Verizon hat zum 13. Mal in Folge den jährlichen Data Breach Investigations Report veröffentlicht. Dieser Bericht stellt eine umfassende Informationsquelle im Zusammenhang mit Datensicherheitsverstößen dar und liefert wertvolle Einblicke für CISOs und CIOs. In der diesjährigen Ausgabe wurden Daten von 81 Unternehmen ausgewertet, u. a. von Cybersicherheitsfirmen, Strafverfolgungsbehörden, ISACs, CERTs, Consulting-Firmen und Regierungsstellen. Es wurden 157.525 gemeldete Vorfälle und 108.069 Sicherheitsverstöße ausgewertet. Seine 119 Seiten enthalten viel Wissenswertes. Wir möchten Sie hier über die wesentlichen Erkenntnisse informieren und Ihnen unsere wichtigsten Empfehlungen für Ihre Sicherheitsabläufe unterbreiten.
Wer steckt hinter den meisten Cyberangriffen?
Insider-Angriffe stellen mit einem Anteil von rund 30 % durchaus ein Problem dar und ihre Zahl wird weiter zunehmen, doch die weitaus meisten Bedrohungen für Ihr Unternehmen gehen von externen Akteuren aus. Die Daten für das letzte Jahr zeigen, dass externe Akteure für 70 % aller Sicherheitsverstöße verantwortlich waren. Nur an 1 % der Fälle waren mehrere Seiten beteiligt und bei einem weiteren Prozent wurden Partneraktionen festgestellt. Der Bericht stellt fest:
Wir möchten den Leser jedoch davor warnen, die Anzahl der Bedrohungen aus einer Quelle mit der Größe des damit verbundenen Risikos gleichzusetzen. Zur Erklärung: Ein einziger Insider-Angriff könnte je nach Art des Vorfalls potenziell zehnmal so viel Schaden wie ein externer Angriff anrichten. Auch wenn Sicherheitsteams grundsätzlich Angriffe von allen Seiten im Auge behalten müssen, zeigen die Daten eindeutig, dass immer mehr externe Bedrohungsakteure nicht nur an Ihre Tür klopfen, sondern diese auch eintreten wollen.
Doch wer sind all diese „externen Akteure“ außerhalb Ihres Unternehmens? Rund 55 % wurden der „organisierten Kriminalität“ zugeordnet, womit sich die Forscher auf „Kriminelle mit einem Prozess, nicht die Mafia“ beziehen. Zur besseren Verständlichkeit könnte man vielleicht von einem Angriff durch Kriminelle mit einem klar ersichtlichen Ziel und einer klar ersichtlichen Methodik sprechen. Die „Ziele“ besprechen wir im nächsten Abschnitt. An dieser Stelle soll nur festgehalten werden, dass der Begriff „Krimineller“ keine staatlichen Akteure und der Begriff „Prozess“ keine opportunistischen Angriffe, Hacktivisten und Angriffe abdeckt, bei denen das Motiv nicht erkannt werden konnte.
Was wollen Bedrohungsakteure?
Wenn Sie glauben, dass „Geld“ die richtige Antwort auf diese 64-Millionen-Dollar-Frage ist, dann liegen Sie richtig – zumindest in der überwältigenden Mehrheit der Fälle. Ungefähr 86 % aller Sicherheitsverletzungen hatten laut dem Bericht ein finanzielles Motiv. Während dies in der Sicherheitsbranche niemanden verwundern dürfte, könnten Mitarbeiter in Ihrem Unternehmen, die immer von spektakulären Hacker-Angriffen durch staatliche Akteure und APTs hören, durchaus überrascht sein.
