Security-Report
Viele Unternehmen setzen bei ihren Sicherheitstests einen falschen Fokus
2022 Cyber Security Effectiveness-Report von Cymulate
Cymulate, das führende Unternehmen, wenn es um die Validierung von Cyberrisiken und Exposure-Management geht, hat heute die zentralen Ergebnisse seines 2022 Cyber Security Effectiveness Reports vorgestellt.
Der Report liefert kritische Analysen zur und tiefere Einblicke in die am häufigsten von Cyberkriminellen zum Einsatz gebrachten Angriffstaktiken, -techniken und -verfahren (TTPs) und die Effektivität der von Unternehmen implementierten Cybersicherheitsmaßnahmen. Vorgestellt werden außerdem zahlreiche Best Practices zur Anhebung der eigenen Cybersicherheit. Die Daten des Reports entstammen rund einer Million Cymulate-Sicherheitsbewertungen. Diese entsprechen rund 1,7 Millionen Arbeitsstunden offensiver Cybersicherheitstests.
Die wichtigsten Ergebnisse des Reports:
Viele Unternehmen testen ihre Sicherheit im Hinblick auf Bedrohungen, die gerade im Trend liegen, statt auf Bedrohungen, von denen das größte Angriffsrisiko droht
Viele Unternehmen testen derzeit vor allem aktiv gegen Bedrohungen, die in den Nachrichten zu sehen sind – wohl aufgrund des erhöhten Drucks, über ihre Maßnahmen zur Risikminimierung zu berichten. Die Berücksichtigung dieser Risiken ist prinzipiell nicht schlecht, sollte aber nicht von den Bedrohungen und Risiken ablenken, die für das Unternehmen eine größere Gefahr darstellen. Unternehmen, die planmäßige und vollständige Kill-Chain-Tests einsetzten, wiesen die breiteste Testabdeckung und die gründlichste Validierung auf, wenn sie ihre Programme um erweiterte Szenariotests ergänzten.
Bekannte und katalogisierte branchenweite Sicherheitsprobleme werden nach wie vor nicht behoben
40 Prozent der 10 wichtigsten CVEs, die von Schwachstellenmanagement-Plattformen am häufigsten identifiziert werden, sind über zwei Jahre alt und noch immer nicht behoben. Eine beträchtliche Anzahl von Unternehmen testet nicht gegen bekanntere Bedrohungen wie ProxyNotShell und Emotet, die weiterhin bestehen und den größten Schaden anrichten können, wenn sie nicht behoben werden.
Die Effektivität der Datenschutzmaßnahmen hat abgenommen
Der durchschnittliche Risikowert für eine Datenexfiltration ist im Jahr 2022 von 30 auf 44 gestiegen und hat sich damit erheblich verschlechtert. Netzwerk- und Gruppenrichtlinien haben sich positiv auf die Verhinderung von Datenexfiltrationen ausgewirkt. Angreifer sind jedoch auf alternative Exfiltrationsmethoden ausgewichen.
92 Prozent der Top 10 Gefährdungen beziehen sich auf Domain- und E-Mail-Sicherheit
Im Jahr 2022 zeigten die Top 10 Gefährdungen, die von Cymulate’s External Attack Surface Management (EASM) Modul entdeckt wurden, dass die meisten entdeckten Gefährdungen über Domain-Sicherheit (59,3 Prozent) und E-Mail-Sicherheit (32,8 Prozent) verteilt waren.
Die Simulation von Sicherheitsverletzungen und Angriffen hatte einen signifikant positiven Einfluss auf die Widerstandsfähigkeit im Internet
Beim Vergleich der anonymisierten Daten wurden – zwischen der ersten abgeschlossenen Endpoint Security-Bewertung und der letzten abgeschlossenen Bewertung – erhebliche Verbesserungen bei der Risikominderung festgestellt, wenn BAS-Tests regelmäßig durchgeführt wurden. Die Verbesserungen wurden bei Kunden aller Branchen und Größen festgestellt.
"Es ist nur zu verständlich, dass sich Unternehmen gegen die großen Bedrohungen, die die täglichen Schlagzeilen bestimmen, schützen wollen", so Carolyn Crandall, Chief Security Advocate bei Cymulate . "Der Cybersecurity Effectiveness-Report zeigt jedoch, dass viele Angreifer keine fortschrittlichen, neuen Strategien anwenden, sondern weiterhin mit bekannten Taktiken erfolgreich sind. Unternehmen müssen ihre Schwachstellenmanagement-Strategien ändern, um diese Lücken zu schließen, indem sie Attack Surface Management-Tools zur Bewertung der Gefährdung, Breach- und Attack-Simulationen zur Überprüfung der Wirksamkeit von Sicherheitskontrollen und Continuous Automated Red Teaming für häufigere Penetrationstests einsetzen."
"Unternehmen müssen ihre Sicherheitslage verstehen, um Schwachstellen zu erkennen und sich gegen Cyber-Bedrohungen zu schützen", so David Neuman, Senior Analyst bei TAG Cyber. "Die von Cymulate veröffentlichten Ergebnisse von über einer Million Sicherheitsbewertungen und 1,7 Millionen Teststunden bieten wertvolle Einblicke in allgemeine Schwachstellen und verbesserungswürdige Bereiche der Cybersicherheit. Die Daten unterstreichen die Notwendigkeit kontinuierlicher Sicherheitstests und Risikobewertungen, um neuen Bedrohungen immer einen Schritt voraus zu sein."
Das sieht auch Torsten Wiedemeyer, Country Manager DACH, Central & Eastern Europe bei Cymulate so: "In der Produktion gehört es schon lange zum Standard, die eigenen Produkte regelmäßig zu testen, bevor sie in den Vertrieb gehen. Es ist an der Zeit, dass Unternehmen beginnen, auch ihre Sicherheitstools regelmäßig auf ihre Effektivität hin zu prüfen. Es genügt eben nicht mehr, einfach nur zu hoffen, dass die eigene Sicherheitsarchitektur schon so, wie ursprünglich geplant, funktionieren wird. Man muss wissen, dass man sich, wenn es einmal erforderlich wird, wirklich zu einhundert Prozent auf sie verlassen kann.“
Die Aufzeichnung eines Webinars zu den Report-Ergebnissen finden Sie hier .
Über Cymulate
Die Plattform-Lösung von Cymulate für die Validierung von Cybersecurity-Risiken und das Exposure-Management bietet Sicherheitsexperten die Möglichkeit, ihre Cybersicherheitslage On Premises und in der Cloud mit einer End-to-End-Visualisierung über das MITRE ATT&CK®-Framework kontinuierlich zu überprüfen, zu validieren und zu optimieren. Die Plattform bietet automatisierte, experten- und bedrohungsdatengestützte Risikobewertungen, die einfach zu implementieren sind und von Unternehmen aller Cybersecurity-Reifegrade problemlos genutzt werden können. Darüber hinaus bietet sie ein offenes Framework für die Erstellung und Automatisierung von Red- und Purple-Teaming-Übungen, indem sie maßgeschneiderte Penetrationsszenarien und fortgeschrittene Angriffskampagnen für die jeweiligen Umgebungen und Sicherheitsrichtlinien erstellt.