Elastic, das Unternehmen hinter Elasticsearch, veröffentlicht seinen aktuellen „Elastic Global Threat Report“ 2022”. Die Studie beschäftigt sich mit den Entwicklungen im Bereich der Cybersicherheit sowie der zunehmenden Komplexität von Angriffen auf Endpoints und Cloud-Implementierungen.
Die im Bericht dargelegten Trends liefern Organisationen wichtige Informationen zum Ausbau ihrer Sicherheitstechnologie und zu Strategien für die Überwachung und den Schutz unternehmenskritischer Systeme vor Cyber-Bedrohungen. Verantwortlich für den Bericht ist das Elastic Security Labs-Team, das sich bei Elastic um die Themen Threat Research, Malware-Analyse und Detection Engineering kümmert. Der Bericht basiert auf Telemetriedaten aus weltweiten Elastic Security-Deployments aus dem Zeitraum August 2021 bis August 2022.
Die wichtigsten Trends im Überblick:
Das größte Risiko für die Sicherheit in der Cloud ist menschliches Versagen – viele Nutzer überschätzen die Sicherheit ihrer Cloud-Deployments
Fast jeder dritte Angriff (33 Prozent) in der Cloud nutzt Credential Access. Dies deutet darauf hin, dass die Nutzer:innen die Sicherheit ihrer Cloud-Umgebungen häufig überschätzen und sie folglich nicht angemessen konfigurieren und schützen.
Weitere wichtige Erkenntnisse zur Cloud Security:
- Fast 57 Prozent der Cloud-Security-Telemetriedaten stammen von AWS, 22 Prozent von Google Cloud und 21 Prozent von Azure.
- AWS: Mehr als 74 Prozent der Alerts bezogen sich auf Credential Access, Erstzugriff und Persistenz-Taktiken. 57 Prozent der Alerts standen mit dem versuchten Diebstahl von Zugriffstoken für Anwendungen in Zusammenhang – eine der häufigsten Formen des Credential-Diebstahls in der Cloud.
- Google Cloud: Fast 54 Prozent der Alerts betrafen den Missbrauch von Geschäftskonten. Hier wurde bei 52 Prozent der Alerts mit Kontomanipulation gearbeitet. Dies deutet darauf hin, dass Geschäftskonten nach wie vor sehr gefährdet sind, wenn die Standard-Anmeldedaten nicht geändert werden.
- Microsoft Azure: Mehr als 96 Prozent der Alerts bezogen sich auf Authentifizierungsereignisse, wobei bei 57 Prozent gültige Konten das Ziel waren und versucht wurde, OAUTH2-Tokens abzurufen.
- AWS: Mehr als 74 Prozent der Alerts bezogen sich auf Credential Access, Erstzugriff und Persistenz-Taktiken. 57 Prozent der Alerts standen mit dem versuchten Diebstahl von Zugriffstoken für Anwendungen in Zusammenhang – eine der häufigsten Formen des Credential-Diebstahls in der Cloud.
- Bei 58 Prozent der Erstzugriffsversuche handelte es sich um eine Kombination aus herkömmlichen Brute-Force-Versuchen und dem Ausspähen zuvor kompromittierter Passwörter.
Cyberkriminelle nutzen für Security-Teams entwickelte kommerzielle Software, um deren Arbeit auszuhebeln
Kommerzielle Angriffssimulationssoftware wie CobaltStrike ist zwar für viele Teams beim Schutz ihrer Umgebungen hilfreich. Sie wird allerdings auch als Werkzeug für die massenhafte Einschleusung von Malware genutzt. Den Erkenntnissen von Elastic Security Labs zufolge war CobaltStrike mit einem Anteil von 35 Prozent aller entdeckter Versuche die am weitesten verbreitete Schad-Binary oder ‑Payload für Windows-Endpoints – gefolgt von AtentTesla mit einem Anteil von 25 Prozent und RedLineStealer mit 10 Prozent.