Der finanzielle Anreiz als Hauptmotiv erklärt auch einen weiteren interessanten Punkt: Die meisten Angriffe umfassen in der Regel nicht mehr als zwei oder drei Schritte. Sobald es komplizierter wird, werden sie abgeblasen oder wahrscheinlich von persistenten Angreifern durchgeführt. Dies hat folgenden Grund: Wenn Sie ein Cyberkrimineller sind und Geld Ihr Ziel ist, wollen Sie Angriffe so weit wie möglich automatisieren. Sie entscheiden sich immer für die schnelle Beute, statt viel Zeit und Arbeit für ein gut gesichertes Ziel zu investieren. Schnelle und zielorientierte Schritte mit automatisierten Tools für Angriffe und Exploits sind eine einfache Kosten-Nutzen-Rechnung. Für Verteidiger bedeutet dies: Wenn Sie Ihre Hausaufgaben machen und die Täter sich anstrengen müssen, werden die allermeisten von ihnen sich anderswo umsehen.
Die meisten Angreifer wollen zwar wirklich nur Ihr Geld, doch oft fällt ihnen noch viel mehr in die Hände. So wurden bei 58 % aller Angriffe personenbezogene Daten kompromittiert und bei 37 % aller Angriffe Anmeldedaten missbraucht oder gestohlen. In diesem Zusammenhang werden wir weiter unten sehen, dass Benutzeranmeldedaten eines der begehrtesten Beuteobjekte der Bedrohungsakteure sind. Bedenken Sie zudem, dass Ihr Unternehmen als Einfallstor für ein anderes, noch wertvolleres Ziel kompromittiert werden könnte. Vielleicht haben Sie einen schwach gesicherten Server, den ein Angreifer nur als Teil eines Botnets für einen DDoS-Angriff gegen ein anderes Ziel kapern möchte. Vielleicht sind Sie aber auch Teil der Lieferkette für eine noch fettere Beute oder ein kompromittierter MSP, dessen wahrer Wert für den Bedrohungsakteur in Ihren Kunden statt Ihrem Unternehmen selbst liegt.
Wie überwinden Hacker Ihre Verteidigungslinien?
In diesem Punkt sind die Daten eindeutig: Die Hauptwerkzeuge der Angreifer sind Diebstahl, Phishing oder Brute-Force-Angriffe auf Anmeldedaten. Sobald sie in Ihr Netzwerk eingedrungen sind, wollen sie weitere Anmeldedaten erbeuten, um sich dauerhaft festzusetzen oder Geld zu machen. Bei 80 % aller Sicherheitsverletzungen, die Hacking beinhalteten, wurden Brute-Force-Methoden angewendet oder verlorene bzw. gestohlene Benutzeranmeldedaten genutzt. Das überrascht uns nicht. Berichten zufolge kommt es jeden Tag millionenfach zu sogenannten Credential Stuffing-Angriffen. Dabei wird eine Liste von Benutzername/Kennwort-Kombinationen (die häufig zuvor in anderen Breaches abgeschöpft wurden), an mehreren Konten ausprobiert.
Dies steht im engen Zusammenhang damit, dass viele Unternehmen einen wesentlichen Teil ihrer Dienste und Daten in die Cloud verlagert haben. Dort ist es deutlich schwerer, Malware zu platzieren. Also greifen die Täter zu einer viel einfacheren, skalierbaren Lösung: Sie bombardieren den Dienst mit Anmeldeanforderungen, bei denen sie gestohlene oder aus Datenpaketen erlangte Anmeldedaten verwenden. Und da die aggressiveren Ransomware-Angriffe jetzt Daten vor ihrer Verschlüsselung exfiltrieren, ist es sehr wahrscheinlich, dass diese Daten zu Geld gemacht oder von denselben Angreifern später wiederverwendet werden, um sich erneut Zugang zum Konto desselben Unternehmens zu verschaffen. Die Autoren des Berichts schreiben dazu:
Da für die Angreifer der Diebstahl von Anmeldedaten für Kompromittierungen und Persistenz eine so hohe Priorität hat, müssen Unternehmen zwingend mehr Aufmerksamkeit auf die Sicherung dieser Anmeldedaten legen.
