Phone call Mail
Jetzt kostenfreie Erstberatung per Mail oder Telefon: +49 228 33 8889 0
EnBITCon GmbH
Fortinet FortiGuard Labs Threat Report Blog

Fortinet - FortiGuard Labs Threat Report: Disruption wichtigster Bedrohungstrend 2020

5. März 2021   Bastian Seibel
Fortinet
Bei der Analyse der Bedrohungslandschaft durch die FortiGuard Labs von Fortinet in der letzten Hälfte des Jahres 2020 kommt den IT-Sicherheitsexperten nur ein Wort in den Sinn: Disruption. Und hiermit ist mehr als als nur eine Unterbrechung des Geschäftsbetriebs gemeint. Die erste Jahreshälfte 2020 hat gezwungener Maße schnelle Veränderungen gefordert, wie Unternehmen ihre Geschäfte führen und mit ihren Kunden in Kontakt treten. Gleichzeitig haben Cyberkriminelle die Ängste und Sorgen der Pandemie schnell ausgenutzt, um persönliche Informationen zu sammeln oder Finanzdaten zu stehlen.
Während sich vieles hiervon auch in der zweiten Jahreshälfte 2020 fortsetzte, ist das, was im neuen „Global Threat Landscape Report“ der FortiGuard Labs dokumentiert ist, mehr eine Erweiterung dieser ersten, großflächigen Disruption in jeder Vertikalen und in allen geografischen Regionen.
Mehr oder weniger von heut auf morgen musste IT-Sicherheitspersonal ihre Sicherheitsstrategien umgestalten um ihre Unternehmensnetzwerke an drei Fronten gleichzeitig zu verteidigen: Angriffen, die auf das WFH-Büro abzielen, Attacken auf die digitale Lieferkette sowie vermehrte Ransomware-Angriffe auf Kernnetzwerke.

1. Das Home Branch Office bleibt ein beliebtes Ziel


Die Barriere, die zwischen dem Einloggen in das Unternehmensnetzwerk von einem Firmenbüro aus und von zu Hause aus bestand, wurden im Jahr 2020 in vielen Unternehmen gebrochen. Firmennetzwerke wurden auf den Kopf gestellt, da viele Mitarbeiter nun von ihren Heimbüros aus auf wichtige Netzwerkressourcen und -anwendungen zugreifen. Diese Umstellung geschah so plötzlich, dass wenig Zeit für die Planung einer effektiven Cybersicherheitsstrategie blieb. Das Ergebnis: Wenn ein veraltetes und manchmal unzureichend gesichertes Home-Office "geknackt" wird, sind die Angreifer bereits einen großen Schritt näher dran, das Unternehmensnetzwerk ebenfalls zu knacken.

Einige Unternehmen versuchen immer noch herauszufinden, wie sie die IT-Sicherheit ihres Unternehmens effektiv auf die Heimarbeitsplätze ihrer Mitarbeiter ausweiten können. Insbesondere in der zweiten Jahreshälfte 2020 gehörten Exploits, die auf Internet-of-Things (IoT)-Geräte wie Home-Entertainment-Systeme, Home-Router und verbundene Sicherheitsgeräte abzielen, zu  den Top-Bedrohungen. Jedes dieser IoT-Geräte bietet eine neuen Angriffsfläche, welche verteidigt werden muss.

In der Zwischenzeit werden Ressourcen, welche einst hinter einer Vielzahl von Sicherheitslösungen der Enterprise-Klasse versteckt waren, in manchen Situationen mit wenig mehr als einer SSL-Verschlüsselung geschützt. Dies führt vermehrt zu Erfolgen für Cyberkriminellen, die Heimnetzwerke mit älteren Exploits angreifen und diese dann als Brückenkopf nutzen, von dem aus Angriffe auf das Unternehmensnetzwerk sowie auf Cloud-basierte Anwendungen und Ressourcen gestartet werden können.

2. Digitale Lieferketten rücken in den Mittelpunkt


Angriffe auf Lieferketten haben eine lange Geschichte, aber die SolarWinds-Affäre hat die Diskussion auf ein neues Niveau gehoben. FortiGuard Labs verfolgte die veröffentlichten Informationen genau und nutzte sie zur Erstellung von Indicators of Compromise (IoCs). Die Identifizierung von Datenverkehr im Zusammenhang mit SUNBURST im Dezember 2020 zeigt, dass der Hack Opfer auf der ganzen Welt fand, wobei die "Five Eyes" besonders hohe Raten von IoCs aufzeigte.

