Viele Cyberangriffe sind erfolgreich – Many cyber attacks succeed

„Wie eine kurze Decke, die entweder den Kopf oder die Füße bedeckt, aber nicht beides, können Sicherheitsteams ihre Zeit, ihr Geld und ihre Ressourcen nur für eine bestimmte Anzahl von Problemen auf einmal einsetzen“, so Dr. Süleyman Özarslan, Mitbegründer und VP von Picus Labs. „Sie verwenden ihre Budgets und Ressourcen, um einen gefährdeten Bereich abzudecken, lassen aber andere Bereiche im Regen stehen. Der Blue Report wirft ein Licht auf diese unmöglichen Kompromisse und darauf, wie sie die Bereitschaft von Unternehmen behindern, sich gegen die neuesten Bedrohungen zu verteidigen.“

Dem Bericht zufolge müssen Sicherheitsteams vier Kompromisse eingehen, wenn sie entscheiden

Welche Angriffe priorisiert werden sollen

Die Daten des Picus Blue Report zeigen, dass die Sicherheitskontrollen von Unternehmen (wie Firewalls der nächsten Generation und Intrusion Prevention-Lösungen) im Durchschnitt nur 6 von 10 Angriffen verhindern. Einige Arten von Angriffen werden jedoch viel effektiver verhindert als andere. So können Unternehmen beispielsweise 73 % der Malware-Downloads verhindern, aber nur 18 % der Angriffe zur Datenexfiltration.

Auch komplexe, mehrstufige Angriffe können Unternehmen in weniger als der Hälfte der Fälle abwehren. Dies ist besonders besorgniserregend angesichts der Ergebnisse des Red Report 2023, einer früheren Forschungsstudie von Picus, in der festgestellt wurde, dass mehr als ein Drittel der Malware-Samples 20 oder mehr Taktiken, Techniken und Verfahren (TTPs) der Angreifer aufweisen.

Der Blue Report zeigt auch große Unterschiede in der Fähigkeit von Unternehmen, bestimmte Bedrohungen zu verhindern. So kann beispielsweise mehr als ein Drittel der Unternehmen die Ransomware-Angriffe Black Basta und BianLian verhindern, aber nur 17 % können Mount Locker verhindern. Und das, obwohl Mount Locker im Jahr 2021 auftauchte, also vor den beiden anderen Malware-Angriffen.

Welche Schwachstellen behoben werden sollten

Der Blue Report zeigt auch die Grenzen des Ansatzes von Sicherheitsteams bei der Verwaltung von allgemeinen Schwachstellen und Gefährdungen (CVEs) auf. Die Analyse der simulierten Angriffe zeigt, dass die Liste der Top 10 CVEs, denen sie am stärksten ausgesetzt sind, von kritischen und hochriskanten Schwachstellen sowie von CVEs dominiert wird, die schon seit Jahren bekannt sind. Einige CVEs, die 2019 entdeckt wurden, stellen weiterhin eine Bedrohung für mehr als 80 % der Unternehmen dar.

Ob Optimierung von Präventions- oder Erkennungskontrollen

Im Allgemeinen gilt: Je besser ein Unternehmen Bedrohungen vorbeugt, desto schwächer ist es in der Lage, sie zu erkennen und umgekehrt. So ist die Gesundheitsbranche weltweit am wenigsten effektiv bei der Verhinderung von Angriffen, aber doppelt so erfolgreich bei der Erkennung wie der Durchschnitt der Unternehmen. Nordamerikanische Organisationen sind bei der Verhinderung von Angriffen fast doppelt so erfolgreich wie bei deren Erkennung.

Was protokollieren und melden

Unternehmen, die SIEM-Lösungen (Security Event and Incident Management) einsetzen, müssen auch entscheiden, wie viel sie in die Erkennung von Angriffen investieren wollen. In den meisten Fällen geben Unternehmen der Protokollierung routinemäßig den Vorrang vor der Alarmierung, aber beides ist nicht sehr gut. Simulationsdaten zeigen, dass Unternehmen im Durchschnitt 4 von 10 Angriffen protokollieren, aber nur bei 2 von 10 Angriffen Warnmeldungen erzeugen.

