München/Zürich, den 25.01.2023 – Angesichts der noch immer steigenden Zahl an Cyberangriffen wenden Unternehmen vermehr Mittel für die Prävention von Attacken auf, was nach Meinung von Andreas Riepen, Head Zentral- & Osteuropa bei Vectra AI, aber nur die halbe Miete ist. Solange das Thema der Erkennung und Reaktion auf Angriffe (Detection & Response) vielerorts noch vernachlässigt wird, erwartet er keine große Verbesserung der allgemeinen IT-Sicherheitssituation.
„Erfolgreiche Cyberangriffe waren und sind weiter auf dem Vormarsch. Bei der Lektüre des „2022 Data-breach Investigations Report“ wird deutlich, dass das vergangene Jahr erneut ein Jahr mit zahlreichen erfolgreichen Cyberangriffen war:
• Es gab Angriffe, bei denen Zero-Day-Schwachstellen und kritische CVEs ausgenutzt wurden, einige davon mehrfach in MS Exchange (Hafnium) und mit Log4J.
• Im Jahr nach SolarWinds gab es wieder einige Angriffe auf die Lieferkette, wie bei Kaseya.
• Sehr oft wurden Angriffe jedoch immer noch durch einfache Fehler und Fehlkonfigurationen begünstigt.
Das Ergebnis oder „Endspiel“ solcher Verletzungen – sehr oft in Verbindung mit einer Advanced Persistent Threat (APT) oder heute eher „hoch evasiven“ APT – ist der Diebstahl von Daten oder das Einschleusen von Ransomware. Häufig wird sogar beides parallel eingesetzt, die so genannte „doppelte Erpressung“.
Ein genauerer Blick auf die Rubrik Ransomware zeigt, dass Verizon einen Anstieg von 13 Prozent gegenüber dem Vorjahr beobachtet hat, wodurch Ransomware für 25 Prozent aller Cybersicherheitsvorfälle verantwortlich ist.
Was den Modus Operandi einer APT betrifft, so stellt sich heraus, dass ein solcher Angriff meist, wenn nicht sogar immer, in mehreren Phasen abläuft. Dies wirft die Frage auf, warum man sich immer noch so sehr auf das Ergebnis eines Angriffs, nämlich Ransomware, konzentriert, anstatt die Ähnlichkeiten zu erörtern, die auf dem Weg zu diesem „Endspiel“ zu beobachten sind.
Hinzu kommt, dass alle Unternehmen, die Opfer eines Angriffs werden, bereits eine Reihe von Sicherheitslösungen einsetzen, die vom Netzwerk bis zum Endpunkt reichen und Signaturen sowie den „neuen Goldstandard“ KI/ML nutzen.
Das Problem der präventiven Cybersicherheitsstrategien
Warum passiert das immer noch und immer wieder? Warum lassen sich solche Angriffe nicht früher erkennen und verhindern, bevor sie erfolgreich sind? Konzentrieren wir uns auf einige Forschungszahlen, um den Kontext zu verdeutlichen. Betrachten wir zum Beispiel die Anzahl der Common Vulnerabilities and Exposures (CVEs), also gängigen oder bekannten Schwachstellen und Gefährdungen, mit denen wir uns befassen müssen:
• Im vergangenen Jahr wurden mehr als 20.000 neue CVEs bekannt gegeben, was einem Anstieg von etwa zehn Prozent gegenüber dem Vorjahr entspricht.
• Nach Angaben von Tanium war die älteste entdeckte Schwachstelle 21 Jahre alt und tauchte in SNMPv2 auf, das immer noch häufig zur Verwaltung von Geräten in einem IP-Netzwerk verwendet wird.
• Mehr als zehn Prozent dieser CVEs werden als „kritisch“ eingestuft. Das sind mehr als 2000 – oder über 165 pro Monat. Selbst wenn nicht alle davon auf eine Umgebung zutreffen, müssen Unternehmen sich dennoch mit vielen von ihnen befassen.
