:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mitarbeiterzentrierte Cyber-Security Der Patch Tuesday allein reicht nicht!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
An jedem zweiten Dienstag im Monat, dem Patch Tuesday, veröffentlicht Microsoft Security-Updates für das Windows Betriebssystem und andere Microsoft Software. Kev Breen, Director of Cyber Threat Research bei Immersive Labs, über Muster, bisherige Schwerpunktbereiche für Microsoft und Angreifer sowie mögliche zukünftige Trends.
Die meisten Patch Tuesday Updates beheben Schwachstellen im Windows Desktop- und Server-Betriebssystem. Sie adressieren aber auch Probleme in Microsoft Office Anwendungen, Azure Hybrid Cloud Anwendungen und dem Visual Studio Code-Editor. Die Updates decken unterstützte Windows Systeme ab, einschließlich Windows Betriebssystemen, die das Ende ihrer Lebensdauer erreicht haben, aber durch das Extended Security Update Programm von Microsoft geschützt sind.
Das Microsoft Security Response Center veröffentlicht Bulletins unter Verwendung der CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) für jede Schwachstelle auf der Security-Update-Guide-Website. Jedes Bulletin enthält Informationen zur Behebung und einen Link zu einem Knowledge-Base-Artikel mit weiteren Details zum Update.
Einige der Schwachstellen, auf die Microsoft im Rahmen des Patch Tuesday im August hingewiesen hat, wurden von externen Researchern im Rahmen des Microsoft Bug Bounty Programms identifiziert. Andere wurden entdeckt, nachdem sie von Angreifern in freier Wildbahn ausgenutzt worden waren.
Status quo
Mehr als die Hälfte des Jahres liegt nun hinter uns und es zeichnen sich bereits jetzt einige interessante Unterschiede im Vergleich zum letzten Jahr ab.
Werfen wir zunächst einen Blick auf die Kategorie „Exploitation Detected“, die Microsoft für jede Schwachstelle vergibt, die Angreifer bereits ins Visier genommen haben. Diese Kategorie stellt derzeit das größte Risiko dar, da die Schwachstellen gemeldet werden, während sie in freier Wildbahn bereits aktiv ausgenutzt werden.
Bis dato gab es in diesem Jahr sieben Schwachstellen, die zum Zeitpunkt der Veröffentlichung der Patches als in freier Wildbahn ausgenutzt gekennzeichnet waren. Zum Vergleich: Im vergangenen Jahr waren es zu diesem Zeitpunkt bereits 21. Das bedeutet allerdings nicht zwingend, dass es weniger Schwachstellen gibt – ganz im Gegenteil. Ein Blick auf die Gesamtzahl der Schwachstellen zeigt einen leichten Anstieg von 606 im Vorjahr auf bisher etwa 659 in diesem Jahr. Das bedeutet, dass es für Angreifer entweder schwieriger ist, Kapital aus diesen Bugs zu schlagen, bevor sie identifiziert und gepatcht werden können, oder dass sie sich umorientiert haben und andere Teile der Supply Chain ins Visier nehmen.
Bricht man die Arten von Schwachstellen herunter, zeigt sich eine Verschiebung: Im letzten Jahr machten Remote Code Execution (RCE) Bugs rund 37 Prozent aller gemeldeten Schwachstellen aus, gefolgt von Privilege Escalation Bugs mit auf das Jahr gesehen 29 Prozent.
Im Jahr 2022 entfallen 33 Prozent der gemeldeten Schwachstellen auf Remote Code Execution – einen Angriffsvektor, über den sich Hacker einen ersten Zugang verschaffen –, während Privilege Escalation – ein Angriffsvektor, der zum Einsatz kommt, nachdem ein Host oder ein Service bereits kompromittiert wurde – derzeit mit 42 Prozent zu Buche schlägt.
Implikationen
Sowohl Researcher als auch Angreifer suchen nach wie vor nach Exploits und Schwachstellen in den Microsoft Produktlinien. Die Ressourcen der Angreifer sind begrenzt. Eine mögliche Erklärung für die geringere Anzahl von Exploits in freier Wildbahn, die speziell auf Microsoft Produkte abzielen, könnte daher sein, dass die Angreifer ihren Fokus von den internen Komponenten eines Netzwerks darauf verlagert haben, die Supply Chain und Geräte am Netzwerk-Edge zu kompromittieren.
