Trace Id is missing

Identität ist das „Schlachtfeld“ unserer Zeit

Herunterladen
Teilen
Ein Mann und eine Frau, die an einem Tisch sitzen und einen Laptop nutzen.

Cyber Signals-Ausgabe 1: Gewinnen Sie Einblicke in die sich ständig weiterentwickelnden Cyberbedrohungen, und erfahren Sie, welche Maßnahmen Sie ergreifen können, um Ihre Organisation besser zu schützen.

Es gibt eine gefährliche Diskrepanz zwischen den Sicherheitsprotokollen der meisten Organisationen und den tatsächlichen Bedrohungen. Angreifende versuchen zwar, sich Zugang zu Netzwerken zu verschaffen, aber mit einer ganz einfachen Taktik: Sie erraten schwache Anmeldekennwörter. Grundlegende Maßnahmen wie Multi-Faktor-Authentifizierung sind bei 98 Prozent der Angriffe effektiv, jedoch werden solche Maßnahmen nur von 20 Prozent der Organisationen vollständig umgesetzt (Microsoft-Bericht über digitale Abwehr, 2021).

In Ausgabe 1 lernen Sie u. a. die folgenden aktuellen Sicherheitstrends und Empfehlungen von Forschenden und Fachleuten von Microsoft kennen:

  • Wer Angriffe einsetzt, die auf Kennwörtern und Identitäten basieren.
  • Wie Angriffen begegnet werden kann, einschließlich Endpunkt-, E-Mail- und Identitätsstrategien.
  • Wann unterschiedliche Sicherheitsmaßnahmen Priorität erhalten sollten.
  • Wo Ransomware in Netzwerke eindringt und sich ausbreitet und wie sie gestoppt werden kann.
  • Warum Identitätsschutz weiterhin das größte Problem darstellt, aber auch das größte Potenzial zur Verbesserung Ihrer Sicherheit hat.

Staatliche Akteure verdoppeln ihren Einsatz, um einfache Identitätsbausteine abzugreifen

Es gibt zunehmend Cyberangriffe von staatlichen Akteuren. Trotz ihrer enormen Ressourcen nutzen diese Angreifenden einfache Taktiken, um leicht erratbare Kennwörter zu stehlen. Dadurch erhalten sie schnell und einfach Zugriff auf Kundenkonten. Im Fall von Angriffen auf Unternehmen können staatliche Akteure durch das Eindringen in das Netzwerk einer Organisation Fuß fassen, um vertikal über ähnliche Benutzer/Benutzerinnen und Ressourcen oder horizontal vorzudringen und Zugriff auf wertvollere Anmeldeinformationen und Ressourcen zu erhalten.

Spear-Phishing, Social Engineering-Angriffe und umfangreiche Kennwortsprays sind grundlegende Taktiken staatlicher Akteure, um Kennwörter zu stehlen oder zu erraten. Microsoft erhält Einblicke in die Methoden und Erfolge von Angreifenden, indem die Taktiken und Techniken beobachtet werden, in die investiert wird und die erfolgreich sind. Wenn Benutzeranmeldeinformationen schlecht verwaltet werden oder nicht ausreichend z. B. mit Multi-Faktor-Authentifizierung (MFA) oder kennwortlosen Features geschützt sind, behalten Nationalstaaten diese einfachen Taktiken bei.

Die Notwendigkeit, MFA oder kennwortlose Methoden einzuführen, kann nicht hoch genug bewertet werden, da identitätszentrierte Angriffe durch ihre Einfachheit und die geringen Kosten für Akteure praktisch und effektiv sind. MFA ist zwar nicht das einzige Tool für Identitäts- und Zugriffsverwaltung, das Organisationen einsetzen sollten, sie kann jedoch ein leistungsfähiges Abwehrmitteln für Angriffe sein.

Der Missbrauch von Anmeldeinformationen ist ein Fixture von NOBELIUM, einem staatlichen Akteur, der mit Russland verbunden ist. Andere Angreifende, wie der mit dem Iran verbundene DEV-0343, nutzen auch Kennwortsprays. Aktivitäten von DEV-0343 wurden bei Rüstungsunternehmen beobachtet, die Radaranlagen, Drohnentechnologie, Satellitensysteme und Notfallkommunikationssysteme für das Militär herstellen. Weitere Aktivitäten richten sich gegen regionale Einfuhrhäfen am Persischen Golf sowie verschiedene See- und Frachttransportunternehmen mit einem geschäftlichen Schwerpunkt im Nahen Osten.
Aufschlüsselung identitätsbasierter Cyberangriffe durch den Iran
Die am häufigsten vom Iran angegriffenen Länder zwischen Juli 2020 und Juni 2021 waren die USA (49 %), Israel ( 24 %) und Saudi-Arabien (15 %). Erfahren Sie mehr über diese Abbildung auf Seite 4 im vollständigen Bericht

Schritte, die Organisationen durchführen sollten:

