Was 2023 geschieht, weiß noch niemand. Aber an der Cybersicherheits-Front wird es spannend bleiben, so die Einschätzung von Chad Skipper, Global Security Technologist bei VMware.
Autor: Chad Skipper, Global Security Technologist bei VMware.
Dieses Jahr gab es viele schwerwiegende Datenschutzverletzungen und Cyberangriffe, die Sicherheitsteams auf der ganzen Welt in Schach hielten. Zwar konnten Unternehmen schneller auf die zunehmenden Aktivitäten der Cyberkriminellen reagieren, doch Konzerne haben immer noch Schwierigkeiten, ihre Vermögenswerte ausreichend vor Cyberkriminellen zu schützen.
In den letzten 12 Monaten gab es dafür prominente Beispiele: Toyota unterlief eine Datenpanne, da sich ein Dritter mit Zugangsdaten, die er aus dem von einem Drittanbieter auf GitHub veröffentlichten Quellcode erhalten hatte, Zugang zu einem Unternehmensserver verschaffen konnte. Auch Cisco bestätigte einen Cyberangriff, nachdem die Anmeldedaten eines Mitarbeiters kompromittiert wurden und der Angreifer beobachtet wurde, wie er Maschinenkonten für die privilegierte Authentifizierung und laterale Bewegung in der Netzwerkumgebung nutzte.
Diese Verstöße, die durch laterale Strategien, massenhafte Phishing-Attacken und ausgefeilte Ransomware begünstigt wurden, haben die Netzwerksicherheit erheblich untergraben. Wenn wir über das vergangene Jahr nachdenken, ist es zwar wichtig, die vielen Erfolge der Sicherheitsteams zu würdigen, aber wir müssen auch von den aufsehenerregenden Sicherheitsverletzungen lernen.
Ich gehe davon aus, dass es im kommenden Jahr diese fünf zentralen Herausforderungen für die Cybersicherheitsteams in Unternehmen geben wird:
Innovative Instincts Tackle Evasion Taktiken
Innovationen bei der Reaktion auf Bedrohungen waren im Jahr 2022 der herausragende Wachstumsbereich in der Branche. Der Global Incident Response Threat Report (GIRTR) von VMware hat ergeben, dass Cybersicherheitsexperten aktiv neue Techniken wie virtuelles Patching einsetzen, um auf Vorfälle zu reagieren und cyberkriminelle Aktivitäten zu bekämpfen. Obwohl die heutigen Bedrohungsakteure über ein beeindruckendes Portfolio an Umgehungstaktiken verfügen, hat die Untersuchung ergeben, dass die Mehrheit der Cyberkriminellen nur Stunden (43 %) oder Minuten (26 %) in der Zielumgebung unentdeckt bleiben.
Da die Reaktionszeit auf Bedrohungen für die Netzwerkverteidigung von entscheidender Bedeutung ist, ist es für den Schutz der Systeme sehr wichtig, den gewieften Bedrohungsakteuren auf Augenhöhe zu begegnen. Der Einsatz innovativer Taktiken zur Aktualisierung von Reaktionstechniken ist der erste Ansatzpunkt, um böswillige Absichten zu stoppen, bevor sie eskalieren – und einer, auf den man sich im Jahr 2023 konzentrieren sollte.
Das neue Schlachtfeld
Was man nicht sehen kann, kann man auch nicht aufhalten, und die lateralen Bewegungen innerhalb einer Umgebung stellen ein immer größeres Angriffsfeld für Sicherheitsteams dar, da sie die Grundlage für ein Viertel aller im GIRTR von VMware gemeldeten Angriffe bilden. Diese Infiltrationstechniken wurden in diesem Jahr von Unternehmen häufig übersehen und unterschätzt. Allein in den Monaten April und Mai dieses Jahres enthielt fast die Hälfte der Angriffe ein Lateral Movement Event, wobei die meisten den Einsatz von Remote Access Tools (RATs) oder die Nutzung bestehender Dienste wie das Remote Desktop Protocol (RDP) oder PsExec beinhalteten.
Wir gehen davon aus, dass Cyberkriminelle auch im Jahr 2023 das Remote-Desktop-Protokoll nutzen werden, um sich als Systemadministratoren zu tarnen. Mit Blick auf das neue Jahr müssen CISOs der Integration von EDR und NDR Priorität einräumen, um Rechenzentren, Zugangspunkte und kritische Infrastrukturen zu schützen, die Hacker infizieren können, sobald sie externe Barrieren infiltrieren.
