Alle Meldungen
Abonnieren Sie alle Meldungen von Fortinet

28.05.2019 – 09:57

Fortinet

Pressemitteilung: Fortinet Threat Landscape Report: Neue Erkenntnisse aus der Bedrohungslandschaft

Pressemitteilung: Fortinet Threat Landscape Report: Neue Erkenntnisse aus der Bedrohungslandschaft
  • Bild-Infos
  • Download

Fortinet Threat Landscape Report: Neue Erkenntnisse aus der Bedrohungslandschaft

- Cyber-Kriminelle fokussieren auf Traffic-starke Zeiten
- Knapp 60 Prozent aller Bedrohungen haben mindestens eine gemeinsame Domain
- Großteil der Botnetze nutzt bestehende Infrastrukturen 

München, 28. Mai 2019 - Fortinet (NASDAQ: FTNT), weltweit führender Anbieter von umfangreichen, integrierten und automatisierten Cyber-Security-Lösungen, veröffentlicht die Ergebnisse seines quartalsweise erscheinenden Global Threat Landscape Report . Die Studie zeigt, dass Cyber-Kriminelle immer komplexere Angriffsmethoden entwickeln, um in möglichst viele Systeme einzudringen. Ihre Methoden reichen von maßgeschneiderter Ransomware und benutzerdefinierter Codierung der Zugriffsversuche bis hin zu "Living-off-the-Land" (LotL) oder Sharing-Infrastrukturen.

Die wichtigsten Ergebnisse der Studie im Überblick:

Pre- und Post-Gefährdungs-Traffic: Cyber-Kriminelle legen großen Wert auf die Maximierung ihrer Erfolgschancen. Der Vergleich von Webfiltervolumen zweier Cyber Kill Chains an Wochentagen und Wochenenden zeigt eine dreimal höhere Wahrscheinlichkeit für Pre-Gefährdungs-Aktivitäten während der Arbeitswoche. Der Post-Gefährdungs-Traffic zeigt hingegen weniger Unterscheidung. Dies liegt vor allem daran, dass Exploits oft eine Aktion erfordern, bei der Nutzer beispielsweise auf Inhalte einer Phishing-E-Mail klicken. Command-and-Control-Aktivitäten (C2) haben diese Anforderung nicht und können jederzeit auftreten. Cyber-Kriminellen ist dies bewusst. Deshalb richten sie ihre Aktivitäten an den Traffic-stärksten Zeiten des Internets aus. Die Unterscheidung zwischen Wochentags- und Wochenendfilterung ist wichtig, um die Kill Chain der verschiedenen Angriffe vollständig zu verstehen. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Cyber-Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.

Großteil der Bedrohungen nutzt gemeinsame Infrastruktur: Einige Bedrohungen teilen sich Infrastrukturen, statt dedizierte Infrastrukturen zu nutzen. So teilen sich fast 60 Prozent der Bedrohungen mindestens eine Domäne. Das deutet darauf hin, dass eine Mehrheit der Botnets innerhalb einer etablierten Infrastruktur operiert. IcedID ist ein Beispiel für dieses "Warum kaufen/bauen, wenn man leihen kann"-Verhalten. Bedrohungen, die sich die Infrastruktur teilen, tun dies oft auf der gleichen Stufe der Kill Chain. Es ist ungewöhnlich, dass eine Bedrohung eine Domain zunächst für den Exploit und später für den C2-Verkehr nutzt. Dies deutet darauf hin, dass die Infrastruktur in der Planung von Cyber-Attacken eine besondere Rolle spielt. Wenn Unternehmen verstehen, welche Bedrohungen sich Infrastrukturen teilen und an welchen Stellen der Angriffskette sie dies tun, können sie damit die Entwicklung von Malware und Botnets besser prognostizieren.

