Incident-Response-Report von Kaspersky
Einfallstor Nummer 1: Mit dem Internet verbundene Anwendungen
Mehr als die Hälfte der Cyberangriffe 2021 begannen mit der Ausnutzung von mit dem Internet verbundenen Anwendungen. Kompromittierte Konten und schädliche E-Mails waren Initialvektoren; verschlüsselte Daten sind die häufigste Folge erfolgreicher Angriffe. Das geht aus einem Kaspersky-Report hervor.
Um ihre Attacken zu starten, nutzen Cyberkriminelle üblicherweise leicht identifizierbare Sicherheitsprobleme, wie beispielsweise öffentliche Server mit bekannten Schwachstellen, schlechten Passwörtern oder kompromittierten Konten. Dabei haben die Initialvektoren, die Angreifer nutzen, um erstmals in das Netzwerk eines Unternehmens einzudringen, in den vergangenen Jahren zu einer steigenden Zahl von schwerwiegenden Cybersicherheitsvorfällen geführt.
Die Analyse anonymisierter Daten aus weltweiten Incident-Response-Fällen, die von Kasperskys Global Emergency Response Team (GERT) bearbeitet werden1, zeigt, dass Cyberkriminelle im Jahr 2021 am häufigsten öffentliche Anwendungen, auf die sowohl über das interne Netzwerk als auch über das Internet zugegriffen werden kann, ausgenutzt haben. Der Anteil dieser Methode stieg von 31,5 Prozent im Jahr 2020 auf 53,6 Prozent im darauffolgenden Jahr an. In Relation dazu steht der Rückgang der Nutzung kompromittierter Konten (von 31,6 Prozent auf 17,9 Prozent) und schädlicher E-Mails (von 23,7 Prozent auf 14,3 Prozent). Diese Veränderung dürfte mit den Schwachstellen zusammenhängen, die vergangenes Jahr in Microsoft-Exchange-Servern entdeckt wurden2. Denn die Beliebtheit dieses E-Mail-Dienstes sowie die öffentliche Verfügbarkeit von Exploits für diese Sicherheitslücken haben zu einer großen Anzahl ähnlicher Vorfälle geführt.
Verschlüsselte Daten sind die häufigste Konsequenz eines erfolgreichen Angriffs
Im Falle eines erfolgreichen Angriffs haben Unternehmen vor allem mit verschlüsselten Dateien zu kämpfen – eine der häufigsten Ransomware-Arten, die Unternehmen den Zugriff auf ihre Daten verwehrt. Sie sind das dritte Jahr in Folge das Hauptproblem. Darüber hinaus stieg die Zahl der Organisationen, die Verschlüsselungssoftware in ihrem Netzwerk begegneten, deutlich an (von 34 Prozent im Jahr 2019 auf 51,9 Prozent im Jahr 2021).
Des Weiteren verbringen Angreifer in fast zwei Drittel der Fälle (62,5 Prozent) mehr als einen Monat im Netzwerk, bevor sie Daten verschlüsseln. Aufgrund von Betriebssystemtools, bekannten Angriffstools und der Verwendung kommerzieller Frameworks, die an 40 Prozent aller Vorfälle beteiligt sind, bleiben Cyberkriminelle innerhalb einer Infrastruktur unbemerkt. Nach dem ersten Eindringen ins Netzwerk setzen diese legitimen Tools für verschiedene Zwecke ein:
- Power Shell zum Sammeln von Daten
- Mimikatz zum Eskalieren von Berechtigungen
- Ps Exec zum Ausführen von Befehlen aus der Ferne
- Frameworks wie Cobalt Strike für alle Angriffsphasen
„Unsere Analyse zeigt, dass allein eine angemessene Patch-Management-Richtlinie die Wahrscheinlichkeit eines erfolgreichen Angriffs um 50 Prozent reduzieren könnte“, erklärt Kai Schuricht, Senior Incident Response Specialist bei Kaspersky. „Dies zeigt einmal mehr die Bedeutung grundlegender Cybersecurity-Maßnahmen – auch wenn sie keine kompromisslose Verteidigung gewährleisten können. Da Angreifer auf verschiedene schädliche Methoden zurückgreifen, ist der beste Weg sich zu schützen, Tools und Ansätze zu nutzen, mit denen gegnerische Aktionen in den verschiedenen Phasen eines Angriffs bemerkt und blockiert werden können.“
Kaspersky-Empfehlungen zur Minimierung der Auswirkungen eines Angriffs
- Alle Daten regelmäßig sichern, damit im Falle eines Ransomware-Angriffs darauf zugriffen werden kann.
- Lösungen wie Kaspersky Anti Ransomware Tool verwenden, die alle Versuche zur Verschlüsselung von Daten blockieren können.
- Mit einem vertrauenswürdigen Incident-Response-Retainer-Partner zusammenarbeiten, um Vorfälle mit schnellen Service-Level-Agreements (SLAs) zu bearbeiten.
- Das Incident-Response-Team kontinuierlich schulen, um dessen Fachwissen auf dem neuesten Stand zu halten.
- Strenge Sicherheitsrichtlinien für Anwendungen mit personenbezogenen Daten implementieren.
- Threat Intelligence nutzen, um sich über Angreifer, die auf die eigene Branche und Region abzielen, zu informieren und so die Entwicklung von Sicherheitsoperationen zu priorisieren.
- Endpoint-Detection-and-Response-Lösung mit einem Managed-Detection-and-Response-Service kombinieren, um Angriffe schnell erkennen und darauf reagieren zu können.
1 https://securelist.com/the-nature-of-cyber-incidents/107119/
2 https://en.wikipedia.org/wiki/2021_Microsoft_Exchange_Server_data_breach
Das könnte Sie auch interessieren
Kaspersky
EDR-Lösung mit Cloud-Management-Konsole
Kaspersky-Befragung
IoT-Sicherheit von Beginn an denken
Studie von Secunet und Techconsult
IoT-Projekte in Unternehmen: Relevant, aber nicht…
