Thought Leadership
Schwerwiegende Sicherheitsvorfälle haben im vergangenen Jahr um die Hälfte zugenommen – von 9 Prozent im Jahr 2020 auf 14 Prozent im Jahr 2021. Dies zeigen aktuelle Untersuchungen, die auf der Analyse von Vorfällen, die Kunden der Kaspersky Managed Detection and Response (MDR) gemeldet haben, basieren.
Immer komplexere Infrastrukturen, der Fachkräftemangel und die zunehmende Raffinesse von Angriffen können die Effizienz von Cybersicherheitsteams und ihre Fähigkeit beeinträchtigen, feindliche Aktivitäten zu erkennen, bevor es zu Zwischenfällen kommt. Um einen Einblick in die aktuelle Bedrohungslandschaft zu erhalten, analysierte Kaspersky anonymisierte Kundenvorfälle, die über seinen MDR-Service im Jahr 2021 identifiziert wurden.
Demnach hatten Unternehmen aller Branchen in diesem Zeitraum mit schwerwiegenden Vorfällen zu kämpfen. Die häufigsten Ursachen für kritische Vorfälle sind dieselben wie im Vorjahr: zielgerichtete Angriffe (40,7 Prozent), Malware mit kritischen Auswirkungen (14 Prozent), Ausnutzung öffentlich zugänglicher kritischer Schwachstellen (13 Prozent) und Social Engineering (5,5 Prozent).
Zielgerichtete Angriffe trafen im Jahr 2021 alle im Rahmen der Untersuchung evaluierten vertikalen Bereiche – mit Ausnahme des Bildungswesens und der Massenmedien, auch wenn Vorfälle im Zusammenhang mit zielgerichteten Angriffen innerhalb von Medienorganisationen gemeldet wurden. Die meisten von Menschen gesteuerten Angriffe wurden bei Behörden, sowie in der Industrie-, IT- und Finanzbranche identifiziert.
Schwerwiegende Vorfälle zeichnen sich durch eine breite Verwendung von nicht schädlichen Living-off-the-Land (LotL)-Binärdateien aus, die bereits in einem Zielsystem verfügbar sind. Diese Tools ermöglichen es Cyberkriminellen, ihre Aktivitäten zu verbergen und die Wahrscheinlichkeit zu minimieren, in den ersten Phasen eines Angriffs entdeckt zu werden. Neben den weit verbreiteten Tools rundll32.exe, powershell.exe und cmd.exe werden bei kritischen Vorfällen häufig auch digitale Werkzeuge wie reg.exe, te.exe und certutil.exe eingesetzt.
Angriffsszenarien durchführen
Um sich besser vor zielgerichteten Angriffen zu schützen, können Unternehmen Dienste in Anspruch nehmen, die entsprechende Angriffsszenarien nach ethischen und technologisch nachvollziehbaren Szenarien durchführen. Hierbei werden komplexe gegnerische Cyberangriffe simuliert, um die digitale Resilienz eines Unternehmens zu untersuchen. Nach Angaben der MDR-Analysten von Kaspersky wurde dies nur in 16 Prozent der Unternehmen angewandt.
„Unser aktueller MDR-Bericht zeigt, dass komplexe Angriffe auf dem Vormarsch und immer mehr Unternehmen mit kritischen Vorfällen konfrontiert sind“, erklärt Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Eine der größten Herausforderungen dabei ist, dass schwerwiegende Angriffe mehr Zeit für die Untersuchung und die Bereitstellung von Empfehlungen und entsprechende Abwehrmaßnahmen erfordern. Im vergangenen Jahr gelang es den Kaspersky-Analysten, diesen Indikator von knapp 53 Minuten im Jahr 2020 auf 41 Minuten deutlich zu verkürzen. Dies wurde durch das Hinzufügen weiterer Vorfalls-Templates und die Einführung neuer Telemetrie-Anreicherungen erreicht, die eine Triage beschleunigen.“
Empfehlungen zum Schutz vor komplexen Angriffen
- Implementierung einer Lösung wie Kaspersky Enterprise Security [4], die Detection-and-Response-Funktionen mit Managed Threat Hunting kombiniert, um sowohl bekannte als auch unbekannte Bedrohungen zu identifizieren, ohne zusätzliche interne Ressourcen zu benötigen. Ein rein alarmgesteuerter Ansatz ist nicht mehr effektiv genug, um auf moderne Bedrohungen zu reagieren.
- Das SOC-Team sollte stets Zugang zu den neuesten Bedrohungsdaten (Threat Intelligence) haben, um einen umfassenden Einblick in die Cyberbedrohungen zu erhalten.
- Expertenschulungen zur Reaktion auf Vorfälle sind von besonderer Relevanz, um die Fachkenntnisse des internen Teams für digitale Forensik und Reaktion auf Vorfälle zu verbessern. So können Bedrohungen schneller überprüft, abgewehrt und die Auswirkungen von Vorfällen minimiert werden.
- Um die Wahrscheinlichkeit zielgerichteter Angriffe zu verringern, sollten alle Mitarbeiter grundlegende Kenntnisse im Bereich der Cybersicherheit vermittelt werden. Social Engineering ist nach wie vor ein häufig genutzter Angriffsvektor von Cyberkriminellen und wird auch bei schwerwiegenden Vorfällen eingesetzt.
www.kaspersky.de
