Die Cyberkriminalit?t entwickelt sich weiter. Die Techniken, Taktiken und Verfahren (TTPs) ?ndern sich, die Zahl der Schwachstellen steigt sprunghaft an, und der Aufstieg von Ransomware-Banden zusammen mit der Digitalisierung so vieler Branchen haben eine ?u?erst kritische Lage geschaffen, in der Bedrohungsakteure in der Lage sind, Schaden anzurichten und sowohl mit Daten als auch mit Geld davonzukommen.?
Im Jahr 2022 stieg die Zahl der Ransomware-Angriffe weiter an, mit einem durchschnittlichen anf?nglichen L?segeldbetrag von 500.000 USD, da sich das Ransomware-as-a-Service-Modell durchsetzte. Au?erdem sind BEC-Angriff (Business Email Compromise) immer mehr in den Mittelpunkt ger¨¹ckt; sie machen 29 % der von Arctic Wolf untersuchten Vorf?lle aus.
Aber diese Statistiken sind nur der Anfang davon, wie Bedrohungsakteure in Systeme eindringen und sich das nehmen, was sie wollen. Um die Landschaft als Ganzes zu verstehen, ist es wichtig, die g?ngigen Angriffsvektoren zu kennen und zu wissen, wie sie f¨¹r Cyberkriminalit?t genutzt werden. ?
Was ist ein Angriffsvektor?
Ein Angriffsvektor ist die Art und Weise, wie ein Bedrohungsakteur Zugang zu einem Netzwerk, System oder Endger?t erh?lt. Wenn Ransomware die Art des Angriffs ist, ist die Art und Weise, wie der Bedrohungsakteur die Ransomware einsetzen konnte, der Angriffsvektor. Ein Angriffsvektor kann auch als Ausgangspunkt der Kompromittierung bezeichnet werden, d. h. als die Methode, die ein Bedrohungsakteur als ersten Einstiegspunkt nutzt.?
Unterschied zwischen Angriffsvektor und Angriffsfl?che
Eine Angriffsfl?che ist nicht der Vektor, den ein Bedrohungsakteur nutzt, sondern die Gesamtheit der Wege, die ihm in einem System zur Verf¨¹gung stehen. Wenn ein Unternehmen E-Mail, die Cloud, IoT-Ger?te, mit dem Internet verbundene Endger?te und andere digitale Ger?te verwendet, bilden all diese Komponenten die Angriffsfl?che.??
Unterschied zwischen Angriffsvektor und Bedrohungsvektor?
Angriffsvektor und Bedrohungsvektor sind ?hnliche Begriffe, aber der Bedrohungsvektor ist eher hypothetisch. Phishing ist im Allgemeinen ein Bedrohungsvektor. Wenn ein Unternehmen durch einen Phishing-Angriff angegriffen wird, w¨¹rde die Untersuchung ergeben, dass Phishing der Angriffsvektor war.??
Was sind die h?ufigsten Angriffsvektoren?
1. Phishing
Wie die anderen Social-Engineering-Techniken auf dieser Liste beruht auch Phishing auf der ?berzeugungskraft und der Manipulation der menschlichen Psyche durch Cyberkriminelle. Beim Phishing handelt es sich um betr¨¹gerische Kommunikation mit der Absicht, vertrauliche Daten zu stehlen, Malware in ein Computersystem einzuschleusen, Finanzbetrug zu begehen, oder praktisch jedes andere betr¨¹gerische Unterfangen, das Sie sich vorstellen k?nnen.??
Phishing-Versuche erfolgen meistens in Form einer E-Mail, in der der Empf?nger angewiesen wird, auf einen Link zu klicken, einen Anhang zu ?ffnen, Geld an ein Bankkonto zu senden oder vertrauliche Informationen wie Anmeldeinformationen bereitzustellen. Dies ist ein g?ngiger Einstiegspunkt f¨¹r die Verbreitung von Malware, einschlie?lich Ransomware.?
