Wie lange haben Sie noch Zeit? Der Lebenszyklus einer Sicherheitsverletzung

Datenschutzverletzungen können lähmend sein und die Opfer nicht nur mit Datenverlust, sondern auch mit Systemausfällen, Rufschädigung und kostspieligen Ransomware-Forderungen bestrafen.
Der Lebenszyklus einer Sicherheitsverletzung - die Zeit zwischen dem ersten Vorfall und seiner Eindämmung - kann je nach Art des Angriffs, Ihrer Netzwerkumgebung und Ihrer Cybersicherheit sehr unterschiedlich sein.

Viele Sicherheitsverletzungen bleiben monatelang unentdeckt. In dieser Zeit sammeln die Angreifer möglicherweise weitere Daten und erlangen eine immer größere Kontrolle über Ihre Systeme. Allerdings handelt es sich bei Sicherheitsverletzungen nicht immer um zufällige oder opportunistische Angriffe. Ernstzunehmende Hacker spielen ein langfristiges Spiel und folgen einem Muster von Ereignissen, das uns Aufschluss darüber geben kann, wie wir uns gegen sie schützen können.

Wie sieht der Lebenszyklus einer Datenschutzverletzung aus?

Hacker sind schnell: Das Australian Cyber Security Centre (ACSC) stellt fest, dass Cyberangreifer Software-Schwachstellen "manchmal innerhalb von Stunden nach ihrer Veröffentlichung" ausnutzen. Die guten Jungs sind nicht immer so schnell. Laut Ponemon-Forschung betrug der durchschnittliche globale Lebenszyklus von Datenschutzverletzungen im Jahr 2021 287 Tage - das ist eine Woche länger als im Vorjahr - mit 212 Tagen zwischen der Verletzung und ihrer Entdeckung und 75 Tagen zwischen Entdeckung und Eindämmung. In Australien waren die Zahlen sogar noch länger, mit einer durchschnittlichen Lebensdauer von 311 Tagen (219 bis zur Entdeckung, 92 bis zur Eindämmung).

Und nicht alle Angriffsvektoren sind gleich. Am längsten dauerte die Identifizierung und Eindämmung von kompromittierten Anmeldedaten, Business Email Compromise (BEC) und böswilligen Insider-Vorfällen, während Software-Schwachstellen von Drittanbietern, versehentlicher Daten- oder Geräteverlust und technische Fehlkonfigurationen schneller behoben werden konnten.

Laut einer Mimecast-Umfrage unter australischen Unternehmen sind Angriffe per E-Mail und Insider-Bedrohungen auf dem Vormarsch und stellen eine zunehmende Gefahr dar. Die Zunahme der Telearbeit bietet Cyberkriminellen weitere Möglichkeiten: Unternehmen mit mehr als 50 % Telearbeitern brauchen etwa acht Wochen länger, um Sicherheitsverletzungen aufzuklären.

Wenn Sie die Denkweise von Hackern verstehen, haben Sie viel bessere Chancen, Bedrohungen zu erkennen, bevor sie sich zu größeren Vorfällen entwickeln. Der Lebenszyklus eines Angriffs gliedert sich in der Regel in fünf Phasen: Auswahl und Erkundung des Ziels, Planung des Angriffs, Durchführung des Angriffs, Ausnutzung und seitliche Bewegung sowie das Endspiel, bei dem die Angreifer ihre Kontrolle nutzen, um Vermögenswerte zu exportieren oder zu stören.

Stufe 01: Zielforschung und -erkundung

Einige Angriffe (z. B. Massen-BEC-Kampagnen) funktionieren durch wahllosen Beschuss und zielen möglicherweise nicht einmal auf ein bestimmtes Unternehmen ab. Doch die schädlichsten Angriffe beginnen mit sorgfältiger Aufklärung und Recherche. Angreifer scannen Social-Media-Feeds nach Informationen über die Mitarbeiter und Projekte eines bestimmten Unternehmens, um zu entscheiden, welche Mitarbeiter sie ins Visier nehmen wollen, und um die Details zu sammeln, die einen Social-Engineering-Angriff glaubhaft machen. Angreifer können nach Software- oder Hardwareschwachstellen suchen, die ausgenutzt werden können: alles, was eine Schwachstelle darstellt, die ausgenutzt werden kann.

Um sich dagegen zu schützen, sollten Sie die Gefahren des Oversharing in Schulungen und Richtlinien für soziale Medien einbeziehen, Datenermittlungstools verwenden, um riskante Beiträge zu identifizieren, sicherstellen, dass Ihre Software und Hardware gepatcht ist, und den Einsatz von Bedrohungsdaten in Betracht ziehen, um Risiken zu erkennen.

Stufe 02: Wahl der Angriffsmethode

Die Hacker nutzen die gesammelten Daten, um die von ihnen verwendeten Tools auszuwählen und ihre Angriffe zu gestalten. Sie versuchen, sich Zugriff auf das System zu verschaffen, z. B. über Spear-Phishing-E-Mails (die auf bestimmte Personen abzielen) oder gefälschte Webseiten, die persönliche Informationen anfordern. In Dark-Web-Foren können Strategien diskutiert und Malware gekauft oder verkauft werden.

Phase 03: Der Angriff beginnt

Nachdem sie sich die benötigten Ressourcen gesichert und eine Strategie ausgearbeitet haben, schlagen die Hacker zu. Und dann passiert oft nichts. Zumindest an der Oberfläche. Möglicherweise bemerkt Ihr Unternehmen einige bösartige Links oder Nachrichten, die vom E-Mail-Schutz ignoriert oder unter Quarantäne gestellt werden. Aber hinter den Kulissen beobachten die Angreifer Ihre Verteidigung und warten auf den einen Fehler, der sie eindringen lässt. Und wenn sie geduldig genug sind, werden sie den einen kleinen Fehler finden, der es ihnen ermöglicht, Ihre Verteidigung zu durchdringen.

