Jedes Jahr steigt die Gesamtzahl der Cyberangriffe und die Kosten der durch Ransomware verursachten Schäden weltweit an. Microsoft hat kürzlich berichtet, dass die Zahl der versuchten Passwortangriffe "von etwa 3 Milliarden pro Monat auf über 30 Milliarden angestiegen ist ". Es liegt auf der Hand, dass ein proaktiver Ansatz zur Eindämmung von identitätsbasierten Angriffen ein guter Neujahrsvorsatz ist.
Damit Sie bei der Planung Ihrer ITDR-Maßnahmen (Identity Threat Detection and Response) in diesem Jahr das Beste herausholen können, haben unsere Experten für Identitätssicherheit drei Trends ausgemacht, die unserer Meinung nach im Jahr 2024 an Fahrt gewinnen werden:
- Bedrohungsakteure werden ihre Cyberangriffe auf kritische Infrastrukturen, einschließlich Energie, Gesundheitswesen und Bildung, verstärken.
- Aufgrund der sich weiterentwickelnden Taktiken, Techniken und Verfahren (TTPs) der Bedrohungen wird die mehrschichtige Identitätssicherheit wichtiger denn je.
- Identitätsbasierte Sicherheit wird auch in Zukunft ein wichtiger Faktor für operative Sicherheit und Widerstandsfähigkeit sein.
Hier erfahren Sie, was Sie über diese Trends wissen müssen.
Trend 1: Identitätsbasierte Angriffe auf kritische Infrastrukturen
Erinnern Sie sich noch an die Zeit, als Cyberangreifer behaupteten, Krankenhäuser und andere wichtige Behörden und Organisationen zu meiden? Diese Zeiten sind vorbei.
Betrachten Sie die Ransomware-Gruppe BlackCat/ALPHV als Vergeltung für die Unterbrechung ihres Betriebs durch das FBI Ende letzten Jahres. Die Gruppe informierte die angeschlossenen Unternehmen über ihr Ransomware-as-a-Service (RaaS) Programm: "[Sie] können jetzt Krankenhäuser, Atomkraftwerke, alles und überall blockieren."
Was treibt den Trend an?
Steigende geopolitische Spannungen und schlichte Habgier haben die Infrastruktur ins Fadenkreuz identitätsbasierter Angriffe gebracht.
Wenn es um den öffentlichen Sektorgeht - eineKategorie, die Polizei, medizinische Notdienste (EMS) und Traumazentren der Stufe 1, Wasser, Strom, Flughäfen, Häfen und andere "immer verfügbare" kritische Infrastrukturen umfasst -, "stehen nicht nur Dollar und Bitcoins auf dem Spiel. Menschenleben stehen auf dem Spiel", sagt Jeff Pitts, Semperis Public Sector Director.
Bundes- und bundesstaatliche, lokale und Bildungsorganisationen (SLED) in den USA und auf der ganzen Welt schlagen Alarm.
Der Jahresbericht 2023 des britischen National Cyber Security Center (NCSC) hebt "staatlich ausgerichtete Akteure als eine neue und aufkommende Cyber-Bedrohung für kritische nationale Infrastrukturen" hervor und stellt fest, dass die "Herausforderung global und systemisch ist". Von besonderer Bedeutung:
- Vom chinesischen Staat gesponserte Hacker nehmen US-Infrastruktur ins Visier
- Russische DDoS- und Wiper-Angriffe gegen die Ukraine
- Spear-Phishing-Kampagnen gegen Regierungs- und Bildungsziele von "Interesse" für den Iran
- "Zahlreiche nordkoreanische Cyberangriffe, auch auf Regierungsorganisationen
Das Five Eyes Intelligence Sharing Network - bestehend aus Geheimdienstmitarbeitern der USA, Großbritanniens, Kanadas, Australiens und Neuseelands - warnte ebenfalls davor, dass eine staatlich geförderte chinesische Gruppe, die als "Volt Typhoon" bekannt ist, kritische Infrastrukturen wie Telekommunikation, Transport und Bildung ins Visier nimmt.
