaten abgeschirmt werden, idealerweise über einen Proxy. Damit Shadow IoT-Geräte keine Bedrohung für Unternehmensnetzwerke darstellen muss das implizite Vertrauen unterbunden werden und eine strenge Zugriffskontrolle auf sensible Daten erfolgen, die mithilfe dynamischer identitätsbasierter Authentifizierung wie bei Zero Trust erfolgen kann.