„Da es praktisch unmöglich ist, jede Bedrohung zu verhindern und zu erkennen, müssen Sicherheitsteams immer einigen Sicherheitsaspekten mehr Priorität einräumen als anderen“, so Dr. Ozarslan. „Glücklicherweise gibt es einen Ansatz, der ihnen helfen kann, ihre Leistung zu verbessern. Durch die Einführung eines einheitlichen Ansatzes, der Erkenntnisse aus Angriffssimulationen mit Angriffsflächen- und Schwachstellendaten kombiniert, können Sicherheitsteams ihre Ressourcen effizient und effektiv für die kritischsten Schwachstellen einsetzen. Auf diese Weise können sie gleichzeitig ihre Fähigkeit verbessern, Angriffe zu verhindern und zu erkennen, anstatt Kompromisse zwischen diesen beiden Aspekten einzugehen, und können nachts besser schlafen.

The Blue Report 2023 by Picus Security highlights four “impossible trade-offs” limiting modern security teams’ ability to manage their organization’s threat exposure. It is based on an analysis of more than 14 million cyber attacks simulated by The Picus Platform.

„Like a short blanket that covers either the head or the feet, but not both, security teams can only apply their time, money and resources to so many problems at once,“ said Dr. Suleyman Ozarslan, co-founder and VP of Picus Labs. „They use their budgets and resources to cover one exposed area, but leave other areas out in the cold. The Blue Report shines a light on these impossible trade-offs and how they hinder organizations‘ readiness to defend against the latest threats.“

According to the report, security teams make four trade-offs when deciding

Which attacks to prioritize

Picus‘ Blue Report data shows that, on average, organizations‘ security controls (such as next-generation firewalls and intrusion prevention solutions) prevent only 6 out of 10 attacks. However, some types of attacks are prevented far more effectively than others. For example, organizations can prevent 73% of malware downloads, but only 18% of data exfiltration attacks.

Organizations also stop complex, multi-stage attacks less than half the time. This is particularly troubling given the findings of The Red Report 2023, a previous research study by Picus, which found that over a third of malware samples exhibited 20 or more attacker tactics, techniques and procedures (TTPs).

The Blue Report also reveals wide variations in the ability of organizations to prevent specific threats. For example, more than a third of organizations can prevent Black Basta and BianLian ransomware attacks, but only 17% can prevent Mount Locker. This is despite the fact that Mount Locker appeared in 2021, before the other two malware attacks.

Which vulnerabilities to fix

The Blue Report also reveals the limitations of security teams‘ approach to managing common vulnerabilities and exposures (CVEs). Analysis of the simulated attacks shows that the list of the top 10 CVEs to which they remain most exposed is dominated by critical and high-risk vulnerabilities, as well as CVEs that have been known for years. Some CVEs discovered in 2019 remain a threat to more than 80% of organizations.

Whether optimizing prevention or detection controls

In general, the better an organization is at preventing threats, the weaker it is at detecting them, and vice versa. For example, globally, the healthcare industry is the least effective at preventing attacks, but is twice as successful as the average organization at detecting them. North American organizations are nearly twice as successful at preventing attacks as they are at detecting them.

What to log and alert on

Organizations leveraging security event and incident management (SIEM) solutions also face decisions about how much to invest in attack detection. In most cases, organizations routinely prioritize logging over alerting but do neither very well. Simulation data shows that, on average, organizations log 4 out of 10 attacks but only generate alerts for 2 in 10 attacks.

“Since preventing and detecting every threat is practically impossible, security teams will always have to prioritize some aspects of security more than others,” said Dr Ozarslan. “Fortunately, there is an approach that can help them improve their performance. By adopting a more unified approach that incorporates insights from attack simulations combined with attack surface and vulnerability data, security teams can allocate resources efficiently and effectively to address their most critical exposures. As a result, they can simultaneously improve their ability to prevent and detect attacks, rather than making trade-offs between them, and sleep better at night.”