Studien, Whitepaper und Meinungsbeiträge im Bereich der Security lassen Leserinnen und Leser oft damit alleine, den Nutzen für sich und das Unternehmen zu ziehen.
Genau aus diesem Grund stellt Sophos den Sicherheitsteams in Unternehmen das neue Active Adversary Playbook 2022 zur Verfügung. Das Playbook beschreibt einerseits genau, wie Cyberkriminelle bei ihren Angriffen vorgehen und zeigt andererseits konkrete Wege auf, wie schädliche Aktivitäten im Netzwerk erkannt und abgewehrt werden können.
Cyberkriminalität heute
Das Active Adversary Playbook 2022 beschreibt das Verhalten von Cyberkriminellen, wie es das Rapid Response Team von Sophos im Laufe des Jahres 2021 bei konkreten Fällen beobachtet hat. Dabei haben die Experten neben vielen anderen Parametern auch die Verweildauer der Cyberkriminellen in den Netzwerken analysiert: Die Untersuchungen zeigen einen drastischen Anstieg der Verweildauer um 36 Prozent wobei der durchschnittliche, unentdeckte Aufenthalt im Netzwerk bei 34 Tagen liegt. Schuld daran sind unter anderem die ProxyShell-Schwachstellen in Microsoft Exchange, die dem Sophos Rapid Response Team zufolge von Initial Access Brokern (IABs) ausgenutzt werden, um in Netzwerke einzudringen und den Zugang dann an andere Cybergangster zu verkaufen.
„Initial Access Broker haben eine neue Cybercrime-Industrie entwickelt, indem sie in ein Ziel eindringen, es auskundschaften oder eine Backdoor installieren. Den quasi schlüsselfertigen Zugang verkaufen sie dann an Ransomware-Banden, die dies als Grundlage für die eigenen Angriffe nutzen. In einer zunehmend dynamischen und spezialisierten Cyber-Bedrohungslandschaft ist es für viele Unternehmen schwierig, mit den sich ständig ändernden Tools und Methoden der Angreifenden Schritt zu halten. Es ist wichtig, dass sie wissen, worauf sie in jeder Phase der Angriffskette achten müssen, damit sie Angriffe so schnell wie möglich erkennen und neutralisieren können“, erklärt Sophos Security-Experte Michael Veit.
In einer zunehmend dynamischen und spezialisierten Cyber-Bedrohungslandschaft ist es für viele Unternehmen schwierig, mit den sich ständig ändernden Tools und Methoden der Angreifenden Schritt zu halten.
Michael Veit, Technology Evangelist, Sophos Technology GmbH
Unterschiedliche Branchen, unterschiedliche Verweildauer
Die Untersuchungen von Sophos zeigen auch, dass die Cyberkriminellen in kleineren Unternehmen länger verweilen als in größeren Unternehmen. Bei Unternehmen mit bis zu 250 Beschäftigten sind es etwa 51 Tage. In Unternehmen mit 3.000 bis 5.000 Beschäftigten sind es in der Regel „nur“ 20 Tage. Einen Sonderfall stellen Ransomware-Attacken dar.
Traditionelle Abwehr ist moderner Cyberkriminalität nicht gewachsen
Ein wichtiger Aspekt im neuen Playbook ist die zunehmende Etablierung von sogenannten IT-Sicherheit-Ökosystemen – eine Strategie, die Sophos mit seinem Adaptive Cybersecurity Ecosystem (ACE) realisiert. Dieses basiert auf den gesammelten Bedrohungsdaten der SophosLabs, Sophos Security Operations (menschliche Analysten, die über das Sophos Managed Threat Response-Programm in Tausenden von Kundenumgebungen eingebunden sind) und Künstlicher Intelligenz (KI). In einem einzigen, integrierten Data Lake sind Informationen aus allen Lösungen und Threat Intelligence-Quellen zusammengefasst. Echtzeit-Analysen ermöglichen es Verteidigern, Einbrüche zu verhindern, indem sie verdächtige Signale finden. Parallel dazu ermöglichen offene APIs Kunden, Partnern und Entwicklern, Tools und Lösungen zu entwickeln, die mit dem System interagieren. Alles wird zentral verwaltet über die Sophos Central Management-Plattform.
„Dass an wirkungsvollen Security Ecosystemen kein Weg vorbei geht, zeigt unsere Forensik anhand weiterer erschreckender Daten“, ergänzt Veit. „Durch die Kombination ungepatchter ProxyLogon- und ProxyShell-Schwachstellen und dem Aufkommen von IABs sehen wir verstärkt, dass sich gleich mehrere Angreifer in ein und demselben Ziel-Netzwerk befinden und um Zugänge, Informationen, Daten oder im schlimmsten Fall um Lösegelder konkurrieren.“