Ein weiterer interessanter Trend, den wir häufig beobachten: Wird eine Schwachstelle in einer bestimmten Microsoft Komponente entdeckt – insbesondere, wenn diese Schwachstelle in freier Wildbahn ausgenutzt wird –, können wir vorhersagen, dass in den folgenden Monaten weitere Schwachstellen in diesen Produktlinien entdeckt werden, da sowohl Angreifer als auch Researcher sich eingehender damit befassen. Das gilt zum Beispiel für den Print Spooler, Exchange Server und die neueren MSDT-Schwachstellen, bei denen mehrere Monate nach der ersten Meldung weitere Sicherheitslücken gemeldet und gepatcht werden.
Natürlich ist sich auch Microsoft im Klaren darüber, dass seine Produktlinien aktiv von Angreifern ins Visier genommen werden und dass schnelles und zuverlässiges Patchen der Schlüssel ist, wenn es darum geht, Bedrohungen effektiv zu managen. Aus diesem Grund und um IT-Security-Teams zu entlasten hat das Unternehmen Auto Patch eingeführt. Obwohl Auto Patch nur für Enterprise-Kunden verfügbar ist, zeigt es, wie ernst Microsoft die Bedrohung nimmt.
Ausblick
Im Großen und Ganzen gilt aber auch in Zukunft: Angreifer haben den First Mover Advantage und Security-Teams müssen ständig auf der Hut sein.
Patchen im 30-Tage-Rhythmus reicht da nicht mehr aus. Unternehmen müssen proaktiver agieren, und das gilt nicht nur für das Patchen von Microsoft Produkten, sondern für alle Software-Produktlinien. IT- und Security-Teams müssen mit neuen Bedrohungen und Trends Schritt halten, um zu wissen, wo Angreifer am ehesten zuschlagen und wie sie am effektivsten reagieren können, wenn der Ernstfall eintritt.
Fazit
Die Geschäftsrisiken zu kennen und zu verstehen und Widerstandsfähigkeit gegenüber Cyber-Bedrohungen aufseiten der Mitarbeiter aufzubauen, ist dabei von entscheidender Bedeutung. Unternehmen müssen heute in der Lage sein, die Fähigkeit Ihrer Teams, Bedrohungen abzuwehren, zu bewerten, zu optimieren und zu belegen. Mitarbeiterzentrierte Cyber-Security, die die unternehmensweite Cyber-Kompetenz in den Vordergrund stellt und misst, bietet dafür einen gangbaren Ansatz.
Über den Autor: Kev Breen ist Director of Cyber Threat Research bei Immersive Labs. Er unterstützt Unternehmen dabei, die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen aufseiten ihrer Mitarbeiter zu bewerten, aufzubauen und zu belegen. Als anerkannter Experte für aktuelle und neu aufkommende Bedrohungen blickt er auf über zwei Jahrzehnte Erfahrung in den Bereichen IT und Cyber-Security, unter anderem als Funktechniker beim britischen Militär und Malware-Analyst beim britischen Verteidigungsministerium, zurück. Neben umfangreicher Forschung im Bereich Open Source entwickelt er etwa Toolkits zur Analyse und Entschlüsselung von Malware.
(ID:48566559)
:quality(80)/p7i.vogel.de/wcms/41/17/411771ef65172e3b7f3a150fbcf29873/0113971278.jpeg "Zum Patchday im September 2023 gibt es von Microsoft fast 60 Updates. Für mehrere Schwachstellen sind Exploits aufgetaucht und die Lücken sind öffentlich bekannt. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/cb/87/cb874b03631457a90ee26688ba9408bf/0108224527.jpeg "Dass Sicherheitsforscher Schwachstellen früher entdecken und veröffentlichen ist ein gutes Zeichen. Allerdings bedeutet es auch, dass Hacker Zero-Day-Schwachstellen künftig noch schneller ausnutzen werden. (Bild: kentoh - stock.adobe.com)")