Social Engineering ist nach wie vor die gängigste Methode, wenn es darum geht, neue Anmeldedaten zu stehlen, sich festzusetzen bzw. Unternehmen um Geld zu betrügen. Etwa 96 % aller Phishing-Angriffe wurden über schädliche E-Mails oder Malware-Spam ausgeführt. Der mit Abstand beliebteste Dateityp für Akteure waren hierbei Office-Dokumente und Windows-Anwendungen. Zu den anderen, seltener beobachteten Dateitypen gehörten Shell-Skripte, Archive, Java, Flash, PDF- und DLL-Dateien sowie Linux-, Android- und macOS-Anwendungen.
Welche Geräte werden am häufigsten angegriffen?
Während im letzten Jahr Angriffe auf Geräte vor Ort die Bedrohungslandschaft mit 70 % aller Sicherheitsverletzungen dominierten, waren Assets in der Cloud von rund 24 % aller Breaches betroffen. Davon entfielen 73 % auf E-Mail- oder Web-Anwendungsserver und in wiederum 77 % dieser Fälle wurden Anmeldedaten gestohlen. Die Angreifer wissen also, dass Unternehmen sensible Informationen mittlerweile in Cloud-Infrastruktur und Cloud-Anwendungen speichern, und passen sich diesem Trend an, um an diese Informationen zu gelangen und sie zu Geld zu machen.
Web-Anwendungsserver sind die am häufigsten angegriffenen Ziele (Social Engineering von Personen eingeschlossen). In der Regel werden dabei Anmeldedaten gestohlen (wie bereits erwähnt) oder ungepatchte Schwachstellen ausgenutzt.
Sicherheitsteams müssen besonders Folgendes berücksichtigen: Nur etwa die Hälfte aller gemeldeten Schwachstellen wird innerhalb der ersten drei Monate nach ihrer Erkennung auch tatsächlich gepatcht. Dadurch ergeben sich zwei Probleme. Erstens: Angreifer agieren oft schnell, um Patches zuvorzukommen, indem sie mithilfe von Diensten wie Shodan das gesamte Netz nach anfälligen Geräten durchsuchen. Zweitens – und dies wird vielleicht eher übersehen: IT-Teams, die nicht innerhalb der ersten drei Monate nach der Erkennung von Schwachstellen patchen, patchen mit höherer Wahrscheinlichkeit überhaupt nicht mehr. Besondere Aufmerksamkeit widmen die Angreifer u. a. Schwachstellen im Zusammenhang mit SQL, PHP und lokalen Dateiinjektionen, insbesondere bei Zielen im Einzelhandel.
Tragen mangelhafte Sicherheitspraktiken zum eigenen Scheitern bei?
Es heißt, Irren sei menschlich. Nun sind Unternehmen im Grunde Menschen, die durch Prozesse geleitet werden, während menschliche Fehler mithilfe besser implementierter und überwachter Prozesse von Unternehmen und im Endeffekt von den einzelnen Mitarbeitern kontrolliert werden können. Bei den gemeldeten Sicherheitsverstößen steigt insbesondere die Anzahl von Fällen mit falsch konfigurierten Speichersystemen, die auf menschliche Fehler zurückzuführen sind. Die Daten besagen, dass bei 22 % aller bestätigten Sicherheitsverstöße Fehler als Ursache eine Rolle spielten. Zur kontextuellen Einordnung: Im analysierten Datensatz entfällt derselbe Anteil auf die Taktik des Social Engineerings.
Die gute Nachricht besteht darin, dass ein gewisser – vielleicht sogar signifikanter – Anteil der Sicherheitsverstöße aufgrund falsch konfigurierter Speichersysteme von Sicherheitsexperten und nicht von Bedrohungsakteuren erkannt wurde. Die schlechte Nachricht lautet jedoch, dass solche Berichte oft hohe Wellen schlagen und den Ruf eines Unternehmens schädigen können. Auch wenn sich die Folgen nur schwer in Zahlen erfassen lassen, können sie teurer zu stehen kommen als der Datendiebstahl eines böswilligen Akteurs.
Welche Arten von Malware nutzen Angreifer am liebsten?