Um sich dagegen zu wehren, sollten Sie Ihre Mitarbeiter darin schulen, gängige Betrugsversuche zu erkennen und zur Meldung zu ermutigen, sicherstellen, dass Ihre Firewalls und andere Schutzmechanismen erstklassig sind, und DMARC einsetzen, um Spoofing zu verhindern.

Stufe 04: Ausbeutung

Wie jeder Parasit versuchen Cyberangreifer, sich auszubreiten, sobald sie einen Einstiegspunkt gefunden haben. Gestohlene Zugangsdaten und Malware können weiteren Zugang ermöglichen, wenn Angreifer Systeme erkunden, den Datenverkehr bewerten und weitere Angriffe planen. In diesem Stadium kann sich die Bedrohung schnell ausbreiten, da die internen Zugriffsrichtlinien im Allgemeinen eher auf Zusammenarbeit als auf Sicherheit ausgerichtet sind.

Aber viele Hacker sind genauso bereit, das leisere und potenziell viel schädlichere Spiel auf lange Sicht zu spielen. Command-and-Control-Tools können verwendet werden, um die Kommunikation und die Systemverwaltung anzuzapfen. Die Sicherheitsfunktionen können geändert, Administratorkonten erstellt und der Remote-Desktop-Zugang aktiviert werden. Die Systemfunktionen können monatelang aufrechterhalten werden, um die Analysten davon zu überzeugen, dass alles in Ordnung ist.

Um sich dagegen zu schützen, sollten Sie das Netzwerk segmentieren oder Zero-Trust-Maßnahmen ergreifen, um laterale Bewegungen zu erschweren. Erkennen Sie verdächtige Handlungen und Verhaltensweisen und reagieren Sie darauf, achten Sie auf Berichte über Betrug und Störungen intern und in den sozialen Medien und behalten Sie die Hackerforen im Deep- und Dark-Web im Auge (die möglicherweise organisationsspezifische Details enthalten).

Stufe 05: Exportieren oder Unterbrechen von Vermögenswerten

In diesem Stadium können Angreifer in der Lage sein, Benutzer von wichtigen Funktionen auszuschließen, sich als Benutzer auszugeben und vertrauliche Daten zu stehlen oder zu verschlüsseln. Dateien können per FTP oder E-Mail entfernt oder das Netzwerk durch einen DDoS-Angriff (Distributed Denial of Surface Attack) lahmgelegt werden. Produktbestellungen können gelöscht, Partnerorganisationen angegriffen oder Industrieanlagen stillgelegt werden. Dies kann das erste Mal sein, dass ein Cybersicherheitsteam von einem Angriff erfährt, aber er kann sich schon seit Wochen, Monaten oder sogar Jahren zusammenbrauen - und die Folgen können katastrophal sein.

Zu den Verteidigungsmaßnahmen sollten Tools für die Reaktion auf Vorfälle und ein spezielles Vorfall- und Reaktionsteam gehören, das schnell wirksame Gegenmaßnahmen einleiten kann. Ein wirksamer, aktueller Plan zur Reaktion auf einen Vorfall und aktuelle Sicherungskopien können den durch eine Sicherheitsverletzung verursachten Schaden ebenfalls mindern - beachten Sie, dass Ihr Unternehmen möglicherweise auch verpflichtet ist, eine solche Verletzung unverzüglich zu melden.

Die richtige Politik kann die Entdeckung beschleunigen und Kriminelle in Schach halten

Mit den richtigen Abwehrmaßnahmen wird es für Hacker schwieriger, eine Schwachstelle zu finden, auszunutzen und ihren Angriff zu verstärken. Es ist erwähnenswert, dass Untersuchungen darauf hindeuten, dass Unternehmen mit Sicherheitsautomatisierung oder einem ausgereiften Stadium der Cloud-Migration Verstöße schneller als der Durchschnitt erkennen und eindämmen.

Eine einzelne Bedrohung frühzeitig zu erkennen und zu entschärfen, ist ein offensichtlicher Gewinn, aber das Ziel sollte die allgemeine Widerstandsfähigkeit im Internet sein. Eine starke Cybersicherheitsstruktur macht jeden Schritt für Angreifer schwieriger, erhöht die Zeit und das Geld, das Kriminelle für die Suche nach einem Einbruch aufwenden müssen, gibt Ihnen mehr Chancen, sie zu entdecken, und ihnen mehr Anreize, ihre Pläne anderswo umzusetzen. Sie müssen auch nicht alles intern erledigen; es gibt viele Optionen für Managed Service Provider und Cybersicherheitspartner auf dem Markt, die Ihre Cybersicherheitsstrategie unterstützen können.

Die Untersuchung des Lebenszyklus einer Sicherheitsverletzung kann Ihnen helfen, Angreifer zu vereiteln

Wie wir gesehen haben, brauchen Sicherheitsverletzungen Zeit. Cyberangreifer können Wochen mit der Planung und Aufklärung verbringen, bevor sie überhaupt anfangen, Ihre Verteidigungsanlagen zu untersuchen. Es kann Monate dauern, bis sie Fuß gefasst haben und genügend Kontrolle entwickeln, um ihre Ziele zu erreichen. Dieser Zeitraum ist sowohl für Sie als auch für Kriminelle eine Chance: Die richtigen Maßnahmen können Ihnen dabei helfen, Sicherheitsverletzungen zu erkennen, darauf zu reagieren und sich während des gesamten Lebenszyklus zu einem schwierigeren Ziel zu machen.