Threat Intelligence Cybersicherheit erfordert mehr Informationen und mehr Austausch

Autor / Redakteur: James Muir / Peter Schmitz

Etwa drei Viertel der 902 für den Covid Crime Index 2021 Report befragten Finanzinstitute verzeichneten einen Anstieg der Cyberkriminalität seit Beginn der Pandemie und etwa zwei Fünftel der Banken und Versicherungen gaben an, dass Homeoffice zu geringerer Sicherheit geführt hat.

Firmen zum Thema

Threat Intelligence ist daher eine strategische Notwendigkeit für eine wachsende Anzahl und Bandbreite von Unternehmen im gesamten Finanzdienstleistungssektor – auch für solche, die sich bislang nicht als Angriffsziel gesehen haben.
Threat Intelligence ist daher eine strategische Notwendigkeit für eine wachsende Anzahl und Bandbreite von Unternehmen im gesamten Finanzdienstleistungssektor – auch für solche, die sich bislang nicht als Angriffsziel gesehen haben.
(© Gorodenkoff - stock.adobe.com)

Eine neuen Studie von BAE Systems Applied Intelligence, dem auf Cyberkriminalität spezialisierten Geschäftsbereich von BAE Systems, zufolge, sehen sich Banken und Versicherungen einer deutlich erhöhten Gefährdung durch COVID-19-bedingte Cyberkriminalität ausgesetzt. Aber nicht nur die Finanzbranche ist betroffen. Auch das Gesundheitswesen und die Fertigungsindustrie verzeichneten einen enormen Anstieg der Angriffe.

Mit fortschreitender Pandemie werden die Angriffe komplexer, da die Cyberkriminellen interne Richtlinien und Verfahren sowie die Schwachstellen bei den Abwehrmaßnahmen immer besser verstehen. Wenn Finanzinstitute und Unternehmen anderer Branchen ihre Chancen, solche Angriffe abzuwehren, erhöhen wollen, müssen sie ihre Fähigkeiten bei der Einschätzung der Bedrohungslage verbessern. Nur so können sie die Risiken, die solche Bedrohungen für die Unternehmen darstellen, besser verstehen und Angriffe entschärfen und verhindern.

Ransomware ist eine große Bedrohung, aber staatlich gesponserte Aktivitäten bleiben bestehen

Bei der Mehrheit der versuchten Angriffe über die gesamte Bedrohungslandschaft hinweg betrachtet handelt es sich um automatisierte Standardangriffe, die darauf abzielen, Unternehmen und Einzelpersonen zu attackieren, die offensichtliche Lücken in ihren Abwehrmechanismen haben. Die ernsthaftere Gefahr für Unternehmen geht jedoch von gezielteren Ansätzen aus, wie beispielsweise von Menschen gesteuerten Angriffen wie etwa den Ransomware-Angriffen, die in den letzten Jahren stark zugenommen haben, sowie den ausgereifteren und hartnäckigen Angriffen von staatlich unterstützten Angreifern.

Ransomware-Angreifer haben eine Reihe von Möglichkeiten gefunden, Umfang und Geschwindigkeit ihrer Attacken zu erhöhen. Beliebte Techniken sind das Scannen nach ungeschützten Remote Desktop Protocol-Logins und das Ausnutzen von Schwachstellen in Netzwerkdiensten, um sich Zugang zu verschaffen. Aber auch die Angriffsmethode der Phishing-E-Mails ist weiterhin weit verbreitet. Angriffssimulations-Tools wie Cobalt Strike und Metasploit werden eingesetzt, um bösartige Netzwerkaktivitäten zu tarnen und zu verschleiern. Angreifer können so über längere Zeit unentdeckt bleiben und große Datenmengen für sogenannte „Double Extortion Attacks“ abschöpfen. Bei dieser moderneren Form von Ransomware-Angriffen stehlen Angreifer große Datenmengen, bevor sie das Netzwerk mit Ransomware verschlüsseln. Zu den gestohlenen Daten können sensible Unternehmens-, persönliche Daten und Kundeninformationen gehören. Opfern, die sich weigern, das Lösegeld zu zahlen, wird mit der Veröffentlichung der Daten gedroht, was zusätzlichen Druck auf sie ausübt, den Forderungen der Erpresser nachzukommen. Und wenn auf die Backups von Unternehmen zugegriffen werden kann zielen Angreifer auch zunehmend auf diese ab, um eine Wiederherstellung zu erschweren und die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen.