Etwa 17 % aller bestätigten Sicherheitsverstöße beinhalten irgendeine Form von Malware. 27 % davon wurden insbesondere durch Ransomware verursacht. Dies überrascht kaum, wenn man bedenkt, wie oft im letzten Jahr von spektakulären Vorfällen in den Medien zu hören war.
SentinelLabs weist bereits seit einiger Zeit darauf hin, dass die Ransomware-Taktiken in den letzten Monaten um erpresserische Elemente erweitert wurden: Wenn Ransomware-Gangs Daten vor der Verschlüsselung exfiltrieren, können sie anschließend mit der Weitergabe sensibler Kundendaten oder geistigen Eigentums drohen, sollten die Opfer die Zahlung verweigern. Dieser Trend setzte erst nach dem Datenerfassungszeitraum für den Verizon-Bericht richtig ein, sodass er im nächsten Bericht deutlicher zu Tage treten wird. Der Anstieg bei den Ransomware-Aktivitäten wurde jedoch schon vor Oktober 2019 (letzter Monat des Datenerfassungszeitraums für den Bericht von 2020) deutlich. Ransomware wurde beschrieben als:
Von den verschiedenen im Bericht betrachteten Sektoren wurden der Bildungssektor und der öffentliche Sektor im gesamten Jahresverlauf besonders häufig mit Ransomware angegriffen.
Die häufigste Art von Malware waren falsche Kennwortspeicher (Password Dumper). Dies passt zu den Daten, die zeigen, dass der Diebstahl von Anmeldedaten oberste Priorität bei den meisten Bedrohungsakteuren hatte. Als Nächstes kamen Downloader (beispielsweise Emotet und TrickBot) sowie Trojaner. Dabei handelt es sich um Tools, die meist von raffinierten Angreifern für langfristigere Persistenz über Backdoors und C2-Funktionen genutzt werden. Interessanterweise gab es einen starken Rückgang bei Kryptojacking-Malware nach dem steilen Anstieg im Jahr 2017 und besonders 2018.
SentinelOne-Empfehlungen
Die 119 Seiten des Berichts enthalten viel mehr Informationen, als wir hier besprechen können. Wir hoffen jedoch, dass wir die wichtigsten Erkenntnisse des Berichts klar umreißen konnten. In diesem Abschnitt möchten wir Ihnen einige Empfehlungen geben, die auf unserem Verständnis des gesamten Berichts und unserer eigenen SentinelOne-Telemetrie beruhen.
Mit Ausnahme der APTs entwickeln die meisten Angreifer keine übermäßig komplizierten Angriffe mit mehreren Phasen. Dies bedeutet, dass Sie nicht alle Phasen eines Angriffs, sondern nur eine Phase des Bedrohungsablaufs (auch „Kill Chain“ genannt) abwehren müssen, um Ihre Chancen bei einer Sicherheitsverletzung deutlich zu verbessern. Mehr noch: Je früher Ihnen das gelingt, desto weiter steigen Ihre Chancen, dass der Angreifer unverrichteter Dinge weiterzieht und sein Glück woanders versucht. Wie die letzten MITRE ATT&CK-Auswertungen gezeigt haben, kann SentinelOne Angriffe in allen Phasen erfolgreich stoppen, insbesondere jedoch Angriffe verhindern, noch bevor sie einen Fuß in der Tür haben. Deshalb lautet unsere erste und offensichtlichste Empfehlung: Verwenden Sie eine vertrauenswürdige und bewährte KI-Plattform der nächsten Generation, die Ihre Endgeräte schützt.
Wie wir bereits gesehen haben, machen sich Angreifer das Leben mit automatisierten Angriffen leichter. Machen Sie es ihnen wieder schwerer, indem Sie nicht benötigte Ports schließen und so Sie die Anzahl der offenen Ports reduzieren. Gewähren Sie nur wichtigen Diensten Internet-Zugriff und schränken Sie den Personenkreis ein, der Zugriff auf diese Dienste hat. SSH und Telnet (an den Standard-Ports 22 bzw. 23) sind Hauptziele für böswillige Verbindungsversuche. Wer in Ihrem Unternehmen braucht sie wirklich? Bestimmen Sie Ihren tatsächlichen Bedarf und unterbinden Sie alles darüber hinaus.