"Da die Betreiber kritischer Infrastrukturen im Fadenkreuz von staatlich geförderten Gruppen stehen, sind Angriffe zu erwarten, die eine ganze Nation oder sogar die entwickelte Welt in Mitleidenschaft ziehen könnten", sagt Gil Kirkpatrick, Chief Architect bei Semperis.
"Organisationen müssen sich auf mögliche Cyberangriffe auf Regierungen und die Betreiber kritischer Infrastrukturen wie Kernkraftwerke, Stromnetze, Telekommunikationsnetze, Kläranlagen und mehr vorbereiten.
Nationalstaaten könnten Cyberangriffe nutzen, um die Kriegsführung vor Ort zu ergänzen, indem sie kritische Infrastrukturen oder Finanzsysteme stören...
Simon Hodgkinson, Strategischer Berater von Semperis
Simon Hodgkinson, ehemaliger CISO von bp und strategischer Berater von Semperis, stimmt dem zu. "Nationalstaaten könnten Cyberangriffe nutzen, um die Kriegsführung vor Ort zu ergänzen, indem sie z.B. kritische Infrastrukturen oder Finanzsysteme stören.
Darüber hinaus warnt er, dass sanktionierte "Nationen und Organisationen sich der Cyberkriminalität zuwenden könnten, um ihre Aktivitäten zu finanzieren - indem sie Unternehmen angreifen, die Lösegeld zahlen oder Kryptowährungen stehlen."
Was Sie tun können
Glücklicherweise, so Kirkpatrick, "werden der öffentliche und der private Sektor immer widerstandsfähiger" gegen identitätsbasierte Angriffe. Ein zunehmender Fokus auf ITDR ist der Schlüssel dazu.
Active Directory zum Beispiel, das den Zugriff auf praktisch alle Benutzer und Systeme in Umgebungen verwaltet, die es einschließen, ist in die meisten Cyberangriffe verwickelt. Die Sicherung von Active Directory ist daher der Schlüssel, um Angreifer zu identifizieren und zu stoppen, bevor sie Schaden anrichten können.
"[Kritische Infrastruktur-]Dienste sind anfällig für identitätsgesteuerte Cyberangriffe - typischerweise Active Directory -", erklärt Pitts.
Active Directory-Domänen-verbundene kritische Infrastruktursysteme, insbesondere SCADA-Systeme, müssen eine speziell entwickelte Plattform zur Verwaltung von Bedrohungen für Active Directory enthalten.
Jeff Pitts, Direktor für den öffentlichen Sektor, Semperis
"Active Directory-verbundene kritische Infrastruktursysteme, insbesondere SCADA-Systeme, müssen eine speziell entwickelte Plattform zur Verwaltung von Bedrohungen für Active Directoryenthalten", sagt Pitts. "Und die Betreiber solcher Systeme müssen in der Lage sein, Active Directoryim Falle einer lähmenden Cyberattacke innerhalb von Stunden - und nichtTagen - wiederherzustellen."
Trend 2: Sich entwickelnde identitätsbasierte Angriffs-TTPs
Die meisten Unternehmen erkennen die Notwendigkeit von Endpunktschutz, Multifaktor-Authentifizierung (MFA) und Benutzerschulung. Schließlich bevorzugen Angreifer Phishing und Social Engineering, um sich Zugang zu den Umgebungen der Opfer zu verschaffen.
Aber Bedrohungsakteure sind sehr erfinderisch. Da immer mehr Unternehmen MFA einsetzen oder sich weigern, Lösegeld zu zahlen, entwickeln Angreifer neue Wege, um die Abwehr zu umgehen und durch identitätsbasierte Angriffe Schaden anzurichten.
So hat die BlackCat-Gruppe vor kurzem eine Beschwerde über eines ihrer angeblichen Opfer bei der Securities and Exchange Commission (SEC) eingereicht, in der sie behauptet, das Unternehmen sei verletzt worden, und die Beschwerde dann dazu benutzt, entweder zusätzlichen Druck für eine Zahlung auszuüben oder als Warnschuss für zukünftige Ziele zu dienen.
