Cyberkriminelle sind im Schnitt 11 Tage unentdeckt im Firmennetz
Oftmals werden Cyberangriffe heutzutage als sogenannte Blended Attacks durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren.
Das Managed-Threat-Response- sowie das Rapid-Response-Team von Sophos hat Telemetriedaten solcher Attacken ausgewertet und ist dabei zu erstaunlichen Ergebnissen gekommen, die die Wichtigkeiten eines kommunizierenden und adaptiven Cybersecurity-Ökosystems noch einmal betonen. In dem Bericht zeigt sich unter anderem, dass die Angreifer vor der Entdeckung durchschnittlich 11 Tage in einem gekaperten Netzwerk verweilten, der längste unentdeckte Einbruch dauerte sogar 15 Monate. Um dies in einen Kontext zu setzen: 11 Tage bieten Angreifern potenziell 264 Stunden für kriminelle Aktivitäten wie Zugangsdatendiebstahl oder Datenexfiltration. In Anbetracht dessen, dass einige dieser Aktivitäten nur wenige Minuten oder Stunden in Anspruch nehmen, sind 11 Tage unendlich viel Zeit, um im Netzwerk eines Unternehmens immensen Schaden anzurichten.
Remote Desktop Protocol ist Einfallstor Nummer eins
Dabei nutzen die Kriminellen in 69 Prozent aller Fälle RDP (Remote Desktop Protocol) als Einstieg für ihre Schleichfahrten durch Netzwerke. Sicherheitsmassnahmen für RDP wie VPNs oder Multifaktor-Authentifizierung konzentrieren sich in der Regel auf den Schutz des externen Zugriffs. Sie funktionieren jedoch nicht, wenn sich der Angreifer bereits innerhalb des Netzwerks befindet. In der Folge setzen Angreifer bei aktiven, tastaturgesteuerten Angriffen, etwa mit Ransomware, RDP zur Infiltrierung eines Systems immer häufiger ein. Ebenfalls eine beliebte Strategie der Kriminellen ist die Nutzung von im Unternehmen offiziell verwendeten Admin-Tools als Deckmantel für ihre Aktivitäten. Da viele dieser Tools von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet werden, ist es eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen – oftmals ein Fall für menschliche Experten.
Ransomware ist in 81 Prozent der untersuchten Angriffe involviert
Erst die tatsächliche Ransomware-Aktivierung ist oft der Moment, an dem ein Angriff für ein IT-Sicherheitsteam erstmals sichtbar wird. Wenig überraschend ist also, dass die überwiegende Mehrheit der durch Sophos dokumentierten Vorfälle Ransomware betraf. Zu den anderen Angriffstypen gehörten unter anderem reine Datenexfiltration, Cryptominer, Banking-Trojaner sowie Pen-Test-Attacken. Die Bedrohungslandschaft wird immer unübersichtlicher und komplexer. Die Cyberkriminellen starten ihre Angriffe mit den unterschiedlichsten Fähigkeiten und Ressourcen, von Skript-Kiddies bis hin zu staatlich unterstützten Hackergruppen. Das macht die Arbeit für Verteidiger schwierig. Im letzten Jahr hat das Sophos Rapid-Response-Team geholfen, Angriffe zu neutralisieren, die von verschiedensten Angriffsgruppen mit mehr als 400 verschiedenen Tools durchgeführt wurden.
Zur Abwehr solcher Attacken haben sich sogenannte Endpoint-Detection-&-Response-, abgekürzt EDR-Lösungen, bewährt. Mit EDR können bereits Vorstufen von Angriffen und Hackeraktivitäten in der Phase erkannt werden, in der sich ein Angreifer im Netzwerk umsieht und ausbreitet. Um EDR jedoch effektiv zu bedienen, wird spezialisiertes Personal benötigt – und zwar rund um die Uhr, am Wochenende wie an Feiertagen. Sophos ergänzt EDR zusätzlich mit XDR (Extended Detection & Response), das die menschliche Kompetenz einbezieht. Damit geht der Schutz über die Endpoint- und Server-Ebene hinaus und ermöglicht der Firewall, der E-Mail-Security und anderen Datenquellen, wichtige Daten an einen Data Lake zu senden. Die Kombination nennt Sophos das Adaptive Cybersecurity Ecosystem. Es nutzt gleichzeitig die Automatisierung und die Kompetenz menschlicher Spezialisten, um Angreifern einen Schritt voraus zu sein. Es lernt und verbessert sich ständig und schafft so einen positiven Kreislauf der Cybersicherheit.
Das Adaptive Cybersecurity Ecosystem basiert auf den gesammelten Bedrohungsdaten der SophosLabs, Sophos Security Operations (menschliche Analysten, die über das Sophos Managed-Threat-Response-Programm in Tausenden von Kundenumgebungen eingebunden sind) und der künstlichen Intelligenz (KI) von Sophos. Ein einziger, integrierter Data Lake fasst Informationen aus allen Lösungen und Threat-Intelligence-Quellen zusammen. Echtzeit-Analysen ermöglichen es Verteidigern, Einbrüche zu verhindern, indem sie verdächtige Signale finden. Parallel dazu ermöglichen offene APIs Kunden, Partnern und Entwicklern, Tools und Lösungen zu entwickeln, die mit dem System interagieren. Alles wird zentral verwaltet über die Sophos Central-Management-Plattform.
Sophos Schweiz AG
E-Mail: sales@sophos.ch
Tel.: +41 (44) 7 35 40 80
OpenAI lanciert Tool zur Erkennung von DALL-E-generierten Bildern
Angreifer umgehen VPN und lesen Datenverkehr aus
Boll distribuiert Cyolo in der DACH-Region
Mit Managed EDR die Cyberabwehr in die Hände von Security-Experten geben
Sysob geht mit seinem Channel in den Bergen wandern
Ganzheitliche IT-Security – mit G DATA CyberDefense
Aus aktuellem Anlass: Eine Ode an den Heuschnupfen
Wie das Storage-Geschäft derzeit von KI und Co. profitiert
E-Novinfo und Mémoire Vive bündeln ihre Kräfte in Freiburg
