Bedrohungsakteure stehlen "White Hat"-Werkzeuge, aber FireEye veröffentlicht Gegenmaßnahmen, um der Cybersicherheitsgemeinschaft zu helfen, deren Einsatz zu vereiteln.

Der Cyberangriff auf FireEye, der Anfang dieser Woche aufgedeckt wurde, erhöht das Cyberrisiko für alle Organisationen. Doch dank des Informationsaustauschs und der von FireEye ausgelösten Gegenmaßnahmen können Cybersicherheitsexperten ein erhöhtes Bedrohungsniveau vorhersehen und eindämmen.

Wie weithin berichtet wurde, gab FireEye nach dem Börsenschluss am Dienstag bekannt, dass ein Cyberattacker - höchstwahrscheinlich ein Nationalstaat - auf die Tools von Red Team zugegriffen habe, die das Unternehmen normalerweise verwendet, um die Sicherheit seiner eigenen Kunden zu testen. Dabei handelt es sich um Tools, die FireEye mit Erlaubnis der Kunden rechtmäßig verwendet, um "White-Hat"-Angriffe durchzuführen, die die Cyber-Resilience einer Organisation testen. Obwohl sie sich im Detail unterscheiden, ähneln sie vom Konzept her den Phishing-Simulationstools, die von Unternehmen angeboten werden, um das Cyber-Sicherheitsbewusstsein der Mitarbeiter zu testen.

In seiner öffentlichen Bekanntmachung schrieb Kevin Mandia, CEO von FireEye, dass die Angreifer "eine neuartige Kombination von Techniken anwandten, die weder von uns noch von unseren Partnern in der Vergangenheit beobachtet wurden". Diese Techniken vereitelten die Gegensicherheitswerkzeuge und die forensische Untersuchung und halfen den Cyberangreifern, unentdeckt zu operieren. Laut der New York Times gehörte dazu auch die Verwendung Tausender neu registrierter IP-Adressen, die noch nie zuvor für Angriffe verwendet worden waren.[1] Mandia sagte, es gebe keine Beweise dafür, dass Kundendaten kompromittiert worden seien; wenn aber welche auftauchen, werden die betroffenen Kunden direkt kontaktiert.

Was FireEye tut, um Organisationen bei der Erhöhung der Cyber-Resilience zu helfen

Mandia fuhr fort, eine Reihe von Maßnahmen aufzulisten, die FireEye ergreift, um Kunden und der breiteren Cybersicherheitsgemeinschaft dabei zu helfen, sich zu schützen, sollten Cyberangreifer beginnen, die gestohlenen Werkzeuge zu benutzen. Bis heute hat das Unternehmen jedoch keine Beweise dafür gefunden, dass die Tools eingesetzt wurden. FireEye verriet nicht, wann genau der Angriff stattgefunden hat.

Zu den Aktionen von FireEye gehören:

  • Entwicklung von mehr als 300 Gegenmaßnahmen, die zur Verteidigung gegen die Instrumente des Roten Teams eingesetzt werden können,
  • diese Gegenmaßnahmen in seine eigenen Produkte zu integrieren, und
  • Sie über GitHub der gesamten Cybersicherheitsgemeinschaft zur Verfügung zu stellen.

Zusätzliche Gegenmaßnahmen zur Erhöhung Ihrer Cyber-Resilience

Darüber hinaus bemerkte Carl Wearn, Head of Risk & Resilience, E-Crime & Cyber Investigation bei Mimecast, dass es wichtig ist, den immer wieder empfohlenen Cyberhygiene-Grundsätzen - die zu viele Organisationen ignorieren - große Aufmerksamkeit zu schenken. Dazu gehören:

  • Streng begrenzte Zugangskontrollen
  • Robuster Phishing-Schutz und Anti-Phishing-Aufklärungsprogramme
  • Verwendung der Multi-Faktor-Authentifizierung (MFA)
  • Ein starkes Passwort-Regime
  • Regelmäßiges und rechtzeitiges Patchen kritischer Verwundbarkeiten (da diese am routinemäßigsten von solchen Werkzeugen angegangen werden)

"Organisationen sollten besonderes Augenmerk auf Fernzugriffstools wie RDP-Prozesse (Remote Desktop Protocol) und Netzwerkverkehr legen, um ausbeuterisches Eindringen oder Exfiltration zu verhindern", sagte Wearn. "Dies sind Abhilfemaßnahmen, die Organisationen auf jeden Fall nutzen sollten, da sich die Bedrohungsakteure weiterhin stark auf RDP-Prozesse und -Ausbeutungen konzentrieren".

Wie Mimecast sich selbst und seine Kunden schützt

Intern hat Mimecast auf der Grundlage der bisher übermittelten Informationen geeignete Maßnahmen ergriffen und wird die Situation weiter beobachten.

Peter Bauer, CEO von Mimecast, bemerkte, dass der Angriff auf FireEye "beweist, dass keine Organisation gegen Cyberangriffe unempfindlich ist. Wir begrüßen die proaktive Weitergabe von Informationen durch FireEye, die zum Schutz der Kunden beiträgt. Auch wenn nicht jede Organisation ein wahrscheinliches Ziel für nationalstaatliche Akteure ist, so ist doch jede Organisation ein wahrscheinliches Ziel für irgendeine Art von böswilligen Akteuren", so Mimecast.

"Organisationen sollten mit ihren Stakeholdern und Cybersicherheitsanbietern zusammenarbeiten, um die Bedrohungen, denen sie ausgesetzt sind, zu verstehen und die Maßnahmen zur Risikominimierung für sich selbst, ihre Kunden und Dritte, mit denen sie Geschäfte tätigen, zu identifizieren. Mehr denn je müssen Organisationen das Netzwerk der breiteren Sicherheitsgemeinschaft in Betracht ziehen und sich eingehend mit der Verteidigung beschäftigen", sagte Bauer.

Was lässt sich daraus schließen?

Die Werkzeuge von FireEye's Red Team wurden gestohlen und werden mit der Zeit vermutlich in den Händen von Bedrohungsakteuren auf der ganzen Welt auftauchen. Es gibt spezifische, von FireEye bereitgestellte Gegenmaßnahmen, die Unternehmen einsetzen können, um ihre Cyber-Resilience zu erhöhen, indem sie dabei helfen, Cyberattacken mit Hilfe dieser Tools aufzudecken und zu verhindern. Aber letzten Endes ist die wichtigste Gegenmaßnahme - wie immer - ein gutes altmodisches, qualitativ hochwertiges Cyber-Bewusstsein. Viele Organisationen könnten in dieser Hinsicht sorgfältiger sein.

[1] "FireEye, ein führendes Cyber-Sicherheitsunternehmen, sagt, dass es von einem Nationalstaat gehackt wurde", The New York Times

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

FBI-Namen Weiterleitungsregeln ein geschäftlicher E-Mail-Kompromittierer

Business email compromise ‘forward…

Business email compromise ‘forwarding rule’ tact… Read More >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht am 3. Dezember 2020

Anatomy of a Sustained BEC Attack on Microsoft 365 Users

Cyberangreifer lauern in den Opfern ...

Cyberangreifer lauerten in den Microsoft 365-E-Mails der Opfer ... Read More >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht am 17. November 2020

Cyberangriffe werden in der Zeit von COVID zielgerichteter

Die Pandemie hat das Geschäft und die W...

Die Pandemie hat die Geschäfts- und Arbeitsplatzdynamik verändert, und... Mehr lesen >

Sam Greengard

von Sam Greengard

Mitwirkender Verfasser

Veröffentlicht am 20. November, 2020