Thought Leadership
Der Raub von Bauplänen eines Kernkraftwerks durch Hacker hat in der vergangenen Woche für viel Aufsehen gesorgt (Link). Dieser Fall ist ein weiterer Beleg dafür, dass die Branche der Energieerzeuger und Versorger für Cyberkriminelle äußerst attraktiv ist. Wie Kriminelle vorgehen, wenn sie Unternehmen dieser kritischen Branche attackieren, darüber berichtet Vectra. Bemerkenswert: Nicht die Kommunikationsnetze der Produktion, sondern die klassischen IT-Netzwerke der Unternehmen werden von Hackern besonders gern angegriffen.
Vectra meldet, dass die meisten Cyberangriffe gegen Energie- und Versorgungsunternehmen in Unternehmens-IT-Netzwerken auftreten. Sie finden somit nicht in der eigentlich kritischen Infrastruktur statt, obwohl Cyberangreifer industrielle Steuerungssysteme ins Visier nehmen.
Diese und andere wichtige Ergebnisse, die im 2018 Spotlight Report on Energy and Utilities von Vectra veröffentlicht wurden, unterstreichen, wie wichtig es ist, verborgenes Bedrohungen und Angreifer in Unternehmens-IT-Netzwerken frühzeitig zu ertappen. Die Erkennung muss erfolgen, bevor Cyberangreifer die Chance haben, das Netzwerk auszuspionieren, sich weiter zu verbreiten und Daten zu stehlen. Entsprechende Verhaltensweisen von Hackern zeigen, dass sorgfältig orchestrierte Angriffskampagnen über viele Monate hinweg unerkannt stattfinden.
Cyberkriminelle starten seit Jahren gut organisierte Angriffskampagnen gegen Energie- und Versorgungsnetze. Diese vorsichtigen, leisen Spionagetätigkeiten im Netzwerk ziehen sich oft über mehrere Monate und umfassen die Beobachtung des Benutzerverhaltens und die Ausarbeitung eines maßgeschneiderten Angriffs.
„Wenn sich Angreifer seitlich innerhalb eines Netzwerks bewegen, ist eine größere Angriffsfläche exponiert, wodurch sich das Risiko des Datendiebstahls und -exfiltration erhöht“, erklärt Brandon Kelley, CIO von American Municipal Power, ein gemeinnütziger Stromerzeuger, der Gemeinden in neun US-Bundesstaaten mit einem eigenen Stromnetz bedient. „Es ist unerlässlich, den gesamten Netzwerkverkehr zu überwachen, um diese und andere Verhaltensweisen von Angreifern frühzeitig und konsequent zu erkennen.“
Remote-Angreifer fangen in der Regel in Energie- und Versorgungsnetzen an, indem sie Malware und Spear-Phishing einsetzen, um administrative Zugangsdaten zu stehlen. Im Inneren des Netzwerks angelangt, nutzen sie administrative Verbindungen und Protokolle, um das Netzwerk zu erkunden, sich seitlich zu verbreiten und vertrauliche Daten über industrielle Steuerungssysteme zu sammeln.
„Der verdeckte Missbrauch von administrativen Zugangsdaten ermöglicht Angreifern einen uneingeschränkten Zugriff auf Systeme und Daten in den kritischen Infrastrukturen“, kommentiert David Monahan, Managing Research Director of Security and Risk Management bei Enterprise Management Associates. „Dies ist einer der wichtigsten Risikobereiche im Lebenszyklus von Cyberangriffen.“
Weitere wichtige Ergebnisse des Spotlight Report 2018 über die Energie- und Versorgungsindustrie sind:
- Während der Command-and-Control-Phase des Angriffs wurden 194 bösartige externe Fernzugriffen pro 10.000 Hostgeräten und Workloads erkannt.
- 314 seitliche Bewegungen pro 10.000 Host-Geräten und Workloads wurden registriert.
- In der Exfiltrationsphase des Cyberangriffs-Lebenszyklus wurden 293 Datenschmuggler-Verhalten pro 10.000 Host-Geräten und Workloads erkannt.
Der Spotlight Report 2018 von Vectra basiert auf Beobachtungen und Daten der 2018 Black Hat Conference Edition des Attacker Behavior Industry Report, der das Verhalten von Angreifern und Trends in Netzwerken von über 250 Opt-in-Unternehmen in den Bereichen Energie und Versorgung sowie acht weiteren Industrien aufzeigt.
Von Januar bis Juni 2018 überwachte die Cognito Plattform für die Bedrohungserkennung und Jagd auf Bedrohungen den Netzwerkverkehr und sammelte Metadaten von mehr als vier Millionen Geräten und Workloads aus Kunden-Clouds, Rechenzentren und Unternehmensumgebungen. Die Analyse dieser Metadaten liefert ein besseres Verständnis des Verhaltens von Angreifern, aktueller Trends sowie der Geschäftsrisiken. Dadurch sind Kunden von Vectra in der Lage, schwerwiegende Datenverluste zu vermeiden.
Die Cognito Plattform von Vectra ermöglicht Unternehmen die automatische Suche nach Cyberangriffen und deren Erkennung in Echtzeit. Cognito nutzt KI, um eine laufende, automatisierte Bedrohungssuche mit ständig lernenden Verhaltensmodellen durchzuführen. Auf diese Weise lassen sich versteckte und unbekannte Angreifer schnell und effizient finden, bevor sie Schaden anrichten. Cognito bietet vollständige Transparenz bezüglich des Verhaltens von Cyberangreifern – von Cloud- und Rechenzentrums-Workloads bis hin zu Benutzer- und IoT-Geräten. Angreifer haben somit keine Chance, sich zu verstecken.
Cognito Detect und sein KI-Pendant Cognito Recall sind die Eckpfeiler der Cognito Plattform. Cognito Detect automatisiert die Echtzeit-Erkennung von versteckten Angreifern. Cognito Recall stellt einen logischen Ausgangspunkt bereit für die KI-unterstützte Bedrohungssuche und die Durchführung schlüssiger Untersuchungen von Sicherheitsvorfällen.
vectra.ai/dach
