Unternehmen erkennen Cyberattacken zu langsam

Crowd­Strike, Anbie­ter von End­point-Pro­tec­tion-Lösun­gen aus der Cloud, ver­öf­fent­lich­te mit dem Crowd­Strike Cyber Intrusi­on Case­book 2018 einen Report, der Hacker-Akti­vi­tä­ten und sicher­heits­re­le­van­te Vor­fäl­le aus die­sem Jahr an Bei­spie­len ver­deut­licht und Trends zusam­men­fasst. Der Report gibt Ein­bli­cke in die Angriffs­me­tho­den und Tech­ni­ken ver­schie­de­ner Hacker-Grup­pen und ana­ly­siert mög­li­che Reak­tio­nen und Ver­fah­ren für Inci­dent-Respon­se-Teams. Dar­in ent­hal­ten sind auch Emp­feh­lun­gen an Unter­neh­men, die ihre kri­ti­schen Daten zuver­läs­sig schüt­zen wol­len und die Angriffs­er­ken­nung, die Vor­be­rei­tung sowie die Reak­ti­on auf Atta­cken ver­bes­sern möch­ten.

Die Trends sind aus mehr als 200 ana­ly­sier­ten Cyber­an­grif­fen abge­lei­tet, die eine Viel­zahl an Bran­chen getrof­fen haben. Für sie­ben Fäl­le ana­ly­siert das Case­book detail­liert das Ver­hal­ten der Angrei­fer, ihre Moti­va­ti­on und Tak­tik sowie die Reak­ti­ons­mög­lich­kei­ten. Eini­ge der Fall­be­schrei­bun­gen bie­ten eine umfas­sen­de, foren­si­sche Ana­ly­se von Arte­fak­ten, die bei meh­re­ren Angrif­fen ent­deckt wur­den und erlau­ben so, Best Prac­tices für Unter­neh­men abzu­lei­ten.

Wichtige Ergebnisse der Studie

Unter­neh­men machen bei der Erken­nung von Angrif­fen (Intrusi­on Detec­tion) und der Abwehr von Cyber­at­ta­cken kei­ne gro­ßen Fort­schrit­te. In die­sem Jahr haben 75 Pro­zent der von Crowd­Strike betreu­ten Unter­neh­men ein Ein­drin­gen in ihre Sys­te­me auf­de­cken kön­nen – eine Stei­ge­rung von ledig­lich sie­ben Pro­zent gegen­über dem Vor­jahr. Dies deu­tet dar­auf hin, dass Unter­neh­men ihre Fähig­kei­ten beim Auf­de­cken von Angrif­fen nur gering­fü­gig ver­bes­sert haben. Die Ver­weil­dau­er der Angrei­fer blieb mit durch­schnitt­lich 85 Tagen (gegen­über 86) eben­falls rela­tiv kon­stant. Die Ver­weil­dau­er ent­spricht der Anzahl der Tage zwi­schen der ers­ten nach­träg­lich fest­ge­stell­ten Kom­pro­mit­tie­rung und ihrer tat­säch­li­chen Erken­nung.

Rund 20 Pro­zent der Angrif­fe gescha­hen mit Powers­hell oder Win­dows Manage­ment Instru­men­ta­ti­on (WMI). Die Tak­tik „Living off the Land” (LotL) senkt den Auf­wand für die Cyber­kri­mi­nel­len und wird des­halb immer öfter ange­wen­det. Sie stellt somit eine gro­ße Her­aus­for­de­rung für Unter­neh­men dar.

Vie­le Cyber­kri­mi­nel­le berei­ten schwe­re, lang­an­hal­ten­den­de Angrif­fe mit Com­mo­di­ty-Mal­wa­re vor. Wenn Hacker Zugang zu Sys­te­men erlangt haben, ver­kau­fen sie häu­fig die Daten und nut­zen sie, um zunächst vor­ge­fer­tig­te Ran­som­ware oder Tro­ja­ner für Kryp­tomi­ning zu betrei­ben. Die­se Mus­ter sind häu­fig die Vor­läu­fer grö­ße­rer und lang­an­hal­ten­der Angrif­fe.

Angrif­fe durch Soci­al Engi­nee­ring und Phis­hing sind dra­ma­tisch ange­stie­gen. Im letz­ten Jahr stieg die Zahl von Angrif­fen auf der Basis von Soci­al Engi­nee­ring, Phis­hing und Spe­ar-Phis­hing dra­ma­tisch an. Die­ses Seg­ment der Cyber­an­grif­fe wuchs von 11 Pro­zent im letz­ten Jahr auf 33 Pro­zent im Jahr 2018, und macht somit ein Drit­tel aller von Crowd­Strike unter­such­ten Angrif­fe aus. Angrif­fe auf Web­ser­ver sind das größ­te Seg­ment der Ein­zel­an­griffs­vek­to­ren, gin­gen aber gegen­über den 37 Pro­zent des Vor­jah­res auf knapp 20 Pro­zent zurück.

Effizienter Schutz vor dynamischen Bedrohungen

Cyber­an­grif­fe neh­men wei­ter­hin zu und Cyber­kri­mi­nel­le sowie staat­li­che Angrei­fer stei­gern ihre Raf­fi­nes­se. Es ist für Unter­neh­men essen­ti­ell, sich über aktu­el­le Angriffs­trends und die Moti­va­ti­on der Cyber­kri­mi­nel­len zu infor­mie­ren, um Cyber­si­cher­heit pro­ak­tiv zu begeg­nen“, sagt Shawn Hen­ry, Chief Secu­ri­ty Offi­cer und Pre­si­dent von Crowd­Strike Ser­vices. „Es ist nicht die Fra­ge, ob sie ins Visier genom­men wer­den: Das pas­siert jedem. Es han­delt sich hier um ein kla­res Geschäfts­ri­si­ko. Vor­stän­de und Geschäfts­füh­rer müs­sen ein Gefühl für die Dring­lich­keit des The­mas haben, um ihre Unter­neh­men zu schüt­zen. Das Crowd­Strike Ser­vices Case­book bie­tet ihnen wert­vol­le Ein­bli­cke in die pro­ak­ti­ve Vor­be­rei­tung auf Cyber­an­grif­fe und effi­zi­en­te Reak­tio­nen.“

Das Case­book 2018 bie­tet Leit­li­ni­en für einen effi­zi­en­ten Schutz in der sich stän­dig ver­än­dern­den Bedro­hungs­land­schaft von heu­te. Dazu gehö­ren auch die Inte­gra­ti­on von End­point Pro­tec­tion der nächs­ten Genera­ti­on sowie pro­ak­ti­ve Stra­te­gi­en zur Stei­ge­rung der Cyber-Resi­li­enz. Machi­ne Lear­ning und Ver­hal­tens­ana­ly­se hel­fen, Miss­bräu­che und unbe­kann­te Bedro­hun­gen zu erken­nen. Eine pro­ak­ti­ve Suche nach Bedro­hun­gen kann auch sehr vor­sich­tig agie­ren­de Angrei­fer auf­de­cken. Dar­über hin­aus ver­hin­dern effi­zi­en­te Secu­ri­ty-Lösun­gen, das klei­ne­re Angrif­fe für die Unter­neh­men zu einer gro­ßen und kost­spie­li­gen Bedro­hung wer­den.