• Im ersten Quartal 2022 listete die National Vulnerability Database (NVD), die die CVEs beobachtet, bereits über 8.000 CVEs (25 Prozent mehr als im gleichen Zeitraum des Vorjahres) auf.
Die oben genannten Zahlen sind beeindruckend, da sie die unmögliche Aufgabe aufzeigen, alle diese Schwachstellen in der jeweiligen Umgebung zu erfassen, zu erkennen und zu patchen. Dies ist nicht nur aufgrund der Menge unmöglich, sondern auch wegen des Risikos, kritische Systeme lange genug offline zu nehmen, um sie zu patchen. Ganz zu schweigen von Systemen, die man gar nicht patchen kann, weil man sich nicht traut, sie anzufassen.
Das Problem der Präventiv- und Abhilfestrategien wird noch deutlicher, wenn man sich die tatsächlich erfolgten Angriffe ansieht, die diese CVEs ausnutzen:
• 75 Prozent der Angriffe nutzten über zwei Jahre alte Schwachstellen, berichtet Check Point in seinem Cyber Security Report.
• 18 Prozent waren sogar mindestens 7 Jahre alt.
• Die meisten dieser kritischen CVEs wurden bereits als Waffe eingesetzt/ausgenutzt, lange bevor die CVE veröffentlicht und den Bedrohungsjägern zugänglich gemacht wurde.
• Nach Angaben von Palo Alto Networks wurden 80 Prozent der öffentlichen Exploits veröffentlicht, bevor die CVE bekannt wurde.
• Im Durchschnitt dauerte es 23 Tage, bevor eine CVE veröffentlicht wurde.
• Zudem liegt die MTTR (Mean Time To Remediation) nach Angaben von Edgescan immer noch bei 58 Tagen. Nicht zu vergessen ist, die durchschnittlichen 23 Tage vor der Veröffentlichung der CVE hinzuzurechnen.
Ein nüchterner Blick auf diese Daten zeigt, dass signaturbasierte Ansätze – entweder zur Verhinderung von Bedrohungen oder zu deren Erkennung (im Nachhinein) – einfach nicht ausreichen, um Unternehmen vor Cyberangriffen zu schützen. Es liegt auf der Hand, dass viele anfängliche Sicherheitsverletzungen von den gängigen Präventivmaßnahmen nicht erkannt werden können – entweder, weil sie nicht bekannt sind oder weil sie die vorhandenen Präventivmaßnahmen umgehen können.
Darüber hinaus haben jüngste Untersuchungen des Berliner SRLabs ergeben, dass die Umgehung von EDR-Lösungen (Endpoint Detection and Response) ein echtes Problem ist, das nun optimiert werden kann. Die Forscher weisen darauf hin, dass es sich nicht mehr um ein „Handwerk“ handelt. Ihre Schlussfolgerung ist ziemlich verblüffend und sollte als Weckruf verstanden werden: „Insgesamt erhöhen DER-Systeme den Aufwand für Hacker um etwa zwölf Prozent oder eine Woche, wenn ein großes Unternehmen kompromittiert wird, basierend auf der typischen Ausführungszeit einer Red-Team-Übung.“ Mit anderen Worten: EDR ist nicht der Heilige Gral – es ist nicht mehr als eine erforderliche Komponente einer mehrschichtigen Sicherheitsstrategie.
Best Practices der Cybersicherheit müssen überarbeitet werden
Um das Problem zu entschärfen, gilt es die bewährten Praktiken im Bereich der Cybersicherheit zu überarbeiten:
• Zero-Trust-Konzepte reichen nicht aus, auch wegen der Komplexität, die mit ihrer vollständigen Umsetzung verbunden ist.
• Mehrschichtige Sicherheit ist ein Muss.
• Vorbeugende Maßnahmen allein sind ebenfalls unzureichend: Es wird immer mindestens ein Labyrinth im Netz geben.
• Unternehmen müssen in eine nicht-invasive Netzwerkerkennung investieren, kombiniert mit einer umfassenden Orchestrierungspraxis, um auf Ereignisse zu reagieren.
