Da die interne Cybersicherheit von Unternehmen immer besser geschützt und überwacht wird, haben Cyberkriminelle ihre Taktiken weiterentwickelt und konzentrieren sich auf neue Methoden der Kompromittierung, die eine größere Angriffsfläche als je zuvor bieten. Das bedeutet, dass Unternehmen über ihre traditionellen IT-Grenzen hinausblicken müssen, um das gesamte Ausmaß der Bedrohungen zu verstehen, die zu einem Cybervorfall führen können.
Für ein besseres Verständnis dieser erweiterten Angriffslandschaft, ist eine kontinuierliche Analyse der neuesten externen Bedrohungen, Schwachstellen und Risiken unerlässlich. Dazu gehören alle Bedrohungen, die von außerhalb der internen Netzwerke von Unternehmen ausgehen, z. B. von Lieferanten, Anbietern und anderen Dritten, sowie Bedrohungen, die sich im Clear, Deep und Dark Web befinden.
Um den Stand der externen Cyberabwehr zu beleuchten, hat BlueVoyant vor kurzem einen Bericht über aufkommende Trends zusammengestellt, die für Unternehmen aller Art kritische Probleme darstellen. Der Bericht basiert auf den Beobachtungen und der Datensammlung, die aus der kontinuierlichen Überwachung und Abwehr von Bedrohungen für die erweiterten Ökosysteme von Unternehmen stammen. Im Folgenden sollen einige der wichtigsten Erkenntnisse beleuchtet werden.
1. Zunehmend fortgeschrittenes und dynamisches Phishing
Die Entwicklungen der vergangenen Jahre und die rapide Zunahme von Fernarbeit haben Unternehmen schneller als geplant zur Digitalisierung gezwungen. Da inzwischen bei vielen Unternehmen ein großer Anteil der Belegschaft von zu Hause aus arbeitet und zudem viele physische Geschäftsstellen geschlossen werden, ist die Abhängigkeit von digitalen Transaktionen sprunghaft angestiegen. Damit verbunden ergaben sich auch mehr Gelegenheiten für Hacker zuzuschlagen.
Analysten beobachten immer ausgefeiltere Phishing-Taktiken, die auf das schwächste Glied abzielen: den Endnutzer. Hacker suchen stets nach neuen und innovativen Wegen, um Angriffe auf Unternehmen und ihre Nutzer auszuführen. Sie haben dabei ihre Bemühungen als Reaktion auf die verteilte Belegschaft und die zunehmende Digitalisierung der globalen Wirtschaft beschleunigt.
Die folgenden Beispiele sind drei der vielen Taktiken, die Bedrohungsakteure im vergangenen Jahr vermehrt eingesetzt haben.
- Phishing-Link-Umleitungen
- Nutzung der dynamischen DNS-Infrastruktur
- Smishing (SMS-Phishing)
2. RDP als primärer Vektor für Ransomware
Mit dem ständig wachsenden Bedarf an externem Fernzugriff auf Netzwerke und der zunehmenden Konnektivität von Drittanbietern stellen unterstützende Technologien, die in modernen Unternehmen weit verbreitet sind, weiterhin ein großes Risiko dar und werden immer häufiger von Bedrohungsakteuren ins Visier genommen. Protokolle wie RDP (Remote Desktop Protocol), SMB (Server Message Block) und WinRM (Windows Remote Management) können wichtige Geschäftsprozesse erleichtern, bergen aber auch ein erhöhtes Risiko, das bei jeder Sicherheitsanalyse berücksichtigt werden muss. Insbesondere RDP scheint bei Hacker hoch im Kurs zu stehen – das Protokoll wurde in der jüngeren Vergangenheit sehr häufig und erfolgreich ausgenutzt.
RDP, das proprietäre Microsoft-Protokoll, das es einem Benutzer auf einem Computer ermöglicht, eine Verbindung zu einem entfernten Computer herzustellen und diesen zu steuern, wird oft von Administratoren verwendet, um ein Problem auf einem entfernten System zu beheben. Es ist in den letzten Jahren beim Cloud Computing beliebt geworden, um auf virtuelle Maschinen in der Cloud-Umgebung zuzugreifen und/oder diese zu verwalten. Leider wird RDP in vielen Fällen zu einem Einfallstor, wenn der RDP-Port für das Internet offen gelassen wird, z. B. auf einem vergessenen System, einer Cloud-Instanz oder einem Netzwerksegment. Dieses Protokoll, das leicht entdeckt und ausgenutzt werden kann, kann zu Datenverlusten, Ausfallzeiten, kostspieligen Abhilfemaßnahmen und Reputationsschäden für Unternehmen führen.
In den letzten Jahren haben Bedrohungsakteure immer häufiger nach offenen RDP-Ports gesucht, da sie durch einen einfachen externen Scan des Netzwerks eines Unternehmens anfällige offene RDP-Dienste finden können. Wenn ein RDP-Port im Netzwerk eines Unternehmens offen bleibt, ist es nur eine Frage der Zeit, bis es zur Zielscheibe für Cyberkriminelle wird.
3. Zero-Day-Schwachstellen und das Timing von Patches
Zero-Day-Schwachstellen, die auch als Emerging Vulnerabilities (EVs) bezeichnet werden, stellen eine überaus kritische Bedrohung für Unternehmen dar, da sie unvorhersehbar und zeitkritisch sind. Quasi wöchentlich werden neue Schwachstellen bekannt, und Unternehmen auf der ganzen Welt und in allen Branchen müssen ständig darauf achten, welche Schwachstellen sie betreffen können. Eine der größten Herausforderungen bei der Risikominderung in einem erweiterten Ökosystem besteht darin, sicherzustellen, dass sowohl Unternehmen als auch Zulieferer keine offenen, ungepatchten Instanzen anfälliger Software haben. Die durchschnittliche Zeit bis zur Kompromittierung mittels eines neu bekannt gewordenen Zero-Day-Angriffs beträgt nur etwa zwei Wochen oder weniger, daher ist es extrem wichtig, schnell zu reagieren.
Durch ihre kontinuierlichen Überwachungsdienste identifizieren Unternehmen wie BlueVoyant schnell EVs innerhalb ihrer globalen Datensätze, die sich aus den nach außen gerichteten IT-Infrastrukturen von Organisationen aus allen Branchen und Sektoren zusammensetzten. Sie sind in der Lage, die Entdeckung bestimmter Daten und Assets innerhalb von Unternehmen zu melden. Durch die Nutzung dieser Fähigkeit können in den meisten Fällen die fraglichen Schwachstellen signiert und die Behebungsrate für alle Organisationen innerhalb der Daten erfasst werden. Daraus können eine Reihe von Schlussfolgerungen darüber gezogen werden, wie Unternehmen auf die Offenlegung neuer EVs am besten reagieren sollten.
Empfehlungen zur Schadensbegrenzung
Um der Bedrohung durch neu auftretende Schwachstellen entgegenzuwirken, gilt es mit Blick auf die oben genannten Trends die folgenden Erkenntnisse und Empfehlungen zu beachten:
- Bedrohungen sollten proaktiv verfolgt werden
- Zur Erfassung von sich schnell entwickelnden Bedrohungen müssen aktuelle Informationen gesammelt werden
- Der Aufbau agiler Sicherheitsprozesse ist von größter Bedeutung
- Es gilt, stets den Überblick über das gesamte externe Ökosystem zu haben
- Risiken müssen priorisiert und Notfallpläne sollten aufgesetzt werden