Unüberwachte APIs
Auch im nächsten Jahr werden wir die Entwicklung von Erstzugriffstaktiken beobachten, mit denen Cyberkriminelle versuchen, in Unternehmen Fuß zu fassen. Ein Hauptziel eines solchen Zugriffs ist die Durchführung aggressiver API-Angriffe auf moderne Infrastrukturen und die Ausnutzung von Schwachstellen im Workload innerhalb einer Umgebung. Der Großteil des Datenverkehrs innerhalb dieser modernen Anwendungen ist häufig kaum überwachter API-Datenverkehr. Das begünstigt laterale Bewegungen, da Cyberkriminelle, sobald sie in die Umgebung eingedrungen sind, weiterhin Ausweichtechniken verwenden, um die Erkennung von VDIs, VMs und herkömmlichen Anwendungen zu umgehen. Diese anfänglichen Zugriffstechniken werden für böswillige Akteure, die sich der Überwachungsgrenzen von Unternehmen bewusst sind, immer attraktiver und sie werden nach Schwachstellen suchen.
Deepfakes
In diesem Jahr haben Deepfake-Angriffe stark zugenommen. Deepfakes haben sich von der Unterhaltungsindustrie auf die Wirtschaft und Unternehmen ausgeweitet. Tatsächlich haben zwei Drittel (66 %) der Unternehmen berichtet, dass sie in den letzten 12 Monaten einen Deepfake-Angriff erlebt haben. Aufgrund dieser Technologie haben Sicherheitsteams mit falschen Informationen und Identitätsbetrug zu kämpfen, die die Integrität und den Ruf eines Unternehmens gefährden sollen. Deepfake-Angriffe, die in E-Mails, mobilen Nachrichten, Sprachaufzeichnungen und sozialen Medien identifiziert werden, sind flexibel genug, um sich zur bevorzugten Waffe von Betrügern zu entwickeln.
Im nächsten Jahr wird die Zahl der Deepfakes weiter ansteigen. Unternehmen müssen proaktive Maßnahmen ergreifen, um das Risiko, Opfer von Deepfake-Betrügereien zu werden, durch Investitionen in Erkennungssoftware und Mitarbeiterschulungen zu mindern, damit sie in der Lage sind, Deepfakes zu erkennen.
Der große rote (digitale) Knopf
Kritischen Infrastrukturen steht ein Jahr der Verwundbarkeit bevor, da sich die Werkzeuge der Cyberkriminalität zweifellos hinter den Grenzen weiterentwickeln werden. Die Mehrheit (65 %) der Befragten des GIRTR von VMware gab an, dass die Zunahme von Cyberangriffen mit dem Einmarsch Russlands in die Ukraine zusammenhängt. Russlands digitale Offensive hat eine neue Ära der Kriegsführung eingeläutet, die darauf abzielt, wichtige Industriedienste zu untergraben und Infrastrukturen wie Stromnetze lahmzulegen. Die Bereitschaft der Ukraine, auf Bedrohungen zu reagieren, ist für ihre Verteidigung von entscheidender Bedeutung, und Cyber-Taktiken werden sich zweifellos zu einem zentralen Bestandteil moderner militärischer Konflikte entwickeln. Die Cyber-Kriegsführung verdeutlicht daher, dass Wachsamkeit das A und O einer wirksamen Cybersicherheitsstrategie ist.
Sicherheits-Bootcamp für 2023
Auch wenn wir uns auf ein neues Jahr zubewegen, bleibt das Hauptziel von Cyberkriminellen dasselbe: Den Schlüssel zum Unternehmen erlangen, Zugangsdaten stehlen, sich lateral bewegen, Daten erwerben und diese dann zu Geld machen. Um die Effizienz der Verteidigung in Zukunft zu verbessern, müssen sich Sicherheitsteams ganzheitlich auf Workloads konzentrieren, den In-Band-Verkehr untersuchen, NDR mit Endpoint Detection and Response EDR integrieren, Zero-Trust-Prinzipien einführen und eine kontinuierliche Bedrohungssuche durchführen. Nur mit diesem umfassenden Leitfaden können Unternehmen ihre Sicherheitsteams in die Lage versetzen, die kommenden Herausforderungen zu meistern.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de