Cyber-Kriminelle im Schnitt 11 Tage unentdeckt im Behördennetz

0
944
(Grafik: TheDigitalArtist, pixabay.com)

Oftmals werden Cyber-Angriffe heutzutage als sogenannte Blended Attacks durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren. Das Managed-Threat-Response sowie das Rapid-Response-Team von Sophos hat Telemetriedaten solcher Attacken ausgewertet. In dem Bericht zeigt sich unter anderem, dass die Angreifer vor der Entdeckung im Schnitt 11 Tage in einem gekaperten Netzwerk verweilten, der längste unentdeckte Einbruch dauerte sogar 15 Monate. Um dies in einen Kontext zu setzen: 11 Tage bieten Angreifern potenziell 264 Stunden für kriminelle Aktivitäten wie Zugangsdatendiebstahl oder Datenexfiltration.

Remote Desktop Protocol ist Einfallstor Nummer 1

Dabei nutzen die Kriminellen in 69 Prozent aller Fälle RDP (Remote Desktop Protocol) als Einstieg für ihre Schleichfahrten durch Netzwerke. Sicherheitsmaßnahmen für RDP wie VPNs oder Multifaktor-Authentifizierung konzentrieren sich in der Regel auf den Schutz des externen Zugriffs. Sie funktionieren jedoch nicht, wenn sich der Angreifer bereits innerhalb des Netzwerks befindet. In der Folge setzen Angreifer bei aktiven, tastaturgesteuerten Angriffen, z.B. mit Ransomware, RDP zur Infiltrierung eines Systems immer häufiger ein. Ebenfalls eine beliebte Strategie der Kriminellen ist die Nutzung von in einer Organisation offiziell verwendeten Admin-Tools als Deckmantel für ihre Aktivitäten. Da viele dieser Tools von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet werden, ist es eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen – oftmals ein Fall für menschliche Experten.

Expertenwissen und KI im Teamwork

Zur Abwehr solcher Attacken haben sich sogenannte Endpoint Detection & Response-, abgekürzt EDR-Lösungen, bewährt. Mit EDR können bereits Vorstufen von Angriffen und Hackeraktivitäten in der Phase erkannt werden, in der sich ein Angreifer im Netzwerk umsieht und ausbreitet. Um EDR jedoch effektiv zu bedienen, wird spezialisiertes Personal benötigt – und zwar rund um die Uhr, am Wochenende wie an Feiertagen. Sophos ergänzt EDR zusätzlich mit XDR (Extended Detection & Response), das die menschliche Kompetenz einbezieht. Damit geht der Schutz über die Endpointund Server-Ebene hinaus und ermöglicht der Firewall, der E-Mail-Security und anderen Datenquellen, wichtige Daten an einen Data Lake zu senden. Die Kombination nennt Sophos das Adaptive Cybersecurity Ecosystem. Es nutzt gleichzeitig die Automatisierung und die Kompetenz menschlicher Spezialisten, um Angreifern einen Schritt voraus zu sein. Es lernt und verbessert sich ständig und schafft so einen positiven Kreislauf der Cyber-Sicherheit.

Gemeinsam mit Sophos veranstaltet der Behörden Spiegel am Freitag, den 8. April von 10:30 bis 12 Uhr ein PartnerWebinar zum Thema “Die Antwort auf morderne Cyberattacken – Intelligentes Teamwork”. Dort werden unter anderem die Themen Vorbeugunng von Cyber-Angriffen, die Vorteiel eines CybersecurityÖkosystem und die digitale Brandmeldeanlage von Sophos besprochen. Mehr Informationen über die Veranstaltung und die Möglichkeit zur Anmeldung gibt es hier.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here