Content-Management immer im Auge behalten: Cyber-Kriminelle neigen dazu, sich in Clustern von einer Gelegenheit zur nächsten zu bewegen und dabei erfolgreich genutzte Schwachstellen sowie aufstrebende Technologien zu dokumentieren. Eine der neuen Technologien, denen sie verstärkt Aufmerksamkeit schenken, sind Web-Plattformen, mit denen Verbraucher und Unternehmen in wenigen Klicks eigene Web-Präsenzen erstellen können. Diese werden gezielt angegriffen, inklusive der Plugins von Drittanbietern. Umso wichtiger ist es, dass Patches sofort angewendet werden und Unternehmen die schnelllebige Welt der Exploits verstehen. Nur dann können sie ihre Sicherheitsanforderungen antizipieren.

Ransomware nach wie vor gefährlich: Auch wenn Ransomware zum Großteil durch gezieltere Angriffsmethoden ersetzt wurde, ist diese Gefahr noch nicht gebannt. Das haben mehrere Attacken auf hochkarätige Ziele gezeigt, die auf einen umfassenden Zugriff zum gesamten Netzwerk abzielten. LockerGoga ist ein Beispiel für eine solche spezialisierte Ransomware, die in einem mehrstufigen Angriff eingesetzt wurde. Nur wenige Faktoren unterscheiden LockerGoga von anderer Ransomware. Während die meisten Ransomware-Tools ein gewisses Maß an Verschleierung anwenden, zeigt eine Analyse bei LockerGoga allerdings fast keine Anzeichen davon. Dies verdeutlicht, wie zielgerichtet der Angriff war und suggeriert außerdem ein großes Vertrauen darin, dass die Malware nicht leicht erkennbar ist.

Das Hauptziel von Anatova ist, wie bei einem Großteil der Ransomware, so viele Daten des infizierten Systems wie möglich zu verschlüsseln. Allerdings meidet die Malware alle Systembestandteile, deren Verschlüsselung die Stabilität des Systems beeinträchtigen könnten. Es vermeidet auch die Infektion von Computern, die es als Systeme für Malware-Analyse oder als Honeypots identifiziert. Diese beiden Ransomware-Varianten zeigen, dass sich IT-Sicherheitspersonal zwar weiterhin auf Patches und Backups gegen Commodity-Ransomware konzentrieren sollte, gleichzeitig aber bedenken muss, dass zielgerichtete Angriffe entsprechend maßgeschneiderte Verteidigungen erfordern.

Tipps und Tricks für LotL: Um Erfolg zu garantieren, entwickeln Cyber-Kriminelle ihre Angriffsmethoden oft auch nach dem ersten erfolgreichen Eindringen weiter. Dazu nutzen sie zunehmend Dual-Use-Tools oder Tools, die bereits auf den Zielsystemen vorinstalliert sind, um separate Cyber-Angriffe auszuführen. Diese "Living off the Land" (LotL)-Taktik erlaubt es Hackern, ihre Aktivitäten innerhalb einer Vielzahl von autorisierten Prozessen zu verbergen. Das erschwert ihre Erkennung und Abwehr. Mithilfe dieser Werkzeuge lassen sich Attacken zudem schwerer zuordnen. Durchdachte Verteidigungsmaßnahmen müssen deshalb den Zugriff auf autorisierte Management-Tools einschränken und ihren Einsatz sowie seine Nutzer dokumentieren.

Dynamische und proaktive Aufklärungsarbeit: Unternehmen müssen sich nicht nur effektiv gegen aktuelle Bedrohungen abschirmen, sondern sich auch auf deren Variantenreichtum und eine zunehmende Automation vorbereiten. Dies erfordert eine dynamische, proaktive und hochverfügbare Informationsverteilung über potentielle Gefahren im gesamten Netzwerk. Dieses Wissen hilft dabei, die Entwicklung von Attacken gegen die eigenen virtuellen Angriffsflächen nachzuvollziehen und die eigenen Schutzmaßnahmen entsprechend zu priorisieren. Der Wert dieser Informationen nimmt allerdings deutlich ab, wenn nicht jedes Security-Gerät in Echtzeit auf die gelieferten Analysen reagieren kann. Nur eine holistische, integrierte und automatisierte Security-Infrastruktur kann eine schnelle und skalierbare Sicherheitsumgebung vom IoT bis zum Edge, Netzwerkkern und in die Multi-Cloud gewährleisten.

