Was der Anstieg der Cyber-Recon für Ihre Sicherheitsstrategie bedeutet

  • Erwarten Sie im Jahr 2022 viel mehr Zero-Day-Exploits und eine deutlich höhere Anzahl von Cyberangriffen, die diese nutzen, warnt Aamir Lakhani, Forscher bei FortiGuard Labs.

    Auf dem Weg ins Jahr 2022 verstärken bösartige Akteure ihre Aufklärungsbemühungen, um erfolgreichere und wirkungsvollere Cyberangriffe zu gewährleisten. Und das bedeutet, dass mehr Zero-Day-Exploits am Horizont auftauchen werden.

    Betrachtet man eine Angriffskette wie das MITRE ATT&CK-Framework, werden Kampagnen häufig in Form von linken und rechten Phasen der Bedrohung diskutiert. Auf der linken Seite der Angriffskette befinden sich die Bemühungen im Vorfeld eines Angriffs, zu denen Planung, Entwicklung und Bewaffnungsstrategien gehören. Die bekanntere Ausführungsphase von Angriffen befindet sich auf der rechten Seite, z. B. das Erstellen und Starten von Malware, um Systeme zu beschädigen, Daten zu stehlen oder Netzwerke als Geiseln zu nehmen.

    Wir müssen anfangen, der linken Seite mehr Aufmerksamkeit zu schenken.

    Erhöhung des Zeit- und Arbeitsaufwands für die Aufklärung

    Wie bereits erwähnt, geht es bei Angriffen auf der linken Seite um Dinge wie die Erlangung des Erstzugangs, die Durchführung von Erkundungen und die Bewaffnung von Schwachstellen. Das Erkennen und Stoppen von Cyberangreifern, die sich näher an der linken Seite des MITRE ATT&CK-Frameworks befinden, könnte ihre Bemühungen in vielen Fällen weniger effektiv machen und den Verteidigern des blauen Teams mehrere Möglichkeiten geben, eine Bedrohungskampagne zu entschärfen.

    Da ein Großteil ihrer Arbeit vor einem Angriff stattfindet, verbringen fortgeschrittene, hartnäckige Bedrohungen (APTs) viel Zeit auf der linken Seite. Zu ihren Aktivitäten gehört es, ein anfälliges Netzwerk zu identifizieren, sich unbefugten Zugang zu verschaffen und über einen längeren Zeitraum unentdeckt zu bleiben. APTs sind in der Regel mit ruchlosen Organisationen verbündet, die über umfangreiche Ressourcen verfügen, wie z. B. staatlich geförderte Akteure oder Nationalstaaten direkt.

    Es ist zu erwarten, dass auch finanziell motivierte Cyberkriminelle verstärkt “linke” Aktivitäten verfolgen werden, da die Zahl der Vorfälle steigt und mehr Banden um einen Teil des Gewinns konkurrieren. Wie die von den Staaten finanzierten APT-Gruppen werden auch sie mehr Zeit und Mühe in die Aufklärung und die Entdeckung von Zero-Day-Fähigkeiten investieren, um ihre Bemühungen zu unterstützen.

    Cyberkriminelle wissen, dass ein höherer Zeitaufwand für die Aufklärung im Vorfeld eines Angriffs die Erfolgsaussichten ihrer Angriffskampagnen erhöht. In vielen Fällen können sie dieselben Techniken in der Aufklärungsphase gegen mehrere Organisationen wiederverwenden. Obwohl sie also im Vorfeld mehr Aufwand betreiben, erhöhen sie ihre Erfolgschancen und machen ihre Angriffe modularer.

    Mehr Ransomware-Angriffe, mehr Zerstörung

    Es werden nicht nur mehr Schwachstellen entdeckt, sondern auch die Angriffe, die diese Schwachstellen ausnutzen, werden für andere Angreifer leichter verfügbar und in andere Angriffspakete integriert. Das Wachstum von Malware-as-a-Service wird natürlich mit der Zunahme neuer Schwachstellen zusammenfallen.

    Es werden also nicht nur mehr Zero-Day-Schwachstellen entdeckt und ausgenutzt, sondern diese Angriffe werden aufgrund des Multiplikatoreffekts, der dadurch entsteht, dass viele Cyberkriminelle gleichzeitig Angriffe starten, auch wesentlich häufiger durchgeführt.

