München/Zürich, den 25.01.2023 – Angesichts der noch immer steigenden Zahl an Cyberangriffen wenden Unternehmen vermehr Mittel für die Prävention von Attacken auf, was nach Meinung von Andreas Riepen, Head Zentral- & Osteuropa bei Vectra AI, aber nur die halbe Miete ist. Solange das Thema der Erkennung und Reaktion auf Angriffe (Detection & Response) vielerorts noch vernachlässigt wird, erwartet er keine große Verbesserung der allgemeinen IT-Sicherheitssituation.
„Erfolgreiche Cyberangriffe waren und sind weiter auf dem Vormarsch. Bei der Lektüre des „2022 Data-breach Investigations Report“ wird deutlich, dass das vergangene Jahr erneut ein Jahr mit zahlreichen erfolgreichen Cyberangriffen war:
• Es gab Angriffe, bei denen Zero-Day-Schwachstellen und kritische CVEs ausgenutzt wurden, einige davon mehrfach in MS Exchange (Hafnium) und mit Log4J.
• Im Jahr nach SolarWinds gab es wieder einige Angriffe auf die Lieferkette, wie bei Kaseya.
• Sehr oft wurden Angriffe jedoch immer noch durch einfache Fehler und Fehlkonfigurationen begünstigt.
Das Ergebnis oder „Endspiel“ solcher Verletzungen – sehr oft in Verbindung mit einer Advanced Persistent Threat (APT) oder heute eher „hoch evasiven“ APT – ist der Diebstahl von Daten oder das Einschleusen von Ransomware. Häufig wird sogar beides parallel eingesetzt, die so genannte „doppelte Erpressung“.
Ein genauerer Blick auf die Rubrik Ransomware zeigt, dass Verizon einen Anstieg von 13 Prozent gegenüber dem Vorjahr beobachtet hat, wodurch Ransomware für 25 Prozent aller Cybersicherheitsvorfälle verantwortlich ist.
Was den Modus Operandi einer APT betrifft, so stellt sich heraus, dass ein solcher Angriff meist, wenn nicht sogar immer, in mehreren Phasen abläuft. Dies wirft die Frage auf, warum man sich immer noch so sehr auf das Ergebnis eines Angriffs, nämlich Ransomware, konzentriert, anstatt die Ähnlichkeiten zu erörtern, die auf dem Weg zu diesem „Endspiel“ zu beobachten sind.
Hinzu kommt, dass alle Unternehmen, die Opfer eines Angriffs werden, bereits eine Reihe von Sicherheitslösungen einsetzen, die vom Netzwerk bis zum Endpunkt reichen und Signaturen sowie den „neuen Goldstandard“ KI/ML nutzen.
Das Problem der präventiven Cybersicherheitsstrategien
Warum passiert das immer noch und immer wieder? Warum lassen sich solche Angriffe nicht früher erkennen und verhindern, bevor sie erfolgreich sind? Konzentrieren wir uns auf einige Forschungszahlen, um den Kontext zu verdeutlichen. Betrachten wir zum Beispiel die Anzahl der Common Vulnerabilities and Exposures (CVEs), also gängigen oder bekannten Schwachstellen und Gefährdungen, mit denen wir uns befassen müssen:
• Im vergangenen Jahr wurden mehr als 20.000 neue CVEs bekannt gegeben, was einem Anstieg von etwa zehn Prozent gegenüber dem Vorjahr entspricht.
• Nach Angaben von Tanium war die älteste entdeckte Schwachstelle 21 Jahre alt und tauchte in SNMPv2 auf, das immer noch häufig zur Verwaltung von Geräten in einem IP-Netzwerk verwendet wird.
• Mehr als zehn Prozent dieser CVEs werden als „kritisch“ eingestuft. Das sind mehr als 2000 – oder über 165 pro Monat. Selbst wenn nicht alle davon auf eine Umgebung zutreffen, müssen Unternehmen sich dennoch mit vielen von ihnen befassen.
• Im ersten Quartal 2022 listete die National Vulnerability Database (NVD), die die CVEs beobachtet, bereits über 8.000 CVEs (25 Prozent mehr als im gleichen Zeitraum des Vorjahres) auf.
Die oben genannten Zahlen sind beeindruckend, da sie die unmögliche Aufgabe aufzeigen, alle diese Schwachstellen in der jeweiligen Umgebung zu erfassen, zu erkennen und zu patchen. Dies ist nicht nur aufgrund der Menge unmöglich, sondern auch wegen des Risikos, kritische Systeme lange genug offline zu nehmen, um sie zu patchen. Ganz zu schweigen von Systemen, die man gar nicht patchen kann, weil man sich nicht traut, sie anzufassen.
Das Problem der Präventiv- und Abhilfestrategien wird noch deutlicher, wenn man sich die tatsächlich erfolgten Angriffe ansieht, die diese CVEs ausnutzen:
• 75 Prozent der Angriffe nutzten über zwei Jahre alte Schwachstellen, berichtet Check Point in seinem Cyber Security Report.
• 18 Prozent waren sogar mindestens 7 Jahre alt.
• Die meisten dieser kritischen CVEs wurden bereits als Waffe eingesetzt/ausgenutzt, lange bevor die CVE veröffentlicht und den Bedrohungsjägern zugänglich gemacht wurde.
• Nach Angaben von Palo Alto Networks wurden 80 Prozent der öffentlichen Exploits veröffentlicht, bevor die CVE bekannt wurde.
• Im Durchschnitt dauerte es 23 Tage, bevor eine CVE veröffentlicht wurde.
• Zudem liegt die MTTR (Mean Time To Remediation) nach Angaben von Edgescan immer noch bei 58 Tagen. Nicht zu vergessen ist, die durchschnittlichen 23 Tage vor der Veröffentlichung der CVE hinzuzurechnen.
Ein nüchterner Blick auf diese Daten zeigt, dass signaturbasierte Ansätze – entweder zur Verhinderung von Bedrohungen oder zu deren Erkennung (im Nachhinein) – einfach nicht ausreichen, um Unternehmen vor Cyberangriffen zu schützen. Es liegt auf der Hand, dass viele anfängliche Sich