Multi-Faktor-Authentifizierung aktivieren: Dadurch vermindern sie das Risiko, dass Kennwörter in die falschen Hände geraten. Noch besser wäre es, mit kennwortloser MFA vollständig auf Kennwörter zu verzichten.
Kontoberechtigungen überwachen: Wenn Konten mit privilegiertem Zugriff gekapert werden, bilden sie eine leistungsfähige Waffe, mit der Angreifende mehr Zugriff auf Netzwerke und Ressourcen erhalten können. Sicherheitsteams sollten Zugriffsrechte regelmäßig überwachen und das Prinzip der geringstmöglichen Berechtigungen umsetzen, damit Mitarbeitende ihre Arbeit erledigen können.
Alle Mandantenadministratorkonten prüfen, verstärken und überwachen: Sicherheitsteams sollten alle Mandantenadministratorbenutzer/-benutzerinnen oder -konten, die mit delegierten Administratorrechten verknüpft sind, gründlich prüfen, um die Authentizität der Benutzer/Benutzerinnen und Aktivitäten zu verifizieren. Sie sollten nicht genutzte delegierte Administratorrechte deaktivieren oder entfernen.
Sicherheitsbaseline festlegen und durchsetzen, um das Risiko zu verringern: Nationalstaaten denken langfristig und haben die Mittel, den Willen und die Möglichkeit, neue Angriffsstrategien und -techniken zu entwickeln. Sie profitieren von jeder Initiative zur Stärkung des Netzwerks, die aufgrund von Bandbreite oder Bürokratie verschoben wird. Sicherheitsteams sollten die Implementierung von Zero Trust-Praktiken wie MFA und kennwortlose Upgrades priorisieren. Sie können mit privilegierten Konten beginnen, um schnell Schutz zu erreichen, und dann inkrementell und in kontinuierlichen Phasen fortfahren.

Ransomware hat die größte Bedeutung, aber nur wenige Bedrohungen dominieren

Das vorherrschende Narrativ scheint zu sein, dass es eine enorme Anzahl neuer Ransomwarebedrohungen gibt, die die Möglichkeiten bei der Verteidigung übersteigen. Analysen von Microsoft zeigen jedoch, dass dies nicht zutrifft. Es gibt auch die Wahrnehmung, dass bestimmte Ransomwaregruppen eine monolithische Einheit bilden. Auch das stimmt nicht. Tatsächlich treffen unterschiedliche Cyberkriminelle willkürliche Entscheidungen in allgemeinen Angriffsketten. Sie folgen einem ökonomischen Modell zur Maximierung der Gewinne basierend darauf, wie sie die Informationen ausbeuten können, zu denen sie Zugang haben. Die folgende Abbildung veranschaulicht, wie unterschiedliche Gruppen von verschiedenen Cyberangriffsstrategien und Informationen aus Datenlecks profitieren.

Durchschnittliche Preise für verschiedene Cyberverbrechen
Durchschnittliche Preise für käufliche Cyberverbrechen. Angreifende berechnen ab 250 USD pro Auftrag. Ransomware-Kits sind für 66 USD oder 30 % des Gewinns erhältlich. Kompromittierte Geräte beginnen bei 13 Cent pro PC und 82 Cent pro mobilem Gerät. Spear-Phishing kann für 100 bis 1.000 USD beauftragt werden. Die Kosten für gestohlene Benutzername-Kennwort-Paare beginnen durchschnittlich bei 97 Cent pro 1000 Datensätze. Erfahren Sie mehr über diese Abbildung auf Seite 5 im vollständigen Bericht  

Es spielt also keine Rolle wie viel Ransomware verbreitet ist und um welche Bedrohungen es geht, entscheidend sind drei Zugangsvektoren: Brute-Force-Angriffe über das Remotedesktopprotokoll (RDP), anfällige Systeme mit Internetverbindung und Phishing. Mit dem geeigneten Kennwortschutz, mit Identitätsverwaltung und Softwareupdates sowie einem umfassenden Sicherheits- und Compliance-Toolset können diese Vektoren abgeschwächt werden. Ransomware kann nur erfolgreich sein, wenn sie Zugriff auf Anmeldeinformationen erhält und sich ausbreiten kann. Dann kann sie großen Schaden anrichten, sogar wenn die Bedrohung bekannt ist.

Darstellung von Bedrohungsakteuren vom ersten Zugriff zur Ausbreitung im System
Pfad des Verhaltens von Bedrohungsakteuren, nachdem das System verletzt wurde: vom ersten Zugriffspunkt über den Diebstahl von Anmeldeinformationen zur Ausbreitung im System. Verfolgt den durchgehenden Pfad, mit dem Konten vereinnahmt werden und die Ransomware-Payload erworben wird. Erfahren Sie mehr über diese Abbildung auf Seite 5 im vollständigen Bericht

Schritte, die Sicherheitsteams durchführen sollten:

