Threats Report von Intel Security: Überlastung in der IT-Sicherheit

Unternehmenssicherheit im Jahr 2016: Intel Security stellt, das McAfee Labs Threats-Report vor, wie Security Operations Center (SOC) von Unternehmen aufgestellt sind. Weiter zeigt der Report, wie Hacker schwer erkennbare Malware erschaffen, indem sie den Legitimationscode mit Trojanern infizieren, um so lange wie möglich im Verborgenen zu bleiben.

 Außerdem wird die Entwicklung von Ransomware, mobiler Malware, Makro- sowie Mac OS-Malware im 3. Quartal 2016 dargestellt.

„Die Sicherheitsindustrie steht vor einer großen Herausforderung, wenn es darum geht, mit möglichst wenig Falschmeldungen schädliche Aktionen eines Codes zu identifizieren, der sich wie legitime Software verhält“, sagt Vincent Weafer, Vice President der McAfee Labs von Intel Security. „Je authentischer ein Stück Code erscheint, desto wahrscheinlicher ist es, dass es übersehen wird. Ransomware weiß um die Existenz von Sandbox-Lösungen. Cyber-Kriminelle gehen daher dazu über, Malware-Aktivitäten durch Trojaner, die auf auf legitime Applikationen basieren, zu verdecken. Diese Methoden stellen eine noch größere Herausforderung für das SOC eines Unternehmens dar, denn der Erfolg hängt hierbei von der Fähigkeit ab, Angriffsprozesse schnell zu entdecken, zu fassen und restlos zu beseitigen.“

Der Stand des Security Operations Center 2016:

„Unternehmen stoßen zunehmend an ihre Grenzen, wenn es um die Absicherung ihrer IT-Infrastruktur geht“, sagt Hans-Peter Bauer, Vice President DACH bei Intel Security. „Durch die immer elaborierteren Vorgehensweisen von Cyber-Kriminellen und dem Mangel an ausreichend geschultem Personal, entstehen vermehrt Sicherheitslücken, die fatale Folgen haben können.“

Mitte des Jahres hat Intel Security eine Umfrage über SOCs bei 400 Sicherheitsexperten in unterschiedlichen Ländern, Industrien und Unternehmensgrößen durchgeführt. Die wichtigsten Ergebnisse im Überblick:

• Überlastet bei Alarmmeldungen: Durchschnittlich können 25 Prozent aller Sicherheitswarnungen nicht ausreichend untersucht werden.

• Selektionsprobleme: 93 Prozent aller Befragten gaben an, aufgrund der Überlastung nicht alle Bedrohungen sichten zu können.

• Steigende Zwischenfälle: 67 Prozent berichten von einem Anstieg an Sicherheitsvorfällen. 57 Prozent derjenigen, die einen Anstieg an Vorfällen beobachten, sehen den Grund in gestiegenen Angriffsversuchen und 73 Prozent glauben, dass Angriffe inzwischen leichter zu entdecken sind.

• Bedrohungssignale: Traditionelle Sicherheitskontrollpunkte, wie Anti-Malware, Firewall und Intrusion-Prevention-Systeme werden von 64 Prozent immer noch als die gebräuchlichsten Detektoren von Bedrohungen angesehen.

• Proaktiv vs reaktiv: Der Großteil der Befragten gibt an, eine proaktive Sicherheitsarchitektur anzustreben, 26 Prozent agieren immer noch reaktiv auf akute Bedrohungen und Vorfälle.

• Gegner: 68 Prozent der Untersuchungen 2015 bezogen sich auf bestimmte Unternehmen, entweder als Ziel eines externen Angriffs oder einer Bedrohung von innen.

• Gründe für Untersuchungen: Generische Malware war mit 30 Prozent der Hauptgrund für Untersuchungen, gefolgt von gezielten Malware-Angriffen (17 Prozent), gezielten Netzwerk-basierten Angriffen (15 Prozent), zufälligen internen Vorkommnissen, die in potenziellen Bedrohungen oder Datenverlust resultierten (12 Prozent), bösartige interne Bedrohung (10 Prozent), direkte staatliche Angriffe (7 Prozent) und indirekte oder von Hacktivisten ausgehende staatliche Angriffe (7 Prozent).

Die Befragten gaben als höchste Priorität für SOCs Wachstum und Investitionen an, um die Reaktion auf Angriffe zu verbessern, inklusive der Fähigkeit zu koordinieren, wiederherzustellen, zu beseitigen, zu lernen und einem erneuten Auftreten vorzubeugen.

Neue “trojanisierte” legitime Software

Der Report identifiziert auch die Methoden von Cyber-Kriminellen um Trojaner zu streuen:

• Das spontane Patchen von .exe Dateien, die durch „Man-in-the-Middle-Angriffe“ heruntergeladen werden

• Das Verbinden von „guten“ und „schlechten“ Dateien durch Binders oder Joiners

• Das Modifizieren von .exe Dateien, die nahtlos ihre Funktionen beibehalten

• Das Modifizieren durch übersetzte, frei zugängliche oder dekompilierte Codes

• Das „Vergiften“ des Master-Quellcodes, besonders in neu umverteilten Bibliotheken

Die Sicherheitsbedrohungen im dritten Quartal 2016

Im dritten Quartal hat das globale Bedrohungsinformationsnetzwerk von McAfee Labs einen signifikanten Anstieg von Ransomware, mobiler sowie Macro-Malware festgestellt:

Ransomware: Ransomware-Angriffe stiegen im dritten Quartal um 18 Prozent und seit Anfang des Jahres um 80 Prozent.

Mac OS-Malware: Die neue Mac OS-Malware schoss mit 637 Prozent in Q3 durch die Decke. Dieser enorme Anstieg wurde ausschließlich durch die Adware-Familie „Bundlore“ verursacht. Sonstige Mac OS-Malware bleibt jedoch weiterhin unauffällig im Gegensatz zu anderen Plattformen.

Neue Malware: In Q3 fiel das Wachstum von neuer Malware um 21 Prozent.

Mobile Malware: Es wurden in Q3 mehr als zwei Millionen neue mobile Malware-Bedrohungen aufgezeichnet. 

Macro-Malware: Neue Microsoft Office (insbesondere Word) Macro-Malware stieg wie in Q2 weiter an.

Spam-Botnets: Das Botnet „Necurs“ versiebenfachte sein Volumen aus Q2 und wurde damit das größte Botnet in Q3.

Weltweites Aufkommen von Botnets: „Wapomi“ streut Würmer und Downloaders und blieb auch in Q3 die Nummer eins – dicht gefolgt von „CryptXXX“, welches in Q2 mit zwei Prozent noch sehr gering vertreten war.

Der gesamte Report steht hier.