In 25 Prozent der Sicherheitsvorfälle in Europa missbrauchen Cyberkriminelle legitime Tools für weitere Aktivitäten
– Programmschwachstellen häufigste Einfallstore ins Unternehmensnetzwerk
– Fernzugriffstools erlauben Cyberkriminellen Daten zu stehlen
– 11,1 Prozent der Incident Responses in Europa stammen aus Deutschland; 25,9 Prozent aus der Schweiz
Ob Finanzinstitute oder Unternehmen aus Telekommunikation, Industrie, Transport und Logistik – europäische Organisationen jeglicher Branche haben mit Cyberangriffen zu kämpfen. So betrafen fast ein Viertel (24 Prozent) der weltweit von Kaspersky analysierten Vorfallreaktionen (Incident Responses) im vergangenen Jahr Europa, das ist Platz zwei nach dem Mittleren Osten (32,6 Prozent) [1]. Am häufigsten lösten verdächtige Dateien (36,2 Prozent), bereits verschlüsselte Daten (21,3 Prozent) oder verdächtige Aktivitäten an den Endpoints (10,6 Prozent) eine Vorfallreaktion bei Unternehmen aus. Das Problem dabei: die Hälfte der Vorfälle wird erst nach einigen Wochen entdeckt, der Schaden ist also bereits entstanden. Darüber hinaus stehen ein Viertel der Sicherheitsvorfälle in Verbindung mit legitimen Verwaltungs- und Fernzugriffstools, die Sicherheitslösungen als Angriffe nur schwer erkennen können und die in Zeiten des Arbeitens von Zuhause sich großer Beliebtheit erfreuen.
Unternehmen erkennen Cyberangriffe zum einen an auffälligen negativen Auswirkungen wie verschlüsselten Daten, Geldverlust oder geleakten Daten sowie aufgrund von Warnungen, die sie von ihren Sicherheitslösungen erhalten. Bei der Analyse der Vorfallreaktionen in Europa stellten die Kaspersky-Experten fest, dass in mehr als einem Drittel (35,3 Prozent) der Fälle ausgenutzte Programm-Schwachstellen das Einfallstor in das Unternehmensnetzwerk waren. Als weitere erste Angriffsvektoren konnten
– schädliche E-Mails (29,4 Prozent),
– externe Datenträger (11,8 Prozent),
– Ausnutzung von Schwachstellen aufgrund fehlerhafter Konfiguration (11,8 Prozent),
– geleakte Zugangsdaten (5,9 Prozent).
– sowie Insider (5,9 Prozent)
identifiziert werden.
Betroffen sind dabei Unternehmen jeglicher Branche. So stammten die von Kaspersky analysierten Incident Responses von Organisationen im Bereich Finanzen (25,4), Telekommunikation (16,9 Prozent), Industrie (16,9 Prozent) oder Transport (13,6 Prozent). Etwa jede zwölfte Vorfallreaktion stammte aus Behörden (8,5 Prozent).
Verwaltungs- und Fernzugrifftools sind Risiko für Unternehmen
Waren die Angreifer erst einmal im Netzwerk, missbrauchten sie in 25 Prozent der analysierten Incident Responses legitime Tools, um Schaden anzurichten. Diese dienen eigentlich IT- und Netzwerkadministratoren unter anderem dazu, Fehler zu beheben und den Mitarbeitern technischen Support zu bieten. Jedoch können Cyberkriminelle damit Prozesse auf Endpunkten ausführen, auf vertrauliche Informationen zugreifen und diese extrahieren, wobei verschiedene Sicherheitskontrollen zur Erkennung von Malware umgangen werden.
Bei der Analyse der Incident Responses konnten die Kaspersky-Experten 18 verschiedene legitime Tools identifizieren, die von Angreifern für schädliche Zwecke missbraucht wurden. Bei der Hälfte der in Europa analysierten Fälle (50 Prozent) wurden das mächtige Verwaltungstool PowerShell, das für viele Zwecke verwendet werden kann, vom Sammeln von Informationen bis zum Ausführen von Malware, und PsExec, das zum Starten von Prozessen auf Remote-Endpunkten verwendet wird, genutzt. SoftPerfect Network Scanner, mit dem Informationen zu Netzwerkumgebungen abgerufen werden, in 37,5 Prozent der Angriffe.
