Vectra® Networks, der führende Anbieter für automatisiertes Bedrohungsmanagement, hat heute die Ergebnisse seines neuesten Post-Intrusion-Reports bekannt gegeben, einer praxisnahen Studie über Bedrohungen, die den Perimeter-Schutz umgehen, und darüber, was Angreifer tun, sobald sie in Ihr Netzwerk eingedrungen sind.
Für den Bericht wurden Daten von 120 Vectra-Kundennetzwerken mit mehr als 1,3 Millionen Hosts im ersten Quartal 2016 analysiert, was einer Verdreifachung gegenüber dem vorherigen Bericht entspricht, in dem 40 Kundenorganisationen analysiert wurden.
Im aktuellen Bericht zeigten alle Organisationen Anzeichen für gezielte Angriffe, einschließlich interner Aufklärung, seitlicher Bewegung oder Datenexfiltration. Von den 120 teilnehmenden Unternehmen stellten 117 in jedem Monat der Studie mindestens eines dieser Verhaltensweisen fest.
Obwohl fast 98 Prozent der Unternehmen während des dreimonatigen Zeitraums mindestens ein Verhalten pro Monat entdeckten, stellten die Forscher fest, dass tiefer in der Kill Chain weniger Entdeckungen zu verzeichnen waren. So war beispielsweise die Datenexfiltration - das bei weitem gefährlichste Verhalten - mit 3 Prozent die niedrigste aller Kategorien.
"Diese Daten zeigen, dass Sicherheitsteams, die sich auf die aktive Phase eines Netzwerkangriffs konzentrieren, das Risiko eines Datendiebstahls erfolgreich verringern", so Günter Ollmann, CSO bei Vectra Networks. "Sie reagieren schneller und schalten Angriffe ab, bevor kritische Daten aus ihren Netzwerken extrahiert werden und ein echter Schaden entsteht."
Die Forscher fanden heraus, dass nicht nur Command-and-Control (C&C)-Angriffe zunehmen und 67 Prozent der Entdeckungen ausmachen, sondern dass auch die Verwendung von HTTP- und HTTPS-C&C für versteckte Tunnel in diesem Jahr einen deutlichen Sprung gemacht hat.
HTTP- und HTTPS-C&C ist eine aufkommende Technik, die es raffinierten Angreifern ermöglicht, versteckte Nachrichten weiterzuleiten und Daten innerhalb von Protokollen zu stehlen, die im Allgemeinen nicht von Perimeter-Firewalls blockiert werden.
HTTP- und HTTPS-Tunnel machten zusammen 7,6 Prozent aller C&C-Entdeckungen aus und waren damit die dritthäufigste C&C-Technik insgesamt. Dieser Trend blieb auch erhalten, wenn man die Anzahl der überwachten Hosts normalisierte. Versteckte C&C-Tunnel wurden 4,9 Mal pro 1.000 Hosts beobachtet, was einem Anstieg von 2,1 Mal pro 1.000 Hosts im vorherigen Bericht entspricht.
Die seitliche Bewegung, die es Angreifern ermöglicht, sich von Osten nach Westen auszubreiten, um Informationen zu sammeln, ist von 34 Prozent der gesamten Entdeckungen im Jahr 2015 auf etwa 8,6 Prozent der gesamten Entdeckungen in diesem Jahr deutlich zurückgegangen.
Sobald sie jedoch in das Netzwerk eingedrungen sind, scheinen die Angreifer ruhiger zu werden. Brute-Force-Angriffe - die beliebteste Technik im letzten Jahr - sind deutlich zurückgegangen, während das Verhalten von Kerberos-Clients und automatisierten Replikationen im Vergleich zum letzten Jahr zugenommen hat und bei 36,3 Prozent der Entdeckungen von Querbewegungen liegt.
"Da Brute-Force-Techniken so laut sind, versuchen erfahrenere und geschicktere Angreifer zuerst andere Zugriffstechniken - vorzugsweise automatisierbare Techniken, die sich nur schwer vom normalen Netzwerkverkehr unterscheiden lassen und bei denen es unwahrscheinlich ist, dass Ausfälle bemerkt werden", so Ollmann.
"Wie unsere Ergebnisse zeigen, gehören öffentliche Enthüllungen von Kerberos-Schwachstellen und neue Angriffstools, die die Ausnutzung automatisieren können, jetzt zum Arsenal der Hacker", fuhr er fort. "Sobald geeignete Kerberos-Schlüssel erstellt und administrative Konten geknackt sind, ist der Prozess der Kompromittierung anderer Hosts im Netzwerk des Opfers einfach und mechanisch."
Im Bereich des Botnet-Verhaltens bleibt der Klickbetrug mit 58,1 Prozent die führende Technik. Obwohl Botnet-Infektionen für Unternehmen ein geringeres Risiko darstellen als gezielte Angriffe, sind sie keineswegs risikofrei.
In diesem Jahr war ein proportionaler Anstieg von Denial-of-Service, Brute-Force-Angriffen und Port-Scans zu verzeichnen. Diese Botnet-Verhaltensweisen sind für Unternehmen von Bedeutung, da sie erhebliche Auswirkungen auf den Ruf des Netzwerks haben können. Zusammengenommen machen diese Entdeckungen 27 Prozent der Botnet-Ereignisse aus, mehr als doppelt so viel wie die zuvor beobachteten 12 Prozent.
Eine Kopie des Post-Intrusion-Reports steht unter info.vectranetworks.com/post-intrusion-report-2016 zum Download bereit.
Vectra® Networks ist der führende Anbieter von automatisierten Bedrohungsmanagement-Lösungen für die Echtzeit-Erkennung von laufenden Cyber-Angriffen. Die Lösung des Unternehmens korreliert automatisch Bedrohungen mit Hosts, die angegriffen werden, und liefert einzigartige Informationen darüber, was Angreifer tun, sodass Unternehmen Verluste schnell verhindern oder abmildern können. Vectra priorisiert die Angriffe, die das größte Geschäftsrisiko darstellen, und ermöglicht es Unternehmen, schnell zu entscheiden, worauf sie Zeit und Ressourcen konzentrieren müssen. Im Jahr 2015 wurde Vectra von Gartner als "Cool Vendor in Security Intelligence" ausgezeichnet, weil es die Herausforderungen bei der Erkennung von Bedrohungen nach einem Einbruch meistert. Bei den American Business Awards wurde Vectra außerdem mit dem Gold Award für das Tech-Startup des Jahres 2015 ausgezeichnet. Zu den Investoren von Vectra gehören Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures und DAG Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien, und die regionale Europazentrale in Zürich, Schweiz. Weitere Informationen finden Sie unter www.vectranetworks.com.
###
Vectra und das Vectra Networks-Logo sind eingetragene Marken und Security that thinks, die Vectra Threat Labs und der Threat Certainty Index sind Marken von Vectra Networks. Andere Marken-, Produkt- und Dienstleistungsnamen sind Marken, eingetragene Marken oder Dienstleistungsmarken der jeweiligen Inhaber.