Ransomware

Break the Attack Chain: Der einleitende Schachzug

Share with your network!

Die Bedrohungslandschaft war schon immer dynamisch, doch die Veränderungen finden seit einem Jahr in einem Tempo statt, wie es Sicherheitsexperten noch nie zuvor beobachtet haben. Bedrohungen konzentrieren sich heute weniger auf die Infrastruktur als vielmehr auf Menschen.

Doch damit noch nicht genug. Während es sich bei Cyberangriffen früher um einzelne Aktionen handelte, finden sie heute fast immer in mehreren Phasen statt. Genau genommen folgen heutige Bedrohungen den immer gleichen Spielregeln: Initial-Kompromittierung, laterale Bewegungen und Auswirkung.

Dieser Ansatz erhöht die Wahrscheinlichkeit für größeren Schaden, bietet Sicherheitsteams jedoch auch mehr Möglichkeiten, Cyberangriffe zu erkennen und zu stoppen. Mit geeigneten Schutzmaßnahmen an den richtigen Stellen entlang der Angriffskette können Sie Cyberkriminelle abwehren und stoppen, bevor sie ihr eigentliches Ziel erreichen.

Dazu müssen Sie zunächst den einleitenden Schachzug verstehen: Wie versuchen Bedrohungsakteure, an Ihren König – in diesem Fall Ihre Netzwerke und Daten – zu gelangen? Und mit welchen Maßnahmen können Sie das verhindern?

Grundlegendes zu den Spielregeln

Die Schach-Parallelen lassen sich auch auf die neuesten Entwicklungen der Bedrohungslandschaft anwenden, bei denen Ihre Verteidigungstaktiken eine angepasste Angriffsmethode provozieren. Ein hervorragendes Beispiel dafür ist die Multifaktor-Authentifizierung (MFA).

In den vergangenen Jahren konzentrierten sich Sicherheitsexperten beim Schutz von Konten und Anmeldedaten auf MFA. Als Reaktion darauf entwickelten Bedrohungsakteure Spoofing-Methoden, mit denen sie MFA umgehen und sogar missbrauchen können. Das geht sogar so weit, dass MFA-Umgehung als Standardtaktik bei Anmeldedaten-Phishing gegen Unternehmen betrachtet werden kann. Cyberkriminelle setzen zunehmend auf frei verkäufliche Standard-Kits, mit denen sie per Adversary-in-the-Middle (AiTM) digital Systeme abhören und Anmeldedaten stehlen können.

Auch Methoden, bei denen die Anwender eine aktive Rolle spielen, haben zugenommen. Eine dieser Methoden, die als TOAD (Telephone-Oriented Attack Delivery, Angriff per Telefon) bezeichnet wird, kombiniert Voice-Phishing (Vishing)- und E-Mail-Phishing-Techniken, um Opfer zur Preisgabe vertraulicher Informationen wie Anmeldedaten und Finanzinformationen zu verleiten.

Ganz gleich, welche Methode die Cyberkriminellen verwenden – in dieser Phase besteht das Ziel immer darin, Ihre Schutzmaßnahmen zu überwinden und die nächste Angriffsphase zu starten. Daher ist der einleitende Schachzug eine kritische Phase im Lebenszyklus einer Cyberbedrohung.

Heutige Bedrohungsakteure sind Experten darin, nach dem Eindringen in die angegriffenen Netzwerke unentdeckt zu bleiben. Sie wissen, wie sie sich tarnen müssen, um sich unbemerkt lateral bewegen und ihre Berechtigungen eskalieren zu können. Wenn ein Angriff in dieser Phase erfolgreich ist, hat das betroffene Unternehmen ein großes Problem. Aber keine Panik: Je besser Sie die aktuellen Taktiken von Cyberkriminellen verstehen, desto besser können Sie Ihre Schutzmaßnahmen anpassen, um sie zu stoppen, bevor erheblicher Schaden entsteht.

