Ausnutzung von Schwachstellen
Schutz vor Angriffsvektoren für den Erstzugriff, Teil 1
Je schneller ein Cyberangriff erkannt wird, desto weniger kostet er. Deshalb müssen bereits die Angriffsvektoren für den Erstzugriff identifiziert werden. Wir zeigen, welche dies sind und wie die Schutzmaßnahmen im Einzelfall aussehen können.
Mit der steigenden Zahl der Anwendungen, Websites, Konten, Geräte, Cloud-Infrastrukturen, Server und Betriebstechnologien (OT) wird auch die Verwaltung der Angriffsfläche immer schwieriger. Wenig überraschend kommt die Aussage von 73 % der IT- und Unternehmensleiter in einer globalen Studie von Trend Micro, dass sie sich Sorgen über das Ausmaß ihrer digitalen Angriffsfläche machen.
Ein effizientes Angriffsflächen-Risikomanagement (ASRM) beginnt mit der proaktiven Abwehr der ersten Angriffsvektoren und nicht mit der reaktiven Abwehr, nachdem böswillige Akteure bereits ins Netzwerk eingedrungen sind. Laut dem Bericht von IBM „Cost of a Data Breach“ 2024 gehören Angriffsvektoren, bei denen es durchschnittlich länger dauert, sie zu identifizieren und einzudämmen, zu den teuersten Arten von Sicherheitsverletzungen.
Die sieben wichtigsten initialen Angriffsvektoren sind: Mail, Web und Webanwendungen, Schwachstellen, Geräte, Island Hopping, Insider-Bedrohungen sowie die Cloud.
1. Mail
Die Risiken
Mails sind aufgrund ihrer einfachen Manipulierbarkeit nach wie vor einer der häufigsten Angriffsvektoren für Cyberkriminelle. 2023 basierten 73,8 Milliarden der insgesamt 161 Milliarden von Trend blockierten Bedrohungen auf Mails. Auch die mit diesen Angriffen verbundenen Kosten steigen: Laut dem IBM-Bericht kosten Phishing-Angriffe Unternehmen im Durchschnitt 4,88 Millionen US-Dollar pro Jahr.
Darüber hinaus werden Mail-basierte Angriffe dank generativer KI (GenAI) immer schwieriger zu erkennen, da ein Angreifer Phishing- und BEC-Nachrichten auf sehr realistische und ansprechende Weise und in jeder Sprache erstellen kann. Dadurch wird der Pool potenzieller Phishing-Ziele noch erweitert.
Maßnahmen
Wählen Sie eine Sicherheitslösung mit mehrschichtigem Schutz mit Hilfe der folgenden Technologien:
- Mail-Gateway mit KI, ML, Verhaltens- und Urheberanalyse,
- Cloud Application Security Broker (CASB) für die Analyse von Mails im Posteingang über Scannen von Links, Anhängen und Nachrichten zwischen Peers, um zu verhindern, dass Konten über das Phishing von anderen Mitarbeiter kompromittiert werden,
- Ein sicheres Web-Gateway (SWG), das zusätzlichen Schutz bietet, wenn ein bösartiger Link angeklickt wird, indem es den Datenverkehr inline untersucht, eine Bildanalyse durchführt und ML zur Analyse von Markenelementen, Anmeldeformularen und anderen Website-Inhalten verwendet, um gefälschte Websites zu erkennen.
Wichtig sind zudem Benutzerschulungen mit Simulationen und solche für die Sicherheits-Awareness, wobei der Anbieter idealerweise Phishing-Tests auf der Grundlage von Vorlagen liefert, die aus aktuellen, echten Phishing-Scams stammen.
2. Web und Webanwendungen
Risiken
Cross-Site-Scripting (XSS)-Angriffe nutzen Codierungsfehler in Websites oder Webanwendungen aus, um Eingaben von Benutzern zu generieren. XSS gehört nach wie vor zu den Top 10 der Webanwendungs-Sicherheitsrisiken des Open Web Application Security Project (OWASP). Homeoffice und die Verlagerung auf Cloud-Dienste führen zu immer mehr Websites und Anwendungen, und deshalb müssen Unternehmen ihren Schutz vor diesem initialen Angriffsvektor verstärken.