Phishing gibt es zwar schon seit langem und ist allgemein bekannt, aber es ist immer noch sehr effektiv. 12 % der von Arctic Wolf im Jahr 2022 registrierten Angriffe waren auf Phishing zur¨¹ckzuf¨¹hren, und Social-Engineering-Taktiken, die ¨¹ber Phishing hinausgehen, erh?hen diesen Prozentsatz auf 16 %. ?
Wie kann man gegen Phishing vorgehen??
E-Mail-Filter, wie z. B. Anti-Spam, sind eine gute Methode, um zu verhindern, dass Phishing-E-Mails in die Posteing?nge gelangen. Phishing-Angriffe sind jedoch nur dann erfolgreich, wenn der Benutzer darauf hereinf?llt. Daher sind die Aufkl?rung der Benutzer und eine solide Schulung des Sicherheitsbewusstseins der Schl¨¹ssel, um Phishing in Schach zu halten. Wenn ein Phishing-Angriff erfolgreich ist, k?nnen nachfolgende Verteidigungsma?nahmen wie die Multi-Faktor-Authentifizierung sowie ?berwachungs- und Erkennungssoftware den Unterschied zwischen einem angeklickten Link und einem ausgewachsenen Einbruch ausmachen.
2. Ausnutzen von Schwachstellen
Phishing mag zwar bekannter sein, aber die meisten Sicherheitsverletzungen werden durch Schwachstellen verursacht. Ungepatchte Software oder Zero-Day-Exploits k?nnen ein Albtraum f¨¹r Unternehmen sein, insbesondere f¨¹r solche, die nur ¨¹ber geringe Ressourcen verf¨¹gen. 45 % der Vorf?lle in diesem Jahr wurden durch Schwachstellen verursacht, die durch Sicherheitspatches und -updates, die bereits vor dem Vorfall verf¨¹gbar waren, h?tten behoben werden k?nnen. Dies verdeutlicht, dass diese Schwachstellen weit verbreitet sind und dass Bedrohungsakteure sie weiterhin f¨¹r den Zugang nutzen werden.?
Wie bek?mpft man das Ausnutzen von Schwachstellen?
Schwachstellen-Scans helfen bei der Identifizierung von Systemen, die Patches ben?tigen, und das empfiehlt die Verwendung von Risiko-Management-Prozessen zur Behebung von Schwachstellen auf der Grundlage von Priorit?ten.
Allerdings ist es f¨¹r die meisten Unternehmen nicht m?glich, alle Schwachstellen rechtzeitig zu beheben. Aus diesem Grund sollten Unternehmen einen Prozess zur Risikobewertung entwickeln und umsetzen, um herauszufinden, welche Software und Systeme die gr??ten Risiken darstellen. Dieser Prozess beinhaltet eine vollst?ndige Bestandsaufnahme Ihrer IT-Infrastruktur, damit Sie wissen, was Sie sch¨¹tzen wollen und was Sie auf Schwachstellen ¨¹berpr¨¹fen sollten.
Dar¨¹ber hinaus k?nnen eine Rund-um-die-Uhr-?berwachung und die Erkennung von Bedrohungen von unsch?tzbarem Wert sein, da einige Systeme nicht schnell oder ¨C unter bestimmten Umst?nden ¨C ¨¹berhaupt nicht gepatcht werden k?nnen.
3. Fehlkonfigurationen
Sicherheitsfehlkonfigurationen entstehen, wenn Sicherheitskontrollen f¨¹r Ger?te, Netzwerke, Cloud-Anwendungen, Firewalls und andere Systeme nicht ordnungsgem?? implementiert werden. Fehlkonfigurationen k?nnen alles umfassen?¨C von standardm??igen Administratoranmeldeinformationen und offenen Ports bis hin zu ungenutzten Webseiten und ungesch¨¹tzten Dateien. Ein gutes Beispiel ist ein Remote-Desktop-Protokoll (RDP), das ordnungsgem?? funktioniert, aber immer noch den urspr¨¹nglichen Benutzernamen und das Passwort des Administrators enth?lt.
Fehlkonfigurationen sind in der Cloud-Umgebung keine Seltenheit und stellen daher ein wachsendes Risiko dar, da immer mehr Unternehmen die Cloud einf¨¹hren, oft ohne eine angemessene Cloud-Sicherheit zu implementieren.?