Was treibt den Trend an?
Dieses Verhalten "ist in der sich ständig weiterentwickelnden Ransomware-Wirtschaft nicht überraschend", sagt Sean Deuby, Principal Technologist bei Semperis und Gastgeber des Hybrid Identity Protection (HIP) Podcast. MFA-Müdigkeitsangriffe sind beispielsweise sprunghaft angest iegen, seit mehr Unternehmen MFA einsetzen. Deuby erwartet für 2024 ein "kreativeres" Verhalten der Angreifer.
Selbst Benutzer mit einem hohen Maß an Sicherheitsbewusstsein können jetzt von solchen unglaublich gut ausgeklügelten Phishing-Versuchen überrascht werden.
Guido Grillenmeier, Leitender Technologe, Semperis
"Um vorherzusagen, was sich Cyberkriminelle als Nächstes einfallen lassen, folgen Sie einfach diesem einfachen Rezept", rät Deuby. "Maximieren Sie den Profit und minimieren Sie gleichzeitig den Zeit- und Arbeitsaufwand, streichen Sie jegliche Moral und fügen Sie eine Prise Vermeidung staatlicher Kontrolle hinzu."
Neue Technologien haben auch die Entwicklung der anfänglichen Zugangsmethoden der Angreifer beeinflusst, sagt Guido Grillenmeier, Principal Technologist bei Semperis.
"Künstliche Intelligenz ermöglicht es Cyberkriminellen, immer raffiniertere und überzeugendere Phishing-Kampagnen zu erstellen, die mit den Emotionen der Benutzer spielen. Selbst Benutzer mit einem hohen Sicherheitsbewusstsein können jetzt von solchen unglaublich gut ausgeklügelten Phishing-Versuchen überrumpelt werden."
Was Sie tun können
Um sich gegen die sich entwickelnden TTPs zu wehren, haben unsere Experten einen einfachen Ratschlag: Kehren Sie zu den Grundlagen zurück.
"Die zentralen Schwachstellen, die Angreifer nutzen, haben sich im Laufe der Jahre nicht verändert und werden immer noch erfolgreich ausgenutzt", bemerkt Grillenmeier. "Nehmen Sie Active Directory, den zentralen Identitätsdienst von Microsoft. Angreifer nutzen Active Directory, um sich Benutzerrechte zu verschaffen und tiefer in das Netzwerk ihres Opfers einzudringen."
Grillenmeier freut sich auf die kommende Version von Windows Server 2025, die zusätzliche Sicherheitsfunktionen in Active Directory einführen wird. "Es ist gut zu sehen, dass ein größerer Fokus auf den Identitätsschutz gelegt wird", sagt er.
Angreifer nutzen Active Directory, um Benutzerrechte zu erlangen und tiefer in das Netzwerk ihres Opfers einzudringen.
Guido Grillenmeier, Leitender Technologe, Semperis
In der Zwischenzeit muss die identitätsorientierte Sicherheit nicht mühsam sein. Unternehmen können damit beginnen, ein kostenloses Active Directory-Audit-Tool herunterzuladen wie Purple Knightherunterladen, das die hybride Active Directory-Umgebung (einschließlich Entra ID und Okta) schnell scannt und eine leicht verständliche Liste potenzieller Schwachstellen und Indikatoren für eine Gefährdung (IOCs) liefert.
Trend 3: Operative Ausfallsicherheit und identitätsorientierte Sicherheit
Unser dritter Trend ergibt sich aus den ersten beiden. Mit der zunehmenden Raffinesse von Cyberangriffen und dem wachsenden Wunsch, die Infrastruktur ins Visier zu nehmen, richten Bedrohungsakteure, die sich früher auf IT-Bedrohungen beschränkten, ihre Aufmerksamkeit auf die Betriebstechnologie (OT) und die Lieferketten. Das Ziel: lange genug unter dem Radar zu bleiben, um den Betrieb zu stören.
