Cisco Midyear Cybersecurity Report warnt vor neuen Bedrohungstrends
Zerstörerische Angriffe und dateilose Malware
Laut Ciscos Midyear Cybersecurity Report (MCR) entwickeln sich IT-Bedrohungen rasant weiter und vergrößern dabei ihre Angriffsreichweite. Jüngste Vorfälle wie Wannacry und Nyetya zeigen laut Cisco die rasche Verbreitung und große Wirkung von Angriffen, die wie traditionelle Ransomware aussehen, jedoch viel zerstörerischer sind (Destruction of Service, DeoS). Die Angreiferseite ziele zunehmend auf die Zerstörung von Backups und Sicherheitsnetzen der Unternehmen.
Aktuellen Sicherheitspraktiken steht laut Ciscos Report ein Wandel in den Angriffsformen gegenüber. So verzeichnete Cisco einen markanten Rückgang von Exploit-Kits (siehe Bild), während bewährte Angriffe via E-Mail wieder aufleben, um Malware zu verteilen und Umsatz zu generieren: Malware mit neuen Angriffs-, Verschleierungs- und Umgehungstechniken flankiere nun vermehrt die Spam-Mails.
Cisco hat hat in seinem Report folgende Schwerpunkte analysiert:
* Destruction-of-Service-Angriffe: Diese können Backups und Sicherheitsnetze von Unternehmen zerstören, die zur Wiederherstellung von Systemen und Daten nach einem Angriff erforderlich sind. Erfolgreiche Angriffe dieser Art sind sehr schädlich, warnt Cisco, da Unternehmen keine Möglichkeit der Wiederherstellung bleibt.
* "Dateilose Malware": Man entdecke zunehmend "dateilose Malware", die nicht auf der Festplatte, sondern nur im flüchtigen Speicher vorliegt. Sie lasse sich schwerer erkennen oder untersuchen, da ein Neustart die Malware zunächst löscht. Zudem nutzten die Angreifer anonymisierte und dezentrale Infrastrukturen, etwa einen Tor-Proxy-Dienst, um C2-Aktivitäten (Command and Control) zu verschleiern.
* Ransomware as a Service: Durch die Weiterentwicklungen der Ransomware können Kriminelle Angriffe unabhängig von ihren Kenntnissen einfacher ausführen, so Cisco. Ransomware habe 2016 einen Schaden von über einer Milliarde Dollar verursacht.
* Business E-Mail Compromise (BEC-Angriffe, auch "Chefbetrug" oder "CEO Fraud" genannt): Diese Art der Social-Engineering-Angriffe verleitet Mitarbeiter dazu, über eine offiziell aussehende E-Mail (scheinbar von einem Vorgesetzten, daher "Chefbetrug") Überweisungen an die Angreifer auszuführen. Zwischen Oktober 2013 und Dezember 2016 haben Betrüger laut Internet Crime Complaint Center über BEC-Angriffe insgesamt 5,3 Milliarden Dollar gestohlen.
* Spyware und Adware: Cisco hat laut eigenen Angaben 300 Unternehmen über einen Zeitraum von vier Monaten untersucht und festgestellt, dass jedes fünfte von ihnen (20 Prozent) durch Malware aus drei vorherrschenden Spyware-Familien infiziert wurde. In einer Unternehmensumgebung könne Spyware Benutzer- und Firmeninformationen stehlen, die Sicherheit von Geräten schwächen und Malware-Infektionen erhöhen.
Angesichts solcher Entwicklungen ist die Wirksamkeit von Sicherheitspraktiken entscheidend, betont man bei Cisco. Entscheidend sei ein möglichst kleines Zeitfenster zwischen einem Angriff und dem Erkennen einer Bedrohung (Time to Detection, TTD). Denn so könne man den Aktionsraum der Angreifer begrenzen und Schäden minimieren. Cisco meldet hierzu, man habe in den letzten sechs Monaten die Zeit bis zur Erkennung von Angriffen im Mittel auf etwa 3,5 Stunden verringern können.
Handlungsempfehlungen
Um Angriffe auf Unternehmensnetze oder auch IoT-Infrastrukturen zu bekämpfen, empfiehlt Cisco das folgende Vorgehen:
* Infrastruktur und Anwendungen sollten stets auf dem neuesten Stand sein, damit Angreifer bekannte Schwachstellen nicht ausnutzen können.
* Ein integrierter Verteidigungsansatz reduziert die Komplexität; es gilt, isolierte Investitionen zu vermeiden.
* Die Führungsebene sollte frühzeitig einbezogen sein, um umfassendes Verständnis der Risiken, Vorteile und Budgeteinschränkungen zu gewährleisten.
* IT-Organisationen sollten eindeutige Kennzahlen definieren, um Sicherheitspraktiken zu validieren und zu verbessern.
* Unternehmen sollten Sicherheitsschulungen nicht übergreifend durchführen, sondern auf die jeweilige Funktion der Mitarbeiter abstimmen.
* Verteidigung und aktive Reaktion müssen ausbalanciert sein, Sicherheitskontrollen oder Prozesse nicht "einmal eingerichtet und vergessen".
Weitere Informationen finden sich unter www.cisco.com.
Lesen Sie mehr zum Thema