Staatliche Akteure haben ihre Ziele nun insofern erweitert, als zwar nach wie vor der Regierungs-, der Verteidigungs- und der Technologiesektor im Fokus stehen, aber nun auch Daten aus verschiedenen Sektoren (einschließlich dem Finanzbereich und der Gesundheitsbranche und dem Transportsektor) für einige Angreifer von besonderem Interesse sind und Kampagnen gegen diese Sektoren zu beobachten sind. Staatliche Akteure sind auch geschickt darin, Schwachstellen im Umkreisnetzwerk auszunutzen – vor allem durch Schwachstellen in Unternehmens-VPNs. Auch Angriffe auf die Lieferketten (typischerweise über Software) bleiben eine bemerkenswerte Taktik.

Threat Intelligence ist strategische Notwendigkeit

Um der Gefahr durch Cyberkriminelle etwas entgegenzusetzen, verweisen IT-Sicherheitsexperten oft auf die die „IT-Hygiene“, also zeitnahes Patchen, Endgeräte-Sicherheit und Multi-Faktor-Authentifizierung. Diese spielen sicherlich eine wichtige Rolle. Aber noch wichtiger ist es, die Taktiken, Techniken und Verfahren derjenigen zu verstehen, die versuchen, den Unternehmen Schaden zuzufügen. Threat Intelligence ist daher eine strategische Notwendigkeit für eine wachsende Anzahl und Bandbreite von Unternehmen im gesamten Finanzdienstleistungssektor – auch für solche, die sich bislang nicht als Angriffsziel gesehen haben. Wenn dies effektiv durchgeführt wird, können CISOs mithilfe von Bedrohungsinformationen IT-Sicherheit proaktiver gestalten und Angriffe stoppen, bevor diese ernsthafte Reputationsverluste oder finanzielle Schäden verursachen können.

Mehr Informationsaustausch

Es gibt jedoch Herausforderungen, die die Fähigkeit eines Unternehmens, diese Art von strategischen Vorteilen zu nutzen, zu untergraben drohen. So führt die Vielzahl an Threat Intelligence-Lösungen dazu, dass diejenigen, die es sich leisten können, oft mehrere sich überschneidende Lösungen kaufen, während kleinere Unternehmen nicht in der Lage sind, eine vollständige Abdeckung zu erhalten. Viele Nutzer von Threat Intelligence-Software finden es schwierig, die richtige Lösungen zu finden. Das kann dazu führen, dass die Threat Response Teams den falschen Hinweisen nachgehen oder mit Warnmeldungen überflutet werden, die sie nicht priorisieren können. In einigen Fällen sind die Daten selbst zu alt, um nützlich zu sein.

Viele in der Threat Intelligence-Branche fordern einen verstärkten Austausch von Informationen. Wenn die Systeme, in denen der Informationsaustausch organisiert wird, jedoch frei und für alle Beteiligten zugänglich wären, könnten sie leichter von feindlichen staatlichen Akteuren und Cyberkriminellen infiltriert werden. Wenn die Systeme stärker abgeschottet werden, könnten wirtschaftlich schwächere Unternehmen benachteiligt werden. Es gibt auch die Befürchtung, dass zu viel Informationsaustausch dem Ruf des eigenen Unternehmens schaden könnte, zum Beispiel bei der Weitergabe von Erfahrungen aus der Reaktion auf Vorfälle. Das sind echte Probleme, die nicht leicht zu lösen sind. Mit Initiativen wie „The Intelligence Network“, das vor von BAE Systems ins Leben gerufen wurde und das mittlerweile mehr als 2.000 Mitglieder hat, könnte sich dies jedoch ändern. Ziel der Initiative ist es, eine Kultur des Vertrauens aufzubauen, die Erfassung von Bedrohungsinformationen zu standardisieren und so zum Kampf gegen die Cyberkriminalität auf globaler Ebene beizutragen. Dies wird uns dabei helfen, die Angreifer besser zu verstehen und zu stoppen.

Über den Autor: James Muir, Threat Intelligence Research Lead, ist bei BAE Systems Applied Intelligence für globale Bedrohungsanalysen zuständig. Zu seinen aktuellen Forschungsinteressen gehören Bedrohungen durch Ransomware, „Hackers-for-hire“-Dienste und Bedrohungen für kritische nationale Infrastrukturen.

Über The Intelligence Network: The Intelligence Network ist eine Brancheninitiative, die von BAE Systems im Juli 2018 gestartet wurde. Sie wird von einer globalen Gemeinschaft gleichgesinnter Fachleute für Cyber- und Finanzkriminalität und Branchenkenner getragen, die sich für die Schaffung einer sichereren Gesellschaft im digitalen Zeitalter einsetzen. Der Zweck von The Intelligence Network ist es, die dauerhaften Herausforderungen der Cybersicherheit zu verstehen, zu erklären und anzugehen und so Zusammenarbeit, Verständlichkeit und Sicherheit zu verbessern.

(ID:47716246)