Als Sicherheitsverantwortlicher Ihres Unternehmens kennen Sie das: Studien über Sicherheitsvorfälle gibt es wie Sand am Meer, aber nur die wenigsten liefern detaillierte Einblicke in echte Angriffe gegen existierende Unternehmensnetzwerke. Viele Sicherheits-Studien konzentrieren sich entweder auf statistische Daten zu bekannten Cyber-Bedrohungen (im Zusammenhang mit Exploits oder Malware-Familien) oder blicken auf erfolgreiche Attacken zurück. Die erste Variante befasst sich mit Bedrohungen, die mithilfe der Perimeter-Sicherheit blockiert werden konnten, und die zweite listet Angriffe, die der Security in den Organisationen komplett entgangen sind. Fänden Sie es aber nicht auch spannend zu wissen, wie sich die Angreifer im Netzwerk verhalten und welche Risiken daraus entstehen? Wenn ja, dann sollten Sie unbedingt weiterlesen!
Wie bereits erwähnt: Sicherheits-Studien gibt es schon länger und sie liefern auch immer spannende Informationen. Der Post-Intrusion-Report 2017 unseres „Innovation Partners of the Year“ Vectra Networks geht aber einen Schritt weiter. Er liefert Ihnen einen einzigartigen Einblick in echte Angriffe gegen real existierende Unternehmensnetzwerke (mit gesamthaft über zwei Millionen Hosts). Dabei deckt er schonungslos alle Phasen und Verhaltensweisen aktueller Cyber-Attacken auf. Und so ist es gelungen, aussagekräftige Indikatoren für Verletzungen der Informationssicherheit zu identifizieren, die mit hoher Wahrscheinlichkeit Schäden nach sich ziehen würden.
Die für die Vectra-Studie ausgewerteten Netzwerke waren von sehr unterschiedlicher Grösse. Die kleinsten wiesen ein paar hundert Hosts auf, die grössten mehr als 300‘000 Systeme. Ein Host ist dabei definiert als beliebiges Gerät mit einer IP-Adresse – darunter IoT-Devices, Mobiltelefone, Tablets, Laptops, Server und Workloads in Cloud-Umgebungen. Dabei deckte der Report in den ersten drei Monaten des Jahres eine starke Zunahme von Ransomware-Attacken, Exploits von Web-Applikationen mit dem Ziel, Gigabytes an Daten aus den Unternehmen herauszuschmuggeln, und ein auffälliger Anstieg bei IoT-Botnets auf.
Diese Branchen sind bei Cyber-Kriminellen besonders beliebt
Der Report identifiziert Trends bei Cyber-Angriffen auch je nach betroffener Branche. Hier die wichtigsten Erkenntnisse dazu:
- Im Gesundheits- und im Bildungswesen zeigten sich die meisten angriffstypischen Verhaltensweisen – aufgrund der offenen Netze und der damit verbundenen Gefahren. In der Unterhaltungsbranche und im Gesundheitswesen traten die meisten Varianten unterschiedlichen Angriffsverhaltens auf, so beispielsweise Botnets, Command-and-Control (C&C), Reconnaissance, Lateral Movement und die Exfiltration (der Diebstahl von Daten). Dies lässt erkennen, dass gezielte Attacken in ihrem Ablauf hier leicht vorankommen.
- Im Finanzwesen und in Technologie-Unternehmen wiederum gab es unterdurchschnittliche Erkennungsraten von 37 und 38 Hinweisen pro tausend Hosts – dies lässt darauf schliessen, dass wirkungsvolle Sicherheitsrichtlinien und weiter entwickelte Response-Fähigkeiten, sowie eine hohe Maturität vorhanden sind.
- Botnet-Aktivitäten treten am häufigsten in der Unterhaltungsbranche auf, und zwar mit einer 6x so hohen Frequenz wie im Durchschnitt aller Branchen. An zweiter Stelle stehen die Medien. Opportunistisch vorgehende Attacken wie die erwähnten Botnet Angriffe nutzen gekaperte Hosts, um mit deren Hilfe Gewinne zu erzielen - etwa durch Bitcoin-Mining oder Spamversand.
