Advanced Persistent Threats Studie - weiterhin Nachholbedarf
Nachholbedarf in vielen Unternehmen bei der Abwehr gegen fortgeschrittene Cyber-Bedrohungen
Palo Alto Networks erläutert Ergebnisse der jüngsten ISMG-Studie zum Thema Advanced Persistent Threats (APTs)
Advanced Persistent Threats (APTs) entwickeln sich ständig weiter und nutzen Schwachstellen, die in Unternehmen und Behörden zum Verlust von Daten und zur Manipulation von IT-Systemen führen können. Mittlerweile bestehen keine Zweifel daran, dass APTs die Regel sind, nicht mehr die Ausnahme. Um sich ein aktuelles Bild von der Lage in den Unternehmen zu verschaffen, hat Palo Alto Networks, Marktführer im Bereich Enterprise Security, eine Studie bei der Information Security Media Group (ISMG) in Auftrag gegeben. Der Advanced Persistent Threats Report erläutert dabei auch Maßnahmen, die in Unternehmen bereits zum Einsatz kommen – oder eben noch fehlen.
31 Prozent der Befragten gaben an, dass es in ihrem Unternehmen im vergangenen Jahr zu einem merklichen Sicherheitsvorfall in Form eines APTs gekommen sei. 53 Prozent haben nach eigenen Angaben jedoch bereits in Maßnahmen zur Erkennung und Reaktion auf APTs investiert. 39 Prozent haben einen APT-Notfallplan, 36 Prozent haben ihr Personal geschult, um APTs zu erkennen und darauf reagieren zu können – und 22 Prozent haben gar keine APT-spezifischen Abwehrmaßnahmen im Einsatz. Bei der Frage, welche Einfallstore für APTs als am verwundbarsten eingeschätzt werden, landeten Endpoints wie Desktop-Computer und Notebooks (70 Prozent), Drittanbieter-, Partner- und Outsourcing-Umgebungen (48 Prozent) sowie mobile Geräte (45 Prozent) ganz vorne.
Eine weitere Frage lautete: „In welcher Phase eines APT-Vorfalls ist ihr Unternehmen derzeit am besten vorbereitet, um den Angriff zu erkennen?“. Jeder Vierte gab an, dass die Abwehr dann eingreift, wenn die Bedrohung in das System einzudringen versucht. Bei jedem Fünften dann, wenn die Malware bereits im System ist und Abwehrmaßnahmen getestet werden können. 10 Prozent gaben an, dass „wir einfach nicht gut genug im rechtzeitigen Erkennen von APTs sind“. Gibt es erste Anzeichen auf einen Vorfall, benötigen 46 Prozent der Unternehmen immerhin weniger als einen Tag bis zur Erkennung und 26 Prozent weniger als eine Woche. In 29 Prozent der Unternehmen, die eine Lösung zur APT-Erkennung einsetzen, beträgt die Mean Time to Resolution (MTTR) eine bis sechs Stunden.
Welche Maßnahmen werden zur Abwehr von APTs eingesetzt? Ganz vorne liegen Anti-Viren-Software (96 Prozent) und Intrusion-Detection/Prevention-Systeme (80 Prozent), gefolgt von Verschlüsselung (77 Prozent), Anti-Malware-Schutz (76 Prozent), sicheren E-Mail-Gateways (72 Prozent) und Patch-Management (65 Prozent). Weniger als zwei Drittel nutzen eine wichtige Next-Generation-Firewall (61 Prozent), gefolgt von sicheren Web-Gateways (52 Prozent), Black/White Listing (51 Prozent), Data-Loss-Prevention (41 Prozent), Next-Generation-Bedrohungsschutz (32 Prozent) sowie einer SIEM- (Security Information and Event Management, 29 Prozent) oder Sandboxing-Lösung (21 Prozent).
Bei der Frage, welche Faktoren die Fähigkeit hemmen, APTs zu erkennen und gezielt zu verhindern waren sich 53 Prozent einig, dass dies an der erhöhten Qualität der Angriffe liegt. 43 Prozent gaben jedoch einen Mangel an Budget an. 38 Prozent der befragten Unternehmen verfügen nicht über ausreichende Technologielösungen, um APTs zu erkennen oder abzuwehren, bei 22 Prozent fehlt es an Rückhalt aus der Management-Etage und bei 20 fehlen den IT-Teams die nötigen Kenntnisse.
Wie steht es um die Prioritäten bei der APT-Abwehrstrategie im kommenden Jahr? Immerhin 34 Prozent der Befragten sagten, dass die Anschaffung neuer Technologie-Lösungen ihre Top-Priorität ist. 24 Prozent wollen das Sicherheitsbewusstsein des Personals erhöhen und in Training investieren und 16 Prozent in externe Threat-Intelligence-Dienste.
Bei der Frage, welche fortschrittlichen Sicherheitslösungen künftig eingesetzt werden sollen, liegt Threat Intelligence mit 50 Prozent vorne, gefolgt von Command&Control-Reporting und -Überwachung (36 Prozent) sowie URL-Filterung, kontextuellen Sicherheitskontrollen und Cloud-basierter Malware- Analyse (jeweils 32 Prozent). Dies zeigt auch, dass sich traditionelle Sicherheitslösungen in der Abwehr von APTs mehr und mehr als unzureichend erweisen.
Zusätzlich mussten die Befragten angeben, ob sie folgenden Statements zustimmen: „Wir planen, auf automatisierte Verteidigung gegen Bedrohungen umzusatteln“ (33 Prozent). „Wir planen, in eine integrierte Sicherheitsplattform zu investieren, mit Sicherheitstechnologie, die das Netzwerk und die Endpunkte mit einbezieht, statt in Einzellösungen“ (32 Prozent).
„Es gibt zu viele Einfallstore für APTs in der heutigen virtuellen Unternehmensumgebung und zu viele individuelle Endpunkt-Sicherheitslösungen mit ständigen Alarmmeldungen und Threat-Intelligence-Informationen, die in Echtzeit verarbeitet werden müssen“, fasst Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks zusammen. “Hinzu kommt, dass es oftmals an speziell geschultem Personal fehlt, das in der Lage ist, gerade die fortgeschrittenen Bedrohungen zu erkennen und darauf reagieren zu können. Automatisierte Abwehrmaßnahmen in Form von ATP-Lösungen, die auf hochentwickelte Angriffstaktiken abzielen, können hier wirksam Abhilfe schaffen.“