Anmeldedaten sind für Angreifer der Jackpot. Stellen Sie sicher, dass Ihre Windows-Systeme keinen alten LM und NTLMv1 mehr verwenden, und setzen Sie unsere Empfehlungen für den Schutz von Windows-Anmeldedaten um.
Daten sind Ihr Lebenselixier. Kontrollen Sie den Zugriff auf die Daten, halten Sie Ihr Inventar vertraulicher und sensibler Dateien auf dem aktuellen Stand und nutzen Sie vor allem die Verschlüsselung.
Abgesehen von schwach geschützten Servern sind die Mitarbeiter eines der wichtigsten „Assets“, die Angreifer ausnutzen möchten – durch Social Engineering ebenso wie durch Phishing-Angriffe. Führen Sie unbedingt Ihre Benutzerschulungsprogramme fort, um Ihr Personal über Phishing-Angriffe zu informieren. Unterstützen Sie die Mitarbeiter mit automatisierter Endpunkt-Sicherheitssoftware, die Malware abfängt, auch wenn Mitarbeiter auf einen schädlichen Link oder eine Drive-by-Download-Betrugsmasche hereinfallen. Legen Sie die Messlatte für Angreifer höher, indem Sie 2FA und MFA für alle Benutzeranmeldekonten durchsetzen.
Fehler und falsche Konfigurationen sind Ihre unfreiwilligen Einfallstore für Kompromittierungen. Überprüfen Sie Ihre Speicherberechtigungen genau und – ebenso wichtig – implementieren Sie geeignete Prüfprozesse, die falsche Konfigurationen verhindern und erkennen können. Wie viele Personen dürfen Repositorys hochfahren, ohne durch irgendeine Art von Sicherheitsaufsicht oder -überprüfung behelligt zu werden? Die Antwort muss lauten: Keine.
Last but not least: Sie hören es nicht zum ersten und ganz sicher nicht zum letzten Mal. Patchen Sie sofort und patchen Sie oft. Die nicht innerhalb von drei Monaten nach ihrer Offenlegung gepatchten Schwachstellen sind eine vielsagende Statistik, in die Ihr Unternehmen nicht hineinfallen sollte, und ein Fehler, den Ihre Gegner nicht bemerken sollten.
Zusammenfassung
Auch wenn es im Grunde ein alter Hut ist, soll es an dieser Stelle dennoch wiederholt werden: Die meisten Bedrohungsakteure folgen dem Geld. Und genauso sicher, wie Unternehmen in die Cloud umziehen, werden ihnen die Angreifer folgen. Während sich das Paradigma des perimeterlosen Zero-Trust-Netzwerks in Unternehmen auf der ganzen Welt ausbreitet, geht es den Angreifern hauptsächlich darum, die unschätzbar wertvollen Anmeldedaten zu ergattern. Und da Unternehmen weiter auf E-Mails setzen und erwarten, dass die Empfänger auf Links klicken, um ihre Arbeit zu erledigen, werden auch Angreifer weiterhin Phishing-Links senden, um ihren Job zu verrichten.
Die neuesten Untersuchungsdaten zu Sicherheitsverstößen spiegeln die aktuellen Verhaltensweisen von Unternehmen wider. Wohin wir auch gehen, sie werden uns folgen. Wenn Sie Sicherheitsverstöße vermeiden möchten, müssen Sie diese wechselseitige Beziehung erkennen, Gefahren antizipieren sowie Sicherheitslösungen, Arbeitsweisen und Unternehmensprozesse implementieren, die den Aufwand für einen Angriff so in die Höhe treiben, dass der Bedrohungsakteur unverrichteter Dinge abzieht.
Wenn Sie erfahren möchten, wie SentinelOne Sie beim Schutz Ihres Unternehmens vor Sicherheitsverletzungen unterstützen kann, kontaktieren Sie uns gleich heute und fordern Sie eine kostenlose Demo an.