Der neueste Nozomi Networks Labs OT & IoT Security Report: Unpacking the Threat Landscape with Unique Telemetry Data (Entschlüsselung der Bedrohungslandschaft mit einzigartigen Telemetriedaten) zeigt, dass Malware-Aktivitäten und Warnungen vor unerwünschten Anwendungen in OT- und IoT-Umgebungen drastisch zugenommen haben. Dies liegt daran, dass Nationalstaaten, kriminelle Gruppen und Hacktivisten weiterhin das Gesundheitswesen, die Energieversorgung sowie die Fertigung ins Visier nehmen.
Die Auswertung einzigartiger Telemetriedaten von Nozomi Networks Labs – gesammelt in OT- und IoT-Umgebungen, die eine Vielzahl von Anwendungsfällen und Branchen weltweit abdecken, – hat ergeben, dass Malware-bezogene Sicherheitsbedrohungen in den letzten sechs Monaten um das 10-fache angestiegen sind. In den breiten Kategorien der Malware und potenziell unerwünschten Anwendungen stieg die Aktivität um 96 Prozent. Die Bedrohungsaktivität im Zusammenhang mit Zugriffskontrollen hat sich mehr als verdoppelt. Unzureichende Authentifizierung und Passworthygiene führten die Liste der kritischen Warnmeldungen im zweiten Berichtszeitraum in Folge an – obwohl die Aktivitäten in dieser Kategorie im Vergleich zum vorherigen Berichtszeitraum um 22 Prozent zurückgingen.
„Es gibt eine gute und eine schlechte Nachricht in unserem jüngsten Bericht“, sagte Chris Grove, Nozomi Networks Director of Cybersecurity Strategy. „Ein signifikanter Rückgang der Aktivitäten pro Kunde in Kategorien wie Authentifizierungs- und Passwortprobleme und verdächtiges oder unerwartetes Netzwerkverhalten deutet darauf hin, dass sich die Anstrengungen zur Sicherung der Systeme in diesen Bereichen auszahlen. Andererseits hat die Malware-Aktivität dramatisch zugenommen, was auf eine eskalierende Bedrohungslandschaft hinweist. Es ist an der Zeit, bei der Verstärkung unserer Abwehrmaßnahmen ‚aufs Gaspedal zu treten‘.“
Im Folgenden findet sich eine Liste der wichtigsten Bedrohungen, die in den letzten sechs Monaten in realen Umgebungen aufgetreten sind:
- Authentifizierungs- und Passwortprobleme -– Rückgang um 22 %.
- Netzwerkanomalien und Angriffe – Anstieg um 15%
- Spezifische Bedrohungen der Betriebstechnologie (OT) – minus 20%
- Verdächtiges oder unerwartetes Netzwerkverhalten – minus 45%
- Zugangskontrolle und -berechtigung – plus 128%
- Malware und potenziell unerwünschte Anwendungen – plus 96%
Was Malware angeht, so sind Denial-of-Service-Attacken (DOS) nach wie vor einer der häufigsten Angriffe auf OT-Systeme. Es folgt die Kategorie der Remote-Access-Trojaner (RAT), die von Angreifern häufig verwendet werden, um die Kontrolle über kompromittierte Rechner zu erlangen. Verteilte Denial-of-Service-Bedrohungen (DDoS) sind die größte Bedrohung in IoT-Netzwerkdomänen.
Daten aus IoT-Honeypots
Bösartige IoT-Botnets sind auch in diesem Jahr aktiv. Nozomi Networks Labs ermittelte wachsende Sicherheitsbedenken, da Botnets weiterhin Standardanmeldedaten verwenden, um auf IoT-Geräte zuzugreifen.
Von Januar bis Juni 2023 wurde folgende Honeypots von Nozomi Networks erkannt:
- Durchschnittlich 813 einzelne Angriffe täglich – der Tag mit der höchsten Zahl einzelner Attacken war der 1. Mai mit 1.342 Angriffen
- Die meisten IP-Adressen der Angreifer wurden mit China, den Vereinigten Staaten, Südkorea, Taiwan und Indien in Verbindung gebracht.
- Brute-Force-Angriffe sind nach wie vor eine beliebte Technik, um sich Zugang zum System zu verschaffen – Standard-Anmeldedaten sind eine der Hauptmethoden, mit denen sich Bedrohungsakteure Zugang zum IoT verschaffen
ICS-Schwachstellen
Die am stärksten gefährdeten Branchen sind nach wie vor das verarbeitende Gewerbe, der Energiesektor und die Wasser-/Abwasserwirtschaft. Die Branchen Lebensmittel und Landwirtschaft sowie Chemie rücken in die Top 5 auf und verdrängen damit die Branchen Transport und Gesundheitswesen, die in Nozomis letzten Halbjahresbericht zu den Top 5 der am meisten gefährdeten Branchen gehörten. In der ersten Hälfte des Jahres 2023 wurde Folgendes festgestellt:
- Die CISA veröffentlichte 641 gemeinsame Schwachstellen und Gefährdungen (CVEs)
- 62 Anbieter waren davon betroffen
- Out-of-Bounds-Read- und Out-of-Bounds-Write-Schwachstellen blieben in den Top-CVEs – beide sind anfällig für mehrere verschiedene Angriffe, einschließlich Pufferüberlauf-Angriffen
www.nozominetworks.com