Jedes Unternehmen, dem die Kontinuität seines Geschäftsbetriebs am Herzen liegt, muss sich mit effektiver Data Science („Datenwissenschaft“) als Instrument zur Skalierung seiner Cybersicherheitsprozesse und zur Sicherstellung ihrer Effektivität befassen. Die Datenwissenschaft kann jedoch nicht ohne Weiteres eine Überlast an Bedrohungsindikatoren verarbeiten. Die wirtschaftliche Umsetzung besteht darin, die Datenwissenschaft zu nutzen, um sich von der schnellen Verarbeitung weniger Indikatoren bis hin zur Aufdeckung einer begrenzten Anzahl von äußerst wertvollen und vertrauenswürdigen Sicherheitsvorfällen vorzuarbeiten. Nur so lassen sich aussagekräftige Vorfälle finden, bevor sie zu einer Sicherheitsverletzung führen. Es ist eigentlich ganz einfach.
Jeder kennt die Herausforderung, eine Nadel in einem Heuhaufen zu finden. Sie müssen sich durch das Heu arbeiten, auch wenn die Datenwissenschaft Ihnen helfen kann, mehr Heu zu verarbeiten. Aber wäre es nicht besser, gar nicht erst einen Heuhaufen zu produzieren, den man bearbeiten muss, damit man die Nadel vor sich sieht?
Datenwissenschaft zu nutzen bedeutet, sich nicht auf Bausteine zu konzentrieren, wie etwa das Auffinden einer Zero-Day-Schwachstelle oder eines Exploits, der eine solche nutzt. Sie sind zu zahlreich und schier unendlich. Die bessere Wahl ist, das Potenzial der Datenwissenschaft zu nutzen, um zu verstehen und zu sehen, was ein Angreifer tun könnte, sobald er eine dieser Schwachstellen auf ein System anwendet. Mit anderen Worten: die Datenwissenschaft nutzen, um TTPs zu identifizieren, und wenden sie in Verbindung mit einem guten Framework, wie dem von MITRE, anzuwenden.
Die verfügbaren Aktionen oder Taktiken nach dem Zero-Day sind nicht zahlreich, aber sehr beständig. Angreifer hinterlassen eine Spur im Netzwerk. Vectra kann dabei helfen, diese Spur zu identifizieren, so dass der Angreifer identifiziert werden kann.
Unternehmen sollten nicht versuchen, das Endspiel des Angreifers zu verhindern, sondern sich darauf konzentrieren, den Pfad zu erkennen und zu blockieren, bevor es überhaupt zu einem Endspiel kommen kann.“
# # # ENDE # # #
Über Vectra
Vectra® ist führend in der KI-basierte Erkennung und Abwehr von Bedrohungen in einer Hybrid Cloud-Welt. Nur Vectra optimiert die KI, um Angriffsmethoden konkret zu erkennen – die TTPs, die das Herzstück aller Angriffe bilden – anstatt einfach nur bei „Auffälligkeiten“ zu warnen. Das resultierende High-Fidelity-Bedrohungssignal und der klare Kontext ermöglichen es Cybersicherheitsteams, schnell auf Bedrohungen zu reagieren und zu verhindern, dass Angriffe zu schwerwiegenden Sicherheitsverletzungen werden. Die Vectra-Plattform und -Services decken Public Cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastruktur ab – sowohl On-Premises als auch Cloud-basiert. Organisationen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um Widerstandsfähigkeit gegenüber Ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen sicherzustellen, die sich auf ihre Organisation auswirken. Weitere Informationen finden Sie unter https://www.vectra-ai.com/de
Quellen:
https://www.verizon.com/business/resources/reports/dbir/
https://arstechnica.com/information-technology/2022/08/newfangled-edr-malware-detection-generates-billions-but-is-easy-to-bypass/
Pressekontakt
tech2com UG (haftungsbeschränkt)
Philipp Haberland
0049 163 2722 363
p.haberland@tech2com.de