Studie
Fortinet veröffentlicht neue Erkenntnisse aus der aktuellen Bedrohungslandschaft
Fortinet Threat Landscape Report
Fortinet (NASDAQ: FTNT), weltweit führender Security-Anbieter von umfangreichen, integrierten und automatisierten Cyber-Security-Lösungen, veröffentlicht die Ergebnisse seines quartalsweise erscheinenden Global Threat Landscape Report .
Die Studie zeigt, dass Cyber-Kriminelle immer komplexere Angriffsmethoden entwickeln, um in möglichst viele Systeme einzudringen. Ihre Methoden reichen von maßgeschneiderter Ransomware und benutzerdefinierter Codierung der Zugriffsversuche bis hin zu „Living-off-the-Land“ (LotL) oder Sharing-Infrastrukturen.
Knapp 60 Prozent aller Bedrohungen haben mindestens eine gemeinsame Domain – Großteil der Botnetze nutzt bestehende Infrastrukturen
Die wichtigsten Ergebnisse der Studie im Überblick:
Pre- und Post-Gefährdungs-Traffic
Cyber-Kriminelle legen großen Wert auf die Maximierung ihrer Erfolgschancen. Der Vergleich von Webfiltervolumen zweier Cyber Kill Chains an Wochentagen und Wochenenden zeigt eine dreimal höhere Wahrscheinlichkeit für Pre-Gefährdungs-Aktivitäten während der Arbeitswoche. Der Post-Gefährdungs-Traffic zeigt hingegen weniger Unterscheidung. Dies liegt vor allem daran, dass Exploits oft eine Aktion erfordern, bei der Nutzer beispielsweise auf Inhalte einer Phishing-E-Mail klicken. Command-and-Control-Aktivitäten (C2) haben diese Anforderung nicht und können jederzeit auftreten. Cyber-Kriminellen ist dies bewusst. Deshalb richten sie ihre Aktivitäten an den Traffic-stärksten Zeiten des Internets aus. Die Unterscheidung zwischen Wochentags- und Wochenendfilterung ist wichtig, um die Kill Chain der verschiedenen Angriffe vollständig zu verstehen. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Cyber-Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.
Christian Vogt, Senior Regional Director Germany, Fortinet:
„Leider sehen wir weiterhin, dass Cyber-Kriminelle die Strategien und Methoden von Staatsakteuren und die technologischen Entwicklungen von Geräten und Netzwerken nachahmen. Unternehmen müssen daher ihre Strategie überdenken, um sich in Zukunft besser abzusichern und ihre IT-Risiken zu managen. Ein wichtiger erster Schritt ist, die Cyber-Sicherheit aus einer wissenschaftlichen Perspektive zu betrachten – und die entsprechenden Grundlagen in die IT-Sicherheit zu integrieren. Ein Fabric-Ansatz für Sicherheit, Mikro- und Makrosegmentierung sowie die Integration der KI-Bausteine Machine Learning und Automatisierung bieten enorme Chancen, Cyber-Attacken einen effektiven Riegel vorzuschieben.“
Großteil der Bedrohungen nutzt gemeinsame Infrastruktur
Einige Bedrohungen teilen sich Infrastrukturen, statt dedizierte Infrastrukturen zu nutzen. So teilen sich fast 60 Prozent der Bedrohungen mindestens eine Domäne. Das deutet darauf hin, dass eine Mehrheit der Botnets innerhalb einer etablierten Infrastruktur operiert. IcedID ist ein Beispiel für dieses "Warum kaufen/bauen, wenn man leihen kann"-Verhalten. Bedrohungen, die sich die Infrastruktur teilen, tun dies oft auf der gleichen Stufe der Kill Chain. Es ist ungewöhnlich, dass eine Bedrohung eine Domain zunächst für den Exploit und später für den C2-Verkehr nutzt. Dies deutet darauf hin, dass die Infrastruktur in der Planung von Cyber-Attacken eine besondere Rolle spielt. Wenn Unternehmen verstehen, welche Bedrohungen sich Infrastrukturen teilen und an welchen Stellen der Angriffskette sie dies tun, können sie damit die Entwicklung von Malware und Botnets besser prognostizieren.
Content-Management immer im Auge behalten
Cyber-Kriminelle neigen dazu, sich in Clustern von einer Gelegenheit zur nächsten zu bewegen und dabei erfolgreich genutzte Schwachstellen sowie aufstrebende Technologien zu dokumentieren. Eine der neuen Technologien, denen sie verstärkt Aufmerksamkeit schenken, sind Web-Plattformen, mit denen Verbraucher und Unternehmen in wenigen Klicks eigene Web-Präsenzen erstellen können. Diese werden gezielt angegriffen, inklusive der Plugins von Drittanbietern. Umso wichtiger ist es, dass Patches sofort angewendet werden und Unternehmen die schnelllebige Welt der Exploits verstehen. Nur dann können sie ihre Sicherheitsanforderungen antizipieren.