3. Der Ansturm von Ransomware hält an


Die Ransomware-Aktivitäten sind in der zweiten Jahreshälfte 2020 im Vergleich zur ersten Jahreshälfte um das Siebenfache angestiegen. Die fortschreitende Entwicklung von Ransomware-as-a-Service, die Betonung von "Big Game Hunting" (große Lösegelder von großen Zielen) und die Drohung, kompromittierte Daten offenzulegen, wenn die Forderungen nicht erfüllt werden, schufen einen Schattenmarkt mit einem massiven Wachstum. Bis zum Ende des Jahres wurden diese Praktiken als zusätzliches Druckmittel bei Ransomware-Kampagnen bei einem Großteil der Angriffe genutzt.

Die aktivsten der zwischen Juli und Dezember 2020 verfolgten Ransomware-Kampagnen waren „Egregor“, „Ryuk“, „Conti“, „Thanos“, „Ragnar“, „WastedLocker“, „Phobos/EKING“ und „BazarLoader“. Die Sektoren, auf die die Ransomware-Angriffe abzielten, waren vielfältig und umfassten unter anderem das Gesundheitswesen, professionelle Dienstleistungsunternehmen, Organisationen des öffentlichen Sektors sowie Finanzdienstleister.

Um dem sich schnell entwickelnden und wachsenden Risiko von Ransomware effektiv zu begegnen, müssen Unternehmen grundlegende Änderungen an der Sicherheit ihrer Daten vornehmen. In Verbindung mit der Kompromittierung der digitalen Lieferkette und einer Belegschaft, die sich per Telearbeit in das Unternehmensnetzwerkwerk einklinkt, besteht ein reales Risiko, dass Angriffe von überall kommen können. Cloud-basierte Sicherheitslösungen wie SASE zum Schutz von Geräten außerhalb des Netzwerks, fortschrittliche Endpunktsicherheitslösungen wie EDR (Endpoint Detection and Response), die Malware mitten im Angriff unterbrechen kann, sowie Zero-Trust Access und Netzwerksegmentierungsstrategien, die den Zugriff auf Anwendungen und Ressourcen basierend auf Richtlinien einschränken, müssen eingeführt werden, um das Risiko und die Auswirkungen eines erfolgreichen Ransomware-Angriffs zu verringern.

Trends bei der Verbreitung von Schwachstellen-Exploits

Patching ist eine ständige Priorität für Unternehmen, um Schwachstellen und Sicherheitslücken innerhalb eines Unternehmensnetzwerks zu schließen. Konkret lautet die Herausforderung jedoch oft: "Welche Patches?" und "Wann sollen diese ausgerollt werden?" Diese Fragen sind schwer zu beantworten, da nur wenige Unternehmen über Daten in einem Umfang verfügen, der für eine angemessene Antwort erforderlich ist. Dennoch möchte Fortinet mit der Expertise der FortiGuard Labs versuchen, Licht ins Dunkle zu bringen:

Indem die Entwicklung von 1500 Exploits in den letzten zwei Jahren verfolgt wurde, konnten die FortiGuard Labs feststellen, wie schnell und wie weit sich Exploits verbreiten. Es scheint, dass die meisten Exploits tatsächlich nicht schnell und weit verbreitet werden. Konkret bedeutet dies, das von allen Exploits, die in den letzten zwei Jahren verfolgt wurden, nur etwa 5 % von mehr als 10 % der Unternehmen entdeckt wurden. Wird eine Schwachstelle zufällig ausgewählt, zeigen die Daten, dass die Chance, dass eine Organisation angegriffen wird, bei etwa 1:1000 liegt. Etwa 6 % der Exploits treffen circa 1 % der Unternehmen innerhalb des ersten Monats, und selbst nach einem Jahr haben 91 % der Exploits diese 1 %-Schwelle noch nicht überschritten.

Unabhängig davon ist es jedoch nach wie vor ratsam, sich auf Schwachstellen mit bekannten Exploits zu konzentrieren und unter diesen Schwachstellen diese zu priorisieren, die sich am schnellsten in der freien Wildbahn verbreiten. Spezialisierte Lösungen wie Greenbone können hierbei helfen.

Originalbeitrag von Derek Manky, Fortinet
Übersetzt aus dem Englischen mit DeepL
Kürzung und Korrekturen von Simon Schmischke
Diese Website verwendet Cookies, um Ihnen eine bestmögliche Erfahrung bieten zu können und uns die Möglichkeit einzuräumen unseren Webauftritt kontinuierlich zu verbessern. Unsere Datenschutzinformationen finden SIe hier: Mehr Informationen