Die 10 größten Irrtümer bei Cyberattacken
Irrtum 1: Wir sind als Opfer doch viel zu klein.
Wer denkt, er sei als Ziel zu unbedeutend, sollte noch heute sein Netzwerk nach verdächtigen Aktivitäten durchforsten – wie beispielsweise nach der Anwesenheit von Mimikatz (eine Open Source-Anwendung, die es dem User erlaubt Authentifizierungsdaten anzusehen und zu speichern) auf dem Domain Controller, um frühe Anzeichen eines möglichen Angriffs zu bemerken.
Irrtum 2: Uns reicht Endpoint-Schutz.
Die Liste der Angriffstechniken, mit denen versucht wird, Endpoint Software zu umgehen oder zu deaktivieren und eine Erkennung durch IT-Sicherheitsteams zu vermeiden, wird von Tag zu Tag länger. Beispiele hierfür sind von Menschen durchgeführte Angriffe, die Social Engineering und viele weitere Schwachstellen ausnutzen, um sich Zugang zu verschaffen. Im Gepäck: verschleierter Schadcode, der direkt in den Speicher injiziert wird, "dateilose" Malware-Angriffe, das Laden von DLLs (Dynamic Link Library) sowie Angriffe, die neben alltäglichen IT-Admin-Tools und -techniken auch legitime Fernzugriffsagenten wie Cobalt Strike verwenden. Traditionelle Antiviren-Technologien haben Schwierigkeiten, solche Aktivitäten zu erkennen und zu blockieren.
Ebenso ist die Annahme, dass geschützte Endpoints Eindringlinge daran hindern können, sich ihren Weg zu ungeschützten Servern zu bahnen, eine Fehleinschätzung. Laut den vom Sophos Rapid Response Team untersuchten Vorfällen sind Server mittlerweile das Angriffsziel Nummer eins und Angreifer können mit gestohlenen Zugangsdaten leicht einen direkten Weg zu diesen „Kronjuwelen“ finden. Die meisten Angreifer kennen sich wenig überraschend auch mit einem Linux-Rechner aus, diese sind also genauso im Fokus. Tatsächlich hacken sich Angreifer oft in Linux-Rechner ein und installieren dort Hintertüren, um sie als sicheren Hafen zu nutzen und den Zugriff auf das anvisierte Ziel-Netzwerk zu aufrechtzuerhalten. Wenn sich ein Unternehmen nur auf die Basissicherheit verlässt, ohne fortschrittliche und integrierte Tools wie verhaltens- und AI-basierte Erkennung plus ggfs. ein rund um die Uhr von Menschen geführtes Security Operations Center, dann ist es nur eine Frage der Zeit, bis Eindringlinge an diesen Verteidigungsmaßnahmen vorbeimarschieren.
Irrglaube 3: Wir haben robuste Sicherheitsrichtlinien.
Irrtum 4: Remote Desktop Protocol (RDP)-Server können vor Angreifern geschützt werden, indem die Ports geändert und Multi-Faktor-Authentifizierung (MFA) eingeführt werden.
Außerdem ist die Einführung einer Multi-Faktor-Authentifizierung zwar wichtig, erhöht aber nicht die Sicherheit, wenn die Richtlinie nicht für alle Mitarbeiter und Geräte durchgesetzt wird. RDP-Aktivitäten sollten innerhalb der schützenden Grenzen eines virtuellen privaten Netzwerks (VPN) stattfinden, aber selbst das kann eine Organisation nicht vollständig schützen, wenn die Angreifer bereits in einem Netzwerk Fuß gefasst haben. Idealerweise sollte die IT-Sicherheit die Verwendung von RDP intern und so weit wie möglich einschränken oder deaktivieren, es sei denn, seine Verwendung ist unerlässlich.
Irrtum 5: Das Blockieren von IP-Adressen aus Hochrisiko-Regionen wie Russland, China und Nordkorea schützt uns vor Angriffen aus diesen Regionen.
Irrglaube 6: Unsere Backups bieten Immunität vor den Auswirkungen von Ransomware.
Der Industriestandard für sichere Backups zur Wiederherstellung von Daten und Systemen nach einem Ransomware-Angriff lautet 3-2-1: drei Kopien unter Verwendung von zwei verschiedenen Systemen, von denen eines zusätzlich offline ist. Ein zusätzlicher Hinweis: Offline-Backups schützen die Daten nicht vor Ransomware-Angriffen, bei denen die Kriminellen die Daten stehlen und damit drohen, sie zu veröffentlichen, anstatt sie ‘nur‘ zu verschlüsseln.
Irrtum 7: Unsere Mitarbeiter verstehen Sicherheit.
Social-Engineering-Taktiken wie Phishing-E-Mails sind immer schwieriger zu erkennen. Die Nachrichten sind oft von Hand verfasst, präzise geschrieben, überzeugend und sorgfältig ausgewählt. Die Mitarbeiter müssen genau wissen, wie sie verdächtige Nachrichten erkennen können und was zu tun ist, wenn sie eine solche erhalten. Wen benachrichtigen sie, damit andere Mitarbeiter in Alarmbereitschaft versetzt werden können?
Irrtum 8: Incident Response-Teams können meine Daten nach einem Ransomware-Angriff wiederherstellen.
Irrtum 9: Die Zahlung des Lösegelds wird unsere Daten nach einem Ransomware-Angriff wiederherstellen.
Außerdem ist die Wiederherstellung der Daten nur ein Teil des Wiederherstellungsprozesses – in den meisten Fällen legt die Ransomware die Computer komplett lahm, wodurch Software und Systeme von Grund auf neu aufgebaut werden müssen, bevor die Daten wiederhergestellt werden können. Die "State of Ransomware"-Umfrage ergab, dass die Wiederherstellungskosten im Durchschnitt zehnmal so hoch sind wie die Lösegeldforderung.
Irrglaube 10: Ransomware ist der komplette Angriff – wenn wir das überleben, sind wir sicher.
Die Angreifer waren wahrscheinlich schon Tage, wenn nicht Wochen, im Netzwerk, bevor sie die Ransomware gestartet haben. Sie haben es erkundet, Backups deaktiviert oder gelöscht, die Computer mit wichtigen Informationen oder Anwendungen gefunden, die sie verschlüsseln wollten, Informationen entfernt und zusätzliche Nutzdaten oder Backdoors installiert. Das Verbleiben in den Netzwerken der Opfer ermöglicht es den Angreifern, einen zweiten Angriff zu starten. Wann immer sie wollen. Quelle: Sophos Technology GmbH