Ransomware nach wie vor gefährlich
Auch wenn Ransomware zum Großteil durch gezieltere Angriffsmethoden ersetzt wurde, ist diese Gefahr noch nicht gebannt. Das haben mehrere Attacken auf hochkarätige Ziele gezeigt, die auf einen umfassenden Zugriff zum gesamten Netzwerk abzielten. LockerGoga ist ein Beispiel für eine solche spezialisierte Ransomware, die in einem mehrstufigen Angriff eingesetzt wurde. Nur wenige Faktoren unterscheiden LockerGoga von anderer Ransomware. Während die meisten Ransomware-Tools ein gewisses Maß an Verschleierung anwenden, zeigt eine Analyse bei LockerGoga allerdings fast keine Anzeichen davon. Dies verdeutlicht, wie zielgerichtet der Angriff war und suggeriert außerdem ein großes Vertrauen darin, dass die Malware nicht leicht erkennbar ist. Das Hauptziel von Anatova ist, wie bei einem Großteil der Ransomware, so viele Daten des infizierten Systems wie möglich zu verschlüsseln. Allerdings meidet die Malware alle Systembestandteile, deren Verschlüsselung die Stabilität des Systems beeinträchtigen könnten. Es vermeidet auch die Infektion von Computern, die es als Systeme für Malware-Analyse oder als Honeypots identifiziert. Diese beiden Ransomware-Varianten zeigen, dass sich IT-Sicherheitspersonal zwar weiterhin auf Patches und Backups gegen Commodity-Ransomware konzentrieren sollte, gleichzeitig aber bedenken muss, dass zielgerichtete Angriffe entsprechend maßgeschneiderte Verteidigungen erfordern.
Tipps und Tricks für LotL
Um Erfolg zu garantieren, entwickeln Cyber-Kriminelle ihre Angriffsmethoden oft auch nach dem ersten erfolgreichen Eindringen weiter. Dazu nutzen sie zunehmend Dual-Use-Tools oder Tools, die bereits auf den Zielsystemen vorinstalliert sind, um separate Cyber-Angriffe auszuführen. Diese „Living off the Land“ (LotL)-Taktik erlaubt es Hackern, ihre Aktivitäten innerhalb einer Vielzahl von autorisierten Prozessen zu verbergen. Das erschwert ihre Erkennung und Abwehr. Mithilfe dieser Werkzeuge lassen sich Attacken zudem schwerer zuordnen. Durchdachte Verteidigungsmaßnahmen müssen deshalb den Zugriff auf autorisierte Management-Tools einschränken und ihren Einsatz sowie seine Nutzer dokumentieren.
Dynamische und proaktive Aufklärungsarbeit
Unternehmen müssen sich nicht nur effektiv gegen aktuelle Bedrohungen abschirmen, sondern sich auch auf deren Variantenreichtum und eine zunehmende Automation vorbereiten. Dies erfordert eine dynamische, proaktive und hochverfügbare Informationsverteilung über potentielle Gefahren im gesamten Netzwerk. Dieses Wissen hilft dabei, die Entwicklung von Attacken gegen die eigenen virtuellen Angriffsflächen nachzuvollziehen und die eigenen Schutzmaßnahmen entsprechend zu priorisieren. Der Wert dieser Informationen nimmt allerdings deutlich ab, wenn nicht jedes Security-Gerät in Echtzeit auf die gelieferten Analysen reagieren kann. Nur eine holistische, integrierte und automatisierte Security-Infrastruktur kann eine schnelle und skalierbare Sicherheitsumgebung vom IoT bis zum Edge, Netzwerkkern und in die Multi-Cloud gewährleisten.
Report und Index-Übersicht
Der aktuelle Fortinet Threat Landscape Report ist ein Überblick der gesammelten Daten aus den weltweiten Sensoren der FortiGuard Labs für das erste Quartal 2019. Die Forschungsdaten decken globale und regionale Perspektiven ab. Ebenfalls im Bericht enthalten ist der Fortinet Threat Landscape Index (TLI), der sich aus einzelnen Indizes für drei zentrale und komplementäre Aspekte der Bedrohungslandschaft zusammensetzt: Exploits, Malware und Botnets. Der TLI zeigt die Prävalenz und das Volumen der einzelnen Aspekte im jeweiligen Quartal an. Einen detaillierten Überblick über den Threat Landscape Index und Subindizes für Exploits, Malware und Botnets sowie weitere wichtige Erkenntnisse für CISOs finden Sie im dazugehörigen Blogpost .