Die Konter

Die beste Möglichkeit zum Stoppen von Cyberkriminellen ergibt sich vor und während der Initial-Kompromittierung. Wenn Sie den einleitenden Schachzug effektiv kontern, bleiben böswillige Akteure dort, wohin sie gehören – außerhalb Ihres Perimeters.

Wenig überraschend beginnen die meisten Bedrohungen im Posteingang. Daher gilt: Je zuverlässiger Sie schädliche Nachrichten stoppen können, bevor sie Ihre Mitarbeiter erreichen, desto besser.

Diesbezüglich gibt es kein Allheilmittel. KI-gestützter E-Mail-Schutz kommt dem jedoch recht nahe. Proofpoint Email Protection ist die einzige Bedrohungsschutzlösung, die auf künstlicher Intelligenz sowie Machine Learning basiert und in der Lage ist, aktuelle hochentwickelte Angriffe abzuwehren.

Proofpoint Email Protection verwendet Billionen Datenpunkte, um Business Email Compromise (BEC), Phishing, Ransomware, Supply-Chain-Attacken und vieles mehr zu erkennen und zu blockieren. Die Lösung korreliert Bedrohungsdaten aus den Bereichen E-Mail, Cloud und Netzwerke, damit Sie neuen und dynamischen Bedrohungen gegen Ihre Mitarbeiter immer einen Schritt voraus bleiben.

Allerdings ist kein Schutz unüberwindbar. Sicherheitsteams müssen heute davon ausgehen, dass einige Bedrohungen tatsächlich in die Posteingänge gelangen. Bereiten Sie daher Ihre Mitarbeiter darauf vor, wie sie sich in diesem Fall verhalten müssen, um Ihre wichtigste Verteidigungslinie bilden zu können.

Für die Vorbereitung auf den Ernstfall müssen Sie genau wissen, welche Anwender in Ihrem Unternehmen angegriffen werden – und zwar wann, wo und wie. Sobald Sie Ihre am häufigsten angegriffenen Anwender (Ihre Very Attacked People™ bzw. VAPs) identifiziert haben, müssen Sie bewerten, welche von ihnen am stärksten gefährdet sind. Das können Anwender sein, die über umfangreiche Berechtigungen verfügen, bei Sicherheitsschulungen schlecht abschneiden oder auf simulierte Phishing-Angriffe hereinfallen.

All diese Informationen helfen Ihnen, Ihre Schutzmaßnahmen anzupassen und auf die Bereiche auszurichten, in denen sie besonders benötigt werden. Wenn Sie Ihre Mitarbeiter und deren Posteingänge schützen und mithilfe von gezielten Security-Awareness-Schulungen ihr Verhalten ändern, stehen die Chancen gut, dass Ihr König geschützt bleibt.

Ebenso wie Schach ist Cybersicherheit jedoch ein Katz-und-Maus-Spiel, bei dem jeder Zug einen Gegenzug provoziert und beide Seiten häufiger im Schach stehen, bevor das endgültige Schachmatt erreicht werden kann. Deshalb ist es auch so wichtig, Ihre Netzwerke und Daten vom einleitenden Schachzug bis zum letzten Spielzug zu verteidigen.

Fanden Sie diesen Blog-Beitrag interessant?

Weitere Informationen dazu, wie Sie die Angriffskette unterbrechen und Ihre Mitarbeiter mit personenzentrierten Sicherheitsmaßnahmen schützen können, erhalten Sie in unserem Webinar „Break the Attack Chain Part 1: The Opening Gambit“ (Break the Attack Chain. Teil 1: Der einleitende Schachzug).

Weitere Informationen zu Proofpoint Email Protection erhalten Sie hier. Und denken Sie daran, in der nächsten Woche wieder vorbeizuschauen, wenn es darum gehen wird, wie Sie die zweite Phase der Angriffskette – laterale Bewegungen und Rechteerweiterung – unterbrechen können.