{"id":22895,"date":"2023-03-13T11:19:00","date_gmt":"2023-03-13T10:19:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22895"},"modified":"2023-02-27T09:41:46","modified_gmt":"2023-02-27T08:41:46","slug":"angreifer-nutzen-hochkaraetige-zero-days-immer-schneller-aus","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22895","title":{"rendered":"Angreifer nutzen hochkar\u00e4tige Zero Days immer schneller aus"},"content":{"rendered":"\n

Autor\/Redakteur: Sergej Epp, Chief Security Officer f\u00fcr Zentral Europa bei Palo Alto Networks<\/a>\/gg<\/p>\n\n\n\n

Was die Cybersicherheit angeht, besteht heute ein Risiko f\u00fcr Regierungsinstitutionen, Unternehmen und private Haushalte gleicherma\u00dfen. Digitale Systeme bestimmen den Alltag. Die Infrastruktur, die Wirtschaft und das Gesundheitswesen sind zunehmend davon abh\u00e4ngig. Umso wichtiger ist es, Strategien und Ressourcen aufeinander abzustimmen, um die Risiken und Bedrohungen bestm\u00f6glich einzud\u00e4mmen. Es ist wichtig zu erkennen, dass die Cybersicherheit nicht mehr nur in der Verantwortung einiger weniger liegt. Sie erfordert die st\u00e4ndige Wachsamkeit und die Bem\u00fchungen aller, ob in der Beh\u00f6rde, im Unternehmen oder im Home-Office. Letztlich geht es darum, die Bereitschaft zu verbessern, einen Cyberangriff ohne gr\u00f6\u00dfere Folgen zu \u00fcberstehen.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Palo Alto Networks<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Um vorbereitet zu sein, m\u00fcssen vor allem Unternehmen zun\u00e4chst verstehen, womit sie es zu tun haben. Der 2022 Unit 42 Incident Response Report<\/a> gibt Aufschluss \u00fcber die Risiken und Bedrohungen, mit denen Unternehmen konfrontiert sind. Er bietet Einblicke in Angreifer und ihre Methoden, die dabei helfen k\u00f6nnen, potenzielle L\u00fccken in der Verteidigung zu identifizieren, um die Cybersicherheit zu verbessern.<\/p>\n\n\n\n

BEC (Business Email Compromise) und Ransomware dominieren<\/strong><\/p>\n\n\n\n

BEC (Business Email Compromises) und Ransomware waren die h\u00e4ufigsten Arten von Sicherheitsvorf\u00e4llen im Jahr 2022, die von Unit 42 bearbeitet wurden. Beide Arten von Angriffen sind weit verbreitet, weil sie kriminellen Gruppen schnelles und leichtes Geld einbringen. Diese Angriffe dienen nicht nur dazu, die Taschen der Angreifer zu f\u00fcllen, sondern k\u00f6nnen auch dazu genutzt werden, um nachfolgende kriminelle Handlungen zu finanzieren, einschlie\u00dflich solcher, die von Nationalstaaten gesponsert werden.<\/p>\n\n\n\n

Insbesondere Ransomware ist f\u00fcr die Cybersicherheitsbranche \u2013 aufgrund der potenziell gravierenden Auswirkungen f\u00fcr die Kunden \u2013 seit Jahren ein Schwerpunktbereich. Ransomware-Angreifer erlangen die Kontrolle \u00fcber wichtige Daten und Ressourcen und nutzen diese Kontrolle dann, um von ihren Opfern hohe Zahlungen zu erzwingen. Leider sind diese Angriffe mit dem Aufkommen von Ransomware-as-a-Service-Angeboten (RaaS) noch einfacher geworden.<\/p>\n\n\n\n

Softwareschwachstellen bleiben bevorzugtes Einfallstor<\/strong><\/p>\n\n\n\n

Laut der Studie sind Softwareschwachstellen nach wie vor eine der wichtigsten M\u00f6glichkeiten f\u00fcr Angreifer, sich Zugang zu verschaffen. Dies unterstreicht zwar die Notwendigkeit, mit einer gut definierten Strategie f\u00fcr das Patch-Management zu arbeiten. Die Forscher von Unit 42 haben aber auch etwas Anderes beobachtet: Angreifer nutzen immer schneller hochkar\u00e4tige Zero-Day-Schwachstellen aus, was den Zeitdruck auf Unternehmen weiter erh\u00f6ht, wenn eine neue Schwachstelle bekannt wird.<\/p>\n\n\n\n

