Arctic Wolf Security Operations Report 2024 Fast die Hälte aller Cyberangriffe passieren nach Feierabend

Cyberkriminelle schlagen zu, wenn Unternehmen schlafen: 45 Prozent aller Sicherheitsvorfälle passieren außerhalb der Arbeitszeiten, was eine schnelle Reaktion erschwert. Der Security Operations Report 2024 von Arctic Wolf zeigt, wie Managed Security und präzises Alert-Management helfen, diese Lücken zu schließen und kritische Geschäftsanwendungen wie Office 365 zu schützen.

Fast die Hälfte aller Sicherheitsvorfälle (45 Prozent) finden außerhalb der traditionellen Arbeitszeiten zwischen 20 Uhr und 8 Uhr statt. Zu diesem Ergebnis kommen die Auswertungen des neuen Security Operations Report 2024 von Arctic Wolf. Der Bericht basiert auf der Auswertung von über 250 Billionen Sicherheitsereignissen, die bei mehr als 6.500 Unternehmen weltweit über die Arctic Wolf Security Operations Plattform erfasst wurden.

Cyberkriminelle schlagen nicht nur gezielt außerhalb der Hauptarbeitszeiten, sondern auch an Wochenenden zu, was bis zu 20 Prozent aller erfassten Sicherheitsvorfälle ausmacht. So können sie die eingeschränkte Reaktionsfähigkeit der Unternehmen auszunutzen. Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf, betont daher die Wichtigkeit einer durchgängigen Überwachung der Netzwerke: „Um Systeme zu infiltrieren und sich unbemerkt auszubreiten, bevorzugen Hacker Zeiten mit möglichst vielen aktiven Nutzern. So gelingt es ihnen eher, unter dem Radar zu fliegen. Vor allem dann ist es daher für Sicherheits­verantwortliche entscheidend, jeden eingehenden Alert gewissenhaft zu prüfen, auch wenn das für sie eine Sisyphusarbeit bedeutet. Leiten die Angreifer die eigentliche Schadensausführung ein, ist es für sie von Vorteil, wenn die IT-Teams, aufgrund einer ausgedünnten Besetzung – z.B. nachts, abends, während des Wochenendes – nicht schnell eingreifen können. Hacker halten sich nicht an gesetzliche Arbeitszeiten. Gleichzeitig ist für viele Unternehmen ein Rund-um-die-Uhr-Monitoring aufgrund von knappen personellen Ressourcen und aus finanziellen Gründen keine Option. Managed Security Services und die Zusammenarbeit mit einem externen Partner können helfen, diese zeitlich kritische Lücke zu schließen.“

Beliebte Geschäftsanwendungen im Visier der Angreifer

Neben den ungewöhnlichen Arbeitszeiten der Cyberkriminellen zeigt der Report auch, welche Softwareanwendungen am häufigsten attackiert und ausgenutzt werden. An vorderster Stelle stehen hier nicht etwa wenig verbreitete Nischenlösungen oder sogenannte „Schatten-IT“, sondern kritische Geschäftsanwendungen wie Windows 10, MS Outlook, Cisco IOS XE WebUI und Office 365. „Unternehmen können auf diese Anwendungen nicht verzichten, was ein gewisses Restrisiko unvermeidlich macht. Umso wichtiger ist ein umfassendes Risikomanagementprogramm, das Schwachstellen frühzeitig identifiziert und Patches schnell einspielt. Dies ist nach wie vor ein sehr wirksames Mittel zur Risikominderung und schützt effektiv vor bekannten Schwachstellen“, kommentiert Dr. Schmerl die Ergebnisse.

IAM-Tools produzieren die meisten Warnmeldungen

Telemetriedaten von IAM-Tools (Identitäts- und Zugriffsmanagement) führten im Auswertungszeitraum die Liste der Bedrohungen und Indicators of Compromise (IOC) an, die die meisten Warnmeldungen auslösten. Darunter waren z. B. Login-Versuche aus gesperrten Ländern. Dies unterstreicht die Rolle von IAM im Rahmen einer starken Sicherheitsstrategie und als Element von Zero-Trust-Initiativen. An zweiter und dritter Stelle der Liste der am häufigsten ausgelösten Warnungen lagen ungewöhnliche Änderungen der Firewall und hinzugefügte Regeln zur E-Mail-Weiterleitung.

Alerts ermöglichen es Sicherheitsteams, im Ernstfall schnell die richtigen Entscheidungen zu treffen. Zumindest theoretisch. „Teams haben vielfach nicht die Zeit, aus der Flut an Fehlalarmen die echten Warnhinweise herauszufiltern, die eine schnelle Reaktion erfordern. Im Rahmen einer Sicherheitsstrategie sollten daher nicht nur Sicherheitsanwendungen angeschafft, sondern auch überlegt werden, wie die Alerts effizient validiert werden können, um dann mit einem Notfallplan zu reagieren“, empfiehlt Dr. Schmerl. „Unternehmen, die auf Security Operations setzen, sind sicherer, widerstandsfähiger und besser in der Lage, sich an die sich ständig verändernde Bedrohungslandschaft anzupassen.“

(ID:50169133)