aregfly - stock.adobe.com
Mit Open Security die Weichen für die Zukunft stellen
Um ihre Aufgaben und Themen zu priorisieren, müssen CISOs die Bedrohungslandschaft verstehen. Dazu gilt es sich mit den Aktivitäten der Cyberangreifern auseinanderzusetzen.
Wo anfangen? Diese Frage haben sich wahrscheinlich alle CISOs schon einmal gestellt. Für den Global Threat Report haben die Analysten der Elastic Security Labs über zwölf Monate hinweg Telemetriedaten von über einer Milliarde Datenpunkten analysiert, um die Aktivitäten von Cyberkriminellen transparenter zu machen. Mandy Andress, CISO von Elastic, stellt nachfolgend zehn Erkenntnisse vor, die CISOs für ihre Arbeit kennen sollten, um ihre Prioritäten zu setzen. Denn Unternehmen können von den Angreifern lernen: Open Security könnte sich für viele CISOs als wertvoller Ansatz in der Cybersicherheit erweisen.
Cyberangreifer pflegen einen aktiven Austausch von Software
Die Auswertung der Bedrohungslandschaft zeigt, dass drei Trends hervorstechen: Open-Source-Tools, Malware as a Service (MaaS) und Systemmanipulation. Open-Source-Tools bieten Bedrohungsakteuren einen kostenlosen und einfachen Einstieg in die Cyberkriminalität. Elastic beobachtete mehrere Open-Source-Malware-Tools sowohl in seiner Global Threat Report-Analyse als auch in Untersuchungen, die dem Bericht vorausgingen, wie das r77 rootkit und JOKERSPY.
Die Zahl von Angeboten im Bereich Malware as a Service (MaaS) nimmt ebenfalls zu. Davon profitieren besonders neue Akteure. Die Angreifer nutzen das As-a-Service-Modell, um Wissens- und Produktlücken zu schließen, wie die hohe Verbreitung von Ransomware as a Service (RaaS) zeigt. Dabei diversifizieren böswillige MaaS-Gruppen ihr Portfolio, um den Käufern besser entgegenzukommen. Die Angreifer, die diese MaaS nutzen, werden ihre Aktivitäten wiederum verschleiern und maskieren.
Jedoch bedeutet das nicht, dass sich Angreifer in den Systemen von Unternehmen verstecken. Vielmehr versuchen sie zunehmend, durch Deaktivierung und andere Manipulationen von Sicherheitssensoren an ihr Ziel zu gelangen. Zum Beispiel zeigt der Bericht auch eine Zunahme von Angriffen, die Designfehler im Betriebssystem wie Bring Your Own Vulnerable Driver (BYOVD) ausnutzen, um einen Treiber mit oder mehreren ausnutzbaren Schwachstellen im System zu verankern.
Sinkende Einstiegshürden bedeuten nicht, dass Expertise fehlt
Neben den aufsehenerregenden Beispielen wie WannaCry und NotPetya hat sich Ransomware in den letzten Jahren als eine starke Bedrohung erwiesen. Ransomware-Kampagnen involvierten in 81 Prozent der Fälle im Beobachtungszeitraum Ransomware as a Service. Das hängt wahrscheinlich damit zusammen, dass die Einstiegshürde sowohl für neue als auch für erfahrene Angreifer niedriger ist. Es ist zu erwarten, dass die Bedrohungsakteure in diesem Bereich weitere Innovationen entwickeln werden.
Dass die Einstiegshürden durch MaaS sinken, bedeutet jedoch nicht, dass Angreifer keine Expertise haben. Fast die Hälfte (44 Prozent) der beobachteten Verhaltensweisen am Endpoint fallen in die Kategorie Defense Evasion (Umgehung der Verteidigung). Das deutet darauf hin, dass die Angreifer mit der Umgehung von Sicherheitssystemen durchaus vertraut sind und sich damit wohl fühlen.
Außerdem zeigt die Auswertung, dass 48 Prozent der auf Endpoints ausgeführten Techniken im Bereich Defense Evasion Methoden der System Binary Proxy Execution waren. Diese Taktik ermöglicht den Bedrohungsakteuren, bösartigen Code innerhalb eines nativen Betriebssystemprogramms auszuführen. Die Beliebtheit dieser Technik könnte darauf zurückzuführen sein, dass die Auswertung dieser Art von Warnungen zeitaufwendig ist – ein Vorteil für die Angreifer.