Der 2022 Unit 42 Incident Response Report analysiert mehr als 600 Incident-Response-F\u00e4lle des vergangenen Jahres, um wichtige Muster und Trends zu identifizieren. Er enth\u00e4lt detaillierte Informationen \u00fcber das Verhalten von Angreifern, die auch aus einer Reihe von Interviews mit erfahrenen Incident-Respondern gewonnen wurden. Sicherheitsteams k\u00f6nnen diese Erkenntnisse nutzen, um Ressourcen zu priorisieren und Cybersicherheitsl\u00fccken zu schlie\u00dfen, nach denen Angreifer suchen und die sie h\u00e4ufig ausnutzen. Im Bericht finden sich auch Erkenntnisse und Statistiken \u00fcber die vermutete Art des Erstzugriffs und die von Angreifern am h\u00e4ufigsten ausgenutzten Schwachstellen. Der Bericht zeigt auch auf, wie sich das Verhalten der Angreifer in Bezug auf Zero-Day-Schwachstellen ver\u00e4ndert.<\/p>\n\n\n\n

H\u00e4ufigste Zugangsvektoren und ausgenutzte Schwachstellen<\/strong><\/p>\n\n\n\n

Softwareschwachstellen sind nach wie vor einer der am h\u00e4ufigsten beobachteten Zugangsvektoren f\u00fcr Angreifer. Die Forscher fanden heraus, dass sie in 37 Prozent der F\u00e4lle der vermutete Erstzugriffsvektor des Eindringens waren, gefolgt von Phishing (31 Prozent), Brute-Force-Angriffen auf Zugangsdaten (neun Prozent), zuvor kompromittierten Zugangsdaten (sechs Prozent) sowie Insiderbedrohungen und Social Engineering (jeweils f\u00fcnf Prozent).<\/p>\n\n\n\n\n\n\n\n

Von den am h\u00e4ufigsten f\u00fcr den Erstzugang ausgenutzten Schwachstellen, die die Befragten eindeutig identifizieren konnten, entfielen \u00fcber 87 Prozent auf eine der folgenden sechs CVE-Kategorien: Proxyshell (55 Prozent), Log4j (14 Prozent), SonicWall (sieben Prozent), ProxyLogon (f\u00fcnf Prozent), Zoho ManageEngine ADSelfService Plus (vier Prozent) und Fortinet (drei Prozent).<\/p>\n\n\n\n

Zu beachten ist, dass zu den Top-Kategorien Log4j und Zoho ManageEngine ADSelfService Plus geh\u00f6ren, bei denen es sich um hochkar\u00e4tige Zero-Day-Schwachstellen handelt, die Ende 2021 erstmals bekannt wurden. Jedes Mal, wenn eine neue Sicherheitsl\u00fccke bekannt wird, beobachtet das Threat Intelligence-Team von Palo Alto Networks eine umfangreiche Suche nach anf\u00e4lligen Systemen. Die Sicherheitsberater stellen auch fest, dass Angreifer \u2013 von versierten Profis bis hinunter zu Skript-Kiddies \u2013 schnell handeln, um \u00f6ffentlich verf\u00fcgbare PoCs auszunutzen und Exploits-Versuche zu starten.<\/p>\n\n\n\n

Verf\u00fcgbare Zeit f\u00fcr Patches wird k\u00fcrzer<\/strong><\/p>\n\n\n\n

W\u00e4hrend einige Angreifer weiterhin auf \u00e4ltere, ungepatchte Schwachstellen zur\u00fcckgreifen, stellen die Forscher zunehmend fest, dass die Zeit von der Schwachstelle bis zur Ausnutzung immer k\u00fcrzer wird. Sie kann sogar praktisch mit der Enth\u00fcllung zusammenfallen, wenn die Schwachstellen selbst und der Zugang, der durch ihre Ausnutzung erreicht werden kann, bedeutend genug sind. So ver\u00f6ffentlichte Palo Alto Networks eine Threat Prevention-Signatur f\u00fcr die F5 BIG-IP Authentication Bypass-Schwachstelle (CVE-2022-1388)<\/a>, die innerhalb von nur zehn Stunden 2.552 Mal durch Schwachstellen-Scans und aktive Exploit-Versuche ausgel\u00f6st wurde.<\/p>\n\n\n\n