    Böswillige Akteure werden in der Lage sein, Angriffe mit größerer Häufigkeit zu starten, und die Zerstörungskraft dieser Angriffe wird ebenfalls zunehmen. In den 12 Monaten zwischen Juli 2020 und Juni 2021 haben die Forscher von FortiGuard Labs eine fast 11-fache Zunahme von Ransomware festgestellt. Ransomware wird weiterhin im Mittelpunkt der Landschaft stehen, und die Ausbreitung von Crimeware wird sich fortsetzen.

    Ransomware-Angreifer kombinieren bereits Verschlüsselung mit Distributed-Denial-of-Service (DDoS), in der Hoffnung, IT-Teams zu überwältigen, so dass sie in letzter Sekunde keine Maßnahmen ergreifen können, um den Schaden eines Angriffs zu mindern. Wenn dann noch die “tickende Zeitbombe” Wiper-Malware hinzukommt, die nicht nur Daten zerstören, sondern auch Systeme und Hardware vernichten kann, wird es für Unternehmen noch dringlicher, schnell zu zahlen. Wiper-Malware hat bereits ein sichtbares Comeback erlebt, zum Beispiel bei den Olympischen Spielen in Tokio.

    In Anbetracht der Konvergenz zwischen finanziellen Cyberangriffsmethoden und APT-Taktiken ist es nur eine Frage der Zeit, bis Ransomware-Toolkits um zerstörerische Fähigkeiten wie Wiper-Malware erweitert werden. Dies könnte ein Problem für kritische Infrastrukturen, Lieferketten und neu entstehende Edge-Umgebungen darstellen.

    Maßnahmen ergreifen, bevor es zu spät ist

    Unternehmen müssen sich darüber im Klaren sein, dass die Wahrscheinlichkeit und das Volumen von Angriffen durch die Zunahme neuer, mit fortschrittlichen Technologien ausgestatteter Cyberkrimineller zunehmen wird. Standardtools müssen skalierbar sein, um dem potenziellen Anstieg des Angriffsvolumens begegnen zu können. Diese Tools müssen auch mit künstlicher Intelligenz (KI) erweitert werden, um Angriffsmuster zu erkennen und Bedrohungen in Echtzeit zu stoppen.

    Zu den kritischen Tools sollten Anti-Malware-Engines mit KI-Erkennungssignaturen, Endpunkt-Erkennung und -Reaktion (EDR), fortschrittliche Intrusion-Prevention-Systeme (IPS), mit MITRE ATT&CK-Mappings ergänzte Sandbox-Lösungen und Next-Gen-Firewalls (NGFWs) gehören. Im besten Fall werden diese Tools konsistent im gesamten verteilten Netzwerk (Rechenzentrum, Campus, Zweigstelle, Multi-Cloud, Home-Office, Endpunkt) unter Verwendung einer integrierten Sicherheitsplattform eingesetzt, die Bedrohungen als einheitliche Lösung erkennen, gemeinsam nutzen, korrelieren und darauf reagieren kann.

    Jetzt vorbereiten

    Cyberkriminelle sind opportunistisch, und sie werden auch immer raffinierter. Wir beobachten, dass sie mehr Zeit auf die Aufklärung von Cyberangriffen verwenden. Sie nutzen Angriffe von der linken Seite, um die Angriffe von der rechten Seite effektiver zu machen. Das bedeutet, dass die Ransomware-Angriffe zerstörerischer – und damit lukrativer – sind. Es bedeutet auch häufigere Angriffe, manchmal begleitet von DDoS-Angriffen, die die IT-Sicherheitsteams überfordern. Und Wiper-Malware ist ein weiterer Albtraum, auf den sich diese Teams einstellen müssen.

    Unternehmen benötigen heute eine intelligente, ganzheitliche und skalierbare Sicherheitsstrategie, um diese fortschrittlichen Angriffsarten abzuwehren. Sichtbarkeit und Kommunikation im gesamten Netzwerk sind entscheidend, da sie eine sofortige und koordinierte Reaktion ermöglichen. Das ist die Verteidigungsstufe, die Unternehmen heute brauchen – und wir meinen heute, nicht zu einem vagen Zeitpunkt in der Zukunft. Sammeln und integrieren Sie Ihre Tools jetzt, um sicherzustellen, dass Ihr Netzwerk dem kommenden Sturm standhalten kann.

    Aamir Lakhani ist Cybersicherheitsforscher und -praktiker bei FortiGuard Labs.

    Weitere Erkenntnisse der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com