Vectra hat heute bekannt gegeben, dass viele globale Finanzdienstleistungsunternehmen Ziel von raffinierten Cyberangriffen sind, die versuchen, wichtige Daten und personenbezogene Informationen zu stehlen.
Zu den wichtigsten Erkenntnissen des neuen Spotlight-Berichts 2018 über Finanzdienstleistungen gehört, dass Cyberangreifer versteckte Tunnel bauen, um in Netzwerke einzudringen und wichtige Daten und persönliche Informationen zu stehlen. Diese Tunnel werden genutzt, um einen Angriff aus der Ferne zu steuern (Command-and-Control) und Daten zu stehlen (Exfiltration) und dabei weitgehend unentdeckt zu bleiben.
"Cyberangreifer sind weiterhin innovativ und nutzen versteckte Tunnel, um sich in den normalen Datenverkehr einzuschleichen, strenge Zugangskontrollen zu umgehen und Finanzdaten zu exfiltrieren", so Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. "Der Vectra-Bericht gibt Einblicke in dieses Verhalten der Angreifer und zeigt auf, wozu Cyberkriminelle bereit sind, um persönliche und private Finanzdaten zu stehlen."
Der Vectra-Bericht zeigt, dass die Zahl der Sicherheitsverletzungen in verschiedenen Branchen weiter zunimmt, und die Finanzdienstleistungsbranche bildet hier keine Ausnahme. Auch wenn Finanzdienstleister nicht so häufig von Sicherheitsverletzungen betroffen waren wie andere Branchen, sind sie als lukrative Ziele von Cyberangreifern, die auf der Suche nach einem Gewinn sind, immer noch einem erheblichen Risiko ausgesetzt.
Vectra fand in der gesamten Finanzdienstleistungsbranche dieselbe Art von Angreiferverhalten vor, das 2017 zu dem Datenschutzverstoß bei Equifax führte. Der Equifax-Datenbruch führte zum Diebstahl von Führerscheinnummern, E-Mail-Adressen, Sozialversicherungsnummern und anderen persönlichen Informationen von 145,6 Millionen Verbrauchern, wie das Unternehmen bei der Securities and Exchange Commission (SEC) angab. Nach der Sicherheitsverletzung blieb sie Berichten zufolge 78 Tage lang unentdeckt.
Die Informationen im Spotlight-Bericht 2018 von Vectra basieren auf Beobachtungen und Daten aus der 2018 RSA Conference Edition des Attacker Behavior Industry Report. Der Bericht offenbart Angreiferverhalten und Trends in Netzwerken von 246 Opt-in-Kunden aus dem Finanzdienstleistungssektor und 13 weiteren Branchen.
Von August 2017 bis Januar 2018 überwachte die Cognito-Plattform von Vectra zur Erkennung von Cyberangriffen und zur Suche nach Bedrohungen den Netzwerkverkehr und sammelte Metadaten von mehr als 4,5 Millionen Geräten und Workloads von Kunden cloud, Rechenzentren und Unternehmensumgebungen. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für Geschäftsrisiken und ermöglicht es den Kunden von Vectra, katastrophale Datenverletzungen zu vermeiden.
"Jede Branche hat ein Profil von Netzwerk- und Benutzerverhalten, das sich auf bestimmte Geschäftsmodelle, Anwendungen und Benutzer bezieht", sagt Chris Morales, Leiter der Sicherheitsanalyse bei Vectra. "Angreifer ahmen diese Verhaltensweisen nach und passen sich ihnen an, so dass sie schwer zu enttarnen sind."
"Was am meisten auffällt, ist das Vorhandensein von versteckten Tunneln, die Angreifer nutzen, um strenge Zugangskontrollen, Firewalls und Intrusion Detection Systeme zu umgehen", so Morales weiter. "Dieselben versteckten Tunnel ermöglichen es Angreifern, sich mit gestohlenen Daten unbemerkt aus dem Netzwerk zu schleichen."
Zu den wichtigsten Ergebnissen des Berichts gehören:
Cognito Detect und sein ebenso leistungsfähiges KI-Gegenstück, Cognito Recall, sind die Eckpfeiler der Cognito-Plattform. Cognito Detect automatisiert die Echtzeit-Erkennung von versteckten Angreifern in cloud und Rechenzentrums-Workloads sowie in Benutzer- und Internet-of-Things-Geräten und bietet mit Cognito Recall einen logischen Ausgangspunkt für die Durchführung von KI-gestützten threat hunting und schlüssigen Vorfallsuntersuchungen.
Die Daten im Spotlight-Bericht basieren auf anonymisierten Metadaten von Vectra-Kunden, die sich für die Weitergabe von Erkennungsmetriken entschieden haben. Die Cognito-Plattform identifiziert Verhaltensweisen, die auf laufende Angriffe hindeuten, indem sie den gesamten Datenverkehr und relevante Protokolle direkt überwacht, einschließlich des Datenverkehrs zum und vom Internet, des internen Datenverkehrs zwischen Netzwerkgeräten und virtualisierten Workloads in privaten Rechenzentren und öffentlichen Clouds. Diese Analyse bietet wichtige Einblicke in fortgeschrittene Phasen von Angriffen.