Der Global Threat Report 2024 zeigt vor allem drei Ursachen für den Erfolg von Angreifern auf: offensive Sicherheitstools (OSTs) – Testtools, die zur proaktiven Identifizierung von Sicherheitslücken entwickelt wurden -, falsch konfigurierte Cloud-Umgebungen sowie eine zunehmende Fokussierung auf den Zugang zu Anmeldeinformationen.
Für den jährlichen Bericht wertete Elastic Security Labs mehr als eine Milliarde Datenpunkte aus.
„Die Erkenntnisse aus dem Elastic Global Threat Report 2024 bestätigen das Verhalten, das wir immer wieder beobachten: Die Technologien der Verteidiger funktionieren. Unsere Untersuchung zeigt einen Rückgang der Defense Evasion um sechs Prozent im Vergleich zum Vorjahr“, sagt Thorben Jändling, Principal Solutions Architect in der Global Security Specialist Group bei Elastic. „Angreifer konzentrieren sich verstärkt darauf, Sicherheitstools zu missbrauchen und legitime Anmeldeinformationen zu sammeln, um ihre Ziele zu erreichen. Das unterstreicht, wie wichtig es für Unternehmen ist, gut abgestimmte Sicherheitsfunktionen und -richtlinien zu haben.“
Die wichtigsten Erkenntnisse aus dem Report:
Angreifer nutzen Standard-Tools von Sicherheitsexperten
- Offensive Sicherheitstools (OSTs), einschließlich Cobalt Strike und Metasploit, machten etwa 54 Prozent der beobachteten Malware-Warnungen aus.
- Cobalt Strike war für 27 Prozent der Malware-Angriffe verantwortlich.
Angreifer haben Erfolg, weil Unternehmen Cloud-Umgebungen mangelhaft konfigurieren
- Fast 47 Prozent der Microsoft Azure-Fehler waren mit Fehlkonfigurationen von Speicherkonten verbunden.
- Fast 44 Prozent der Google-Cloud-Benutzer scheiterten an Prüfungen, die von BigQuery ausgingen – insbesondere an einer fehlenden, vom Kunden verwalteten Verschlüsselung.
- 30 Prozent der Ausfälle bei Amazon Web Services (AWS) waren auf S3-Prüfungen zurückzuführen – insbesondere auf eine fehlende Multifaktor-Authentifizierung (MFA), die von Sicherheitsteams implementiert wurde.
Statt auf Defense Evasion setzen Angreifer zunehmend auf andere Ansätze – zum Beispiel darauf, legitime Anmeldedaten zu erhalten, um unerkannt zu bleiben
- Credential Access machte ca. 23 Prozent aller Cloud-Verhaltensweisen aus, hauptsächlich in Microsoft Azure-Umgebungen.
- Brute-Force-Techniken nahmen um zwölf Prozent zu und machten in Microsoft Azure fast 35 Prozent aller Techniken aus.
- Während Endpoint-Verhalten etwa drei Prozent aller Verhaltensweisen in Linux ausmachten, waren 89 Prozent davon Brute-Force-Angriffe.
- Die Zahl der Defense Evasion Verhaltensmuster ist im letzten Jahr um sechs Prozent zurückgegangen.
„Als globale Plattform, die von mehr als 200 Millionen Menschen genutzt wird, sind wir bestrebt, die vertrauenswürdigste visuelle Kommunikationsplattform für unsere weltweite Community aufzubauen. Der Elastic Global Threat Report ist ein großartiges Instrument, das sicherstellt, dass sich unsere Bedrohungserkennung auf reale Aktivitäten von Angreifern konzentriert“, sagt Raymond Schippers, Director of Security Engineering for Detection and Response bei Canva. „Entscheidend ist, die wichtigsten Angreifertechniken in der Cloud zu verstehen. Im Gegensatz zu den Berichten anderer Anbieter, die lediglich Namen nennen, geben uns die Diamantmodelle von Elastic einen schnellen, detaillierten Einblick in die Bewegungen der Angreifer und helfen uns, dem Spiel immer einen Schritt voraus zu sein“.
(pd/Elastic)