gesponsertSophos Active Adversary Report Auch in der Cybersicherheit gilt: Kenne Deinen Gegner

Gesponsert von

Sophos Technology GmbH

Cyberkriminelle gehen immer raffinierter vor, wenn sie fremde Netzwerke kapern, und es ist wichtiger denn je, deren Verhaltensweisen zu analysieren. Der Sophos Active Adversary Report nimmt die kriminellen Schleichfahrten unter die Lupe.

„Active Adversary“ beschreibt als Fachbegriff die Art der Angriffsstrategie auf ein System. Im Gegensatz zu rein technischen und automatisierten Attacken kommt bei dieser Art der menschliche Faktor ins Spiel: Cyberkriminelle sitzen aktiv am Keyboard und reagieren individuell auf die Gegebenheiten in einem infiltrierten System.

Diese Schleichfahrten werden durch Lücken in der Telemetrie nochmals unterstützt, da sie die notwendige Sichtbarkeit in den Netzwerken und Systemen verringern. Ein großes Problem, besonders seit sich die Verweildauer der Angreifer – vom initialen Zugang bis zur Aufdeckung – kontinuierlich verringert und somit auch die Zeit für die Verteidigungsreaktion kürzer ist.

Unternehmen fehlt oft die nötige Übersicht

John Shier, Field CTO bei Sophos, zum Telemetrieproblem: „Zeit ist der kritische Faktor bei der Reaktion auf eine aktive Bedrohung. Die Phase zwischen der Entdeckung eines initialen Zugriffs bis zur kompletten Entschärfung der Situation sollte so kurz wie möglich sein. Je weiter die Kriminellen in der Angriffskette kommen, desto mehr Probleme sehen wir im Abwehrzentrum. Fehlende Telemetriedaten erhöhen die Wiederherstellungszeit, etwas das die meisten Organisationen sich nicht leisten können. Deswegen ist ein komplettes und präzises Protokollieren sehr wichtig. Wir sehen aber, dass Organisationen viel zu oft nicht über die Daten verfügen, die sie eigentlich benötigen.“

Schnelle Ransomware-Angriffe liegen im Trend

Im Active Adversary Report klassifiziert Sophos Ransomware-Angriffe mit einer Verweildauer von bis zu fünf Tagen als „schnelle Attacken“. Davon gab es 38 Prozent in den untersuchten Fällen. „Langsame Attacken“ gelten als solche, die teilweise eine weitaus größere Verweildauer als fünf Tage haben. Davon gab es 62 Prozent.

Auch wenn die „schnellen“ Attacken damit noch weniger oft vertreten sind, nimmt deren Anteil im Gesamtbild ständig zu – und das mit Gründen: Angreifer reagieren damit auf die besseren Erkennungsmethoden in Unternehmen, die ihnen weniger Zeit lassen und zudem sind die Cyberkriminellen mittlerweile auch einfach sehr geübt.

„Wie bei jedem Prozess führen Wiederholung und Übung tendenziell zu besseren Ergebnissen“, so John Shier. „Moderne Ransomware wird in diesem Jahr zehn Jahre alt, eine lange Zeit mit vielen Beispielen, um immer mehr Kriminelle zu Experten zu machen. Eine umso gefährlichere Entwicklung, wenn viele Verteidigungsstrategien nicht mithalten konnten und es in der Folge zu einer erheblich umfangreicheren Störung des Geschäftsbetriebs kommen kann.“

Neue Abwehrmaßnahmen nicht zwingend nötig

„Cyberkriminelle sind faul, sie nehmen nur Veränderungen vor, wenn sie dadurch besser ihr Ziel erreichen. Was läuft, ändern Angreifer nicht, selbst wenn sie dadurch nach der Infiltration schneller entdeckt werden. Das sind gute Nachrichten für Organisationen, da sie ihre Defensivstrategie nicht radikal ändern müssen, nur weil die Angreifer den Turbo einlegen. Defensivmaßnahmen, die schnelle Attacken aufspüren, greifen bei allen Angriffen, zeitunabhängig. Das beinhaltet auch die komplette Telemetrie, den robusten Schutz für alle Bereiche und eine allgegenwärtige Überwachung“, gibt Shier zu bedenken. „Der Schlüssel liegt in der Erhöhung der Widerstände. Macht man es den Angreifern schwerer und zieht jede Phase des Angriffs in die Länge, bleibt mehr Zeit, um zu reagieren.“

Die komplette Analyse auf Basis des Sophos Active Adversary Reports liefert Unternehmen wertvolle Informationen, wie Sicherheitsexperten ihre Defensivstrategien optimal gestalten können.

(ID:49955837)