Maßnahmen
Die folgenden drei Maßnahmen können risikosenkend wirken:
- Schließen aller Schwachstellen
- Suche nach bösartigen Skripts
- Deaktivieren aller nicht benötigten Ports auf Webservern
Darüber hinaus kann ein CASB dabei unterstützen, die Risiken bei der Verwendung von Software-as-a-Service (SaaS)-Anwendungen zu reduzieren. Er wirkt der Schatten-IT entgegen, schützt vor Kompromittierung von Cloud-Konten und schließt Sicherheitslücken für Dienste von Drittanbietern. Darüber hinaus ergänzt CASB die Threat-Blocking-Funktionen der SWG-Lösungen und lässt sich mit der analytischen Leistung von Extended Detection and Response (XDR) verbinden.
Die unterschiedlichen Protokolle dieser ehemals getrennten Lösungen bieten zusammen einen ganzheitlichen Überblick über die Umgebung und ermöglichen die Erstellung eines umfassenderen Risikoprofils.
3. Schwachstellen
Risiken
Schwachstellen können Systemausfälle verursachen und den Geschäftsbetrieb stören. Darüber hinaus nehmen Zero-Days, N-Days und Forever-Days weiter zu. Trend™ Research meldete für das erste Halbjahr 2022 23 % mehr kritische und hochkritische Schwachstellen, die im Rahmen des Bug Bounty-Programms der Trend Micro™ Zero Day Initiative™ (ZDI) gemeldet wurden.
Maßnahmen
Diese risikobasierten Best Practices für die Patch-Verwaltung können dabei helfen, einen guten Schutz vor der Ausnutzung von Schwachstellen zu erstellen:
- Ermittlung der wichtigsten Patches durch Priorisierung im Patching-Prozess und Überprüfung des Katalogs bekannter Sicherheitslücken der Cybersecurity and Infrastructure Security Agency (CISA).
- Erstellen eines Zero Day-Plans für das „Wann“ nicht für das „Ob“, indem Netzwerke konsequent auf verdächtige Aktivitäten überwacht werden und über Wissen aus Bug-Bounty-Programmen wie dem der ZDI, die globale Bedrohungsdaten nutzen.
- Kommunikation mit Anbietern über die Möglichkeit von Rollbacks zu früheren Softwareversionen
- Verwendung von virtuellen Patches zum Schutz anfälliger Systeme bis Hersteller-Patches zur Verfügung stehen.
- Fördern einer Sicherheitskultur im Unternehmen durch Teilen des Wissens mit den Interessengruppen.
Der Einsatz von ASRM unterstützt diese Schritte, um Risikoüberwachungs- und -messungsprozesse effizienter, informierter und effektiver zu gestalten. Analysiert sollte eine Vielzahl wichtiger Elemente, darunter die Kritikalität Ihrer Anlagen, Schwachstellen, Sicherheitslage, Bedrohungsaktivitäten und Exposition. Lässt man die Vermutungen über die Auswirkungen des Risikos weg, so gelangt man zu einer effektiveren Entscheidungsfindung, die sich in einer stärkeren Risikoreaktion niederschlägt.
Der zweite Teil des Beitrags beschreibt die weiteren vier Angriffsvektoren, nämlich Geräte, Island Hopping, Insider und Cloud.
Eine einheitliche KI-gestützte Cybersicherheitsplattform kann dabei unterstützen, die Komplexität zu reduzieren und die vorhandenen Ressourcen zu erweitern. Die Verwendung einer einheitlichen Plattform für mehrere Umgebungen, die eine breite Integration von Drittanbietern unterstützt, gewährleistet eine umfassende Transparenz über ein einziges Dashboard. Sicherheitsfunktionen wie Automatisierung, kontinuierliche Überwachung und XDR sind für ASRM entscheidend. Transparenz und tiefgreifende Datenkorrelation ermöglichen es den Sicherheitsteams, Bedrohungen über den gesamten Risikolebenszyklus der Angriffsoberfläche hinweg zu erkennen, zu bewerten und zu entschärfen.