"Um eine Erkennung zu vermeiden und in einem gefährdeten Netzwerk so lange wie möglich unsichtbar zu bleiben, verwenden Angreifer häufig Software, die für normale Nutzeraktivitäten, Administratoraufgaben und Systemdiagnosen entwickelt wurde", erklärt Konstantin Sapronov, Leiter des globalen Notfallteams bei Kaspersky. "Mit diesen Tools können Angreifer Informationen über Unternehmensnetzwerke sammeln und sich darin bewegen, Software- und Hardwareeinstellungen ändern oder sogar schädliche Aktionen ausführen – sie könnten legitime Software verwenden, um Kundendaten zu verschlüsseln. Legitime Software kann Angreifern dabei helfen, unter dem Radar von Sicherheitsanalysten zu bleiben, da sie den Angriff häufig erst erkennen, nachdem der Schaden angerichtet wurde. Es ist aus vielen Gründen nicht möglich, diese Tools auszuschließen. Ordnungsgemäß eingesetzte Protokollierungs- und Überwachungssysteme helfen jedoch dabei, verdächtige Aktivitäten im Netzwerk und komplexe Angriffe in früheren Phasen zu erkennen."
Unternehmen sollten die Implementierung einer Endpoint-Detection-and-Response-Lösung mit einem MDR-Service in Betracht ziehen, um solche Angriffe rechtzeitig erkennen und darauf reagieren zu können. MITRE ATT&CK® Round 2 Evaluation [2], bei der verschiedene Lösungen wie Kaspersky EDR und Kaspersky Managed Protection Service evaluiert wurden, kann Unternehmen bei der Auswahl von EDR-Produkten unterstützen, die den eigenen Anforderungen entsprechen. Die Ergebnisse der ATT&CK-Evaluierung belegen die Bedeutung einer umfassenden Lösung, die ein vollautomatisches mehrschichtiges Sicherheitsprodukt und einen manuellen Threat-Hunting-Service kombiniert.
Kaspersky-Schutztipps für Unternehmen
– Den Zugriff auf Remoteverwaltungstools von externen IP-Adressen beschränken und sicherstellen, dass auf Fernbedienungsschnittstellen nur von einer begrenzten Anzahl von Endpunkten aus zugegriffen werden kann.
– Eine strenge Passwort-Richtlinie für alle IT-Systeme und den Einsatz von Multi-Faktor-Authentifizierung durchsetzen.
– Mitarbeitern eingeschränkte Privilegien anbieten und Konten mit hohen Privilegien nur denjenigen gewähren, die dies zur Erfüllung ihrer Aufgabe benötigen.
– Installation einer dedizierten Sicherheitslösung wie Kaspersky Endpoint Security for Business [3] auf allen Windows-, Linux- und MacOS-Endpunkten. Dies ermöglicht den Schutz vor bekannten und unbekannten Cyberbedrohungen und bietet eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
– SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels Threat Intelligence [4] ermöglichen, damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt.
– Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten. Auf diese Weise können wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht wurden.
Weitere Erkenntnisse des Incident Response Analyst Report von Kaspersky sind verfügbar unter https://securelist.com/incident-response-analyst-report-2019/97974/
[1] https://securelist.com/incident-response-analyst-report-2019/97974/ // Für den Incident Response Analyst Report hat Kaspersky die weltweiten Vorfallreaktions-Untersuchungen des Jahres 2019 analysiert.
[2] https://www.kaspersky.com/enterprise-security/mitre-attack
[3] https://www.kaspersky.de/small-to-medium-business-security
[4] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:. Kaspersky Incident Analyst Report: https://securelist.com/…. Kaspersky Incident Response: https://www.kaspersky.de/…
Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/
Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt
Telefon: +49 (841) 98189-0
Telefax: +49 (841) 98189-100
http://www.kaspersky.de
Kaspersky Labs GmbH
Telefon: +49 (841) 98189-322
Fax: +49 (841) 98189-100
E-Mail: anne.mickler@kaspersky.com
Berkeley Kommunikation GmbH
Telefon: +49 (89) 747262-42
E-Mail: sarah.schoenhoeffer@berkeleypr.com