Diese Art von passivem Angriffsvektor ist ein Problem, das ein Unternehmen selbst verursacht hat und das zu Datenschutzverst??en, unerlaubtem Zugriff und anderen schwerwiegenden Sicherheitsvorf?llen f¨¹hren kann.??
Wie k?nnen Fehlkonfigurationen verhindert werden??
Eine proaktive Sicherheitsstrategie sucht nach M?glichkeiten, L¨¹cken, Fehlkonfigurationen und Schwachstellen zu beseitigen, die Angreifer sonst ausnutzen k?nnten. Cloud Security, insbesondere Cloud Security Posture Management, kann dabei helfen, Fehlkonfigurationen in Echtzeit zu erkennen und Konfigurationen einem Sicherheitsrahmen zuzuordnen. Dar¨¹ber hinaus kann die Rund-um-die Uhr-?berwachungssoftware nach Fehlkonfigurationen bei Ger?ten und Netzwerken suchen und diese erkennen.
4. Kompromittierte Anmeldeinformationen
Dies soll Sie daran erinnern, Ihre Passw?rter zu aktualisieren, denn 7 % der von Arctic Wolf untersuchten Vorf?lle im Jahr 2022 waren auf eine schlechte Passworthygiene zur¨¹ckzuf¨¹hren.
Au?erdem betrifft laut ungef?hr die H?lfte der Datenschutzverst??e gestohlene Benutzeranmeldeinformationen. Nach Sch?tzungen in mehreren anderen Berichten sind Milliarden von gestohlenen Zugangsdaten im Darknet verf¨¹gbar?¨C infolge von kompromittierten Datenbanken sowie von Cyberangriffen.?
Cyberkriminelle nutzen diesen Angriffsvektor, der auch als Diebstahl von Zugangsdaten bezeichnet wird, nicht nur, weil es viel einfacher ist, ¨¹ber ein bestehendes Konto Zugang zu vertraulichen und wertvollen Informationen in einem Unternehmen zu erhalten, sondern auch, weil sie gro?en Schaden anrichten k?nnen, bevor sie entdeckt werden.??
Zu h?ufigen Angriffen auf der Grundlage von Anmeldeinformationen geh?ren:?
Brute-Force: Bei einem Brute-Force-Angriff versucht ein b?swilliger Akteur, sich unerlaubten Zugriff auf sichere Systeme zu verschaffen, indem er alle m?glichen Passw?rter ausprobiert, bis er das richtige gefunden hat.???
Credential Stuffing: Eine Form der Brute-Force-Methode, bei der rohe Rechenleistung und Automatisierung eingesetzt werden, um Passwortkombinationen wiederholt zu versuchen, bis die richtige Anmeldung gefunden ist.???
Password Spraying: Eine weitere Form der Brute-Force-Methode, bei der versucht wird, sich mit bekannten Benutzernamen in Kombination mit g?ngigen und/oder Standardpassw?rtern bei einem Unternehmen anzumelden.???
“?ber die Schulter surfen” (Shoulder-Surfing): Erlangung von Anmeldeinformationen durch direkte Beobachtung des Bildschirms eines Benutzers in einer ?ffentlichen Umgebung.?
MFA-?berlastung: Ein Bedrohungsakteur sendet permanent Aufforderungen an ein MFA-Ger?t und hofft, dass sich der Benutzer authentifiziert.?
Wie bek?mpft man Angriffe, die auf Anmeldeinformationen basieren?
Gegen diesen h?ufigen Angriffsvektor ist eine vielschichtige Verteidigung am besten. Zu den bew?hrten Verfahren zur Verhinderung der Kompromittierung von Anmeldeinformationen geh?ren:?
- Anforderungen an starke Passw?rter durchsetzen??
- Einf¨¹hrung von MFA in der gesamten IT-Umgebung?
- Die Benutzerrechte auf Rollen basierend beschr?nken??
- Das Benutzerverhalten ¨¹berwachen, um ungew?hnliche Aktivit?ten zu erkennen??
