| Unternehmen müssen von reaktiver Gefahrenabwehr auf präventive Ansätze umstellen, um ihre IT-Infrastrukturen zu schützen, erklärt Martin Zugec, Technical Solutions Director, Bitdefender. | Companies must shift from reactive threat prevention to preventive approaches in order to protect their IT infrastructures, explains Martin Zugec, Technical Solutions Director, Bitdefender. |
| Die Zeiten, in denen Unternehmen auf das schnelle Erkennen und Reagieren auf Cyberangriffe setzen konnten, neigen sich dem Ende zu. Sicherheitsexperten beobachten eine fundamentale Verschiebung in der Bedrohungslandschaft: Angreifer setzen vermehrt auf sogenannte Living-off-the-Land-Techniken (LOTL) und nutzen dabei legitime Systemwerkzeuge statt klassischer Schadsoftware.
Wenn Angreifer unsichtbar werden Die Zahlen sind alarmierend: Analysen von rund 700.000 Sicherheitsvorfällen zeigen, dass bereits 84 Prozent der Angriffe auf LOTL-Techniken basieren. Dabei verwenden Cyberkriminelle vorhandene Applikationen und Tools innerhalb der Zielsysteme, um ihre Aktivitäten zu verschleiern. Das Resultat: Bösartige Handlungen lassen sich kaum noch von normalem Nutzerverhalten unterscheiden. Martin Zugec, Technical Solutions Director bei Bitdefender, beschreibt die Konsequenzen: Angreifer können sich mithilfe nativer Betriebssystem-Tools wie PowerShell, WMIC oder Certutil unbemerkt im Netzwerk bewegen, Privilegien ausweiten und lateral fortbewegen, ohne dass herkömmliche Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) Systeme Alarm schlagen. Die Grenzen etablierter Technologien EDR- und XDR-Systeme gehören heute zum Standard in der Unternehmens-IT. Doch ihre Wirksamkeit stößt an Grenzen, wenn Angreifer keine Malware-Artefakte oder verdächtige Binärdateien hinterlassen. Die Folge sind zahlreiche Alarme mit geringem Aussagewert, die Sicherheitsteams vor die Herausforderung stellen, echte Bedrohungen von normalen Systemaktivitäten zu unterscheiden. Erschwerend kommt hinzu, dass Cyberkriminelle ihre Vorgehensweisen automatisieren. Sie nutzen neu veröffentlichte Schwachstellen innerhalb weniger Stunden aus und deaktivieren Sicherheitsagenten bereits früh in der Angriffskette. Zudem zielen sie verstärkt auf Schwachstellen in Edge-Netzwerken ab. Künstliche Intelligenz als Schlüsseltechnologie Der Ausweg aus diesem Dilemma liegt in KI-gestützten, adaptiven Präventionssystemen. Diese Technologien analysieren kontinuierlich das reale Nutzerverhalten und passen Sicherheitskontrollen dynamisch an. Während Präventionsmaßnahmen früher oft als starr galten, ermöglicht künstliche Intelligenz nun präzise und flexible Anpassungen. Das Konzept funktioniert folgendermaßen: Die KI erlernt, wie einzelne Mitarbeitende Applikationen und Systemtools nutzen. Sie passt Zugriffsrechte an die tatsächlichen Anforderungen des Arbeitsalltags an und blockiert riskante Aktionen präventiv. Ein Administrator kann beispielsweise den Zugriff auf PowerShell für Nutzer komplett sperren, die das Tool nie verwenden. Für Anwender, die es regelmäßig benötigen, erlaubt die KI typische Befehle, während sie verschlüsselte oder verschleierte Kommandos mit verdächtigem Kontext ablehnt. Angriffsflächen dynamisch reduzieren Die Verlagerung des Fokus von der Erkennungsgenauigkeit auf die Reduzierung der Angriffsfläche markiert einen Paradigmenwechsel. Präventive Technologien helfen Sicherheitsteams, unnötige Tools und übermäßige Privilegien abzubauen sowie laterale Angriffswege zu minimieren. Durch individuell angepasste Regeln für Nutzer und Geräte verhält sich jedes System unterschiedlich, was automatisierte Angriffsmuster erschwert. Ein weiterer Vorteil: Die granulare Risikoklassifizierung reduziert die Alarmmüdigkeit. Sicherheitsteams können sich auf tatsächlich relevante Bedrohungen konzentrieren, während sich Sicherheitskontrollen in Echtzeit an das Nutzerverhalten anpassen. Die Rolle von Erkennung und Reaktion Erkennungs- und Reaktionsfähigkeiten bleiben weiterhin wichtige Bestandteile der IT-Sicherheit. Sie werden jedoch zunehmend durch präventive Ansätze ergänzt, die darauf ausgelegt sind, Angriffe zu stoppen, bevor sie Schaden anrichten können. Diese Kombination ermöglicht es Unternehmen, proaktiv auf Bedrohungen zu reagieren, statt ausschließlich reaktiv zu agieren. Die Herausforderung für Unternehmen besteht darin, ihre Sicherheitsmodelle entsprechend anzupassen. Wer ausschließlich auf reaktive Maßnahmen setzt, verlässt sich bei maschinengesteuerten Angriffen auf menschliche Reaktionszeiten und akzeptiert damit unnötige Risiken. Die Verkleinerung der Angriffsfläche, die Einschränkung unnötiger Werkzeuge, die konsequente Steuerung von Datenzugriffen und der Einsatz adaptiver Präventionsmechanismen bilden die Grundlage für eine widerstandsfähigere IT-Infrastruktur. |