Der 2021 Attack Surface Management Threat Report<\/a> fand heraus, dass Angreifer in der Regel innerhalb von 15 Minuten nach Bekanntgabe einer CVE mit dem Scannen nach Schwachstellen beginnen. Hinzu kommt, dass Systeme, die am Ende ihres Lebenszyklus stehen, nicht gepatcht werden k\u00f6nnen und einem opportunistischen Angreifer zur Ausnutzung zur Verf\u00fcgung stehen. Derselbe Bericht ergab beispielsweise, dass fast 32 Prozent der gef\u00e4hrdeten Unternehmen die EoL-Version von Apache Web Server einsetzen, die f\u00fcr die Remotecodeausf\u00fchrung durch die Sicherheitsl\u00fccken CVE-2021-41773 und CVE-2021-42013 offen ist. Unit 42 geht davon aus, dass sich dieser Trend fortsetzen und durch die kontinuierliche Zunahme der dem Internet ausgesetzten Angriffsfl\u00e4che noch verst\u00e4rkt werden wird.<\/p>\n\n\n\n

Schlussfolgerung<\/strong><\/p>\n\n\n\n

Unternehmen haben sich vielleicht daran gew\u00f6hnt, dass zwischen dem Bekanntwerden einer Schwachstelle und dem Patchen Zeit vergeht. Es ist immer noch notwendig, Patches mit der n\u00f6tigen Sorgfalt zeitnah durchzuf\u00fchren. Die F\u00e4higkeit von Angreifern, das Internet auf der Suche nach anf\u00e4lligen Systemen zu scannen, zeigt, dass es wichtiger denn je ist, die Zeit bis zum Patchen zu verk\u00fcrzen. Unternehmen m\u00fcssen das Patch-Management und die Patch-Orchestrierung verst\u00e4rken, um diese bekannten L\u00fccken so schnell wie m\u00f6glich zu schlie\u00dfen. Eine L\u00f6sung f\u00fcr das Angriffsfl\u00e4chenmanagement kann Unternehmen dabei helfen, anf\u00e4llige, dem Internet ausgesetzte Systeme zu identifizieren, und Systeme aufzusp\u00fcren, von denen h\u00e4ufig gar nicht bekannt ist, dass sie im Netzwerk laufen.<\/p>\n\n\n\n

Wenn es zu einem Angriff kommt, sind Unternehmen stark gef\u00e4hrdet. Es ist daher wichtig, schnell zu handeln, bevor der Vorfall eskaliert, um die Auswirkungen zu minimieren und den Gesch\u00e4ftsbetrieb schneller wiederaufzunehmen. Unternehmen sollten daher Tools in Betracht ziehen, die die automatische Behebung von Ereignissen unterst\u00fctzen und vorgefertigte Playbooks zur Reaktion und Wiederherstellung nach Vorf\u00e4llen nutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Was die Cybersicherheit angeht, besteht heute ein Risiko f\u00fcr Regierungsinstitutionen, Unternehmen und private Haushalte gleicherma\u00dfen. Digitale Systeme bestimmen den Alltag. Die Infrastruktur, die Wirtschaft und das Gesundheitswesen sind zunehmend davon abh\u00e4ngig. Umso wichtiger ist es, Strategien und Ressourcen aufeinander abzustimmen, um die Risiken und Bedrohungen bestm\u00f6glich einzud\u00e4mmen. Es ist wichtig zu erkennen, dass die Cybersicherheit nicht mehr nur in der Verantwortung einiger weniger liegt. Sie erfordert die st\u00e4ndige Wachsamkeit und die Bem\u00fchungen aller, ob in der Beh\u00f6rde, im Unternehmen oder im Home-Office. Letztlich geht es darum, die Bereitschaft zu verbessern, einen Cyberangriff ohne gr\u00f6\u00dfere Folgen zu \u00fcberstehen.<\/p>\n","protected":false},"author":1,"featured_media":22897,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[17098,1038,17097,2735,5385],"class_list":["post-22895","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-2022-unit-42","tag-f5","tag-incident-response-report","tag-palo-alto-networks","tag-zero-day"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22895","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22895"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22895\/revisions"}],"predecessor-version":[{"id":22898,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22895\/revisions\/22898"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22897"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22895"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22895"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22895"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}