- Strenge Kontrollen f¨¹r Administratorkonten einf¨¹hren??
- Einf¨¹hrung von Gegenma?nahmen, die speziell darauf ausgerichtet sind, Brute-Force-Angriffe zu vereiteln, wie z. B. die Begrenzung von Versuchen, bevor ein Konto gesperrt wird, oder die manuelle CAPTCHA-Eingabe
5. Anbieter in der Lieferkette
Ganz gleich, wie stark Ihre eigenen Cybersecurity-Ma?nahmen sind?¨C Sie sind nur so stark wie Ihr schw?chster Partner, Anbieter oder Lieferant. ??
In der heutigen vernetzten digitalen Welt steigt das von Dritten ausgehende Risiko schnell. Zahlreiche aufsehen erregende Datenschutzverst??e der letzten Jahre haben die Auswirkungen von Sicherheitsverletzungen bei Anbietern gezeigt und deutlich gemacht, dass Cyberkriminelle Lieferanten mit niedrigem Sicherheitsniveau als Einstiegspunkt in ein anderes Unternehmen ins Visier nehmen.
Man denke nur an den im Jahr 2022, bei dem ein Anbieter einem Phishing-Angriff zum Opfer gefallen war, der zur Offenlegung personenbezogener Daten von Kunden und Mitarbeitern f¨¹hrte, darunter Namen, E-Mail-Adressen, Lieferadressen und Telefonnummern.
Wie k?nnen Angriffe auf die Lieferkette abgewehrt werden??
Die Infrastruktur von Drittanbietern liegt au?erhalb Ihrer Kontrolle, doch Sie haben eine M?glichkeit, das von Drittanbietern ausgehende Risiko zu mindern. Mithilfe von proaktiven Ma?nahmen k?nnen Sie die Gefahr minimieren:??
- Verlangen Sie ¨¹ber Ihre Servicevertr?ge von den Lieferanten, bestimmte Cybersecurity-Standards einzuhalten.??
- Validieren Sie das Sicherheitsniveau der Lieferanten mithilfe von Audits, Kennzahlen und anderen M?glichkeiten.?
- Implementieren Sie Richtlinien, die das Scannen und ?berwachen der Ger?te Ihrer Anbieter erfordern, sobald diese mit Ihrem Netzwerk verbunden werden.?
- Nutzen Sie eine L?sung zur Bedrohungserkennung und -abwehr, um Ihr Netzwerk auf Anomalien zu ¨¹berwachen.?
6 zus?tzliche Angriffsvektoren f¨¹r Hacker?
Die folgenden Angriffsvektoren sind zwar weniger verbreitet, aber das bedeutet nicht, dass sie keine Bedrohung f¨¹r Ihr Unternehmen darstellen. Es braucht nur einen Vektor und einen Bedrohungsakteur, um einen massiven Angriff zu starten, der zu Ausfallzeiten, Bu?geldern, Datenverlusten, Rufsch?digung und vielem mehr f¨¹hren kann.
Es ist wichtig, dass Ihr Unternehmen im Rahmen der Verbesserung des Sicherheitsniveaus die verschiedenen Vektoren versteht und die Priorit?ten bei Zeit und Arbeitskr?ften so setzt, dass sie sowohl f¨¹r Ihr Unternehmen als auch f¨¹r Ihre Cybersicherheit sinnvoll sind.
B?sartige Dokumente
Da die Pandemie zu einer Zunahme der Remote-Arbeit f¨¹hrte, wurde diese Art von Angriffsvektor immer h?ufiger genutzt. Er kann die Form einer gesperrten PDF-Datei annehmen, die zum ?ffnen Ihr Kontopasswort erfordert ¨C und so Ihre Anmeldedaten abf?ngt ¨C oder eines b?sartigen Makros, das in ein Microsoft Office-Dokument eingebettet ist. Diese Dokumente werden h?ufig f¨¹r Phishing-Betr¨¹gereien verwendet. ?