Was treibt den Trend an?
Traditionell haben IT- und OT-Teams getrennte Ziele und Schwerpunkte gehabt.
"Fachleute für Cybersicherheit konzentrieren sich in erster Linie auf die IT-Sicherheit", sagte Hodgkinson kürzlich dem Cyber Magazine. "Sie wollen Informationen vor Diebstahl schützen, unbefugten Zugriff auf IT-Systeme verhindern und Phishing-Angriffe auf ihre Benutzer unterbinden. OT-Ingenieure hingegen sind mit diesen Dingen weniger beschäftigt. Stattdessen konzentrieren sie sich auf Steuerungen und Sensoren, die physische Prozesse und Systeme beeinflussen.
"Als solche sind sie mit der Betriebszeit, der physischen Sicherheit und der Sicherheit beschäftigt. [Ein Hindernis für Sicherheitsexperten besteht darin, die kulturelle Kluft zu den OT-Ingenieuren zu überbrücken."
Der berüchtigte Angriff auf die Colonial Pipeline im Jahr 2021 ist ein frühes Beispiel für die Art von Cross-Over-Angriffen, von denen Experten erwarten, dass sie im Jahr 2024 zunehmen werden. (Es war auch ein früher Indikator für die Verlagerung der Angreifer auf kritische Infrastrukturen).
Was Sie tun können
"Es ist von entscheidender Bedeutung, dass die Betreiber kritischer nationaler Infrastrukturen Maßnahmen ergreifen, um zu verhindern, dass sich Angreifer in ihren Systemen verstecken", stellte NCSC-Direktor Paul Chichester letztes Jahr fest.
Der erste Schritt, so Deuby, besteht darin, "Ihre kritischen Systeme - einschließlich der Infrastruktur wie Active Directory - zu identifizieren, bevor es zu Angriffen kommt, und diese Systeme widerstandsfähiger zu machen".
Identifizieren Sie Ihre kritischen Systeme - einschließlich der Infrastruktur wie Active Directory - bevor Angriffe erfolgen.
Sean Deuby, leitender Technologe, Semperis
Auch die Segmentierung des Netzwerks und die Einteilung der Verwaltungsebene sind wichtige Schritte. Deuby empfiehlt, die IT- und Authentifizierungssysteme von den Prozesssteuerungssystemen zu isolieren und sicherzustellen, dass diese beiden Gruppen von Systemen jeweils eindeutige Anmeldeinformationen verwenden.
Mickey Bresman, CEO von Semperis, weist darauf hin, dass die Ausfallsicherheit der Identitätsinfrastruktur der Schlüssel zur allgemeinen betrieblichen Ausfallsicherheit ist. Schließlich versuchen Angreifer fast immer, in die Identitätsinfrastruktur einzudringen, um ihre Privilegien zu erweitern und sich einen erweiterten Zugang zu verschaffen.
"Was ist der Unterschied zwischen einem Unternehmen, das sich nach einem identitätsbezogenen Angriff in relativ kurzer Zeit wieder erholt, und einem Unternehmen, dessen Wiederherstellung sich über Tage oder Wochen hinzieht und dem Unternehmen enorme Kosten verursacht? Aus eigener Erfahrung weiß ich, dass der größte Unterschied in der Fähigkeit des Unternehmens besteht, den Wiederherstellungsprozess zu orchestrieren, zu automatisieren und zu testen."
Wissen ist Macht
Einblicke in Trends in der Cybersicherheit sowie in das Verhalten und die Motivation von Angreifern können Ihnen helfen, eine starke Cyber- und operative Verteidigungsstrategie zu entwickeln, um identitätsbasierte Angriffe abzuwehren. Sich auf das Schlimmste vorzubereiten ist keine Paranoia, sondern eine kluge und notwendige Maßnahme.
Brauchen Sie Hilfe bei der Entwicklung Ihrer Strategie? Unser Team für Breach Preparedness & Response Services kann Ihnen helfen.