Verstehen, dass sich Ransomware mit standardmäßigen oder kompromittierten Anmeldeinformationen ausbreitet: Im Ergebnis sollten Sicherheitsteams schneller Schutzmaßnahmen ergreifen, beispielsweise kennwortlose MFA für alle Benutzerkonten implementieren und Führungskräfte, Administratoren/Administratorinnen und privilegierte Rollen priorisieren.
Identifizieren, wie verräterische Anomalien rechtzeitig gefunden werden können: Frühzeitige Anmeldungen, Dateiverschiebungen und andere Verhaltensweisen, mit denen Ransomware eingeschleust wird, können unbestimmbar erscheinen. Trotzdem müssen die Teams auf Anomalien achten und schnell darauf reagieren.
Reaktionsplan für Ransomware ausarbeiten und die Wiederherstellung üben: Heute werden Daten in der Cloud synchronisiert und freigegeben, aber Datenkopien unterscheiden sich von vollständigen IT-Systemen und Datenbanken. Die Teams sollten visualisieren und üben, was eine vollständige Wiederherstellung bedeutet.
Warnungen verarbeiten und die Risikominderung schnell durchführen: Zwar fürchten sich alle vor Ransomwareangriffen, der primäre Fokus von Sicherheitsteams sollte jedoch die Stärkung von schwachen Sicherheitskonfigurationen sein, die erfolgreiche Angriffe ermöglichen. Sie sollten Sicherheitskonfigurationen verwalten, sodass ordnungsgemäß auf Warnungen und Erkennungen reagiert wird.
Kurve der Schutzverteilung, die veranschaulicht, dass eine grundlegende Sicherheitsstrategie vor 98 % der Angriffe schützt
Schützen Sie sich vor 98 Prozent der Angriffe, indem Sie Antischadsoftware verwenden, das Prinzip der geringstmöglichen Berechtigungen anwenden, die Multi-Faktor-Authentifizierung aktivieren, Versionen auf dem neuesten Stand halten und Daten schützen. Die restlichen 2 Prozent der Glockenkurve sind Ausreißerangriffe. Erfahren Sie mehr über diese Abbildung auf Seite 5 im vollständigen Bericht
Holen Sie sich weitere Hilfe vom Microsoft Principal Threat Intelligence Lead Christopher Glyer zum Schutz von Identitäten.

Mit mehr als 24 Billionen Signalen werden Erkenntnisse gewonnen und Bedrohungen verhindert

Endpunktbedrohungen:
Microsoft Defender for Endpoint hat zwischen Januar und Dezember 2021 mehr als 9,6 Milliarden Schadsoftwarebedrohungen blockiert, die auf Kundengeräte von Unternehmen und Heimanwendern/Heimanwenderinnen abzielten.
E-Mail-Bedrohungen:
Microsoft Defender for Office 365 hat zwischen Januar und Dezember 2021 mehr als 35,7 Milliarden Phishing- und andere böswillige E-Mails blockiert, die auf Unternehmenskunden und Heimanwenderkunden/-kundinnen abzielten.
Identitätsbedrohungen:
Microsoft (Azure Active Directory) hat zwischen Januar und Dezember 2021 mehr als 25,6 Milliarden Versuche erkannt und blockiert, bei denen Konten von Unternehmenskunden gekapert werden sollten, deren Kennwörter per Brute-Force-Angriff gestohlen wurden.

Methodik: Für Daten zu Momentaufnahmen haben Microsoft-Plattformen wie Defender und Azure Active Directory zwischen Januar und Dezember 2021 anonymisierte Daten zu Bedrohungsaktivitäten bereitgestellt. Dazu gehörten Brute-Force-Anmeldeversuche, Phishing und andere böswillige E-Mails gegen Unternehmen und Kunden sowie Angriffe mit Schadsoftware. Weitere Erkenntnisse stammen aus den 24 Milliarden Sicherheitssignalen, die Microsoft täglich erfasst. Diese stammen u. a. aus der Cloud, von Endpunkten und von Intelligent Edge. Daten zur starken Authentifizierung kombinieren MFA und kennwortlosen Schutz.

Identität Ransomware Nationalstaat

Verwandte Artikel

Cyber Signals, 2. Ausgabe: Das Geschäftsmodell Lösegelderpressung

Erfahren Sie von Experten an vorderster Front Näheres zur Entwicklung von Ransomware-as-a-Service. Von Programmen und Payloads bis hin zu Access Brokern und Affiliates: Erfahren Sie mehr über die von Cyberkriminellen bevorzugten Tools, Taktiken und Ziele und erhalten Sie Ratschläge, wie Sie Ihr Unternehmen schützen können.
Mehr erfahren

Verteidigung der Ukraine: Erste Lehren aus dem Cyberkrieg

Die jüngsten Ergebnisse unserer laufenden Aufklärungsbemühungen im Krieg zwischen Russland und der Ukraine sowie verschiedene Erkenntnisse aus den ersten vier Monaten machen einmal mehr deutlich, dass laufende und zusätzliche Investitionen in Technologie, Daten und Partnerschaften erforderlich sind, um Regierungen, Unternehmen, Nichtregierungsorganisationen und Universitäten zu unterstützen.
Mehr erfahren

Expertenprofil: Christopher Glyer

Als Principal Threat Intelligence Lead mit dem Schwerpunkt Ransomware im Microsoft Threat Intelligence Center (MSTIC) ist Christopher Glyer Mitglied des Teams, das untersucht, wie die raffiniertesten Bedrohungsakteure auf Systeme zugreifen und diese ausnutzen.
Mehr erfahren