Report und Index-Übersicht: Der aktuelle Fortinet Threat Landscape Report ist ein Überblick der gesammelten Daten aus den weltweiten Sensoren der FortiGuard Labs für das erste Quartal 2019. Die Forschungsdaten decken globale und regionale Perspektiven ab. Ebenfalls im Bericht enthalten ist der Fortinet Threat Landscape Index (TLI), der sich aus einzelnen Indizes für drei zentrale und komplementäre Aspekte der Bedrohungslandschaft zusammensetzt: Exploits, Malware und Botnets. Der TLI zeigt die Prävalenz und das Volumen der einzelnen Aspekte im jeweiligen Quartal an.

Einen detaillierten Überblick über den Threat Landscape Index und Subindizes für Exploits, Malware und Botnets sowie weitere wichtige Erkenntnisse für CISOs finden Sie im dazugehörigen Blogpost.

Christian Vogt, Senior Regional Director Germany, Fortinet:

"Leider sehen wir weiterhin, dass Cyber-Kriminelle die Strategien und Methoden von Staatsakteuren und die technologischen Entwicklungen von Geräten und Netzwerken nachahmen. Unternehmen müssen daher ihre Strategie überdenken, um sich in Zukunft besser abzusichern und ihre IT-Risiken zu managen. Ein wichtiger erster Schritt ist, die Cyber-Sicherheit aus einer wissenschaftlichen Perspektive zu betrachten - und die entsprechenden Grundlagen in die IT-Sicherheit zu integrieren. Ein Fabric-Ansatz für Sicherheit, Mikro- und Makrosegmentierung sowie die Integration der KI-Bausteine Machine Learning und Automatisierung bieten enorme Chancen, Cyber-Attacken einen effektiven Riegel vorzuschieben."

Weiterführende Informationen

- Lesen Sie unseren Blog für mehr Informationen über die Studie oder um den 
  vollständigen Bericht einzusehen.
- Sehen Sie sich die Fortinet Threat Landscape Indizes für Botnets, Malware und 
  Exploits für das ersten Quartal 2019 an.
- Erfahren Sie mehr über FortiGuard Labs und das FortiGuard Security Services 
  Portfolio und melden Sie sich für das wöchentliche FortiGuard Threat 
  Intelligence Briefing an.
- Informieren Sie sich über Security-Audits und Best Practices von FortiGuard 
  Security Rating Service.
- Erfahren Sie, wie die Fortinet Security Fabric einen umfassenden, integrierten
  und automatisierten Schutz über die gesamte digitale Angriffsfläche von 
  Unternehmen bietet, vom IoT bis zum Edge, Netzwerkkern und in Multi-Clouds.
- Lesen Sie mehr über unser Network Security Expert Program und unser Network 
  Security Academy Program.
- Folgen Sie Fortinet auf Twitter, LinkedIn, Facebook, YouTube und Instagram. 
Über Fortinet
Fortinet (NASDAQ: FTNT) schützt die wertvollsten Ressourcen einiger der größten
Unternehmen, Service Provider und Behörden weltweit. Fortinet stattet seine
Kunden mit intelligenten, lückenlosen Schutzmaßnahmen gegen das rasant wachsende
Cyber-Bedrohungsumfeld aus und ermöglicht es den permanent steigenden
Leistungsanforderungen am Borderless Network entgegenzuwirken. Nur die Fortinet
Security Fabric-Architektur kann umfassende IT-Security ohne Kompromisse
garantieren, die alle Security-Anforderungen von Netzwerk-, Applikations-,
Cloud- oder Mobile-Umgebungen adressiert und berücksichtigt. Fortinet liefert
die meisten Security Appliances weltweit aus. Mehr als 400.000 Kunden vertrauen
Fortinet den Schutz ihrer Marke an. Mehr dazu auf: www.fortinet.de, im Fortinet
Blog, oder bei den FortiGuard Labs, eines der besten Forschungs- und
Analyse-Teams für IT-Bedrohungen weltweit.

Pressekontakt:
Akima Media
Alexandra Krohn / Philipp Wilhelm
Garmischer Str. 8
80339 München
Tel.: +49 (0) 89-1795918-0
fortinet@akima.de