Wie aus Details des Microsoft-Berichts über digitale Abwehr 2023 hervorgeht, nimmt die Raffinesse, die Geschwindigkeit und der Umfang von Cyberbedrohungen laufend zu, und immer mehr Dienste, Geräte und Nutzer werden kompromittiert. Um diesen Herausforderungen zu begegnen und uns auf eine Zukunft vorzubereiten, in der KI uns helfen kann, positive Rahmenbedingungen zu schaffen, müssen wir entschlossen auf der Grundlage dieser zehn Erkenntnisse handeln.
Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
10 wichtige Erkenntnisse aus dem Microsoft-Bericht über digitale Abwehr 2023
Als Unternehmen, das sich dafür einsetzt, die Welt sicherer zu machen, hat Microsoft stark in Sicherheitsforschung, Innovation und die globale Security-Community investiert. Wir haben Zugang zu einer Vielzahl von Sicherheitsdaten, die uns in eine einzigartige Position bringen, um den Stand der Cybersicherheit tiefgreifend zu verstehen und Indikatoren zu identifizieren, die dabei helfen können, die nächsten Schritte von Angreifern vorherzusagen.
Im Rahmen unseres langfristigen Bestrebens, die Welt sicherer zu machen, hat Microsoft stark in Sicherheitsforschung, Innovation und die globale Security-Community investiert. Hier sind einige Beispiele:
Mehr erfahren über dieses Bild auf Seite 6 im vollständigen Bericht
Die meisten erfolgreichen Cyberangriffe können durch die Implementierung einiger grundlegender Sicherheitsmaßnahmen verhindert werden. Durch die Nutzung der Hyper-Scale-Cloud ist es einfacher, diese zu implementieren, indem sie entweder standardmäßig aktiviert sind oder den Kunden die Notwendigkeit genommen wird, sie selbst zu implementieren.
Glockenkurve zur Cyberhygiene aus dem Microsoft-Bericht über digitale Abwehr 2023 (MBDA-23) Mehr erfahren über dieses Bild auf Seite 7 im vollständigen Bericht
Grundlagen der Cyberhygiene
Multi-Faktor-Authentifizierung aktivieren : Dies schützt vor kompromittierten Benutzerkennwörtern und stärkt die Resilienz von Identitäten.
Zero-Trust-Prinzipien anwenden: Der Grundpfeiler jeder Resilienzstrategie besteht in der Minimierung der Auswirkungen von Angriffen. Es gelten folgende Prinzipien: (1) Gründliche Überprüfung: Stellen Sie sicher, dass Benutzer und Geräte vertrauenswürdig sind, bevor Sie ihnen den Zugriff auf Ressourcen erlauben. (2) Prinzip der geringstmöglichen Berechtigungen: Erteilen Sie nur die für den Zugriff notwendigen Berechtigungen, und keine, die darüber hinausgehen. (3) Sicherheitsverletzungen annehmen: Gehen Sie davon aus, dass Sicherheitsvorkehrungen umgangen wurden und Systeme angreifbar sind. Die Umgebung wird also laufend auf Angriffsversuche überwacht.
Mit XDR (Extended Detection and Response) und Antischadsoftware schützen: Implementieren Sie Software zur Erkennung und automatischen Abwehr von Angriffen, die Ihnen auch Insights für die Security-Operations-Software liefert. Die Überwachung der Erkenntnisse aus Bedrohungserkennungssystemen ist eine wichtige Voraussetzung, um schnell auf Cyberbedrohungen reagieren zu können.
Alles auf dem aktuellen Stand halten: Angreifer nutzen ungepatchte und veraltete Systeme aus. Stellen Sie sicher, dass alle Systeme auf dem aktuellen Stand bleiben – einschließlich Firmware, Betriebssystem und Anwendungen.
Daten schützen: Um einen angemessenen Schutz zu gewährleisten, ist es wichtig zu wissen, wo sich Ihre wichtigen Daten befinden und ob die richtigen Schutzmechanismen implementiert sind.