Eine vierte Taktik der Angreifer ist, sich Zugriff auf Zugangsdaten in Cloud-Umgebungen zu verschaffen. Entsprechende Anzeichen haben zugenommen. Das ist ein Hinweis, dass Zugangsdaten zu einem wesentlichen Teil davon geworden sind, in Cloud-Umgebungen einzudringen. Dies könnte einerseits darauf hindeuten, dass es einfach ist, Anmeldedaten zu sammeln. Andererseits könnte auch die notwendige Transparenz fehlen, um zu erkennen, wenn gültige Anmeldedaten in betrügerischer Absicht verwendet werden.
Die Bedrohungslage ist plattformübergreifend
Die Einblicke in Windows-Systeme – einschließlich Microsoft 365 – zeigt, dass Azure bei Angreifern bliebt ist. In der Analyse der Cloud-Serviceanbieter stiegen die Aktivität auf Azure-Systemen von 13 Prozent im vorherigen Beobachtungszeitraum auf 36 Prozent. Gleichzeitig entfiel die Mehrheit der Angriffe auf AWS, obwohl die Signale in AWS-Umgebungen um rund 10 Prozent zurückgegangen sind.
„Wenn CISOs im Angesicht von plattformübergreifenden Bedrohungen Orientierung benötigen, dann hilft es, einen Schritt zurückzutreten. Cyberangreifer profitieren von Zusammenarbeit – egal, ob sie mit Open-Source-Tools oder MaaS fehlende Expertise ausgleichen.“
Mandy Andress, Elastic
94 Prozent der Endpoints-Verhaltenswarnungen betrafen Windows-Systeme, aber sowohl die Signale von macOS als auch Linux nahmen ebenfalls deutlich zu. Das ist zu einem Teil auf die Zunahme der auf Windows ausgerichteten Telemetrie zurückzuführen. Insgesamt zeigten die Daten aber einen deutlichen Anstieg der Signale für Windows, Linux und macOS. Mit einem Anstieg von 118 Prozent enthüllten Innovationen für macOS Neuentdeckungen wie die Malware RUSTBUCKET.
Die meisten beobachteten Malware-Infektionen fanden jedoch auf Linux-Systemen statt. Obwohl alle Systeme zunehmend sichtbarer sind, entfallen immer noch 91 Prozent der Infektionen auf Linux. Dabei erfolgten die meisten dieser Infektionen ohne menschliches Zutun, was für automatisierte und potenziell wahllose Angriffe spricht.
CISOs können Zusammenarbeit mit Zusammenarbeit begegnen
Wenn CISOs im Angesicht von plattformübergreifenden Bedrohungen und regelmäßig neuen Schlagzeilen Orientierung benötigen, dann hilft es, einen Schritt zurückzutreten. Cyberangreifer profitieren von Zusammenarbeit – egal, ob sie mit Open-Source-Tools oder MaaS fehlende Expertise ausgleichen. Dadurch stellen sie eine vielseitige Bedrohung dar, die seitens der Verteidiger unterschiedliche Spezialisierungen erfordert. Spezialisten in der Cybersicherheit sind jedoch rar.
Deshalb können CISOs zum Beispiel KI-Tools nutzen, um ihre Teams für Cybersicherheit bei Routineaufgaben zu entlasten und mehr Raum für anspruchsvolle Themen zu schaffen. Bei diesen ist Open Security ein Ansatz, den CISOs vorantreiben können, um ebenfalls von Zusammenarbeit zu profitieren. Dabei arbeitet die weltweite Entwicklergemeinschaft zusammen, bündelt ihre kollektive Intelligenz und tauscht Code, Erkennungsregeln und Artefakte aus. Sie behebt Fehler, schließt Sicherheitslücken und schützt IT-Systeme von Unternehmen umfassender gegen Bedrohungen, als es ein Unternehmen allein könnte.
Über die Autorin:
Mandy Andress ist CISO von Elastic.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