Weitere wichtige Erkenntnisse zu Malware:
- Mehr als 54 Prozent aller weltweiten Malware-Infektionen wurden auf Windows-Endpoints identifiziert. Auf Linux-Endgeräten waren es 39 Prozent
- Fast 81 Prozent der weltweit beobachteten Malware basiert auf Trojanern, gefolgt von Kryptominern mit elf Prozent.
- MacKeeper stellte mit knapp 48 Prozent aller Entdeckungen die größte Bedrohung für macOS dar. Auf Platz zwei lag XCSSet mit fast 17 Prozent.
Zur Umgehung von Endpoint-Security-Maßnahmen wird verstärkt auf unterschiedliche Methoden gesetzt
Cyber-Kriminelle setzen mehr als unterschiedliche 50 Methoden zur Infiltration von Endpoints ein. Dies deutet darauf hin, dass Endpoint-Security gut funktioniert, sodass Hacker ständig neue oder besonders ausgefeilte Angriffsmethoden finden müssen.
Drei MITRE ATT&CK-Taktiken machen 66 Prozent aller Methoden zur Endpoint-Infiltration aus:
- Insgesamt 74 Prozent aller Techniken, die Abwehr zu umgehen, bestanden aus Masquerading (44 Prozent) sowie der Ausführung von binären System-Proxys (30 Prozent). Das zeigt, dass Cyber-Kriminelle nicht nur die Security-Maßnahmen als solche zu umgehen versuchen, sondern auch dafür sorgen, dass Artefakte unsichtbar bleiben, um so längere Verweildauern zu ermöglichen.
- 59 Prozent der Execution-Methoden standen im Zusammenhang mit Befehls- und nativen Skriptinterpretern, gefolgt von 40 Prozent, bei denen die Windows-Verwaltungsinstrumentierung missbraucht wurde. Die ist ein Hinweis darauf, dass sich Angreifer PowerShell, Windows Script Host und Windows-Verknüpfungsdateien zunutze machen, um Befehle, Skripts oder Binärdateien auszuführen.
- Fast 77 Prozent aller Credential-Access-Methoden stehen mit dem Dumping der Anmeldeinformationen von Betriebssystemen mit allgemein bekannten Dienstprogrammen in Zusammenhang. Das passt zum Trend, aktive Konten zu nutzen, damit Administrator:innen in Umgebungen mit hybriden Implementierungen zwischen On-Premise-Hosting und Cloud-Service-Providern nicht misstrauisch sind.
Während Credential-Access-Methoden lange im Fokus von Cyber-Kriminellen standen, deuten die verstärkten Investitionen in Techniken zur Umgehung von Security-Maßnahmen auf Verbesserungen bei den Sicherheitstechnologien der Unternehmen hin. Durch die Kombination mit Execution-Methoden sind Angreifer in der Lage, moderne Endpoint-Security-Maßnahmen zu umgehen und in den Unternehmensumgebungen unentdeckt zu bleiben.
Zitate:
„Um Bedrohungen für die Cybersicherheit effektiv zu verhindern, benötigen Organisationen mehr als nur eine hervorragende Sicherheitssoftware. Es ist ein Programm erforderlich, das den Austausch von Erkenntnissen und Best Practices ermöglicht. Hinzu sollte eine Community kommen, die sich mit Security-Daten beschäftigt, um den Wert des Produkts für die Kunden zu erhöhen“, so Ken Exner, Chief Product Officer bei Elastic. „Der ‚Elastic Global Threat Report‘ 2022 ist ein wichtiger Bestandteil unseres ganzheitlichen Sicherheitsprogramms. Daher freuen wir uns, unsere Einblicke, Fähigkeiten und Expertise mit der Community zu teilen.“
Weitere Informationen:
Lesen Sie den vollständigen 2022 Elastic Global Threat Report.
elastic.co/de