Die Telemetriedaten von Microsoft deuten auf einen Anstieg der Ransomware-Angriffe im Vergleich zum Vorjahr hin, wobei sich die Zahl der von Menschen gesteuerten Ransomware-Angriffe seit September 2022 verdreifacht hat. Wir gehen davon aus, dass Ransomware-Akteure in Zukunft Automatisierung, künstliche Intelligenz und Hyperscale-Cloud-Systeme nutzen werden, um ihre Angriffe effektiver und weitreichender zu gestalten.
Ransomware – das Lagebild
Mehr erfahren über dieses Bild auf Seite 2 im vollständigen Bericht
Eliminierung von Ransomware und die fünf grundlegenden Prinzipien (Foundational Five)
Wir haben fünf grundlegende Prinzipien identifiziert, die unserer Meinung nach von jedem Unternehmen implementiert werden sollten, um Identitäten, Daten und Endpunkte vor Ransomware zu schützen.
- Moderne Authentifizierung mit phishingsicheren Anmeldeinformationen
- Anwendung von geringstprivilegiertem Zugriff auf den gesamten Technologiestapel
- Bedrohungs- und risikofreie Umgebungen
- Statusverwaltung für Compliance und Integrität von Geräten, Diensten und Ressourcen
- Automatische Cloudsicherung und Dateisynchronisierung für benutzer- und unternehmenskritische Daten
Aus Microsoft Entra-Daten geht hervor, dass die versuchten Passwortangriffe im Vergleich zum Vorjahreszeitraum um das Zehnfache zugenommen haben. Eine Möglichkeit, potenzielle Angreifer abzuwehren, besteht in der Verwendung von phishingsicheren Kennwörtern, wie etwa Windows Hello for Business- oder FIDO-Schlüssel.
Diagramm zur Anzahl von Kennwortangriffen im Vergleich zum Vorjahreszeitraum Mehr erfahren über dieses Bild auf Seite 16 im vollständigen Bericht
Wussten Sie ...
Einer der Hauptgründe für die Verbreitung von Kennwortangriffen ist ein schlechter Sicherheitsstatus. Viele Organisationen haben keine Multi-Faktor-Authentifizierung für ihre Benutzer eingeführt, wodurch diese Phishing-, Credential-Stuffing- und Brute-Force-Angriffen ausgesetzt sind.
Bedrohungsakteure passen ihre Social Engineering-Techniken und den Einsatz von Technologie an, um komplexere und kostspieligere BEC-Angriffe (Einsatz betrügerischer Business-E-Mails) durchzuführen. Die Digital Crime Unit von Microsoft geht davon aus, dass ein verstärkter Informationsaustausch zwischen öffentlichem und privatem Sektor schnellere und effektivere Reaktionen auf BEC-Angriffe ermöglichen wird.
Anzahl der beobachteten BEC-Versuche im Zeitraum April 2022-April 2023 Mehr erfahren über dieses Bild auf Seite 33 im vollständigen Bericht
Wussten Sie ...
Die Digital Crimes Unit von Microsoft hat eine proaktive Haltung eingenommen und beobachtet und überwacht beispielswiese aktiv 14 „DDoS for hire“-Websites, darunter eine im Dark Web, um potenzielle Cyberbedrohungen zu erkennen und Cyberkriminellen einen Schritt voraus zu sein.
Staatliche Bedrohungsakteure haben die globale Reichweite ihrer Cyberaktivitäten im Zusammenhang mit der Sammlung von Informationen erhöht. Mit wichtigen Infrastrukturen, Bildung und Politik in Zusammenhang stehende Organisationen waren am häufigsten betroffen, ganz im Einklang mit den geopolitischen Zielen vieler Gruppen und ihren auf Spionage ausgerichteten Aufgaben. Zu den Maßnahmen, um potenzielle Sicherheitsverletzungen zu Spionagezwecken aufzudecken, gehört die Überwachung von Änderungen an Postfächern und Berechtigungen.
