FireEye-Angriff legt die Messlatte für die Cyber-Resilienz für alle höher

Der Cyberangriff auf FireEye, der Anfang dieser Woche bekannt wurde, erhöht das Cyberrisiko für alle Unternehmen. Doch dank des Informationsaustauschs und der von FireEye veröffentlichten Gegenmaßnahmen können Cyber-Sicherheitsexperten diese erhöhte Bedrohung vorhersehen und entschärfen.

Wie bereits berichtet, gab FireEye am Dienstag nach Börsenschluss bekannt, dass ein Cyberangreifer - höchstwahrscheinlich ein Staat - auf die Red-Team-Tools zugegriffen hat, die das Unternehmen normalerweise verwendet, um die Sicherheit seiner eigenen Kunden zu testen. Dabei handelt es sich um Tools, die FireEye rechtmäßig und mit Erlaubnis der Kunden einsetzt, um "White Hat"-Angriffe durchzuführen, mit denen die Cyber-Resilienz eines Unternehmens getestet wird. Obwohl sie sich im Detail unterscheiden, ähneln sie vom Konzept her den Phishing-Simulationstools, die von Unternehmen angeboten werden, um das Bewusstsein der Mitarbeiter für Cybersicherheit zu testen.

In seiner öffentlichen Mitteilung schrieb Kevin Mandia, CEO von FireEye, dass die Angreifer "eine neuartige Kombination von Techniken verwendet haben, die weder wir noch unsere Partner in der Vergangenheit gesehen haben". Die Techniken vereitelten Sicherheits-Tools und forensische Untersuchungen, so dass die Cyberangreifer unentdeckt operieren konnten. Laut der New York Times wurden unter anderem Tausende von neu registrierten IP-Adressen verwendet, die noch nie zuvor für Angriffe genutzt wurden. [1] Mandia sagte, dass es keine Beweise dafür gibt, dass Kundendaten kompromittiert wurden; sollten jedoch welche auftauchen, werden die betroffenen Kunden direkt kontaktiert.

Was FireEye unternimmt, um Unternehmen bei der Verbesserung der Cyber-Resilienz zu unterstützen

Mandia führte eine Reihe von Maßnahmen auf, die FireEye ergreift, um Kunden und die breitere Cybersicherheits-Community zu schützen, falls Cyberangreifer die gestohlenen Tools einsetzen. Bislang hat das Unternehmen jedoch noch keine Anzeichen dafür gefunden, dass die Tools eingesetzt wurden. FireEye hat nicht bekannt gegeben, wann genau der Angriff stattgefunden hat.

Zu den Maßnahmen von FireEye gehören:

• Entwicklung von mehr als 300 Gegenmaßnahmen, die zur Verteidigung gegen die Red-Team-Tools eingesetzt werden können,
• diese Gegenmaßnahmen in seine eigenen Produkte einbaut und
• Sie werden der gesamten Cybersicherheitsgemeinschaft über GitHub zur Verfügung gestellt.

Zusätzliche Gegenmaßnahmen zur Erhöhung Ihrer Cyber-Resilienz

Carl Wearn, Head of Risk & Resilience, E-Crime & Cyber Investigation bei Mimecast, wies außerdem darauf hin, dass es wichtig ist, die immer wieder empfohlenen Grundsätze der Cyberhygiene zu beachten, die von zu vielen Unternehmen ignoriert werden. Dazu gehören:

• Streng begrenzte Zugangskontrollen
• Zuverlässiger Phishing-Schutz und Programme zur Sensibilisierung für das Thema Phishing
• Verwendung der Multifaktor-Authentifizierung (MFA)
• Ein strenges Passwortsystem
• Regelmäßige und rechtzeitige Behebung kritischer Schwachstellen (da diese am häufigsten von solchen Tools angegriffen werden)

"Unternehmen sollten besonders auf Fernzugriffs-Tools wie RDP-Prozesse (Remote Desktop Protocol) und den Netzwerkverkehr achten, um ein Eindringen oder Exfiltrieren zu verhindern", so Wearn. "Dies sind Abhilfemaßnahmen, die Unternehmen in jedem Fall nutzen sollten, da sich Bedrohungsakteure weiterhin stark auf RDP-Prozesse und Exploits konzentrieren."

Wie Mimecast sich selbst und seine Kunden schützt

Intern hat Mimecast auf der Grundlage der bisher erhaltenen Informationen entsprechende Maßnahmen ergriffen und wird die Situation weiterhin beobachten.

Peter Bauer, CEO von Mimecast, stellte fest, dass der Angriff auf FireEye "beweist, dass kein Unternehmen vor Cyberangriffen gefeit ist. Wir begrüßen die proaktive Weitergabe von Informationen durch FireEye, die dem Schutz der Kunden dient. Zwar ist nicht jedes Unternehmen ein wahrscheinliches Ziel für nationalstaatliche Akteure, aber jedes Unternehmen ist ein wahrscheinliches Ziel für irgendeine Art von bösartigem Akteur."

"Unternehmen sollten mit ihren Interessenvertretern und Cybersecurity-Anbietern zusammenarbeiten, um die Bedrohungen zu verstehen, mit denen sie konfrontiert sind, und die Maßnahmen zu ermitteln, mit denen sie das Risiko für sich selbst, ihre Kunden und Dritte, mit denen sie Geschäfte machen, minimieren können. Mehr denn je müssen Unternehmen das Netzwerk der breiteren Sicherheitsgemeinschaft berücksichtigen und eine tiefgreifende Verteidigung praktizieren", so Bauer.

Die Quintessenz

Die Red Team-Tools von FireEye wurden gestohlen und werden im Laufe der Zeit vermutlich in den Händen von Bedrohungsakteuren auf der ganzen Welt auftauchen. Es gibt spezifische, von FireEye bereitgestellte Gegenmaßnahmen, die Unternehmen einsetzen können, um ihre Cyber-Resilienz zu erhöhen, indem sie dazu beitragen, Cyberangriffe mithilfe dieser Tools zu erkennen und zu verhindern. Die wichtigste Gegenmaßnahme ist jedoch - wie immer - das gute alte, qualitativ hochwertige Cyber-Bewusstsein. Viele Unternehmen könnten sich in dieser Hinsicht mehr Mühe geben.

[1] " FireEye, ein Top-Cybersicherheitsunternehmen, sagt, es wurde von einem Nationalstaat gehackt ," The New York Times