Cybersicherheit 2024: Die wichtigsten Trends abseits des Hypes
In diesem Blogbeitrag stellt der Cybersecurity-Spezialist Nextron Ihnen die wichtigsten Cybersicherheitstrends für 2024 vor. Während sich viele in diesem Bereich auf schlagzeilenträchtige Themen wie künstliche Intelligenz konzentrieren, liegt unser Schwerpunkt auf praktischen, einflussreichen Trends, die die Cyberlandschaft bereits jetzt prägen.
Ein häufiges Thema, das wir beobachten, sind verdeckte Angriffe: ausgefeilte Methoden, die Angreifer einsetzen, um unter dem Radar zu bleiben. Dazu gehören die Umgehung von Erkennungssoftware, die bösartige Aktivitäten aufspüren soll, das Zielen auf Systeme, die nicht genau überwacht werden, die Verwendung legitimer Software, um keinen Verdacht zu erregen, und die Nutzung von Cloud-Umgebungen mit begrenzter Protokollierung.
Durch unsere Erfahrung, die sich auf aktuelle Bedrohungen stützt und durch unsere tägliche Arbeit der Analyse von Bedrohungsberichten und Vorfällen bei unseren Kunden, haben wir vier Haupttrends identifiziert. Diese werden in den folgenden Abschnitten dieses Beitrags im Detail erläutert.
-
Angriffe auf die Lieferkette
Angriffe auf die Lieferkette stellen eine ernsthafte Bedrohung für alle Unternehmen dar, selbst für solche mit fortschrittlichen Sicherheitsmaßnahmen. Diese Angriffe zielen auf vertrauenswürdige Software- oder Dienstleistungsanbieter ab und sind daher schwer abzuwehren. Sie nutzen die tiefe Integration und das Vertrauen in diese Dienste innerhalb der IT-Infrastruktur eines Unternehmens aus.
Was Angriffe auf die Lieferkette besonders schwerwiegend macht, ist ihre Fähigkeit, Standardschutzmaßnahmen wie Firewalls und Antivirenprogramme zu umgehen. Sie nutzen das Vertrauen in Softwarekomponenten, Anwendungen oder Konten von Dienstanbietern aus. Um diese Angriffe wirksam zu erkennen, müssen Unternehmen von der Annahme ausgehen, dass sie kompromittiert wurden, und eine entsprechende Strategie entwickeln.
-
Token- und Cloud-API-Missbrauch
In der heutigen digitalen Landschaft sind Sitzungs-Tokens zu einem entscheidenden Element für den sicheren Zugang zu verschiedenen Online-Diensten und -Anwendungen geworden. Diese Token fungieren als temporäre Zugangsberechtigungen, mit denen sich Benutzer:innen in einem System authentifizieren können, ohne ihre Anmeldedaten wiederholt eingeben zu müssen. Diese Bequemlichkeit macht sie jedoch auch zu einem attraktiven Ziel für Cyberangreifer.
Im Gegensatz zu herkömmlichen Benutzeranmeldeinformationen können Token leichter gestohlen werden und ermöglichen den Zugang zu sicheren Sitzungen, sogar zu solchen, die durch eine Multi-Faktor-Authentifizierung (MFA) geschützt sind. Ihr Diebstahl kann zu unbefugtem Zugriff auf sensible Daten und Systeme führen, weshalb ihre Sicherheit für Unternehmen höchste Priorität hat.
Da Angreifer nach neuen Wegen suchen, um in Systeme und Netzwerke einzudringen, ist der Missbrauch von Token und Cloud-APIs immer häufiger zu beobachten. Token, die oft leichter zu stehlen sind als Benutzeranmeldeinformationen, können den Zugriff auf Sitzungen gewähren, die durch Multi-Faktor-Authentifizierung (MFA) eingerichtet wurden. Dies macht sie zu einem wertvollen Ziel für Angreifer.
Die Unklarheit darüber, wo Token in integrierten Ökosystemen wie Windows-Anwendungen (z. B. Office 365) zu finden sind, erschwert die Verhinderung unbefugten Zugriffs zusätzlich. Diese Unklarheit erschwert die Identifizierung von Prozessen, aus denen Token extrahiert werden können, wodurch herkömmliche Verteidigungsmechanismen weniger effektiv sind.
Beim Umgang mit dem Risiko des Token- und Cloud-API-Missbrauchs ist es für das Management unerlässlich, strenge Sicherheitsrichtlinien für diese Dienste durchzusetzen. Dazu gehört die genaue Überwachung aller ungewöhnlichen Aktivitäten mithilfe der Protokollierungsfunktionen der Dienstanbieter. Achten Sie auf merkwürdige Anmeldemuster oder seltsame Aktionen bei der Verwaltung von Benutzern und Geräten.