Die am stärksten betroffenen Länder nach Region* waren:
Eine Momentaufnahme globaler staatlicher Bedrohungsakteure; eine detailliertere Aufschlüsselung der Daten ist im Bericht zu finden. Mehr erfahren über dieses Bild auf Seite 12 im vollständigen Bericht
Wussten Sie ...
In diesem Jahr hat Microsoft eine neue Benennungstaxonomie für Bedrohungsakteure eingeführt. Die neue Taxonomie schafft mehr Klarheit für Kunden und Sicherheitsforscher durch ein besser strukturiertes und einfacher anwendbares Referenzsystem für Bedrohungsakteure.
Im Auftrag von Staaten handelnde Akteure führen neben Cyberaktivitäten zunehmend auch Einflussoperationen durch, um bevorzugte Propagandanarrative zu verbreiten, soziale Spannungen zu schüren und Zweifel und Verwirrung zu verstärken. Diese Aktivitäten erfolgen oft im Kontext von bewaffneten Konflikten und landesweiten Wahlen.
Die Akteurkategorie "Blizzard"
Russische Bedrohungsakteure haben ihren Aktionsradius über die Ukraine hinaus ausgedehnt, um Kiews Verbündete, insbesondere NATO-Mitglieder, anzugreifen.
Die Akteurkategorie "Typhoon"
Die ausgeweiteten und verfeinerten Aktivitäten aus China spiegeln den doppelten Zweck von globaler Einflussnahme und Spionage wider. Zu den Zielen gehören US-Verteidigungs- und andere wichtige Infrastrukturen, Staaten im Südchinesischen Meer sowie Partner der Belt and Road Initiative ("Neue Seidenstraße").
Die Akteurkategorie "Sandstorm"
Der Iran hat seine Cyberaktivitäten auf Afrika, Lateinamerika und Asien ausgedehnt. Er hat stark auf Einflussoperationen gesetzt, um schiitische Unruhen in den arabischen Golfstaaten zu schüren und eine Normalisierung der arabisch-israelischen Beziehungen zu verhindern.
Die Akteurkategorie "Sleet"
Nordkorea hat im vergangenen Jahr seine Cyberoperationen verfeinert, vor allem was den Diebstahl von Kryptowährungen und Angriffe auf die Lieferkette angeht.
Wussten Sie ...
KI-generierte Profilbilder sind zwar schon lange ein Merkmal staatlich geförderter Einflussoperationen, doch der Einsatz ausgefeilterer KI-Tools zur Erstellung eindrucksvollerer multimedialer Inhalte ist ein Trend, der unserer Ansicht nach mit der zunehmenden Verfügbarkeit solcher Technologien anhalten wird.
Angreifer haben zunehmend das hohe Sicherheitsrisiko von Informationstechnologien und operativer Technologie (IT-OT) ausgenutzt, deren Schutz sich schwierig gestalten kann. Ein Beispiel: Von den 78 % der IoT-Geräte (Internet of Things, Internet der Dinge) mit bekannten Schwachstellen in Kundennetzwerken können 46 % nicht gepatcht werden. Ein zuverlässiges OT-Patchverwaltungssystem ist daher eine wesentliche Komponente einer Cyber-Sicherheitsstrategie, und die Netzwerküberwachung kann die Erkennung böswilliger Aktivitäten in OT-Umgebungen erleichtern.
Mehr erfahren über dieses Bild auf Seite 61 im vollständigen Bericht
Wussten Sie ...
25 % der OT-Geräte in Kundennetzwerken verwenden nicht unterstützte Betriebssysteme, was sie zu leichteren Zielen für Cyberangriffe macht, da wichtige Updates und Schutz vor sich ständig weiterentwickelnden Cyberbedrohungen fehlen.