Watering-Hole-Angriffe
In diesem Fall w?hlt ein Bedrohungsakteur eine Website aus, die von den Nutzern des Zielunternehmens regelm??ig besucht wird, und installiert darauf Malware. Dann legt er sich auf die Lauer ¨C wie ein Alligator an einer Wasserstelle ¨C und wartet darauf, dass ein Benutzer die infizierte Website besucht.
Man-in-the-Middle
Bei dieser hochtechnologischen Form des Abh?rens schaltet sich ein Cyberkrimineller zwischen Sie und die Partei, an die Sie Ihre Daten oder Informationen zu senden versuchen. Dies geschieht in der Regel ¨¹ber WLAN, das entweder schlecht oder gar nicht gesch¨¹tzt ist. Sobald die Cyberkriminellen im Netzwerk sind, k?nnen sie Tools einsetzen, um Anmeldeinformationen abzufangen, Malware zu starten oder Daten zu zerst?ren. Diese Angriffe haben in dem Ma?e zugenommen, wie die Arbeit von zu Hause aus zunimmt und die Nutzer sich immer h?ufiger in Caf¨¦s und anderen ?ffentlichen Orten aufhalten, um ihre Arbeit zu erledigen.??
Bedrohungen durch Insider
Hinter einer Bedrohung durch Insider k?nnen viele Motive stehen, z. B. Spionage, Diebstahl oder einfach nur Rache, aber die Handlungen sind immer die gleichen. Ein bekannter Benutzer im Netzwerk eines Unternehmens nutzt seinen Zugang, um Daten zu stehlen, Anmeldeinformationen zu entwenden oder einen Cyberangriff zu starten.??
Fehlende Verschl¨¹sselung
Wenn es sich um stark vertrauliche Daten handelt, sollte nicht nur der Zugang zu ihnen eingeschr?nkt werden, sondern auch die Dateien selbst sollten verschl¨¹sselt werden ¨C sei es mit einer einfachen Passwortanforderung ¨C um zu verhindern, dass sie in die falschen H?nde geraten. Hacker sind auf der Suche nach Daten, um sie zu stehlen, zu verkaufen oder L?segeld zu erpressen. Daher sollte es zu den besten Praktiken geh?ren, diese Daten in einem digitalen Safe aufzubewahren.?
Distributed-Denial-of-Service-Angriffe (DDoS)
Dieser von au?en durchgef¨¹hrte Angriff erm?glicht es einem Bedrohungsakteur, einen Server mit Datenverkehr zu ¨¹berlasten und ihn zum Absturz zu bringen. Diese Art von Angriffen wird h?ufig von Bots »å³Ü°ù³¦³ó²µ±ð´Ú¨¹³ó°ù³Ù.??
Wie man sich gegen Angriffsvektoren verteidigt?
Da alle diese Angriffsvektoren variieren, ist die beste Verteidigung eine breit angelegte, die sich an die sich ?ndernden Gesch?fts- und Sicherheitsanforderungen sowie Bedrohungen anpassen und ver?ndern kann. Bei der Cybersicherheit gibt es keine Einheitsl?sung. Stattdessen m¨¹ssen Unternehmen ihre Umgebung und ihre Risikofaktoren betrachten und in die Tools und Mitarbeiter investieren, die sie auf ihrem Weg zu mehr Sicherheit unterst¨¹tzen.??
Einige erste Schritte, die eine Organisation unternehmen kann, sind:?
- Verstehen Sie Ihre Angriffsfl?che.?
- ?berwachen Sie Ihre Umgebung kontinuierlich.?
- Implementieren Sie Identit?ts- und Zugriffsmanagementtechniken, wie MFA, im gesamten Unternehmen.?
- Investieren Sie in Cloud-Sicherheit und verstehen Sie, wie es zu Fehlkonfigurationen kommt.?
- Schulen Sie Benutzer mit einem umfassenden Schulungsprogramm zum Thema Sicherheitsbewusstsein.
Verstehen Sie die verschiedenen Angriffsvektoren besser mit “The Big Business of Cybercrime“.?
Erfahren Sie, wie eine MDR-L?sung zur Eind?mmung von Bedrohungen und zum Schutz vor verschiedenen Angriffsvektoren beitragen kann.
