Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

Je mehr Aufmerksamkeit Cyberkriminelle erhalten, desto erfolgreicher scheinen sie zu sein. Scattered Spider ist aufgrund seines gekonnten Einsatzes von Social Engineering besonders interessant. Das liegt daran, dass Abwehrmaßnahmen sich oft zu sehr auf technische Angriffe und technische Lösungen konzentrieren. Die Angreifer wie Scattered Spider setzen jedoch einfache Telefonanrufe oder SMS-Nachrichten und in einigen Fällen sogar Bestechungsgelder ein, um Insider zur Mithilfe zu bewegen. Die Gruppe agiert laut Informationen der CISA  ähnlich wie „Lapsus$“ vor zwei Jahren, allerdings konnte Lapsus$ inzwischen im Wesentlichen zerschlagen  werden und einige Mitglieder wurden verhaftet.  

Die Herausforderung für Sicherheitsteam ist, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen. Detaillierte Einblicke in Autorisierungsaktivitäten sind oft begrenzt, was die ordnungsgemäße Erkennung und Abwehr dieser Bedrohungen verlangsamt oder sogar verhindert.

Eine genaue Identitätsverwaltung und -überwachung muss eng auf die Geschäftsprozesse eines Unternehmens abgestimmt sein, was in der Regel am besten mit ausreichend qualifiziertem internem Fachwissen erreicht werden kann. Moderne, segmentierte Netzwerke verkomplizieren die Sache noch weiter und machen die detaillierte Überwachung, die erforderlich ist, um diese Angriffe frühzeitig zu erkennen, fast unmöglich. Einige Unternehmen profitieren davon, dass aufrichtige Insider verdächtige Aktivitäten melden, beispielsweise einen erhaltenen Anruf. Schulungen für Security Awareness legen oft mehr Wert auf die Meldefunktionen als auf altmodische Anti-Phishing-Schulungen.