Active Adversaries stellen aktuell eine große Bedrohung für Unternehmen jeder Größe dar. Diese hochqualifizierten Angreifer entwickeln ihre Techniken als Reaktion auf immer bessere Abwehrmaßnahmen ständig weiter, indem sie Angriffe ausführen, die speziell darauf ausgelegt sind, die Auslösung präventiver und rein technischer Sicherheitslösungen zu vermeiden.
Active Adversaries sind hochqualifizierte Cyberkriminelle, die häufig über hochentwickelte Software- und Netzwerkfähigkeiten verfügen und live am Keyboard auf Schleichfahrt durch gekaperte Netzwerke gehen. Dieses individuelle Vorgehen ermöglicht es, sich der Entdeckung zu entziehen und die verwendeten Techniken im Lauf des Angriff jederzeit anzupassen, um Sicherheitsebenen zu umgehen. In der Folge benötigen Unternehmen adaptive Sicherheitskontrollen, die darauf ausgelegt sind, die von Active Adversaries häufig verwendeten Vorgehensweisen zu erkennen und darauf zu reagieren. Zu den häufigsten Taktiken gehören folgende Angriffsarten:
Mehrstufige Angriffe: Aktive Angreifer führen Angriffe aus, die mehrere Domänen in der Umgebung des Opfers umfassen. Das volle Ausmaß dieser Angriffe kann nicht von einem einzelnen Punktprodukt erfasst werden. Unternehmen benötigen Transparenz über ihr gesamtes Ökosystem.
Living-of-the-lands-Angriffe: Präventive Sicherheitstools sind nicht in der Lage, die Verwendung legitimer IT-Tools zu blockieren, ohne dass das Risiko einer erheblichen Betriebsunterbrechung besteht. Dies machen sich Angreifer zunutze, indem sie legitime IT-Tools wie RDP und PowerShell nutzen, um ihre Aktivitäten zu verschleiern.
Unbekannte Schwachstellen: Angreifer nutzen Zero-Day-Schwachstellen und ungepatchte Schwachstellen aus, um Angriffe auszuführen: 65 % aller Ransomware-Angriffe beginnen damit, dass ein Angreifer eine unbekannte Schwachstelle ausnutzt oder sich mit legitimen Anmeldeinformationen anmeldet.
Missbrauch von Anmeldedaten: Aktive Angreifer verwenden kompromittierte legitime Benutzeranmeldeinformationen, um sich anzumelden und ihre Angriffe auszuführen. Präventive Sicherheitstools können erst dann blockieren oder erkennen, wenn der „Benutzer“ verdächtiges oder böswilliges Verhalten zeigt.
Diese Entwicklung zeichnet sich auch im aktuellen Sophos Active Adversary Report ab, der reale Cyberattacken analysiert. Die Daten belegen, dass Angreifer immer schneller werden, die Verweildauer von Ransomware nimmt zum Beispiel rapide ab, von neun Tagen im Jahr 2022 auf fünf Tage im ersten Halbjahr 2023. Der Bericht zeigt zudem den häufigen Missbrauch legitimer IT-Tools auf. Damit unterstreicht der Report die Notwendigkeit für Unternehmen, das Verhalten aktiver Angreifer zu verstehen und Einblick in ihre Sicherheitsökosysteme zu haben, um sie schnell zu erkennen und noch schneller zu reagieren. In diesem Rahmen spielt ein Cybersecurity-Ökosystem seine Stärken aus, indem vernetzte Produkten und Dienstleistungen zusammenarbeiten. Sophos ist einer der Innnovationstreiber in diesem Segment und hat mit Sophos XDR, Sophos Firewall und Sophos NDR gleich mehrere Produkte im Portfolio, die Active Adversaries in die Schranken weisen.
Antwort hinterlassen