Künstliche Intelligenz kann die Cybersicherheit durch Automatisierung und Erweiterung von Cybersicherheitsaufgaben verbessern und es den Sicherheitsverantwortlichen erleichtern, verborgene Muster und Verhaltensweisen zu erkennen. Große Sprachmodelle (Large Language Models, LLM) können in den verschiedensten Bereichen genutzt werden: Threat Intelligence, Incident Response und Wiederherstellung, Überwachung und Ermittlung, Tests und Validierung, Weiterbildung sowie Sicherheit, Governance, Risiko und Compliance.
Forscher und Wissenschaftler auf dem Gebiet der angewandten Forschung bei Microsoft untersuchen zahlreiche Szenarien für LLM-Anwendungen in der Cyberabwehr, wie z. B:
Mehr erfahren über dieses Bild auf Seite 98 im vollständigen Bericht
Wussten Sie ...
Das AI Red Team von Microsoft, das sich aus Experten verschiedener Disziplinen zusammensetzt, trägt dazu bei, eine Zukunft mit sicherer KI zu gestalten. Unser AI Red Team simuliert die Taktiken, Techniken und Verfahren von Angreifern in der realen Welt, um Risiken und Schwachstellen zu identifizieren, Annahmen zu verifizieren und den Sicherheitsstatus von KI-Systemen insgesamt zu verbessern. Mehr erfahren über das Red Team für KI von Microsoft unter Das Microsoft AI Red Team gestaltet eine Zukunft mit sicherer KI | Microsoft Security-Blog.
Da sich die Cyberbedrohungen ständig weiterentwickeln, wird die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor von entscheidender Bedeutung sein, um das allgemeine Wissen zu verbessern, die Resilienz zu erhöhen und Richtlinien zur Schadensbegrenzung für das gesamte Sicherheitsökosystem zu entwickeln. In diesem Jahr haben beispielsweise Microsoft, Fortra LLC und Health-ISAC zusammengearbeitet , um die Infrastruktur Cyberkrimineller für die illegale Nutzung von Cobalt Strike zu reduzieren. Auf diese Weise konnte die Infrastruktur in den USA um 50 % verringert werden.
Diagramm, das über eine 50 %-ige Verringerung infiltrierter Cobalt Strike-Server in den USA informiert Mehr erfahren über dieses Bild auf Seite 115 im vollständigen Bericht
Wussten Sie ...
Der Global Cybercrime Atlas vereint eine vielfältige Gemeinschaft von mehr als 40 Mitgliedern aus dem privaten und öffentlichen Sektor, um den Wissensaustausch, die Zusammenarbeit und die Forschung im Bereich der Internetkriminalität zu zentralisieren. Ziel ist es, Cyberkriminellen das Handwerk zu legen, indem Informationen bereitgestellt werden, die Maßnahmen der Strafverfolgungsbehörden und des Privatsektors erleichtern und zu Festnahmen und zur Zerschlagung krimineller Infrastrukturen führen.
Dem weltweiten Mangel an Experten für Cybersicherheit und KI kann nur durch strategische Partnerschaften zwischen Bildungseinrichtungen, gemeinnützigen Organisationen, Regierungen und Unternehmen begegnet werden. Da künstliche Intelligenz dazu beitragen kann, dieses Problem zumindest teilweise zu lösen, hat die Vermittlung von KI-Kompetenzen eine hohe Priorität in den Ausbildungsstrategien von Unternehmen.
35 % Anstieg der Nachfrage nach Experten für Cybersicherheit im vergangenen Jahr Mehr erfahren über dieses Bild auf Seite 120 im vollständigen Bericht
Wussten Sie ...
Die Microsoft AI Skills Initiative umfasst neue, kostenlose Kurse, die in Zusammenarbeit mit LinkedIn entwickelt wurden. Dies ermöglicht es Arbeitnehmern, grundlegende KI-Konzepte, einschließlich Frameworks für verantwortungsvolle KI, zu erlernen und nach Abschluss ein Career Essentials"-Zertifikat zu erhalten.
Microsoft folgen