Vectra Studie
Fertigungsindustrie weist höchstes Volumen an verdächtigem RDP-Verhalten auf
90 Prozent der Unternehmen betroffen
Vectra, führender Anbieter von Security-Lösungen zur Erkennung und Reaktion auf Netzwerkbedrohungen (NDR), berichtet heute, dass das Remote Desktop Protocol (RDP) eine weit verbreitete und anfällige Angriffsfläche in vielen Netzwerken schafft. Aufgrund der sehr häufigen Verwendung des Protokolls dürfte das Problem in naher Zukunft bestehen bleiben.
Cyberangreifer folgen typischerweise dem Weg des geringsten Widerstands, um ihre Ziele zu erreichen. Sie werden stets versuchen, bestehende Administrationstools zu nutzen, bevor sie neue schädliche Software einschleusen. Das Ziel der Angreifer ist es, interne Auskundschaftung durchzuführen, sich seitlich im Netzwerk vorzuarbeiten und schließlich Daten aus einem Netzwerk zu exfiltrieren.
Eines der beliebtesten Administrationstools ist RDP, mit dem IT-Systemadministratoren ihre Remote-Systeme mit der gleichen Funktionalität zentral steuern können, als wären sie vor Ort. RDP ist ein noch wichtigeres Tool für Managed Service Provider (MSPs) zur Verwaltung von Hunderten von Kundennetzwerken und -systemen.
Laut dem Vectra 2019 Spotlight Report on RDP für den Zeitraum vom Januar bis Juni 2019 hat die Cognito Plattform 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen erkannt. Daten von Vectra bestätigen, dass RDP nach wie vor eine sehr beliebte Technik für Cyberkriminelle ist, wobei 90 Prozent dieser Implementierungen Verhaltenserkennungen von RDP-Angreifern aufweisen.
Bei Produktions- und Finanzunternehmen liegt die höchste Rate an RDP-Erkennungen mit zehn bzw. acht Erkennungen pro 10.000 Workloads und Geräten vor. Die fünf am meisten risikobehafteten Branchen sind die Fertigungsindustrie, die Finanz- und Versicherungsbranche, der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen. Die drei führenden Branchen – Fertigung, Finanz- und Versicherungsbranche sowie Einzelhandel – machen zusammen fast die Hälfte (49,8 Prozent) aller RDP-Erkennungen aus.
Innerhalb der Fertigungsindustrie wiesen mittelgroße Unternehmen die höchste Rate an RDP-Erkennungen mit einer Rate von 20 pro 10.000 Workloads oder Geräten auf, was 82 Prozent höher ist als im mittelständischen Einzelhandel, das nächsthöhere Branchensubsegment, und 100 Prozent höher als bei kleinen Finanz- und Versicherungsunternehmen.
Die Fertigungsindustrie weist die höchste Rate an RDP-Erkennungen auf, denn werden IT-Manager in Fertigungsunternehmen kaum auf RDP verzichten wollen. Sie werden die massiven Kosten- und Zeiteinsparungen durch die zentrale Verwaltung, die durch RDP ermöglicht wird, dem erhöhten potenziellen, jedoch abstrakten Risiko eines Cyberangriffs vorziehen. So bietet der Einsatz von RDP einen erheblichen Geschäftswert, da es eine zentrale Verwaltung von geografisch verteilten Geschäftssystemen ermöglicht.
„Cyberkriminelle wissen, dass RDP ein sehr leicht zugängliches Administrationstool ist, das es ihnen ermöglicht, sich während eines Angriffs zu verstecken“, erklärte Chris Morales, Head of Security Analytics bei Vectra . „Es ist wichtig, dass die Sicherheitsteams verstehen, wie RDP von Angreifern verwendet wird, denn es wird auch in naher Zukunft eine Bedrohung darstellen.“
Während sie sich durch den Angriffslebenszyklus bewegen, führen Cyberkriminelle interne Auskundschaftungen durch und bewegen sich seitlich im fremden Netzwerk, um Systeme zu identifizieren und auf diejenigen zuzugreifen, die wertvolle Daten enthalten. Die Allgegenwart von RDP auf Windows-Systemen und seine häufige Verwendung durch Systemadministratoren machen RDP zum idealen Werkzeug für Angreifer, um bei der Ausführung ihrer Aktivitäten eine Erkennung zu vermeiden.
Der Spotlight Report 2019 zum RDP basiert auf der Analyse der Daten in der 2019 Black Hat Edition des Attacker Behavior Industry Report, der Verhaltensweisen und Trends in Netzwerken aus einer Stichprobe von mehr als 350 Opt-in-Vectra-Implementierungen von Januar bis Juni 2019 aufzeigt. Der Attacker Behavior Industry Report liefert statistische Daten über das Verhalten von Angreifern, die versuchen, sich in den bestehenden Netzwerkverkehr einzuschleichen und ihre schädlichen Aktionen zu verbergen.
Die Cognito Plattform beschleunigt die Netzwerkerkennung und -reaktion mithilfe einer ausgeklügelten KI, um Netzwerk-Metadaten mit dem richtigen Kontext zu sammeln, anzureichern und zu speichern. Auf diese Weise lassen sich versteckte Bedrohungen in Echtzeit erkennen, verfolgen und untersuchen. Die Cognito Plattform skaliert effizient auf die Netzwerke der größten Unternehmen mit einer verteilten Architektur. Eine Kombination aus Cloud-Ressourcen sowie virtuellen und physischen Sensoren bietet eine 360-Grad-Sicht über Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerke, sodass Angreifer sich nicht verstecken können.