- Die Nahrungsmittel- und Getränkeindustrie zeigte die geringsten Angriffszahlen: 17 Meldungen pro 1‘000 Hosts. Diese Branche ist die einzige, in der die Erkennungsraten für alle fünf Kategorien eines typischen Angriffsverlaufs unter dem mittleren Ergebniswert (Median) der Untersuchung lagen.
Eine der am häufigsten unterschätzten, aber am weitesten verbreiteten Gefahren liegt in Bedrohungen von innen, die auf Versehen beruhen. Gehen wichtige Assets wie intellektuelles Eigentum oder personenbezogene Daten unbeabsichtigt verloren, zieht dies die gleichen Risiken nach sich wie eine gezielte Attacke.
Sie sehen, die Cyber-Risiken nehmen zu – was auch nicht weiter erstaunlich ist. Viel entscheidender ist allerdings die Tatsache, dass Cyber-Kriminelle ihre Attacken zunehmend automatisieren und die Effizienz ihrer eigenen Technologie steigern. Daraus resultiert für Sie ein dringender Bedarf für die Automatisierung im Bereich Erkennung und Incident Response, damit Bedrohungen schneller erkannt und gestoppt werden können. Diese Tatsache bestätigen auch unsere Experten in unserem eigenen Cyber Defence Center.
Kritische Hosts indentifizieren und dank künstlicher Intelligenz die Nadel im Heuhaufen finden
Der vielleicht bemerkenswerteste Aspekt des Reports ist, dass die von Vectra eingesetzte Künstliche Intelligenz (KI) über einen Zeitraum von 90 Tagen 1,8 Millionen verschiedene Varianten von potenziellem Bedrohungsverhalten, die auf den mehr als 2 Millionen Hosts beobachtet wurden, auf nur 62‘000 Hosts herunterbrechen konnte. Davon wiederum wurden 3‘720 Hosts als kritisch und 6‘987 als in hohem Masse betroffen eingestuft. Dies ermöglicht den Security-Analysten die riskantesten Bedrohungen mit Vorrang zu entschärfen.
Dies sind nur einige der beachtenswerten Trends, über die der Report berichtet. Die komplette Analyse steht Ihnen HIER zum Download zur Verfügung.
Eine effektive Cyber Defence Strategie braucht künstliche Intelligenz und Fachleute
Insgesamt lässt sich abschliessend ein Anstieg bei den erkannten Bedrohungen und bei den identifizierten Verhaltensweisen erkennen, was Grund zur Sorge gibt. Weil professionell vorgehende Cyber-Kriminelle zunehmend auf Automatisierung setzen und die Effizient ihrer eigenen Technologien steigern, bedarf es im Gegenzug neuer Werkzeuge für die Cyber Defence, insbesondere um den Bereich Erkennung und Response zu automatisieren. Nur so können Bedrohungen schneller erkannt und gestoppt werden. Cyber Security stellt deshalb für jedes Unternehmen eine fortwährende Herausforderung in betrieblicher Effizienz dar. Als Cyber Security Verantwortliche(r) müssen Sie eine nahezu unbegrenzte Anzahl von Risiken, Bedrohungen und Angreifern mit limitierten Ressourcen bekämpfen. Sie sollten daher Produkte für Ihre Netzwerksicherheit immer auch unter Effizienzgesichtspunkten auswählen und danach, welchen Einfluss sie auf die operationale Fitness Ihrer Organisation haben.
Der globale Mangel an gut ausgebildeten Cyber Security-Fachleuten verhindert weiterhin, dass Bedrohungen erkannt und Response-Massnahmen zeitnah bewältigt werden können. Deshalb ist der Einsatz von künstlicher Intelligenz unverzichtbar – sie unterstützt Ihr Security Operations Team, welches so nicht nur schneller auf Bedrohungen reagieren kann sondern den Angreifern damit stets einen Schritt voraus ist. Oder Sie lagern diese anspruchsvolle Aufgabe an einen Experten aus.
