Es besteht Handlungsbedarf: Cyberkriminelle im Schnitt 11 Tage unentdeckt im Firmennetz

Oftmals werden Cyberangriffe heutzutage als sogenannte Blended Attacks durchgeführt, die maschinelle und menschliche Angriffstechniken kombinieren. Threat Hunter und Analysten enthüllen diese verborgenen Gegner, indem sie sich an verdächtigen Ereignissen, Anomalien und Aktivitätsmustern orientieren.

Das Managed-Threat-Response sowie das Rapid-Response-Team von Sophos hat Telemetriedaten solcher Attacken ausgewertet und ist dabei zu erstaunlichen Ergebnissen gekommen, die die Wichtigkeiten eines kommunizierenden und adaptiven Cybersecurity-Ökosystems noch einmal betonen. In dem Bericht zeigt sich unter anderem, dass die Angreifer vor der Entdeckung durchschnittlich elf Tage in einem gekaperten Netzwerk verweilten, der längste unentdeckte Einbruch dauerte sogar 15 Monate. Um dies in einen Kontext zu setzen: elf Tage bieten Angreifern potenziell 264 Stunden für kriminelle Aktivitäten wie Zugangsdatendiebstahl oder Datenexfiltration. In Anbetracht dessen, dass einige dieser Aktivitäten nur wenige Minuten oder Stunden in Anspruch nehmen, sind 11 Tage unendlich viel Zeit, um im Netzwerk eines Unternehmens immensen Schaden anzurichten.

Remote Desktop Protocol ist Einfallstor Nummer 1
Dabei nutzen die Kriminellen in 69 Prozent aller Fälle RDP (Remote Desktop Protocol) als Einstieg für ihre Schleichfahrten durch Netzwerke. Sicherheitsmaßnahmen für RDP wie VPNs oder Multifaktor-Authentifizierung konzentrieren sich in der Regel auf den Schutz des externen Zugriffs. Sie funktionieren jedoch nicht, wenn sich der Angreifer bereits innerhalb des Netzwerks befindet. In der Folge setzen Angreifer bei aktiven, tastaturgesteuerten Angriffen, z.B. mit Ransomware, RDP zur Infiltrierung eines Systems immer häufiger ein. Ebenfalls eine beliebte Strategie der Kriminellen ist die Nutzung von im Unternehmen offiziell verwendeten Admin-Tools als Deckmantel für ihre Aktivitäten. Da viele dieser Tools von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet werden, ist es eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen – oftmals ein Fall für menschliche Experten.

Wenn Ransomware & Co. zugeschlagen haben, lässt sich in den allermeisten Fällen nur noch eine sehr begrenzte Schadensbegrenzung realisieren. Primäres Ziel einer modernen IT-Cybersecurity.-Strategie muss deshalb das proaktive Aufspüren und Prüfen von potenziellen Bedrohungen und Vorfällen sein, um mögliche Cyberattacken im Idealfall bereits im Keim zu ersticken. Und genau hier kommt Managed Detection and Response (MDR) ins Spiel: Sophos hat diese Technologie weiter aufgebohrt und bietet mit Manged Threat Respone (MTR) einen ganzheitlichen Ansatz an, der über den Endpoint hinaus geht und auch Telemetriedaten aus dem Netzwerk und der Cloud-Daten einfließen lässt. Die Analyse erfolgt durch ein hochqualifiziertes Team von Bedrohungsexperten, wobei die Unternehmen die Entscheidungsgewalt behalten und kontrollieren, wie und wann potenzielle Vorfälle eskaliert und welche Maßnahmen eingeleitet werden sollen

Ein adaptives Cybersecurity-Ökosystem ist ein weiterer Grundpfeiler einer effektiven Abwehr gegen moderne Cyberattacken. Es basiert auf den gesammelten Bedrohungsdaten der z.B. SophosLabs, Security Operations (menschliche Analysten, die über das Managed Threat Response-Programme in Tausenden von Kundenumgebungen eingebunden sind) und der Künstlichen Intelligenz (KI). Ein einziger, integrierter Data Lake fasst Informationen aus allen Lösungen und Threat Intelligence-Quellen zusammen. Echtzeit-Analysen ermöglichen es Verteidigern, Einbrüche zu verhindern, indem sie verdächtige Signale finden

Wer sich näher über die aktuelle Bedrohungslage und mögliche Gegenmaßnahme im Cyberspace informieren möchte, kann dies mit den folgenden, sehr detaillierten Reports tun, die umfangreiche und informative Statistiken und Ausblicke bieten:

Active Adversary Playbook – Einblicke in die Welt der Cyberkriminellen

Security Threat Report – Alles Wissenswerte zur aktuellen Entwicklung in Sachen Cybersecurity

State of Ransomware – Gefahrenquelle Nr. 1 für Unternehmen – alle was wichtig ist.