The days when companies could rely on quickly detecting and responding to cyberattacks are coming to an end. Security experts are observing a fundamental shift in the threat landscape: Attackers are increasingly relying on so-called living-off-the-land (LOTL) techniques, using legitimate system tools instead of traditional malware.
When attackers become invisible The figures are alarming: analyses of around 700,000 security incidents show that 84 percent of attacks are already based on LOTL techniques. Cybercriminals use existing applications and tools within the target systems to conceal their activities. The result: malicious actions can hardly be distinguished from normal user behavior. Martin Zugec, Technical Solutions Director at Bitdefender, describes the consequences: Attackers can use native operating system tools such as PowerShell, WMIC, or Certutil to move around the network unnoticed, extend privileges, and move laterally without triggering alarms from traditional endpoint detection and response (EDR) or extended detection and response (XDR) systems. The limits of established technologies EDR and XDR systems are now standard in corporate IT. However, their effectiveness reaches its limits when attackers leave no malware artifacts or suspicious binary files behind. The result is numerous alerts with little informative value, which challenge security teams to distinguish real threats from normal system activity. To make matters worse, cybercriminals are automating their methods. They exploit newly published vulnerabilities within hours and disable security agents early in the attack chain. They are also increasingly targeting vulnerabilities in edge networks. Artificial intelligence as a key technology The way out of this dilemma lies in AI-powered, adaptive prevention systems. These technologies continuously analyze real user behavior and dynamically adjust security controls. While prevention measures were often considered rigid in the past, artificial intelligence now enables precise and flexible adjustments. The concept works as follows: AI learns how individual employees use applications and system tools. It adapts access rights to the actual requirements of everyday work and preventively blocks risky actions. For example, an administrator can completely block access to PowerShell for users who never use the tool. For users who need it regularly, AI allows typical commands while rejecting encrypted or obfuscated commands with suspicious context. Dynamically reduce attack surfaces The shift in focus from detection accuracy to reducing the attack surface marks a paradigm shift. Preventive technologies help security teams eliminate unnecessary tools and excessive privileges and minimize lateral attack paths. With customized rules for users and devices, each system behaves differently, making automated attack patterns more difficult. Another advantage is that granular risk classification reduces alert fatigue. Security teams can focus on threats that are actually relevant, while security controls adapt to user behavior in real time. The role of detection and response Detection and response capabilities remain important components of IT security. However, they are increasingly being supplemented by preventive approaches designed to stop attacks before they can cause damage. This combination enables companies to respond proactively to threats instead of acting solely reactively. The challenge for companies is to adapt their security models accordingly. Those who rely exclusively on reactive measures are relying on human response times in the face of machine-controlled attacks and thus accepting unnecessary risks. Reducing the attack surface, limiting unnecessary tools, consistently controlling data access, and using adaptive prevention mechanisms form the basis for a more resilient IT infrastructure. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de