Außerdem ist es wichtig, die Risiken sorgfältig zu bedenken, wenn ein interner Dienst in die Cloud verlagert wird. Fragen Sie sich: Was passiert, wenn ein Sitzungs-Token gestohlen wird und jemand Zugang zu unseren Daten erhält, die zuvor sicher im Netzwerk unseres Unternehmens waren?
-
Umgehung von EDR durch Verwendung nicht überwachter Systeme und Geräte
Angreifer konzentrieren sich zunehmend auf Systeme, die normalerweise nicht von gängigen Sicherheitstools wie Endpoint Detection and Response (EDR) oder Antivirensoftware erfasst werden. Dazu gehören alltägliche Geräte wie Haushaltsgeräte, Router und IoT-Systeme. Da diese Geräte in der Regel nicht von Standard-Sicherheitssoftware überwacht werden, sind sie ein leichtes Ziel für Angreifer, die sich unbemerkt in ein Netzwerk einschleusen wollen. Die Tatsache, dass diese Systeme in der Regel keine detaillierten Sicherheitsprotokolle führen, macht es noch schwieriger, Sicherheitsverletzungen zu erkennen und zu beheben.
Um mit diesem Trend Schritt zu halten, wird erwartet, dass Angreifer immer mehr unterschiedliche Tools verwenden. Dazu gehören Tools, die für Linux-Systeme entwickelt wurden, Tools, die versteckte Pfade in Netzwerken erstellen, Tools, die für die ARM-Architektur (die in vielen modernen Geräten verwendet wird) entwickelt wurden, und Tools, die plattformübergreifend funktionieren.
-
Missbrauch rechtmäßiger Software
Trojaner für den Fernzugriff werden häufig von Antiviren-Software erkannt, was Angreifer dazu veranlasst, legitime Fernzugriffssoftware als Alternative zu verwenden. Diese Anwendungen, zu denen ConnectWise Control, Anydesk, NetSupport, TeamViewer, Atera, LogMeIn und Splashtop gehören, werden von Sicherheitslösungen oft nicht als möglicherweise unerwünschte Anwendungen (PUA) eingestuft. Infolgedessen bleibt ihre Verwendung durch Angreifer oft unbemerkt, so dass sie sich unbemerkt festsetzen können, ohne Verdacht zu erregen.
Die Verwendung von legitimer Fernzugriffssoftware ist jedoch bei weitem nicht die einzige Methode, mit der Bedrohungsakteure versuchen, herkömmliche Lösungen zur Erkennung von Bedrohungen zu umgehen. Sie nutzen auch legitime Software für die Erkundung und seitliche Bewegung sowie Konfigurations-Hintertüren, um ohne Malware auf dem System Fuß zu fassen. Sogenannte „malwarelose“ Angriffe sind sehr schwer zu erkennen und stellen eine ernsthafte Bedrohung für Unternehmen dar, die nicht über ein professionelles Sicherheitsüberwachungsteam verfügen, das regelmäßig nach ungewöhnlicher Software sucht und die Ergebnisse in einer Datenbank erfasst, um diese Anomalien zu erkennen und rechtzeitig darauf reagieren zu können.
Nextrons Lösungen für verbesserte Cybersicherheit
Nextron greift dort ein, wo traditionelle Sicherheitsmaßnahmen Bedrohungen übersehen könnten. Unsere Tools für die digitale Forensik führen gründliche Analysen von Systemen durch, die Anzeichen für ungewöhnliches Verhalten aufweisen. Sie identifizieren effektiv riskante Software und decken eine Reihe von Bedrohungen auf, die von Standardmethoden unbemerkt bleiben könnten.
Unsere Signaturensammlung ist darauf zugeschnitten, eine Vielzahl von Sicherheitsproblemen zu erkennen. Dazu gehören Hacker-Tools, deren Überreste, ungewöhnliche Benutzeraktivitäten, versteckte Konfigurationseinstellungen und legitime Software, die für Angriffe missbraucht werden könnte. Unser Ansatz ist besonders nützlich bei der Erkennung von Taktiken, die bei Angriffen auf die Lieferkette eingesetzt werden, und bei der Identifizierung von Tools, die Antiviren- und EDR-Systeme umgehen.
Flexibilität ist ein wichtiger Aspekt unserer Lösungen. Sie ermöglichen eine detaillierte Untersuchung von Geräten und Systemen, die von typischen EDRs nicht abgedeckt werden, einschließlich Appliances, Netzwerkgeräten und IoT- und OT-Systemen wie Druckern oder PBX-Systemen. Die Tools von Nextron bieten einen umfassenden Überblick über die Sicherheit und versetzen Unternehmen in die Lage, die komplexen Herausforderungen der heutigen Cybersicherheitsumgebung zu bewältigen.
Quelle Titelbild: pixabay.com / TheDigitalArtist