Start Empfohlen Angreifer verbringen 11 Tage in einem Netzwerk, bevor sie entdeckt werden

Angreifer verbringen 11 Tage in einem Netzwerk, bevor sie entdeckt werden

5
0


Web-Bedrohungen

Die mediane Verweildauer des Angreifers vor der Entdeckung beträgt laut Daten von . 11 Tage oder 256 Stunden Sophos. Dies ist die Zeit, in der sie böswillige Aktivitäten ausführen können, wie z. B. seitliche Bewegungen, Aufklärung, Dumping von Anmeldeinformationen, Datenexfiltration und mehr.

Das Unternehmen hat ein „Active Adversary Playbook“ veröffentlicht, in dem das Verhalten von Angreifern und die Tools, Techniken und Verfahren (TTPs) beschrieben werden, die Sophos’ Frontline Threat Hunters und Incident Responder im Jahr 2020 in freier Wildbahn gesehen haben.

Weitere Erkenntnisse sind, dass 90 Prozent der beobachteten Angriffe das Remote Desktop Protocol (RDP) verwenden – und in 69 Prozent aller Fälle nutzten Angreifer RDP für interne seitliche Bewegungen. Während sich Sicherheitsmaßnahmen für RDP, solche VPNs und Multi-Faktor-Authentifizierung tendenziell auf den Schutz des externen Zugriffs konzentrieren, funktionieren diese nicht, wenn sich der Angreifer bereits im Netzwerk befindet.

Ransomware war an 81 Prozent der von Sophos untersuchten Angriffe beteiligt. Die Veröffentlichung von Ransomware ist oft der Punkt, an dem ein Angriff für ein IT-Sicherheitsteam sichtbar wird.

„Die Bedrohungslandschaft wird immer überfüllter und komplexer, mit Angriffen von Gegnern mit einer Vielzahl von Fähigkeiten und Ressourcen, von Drehbuch-Kiddies bis hin zu nationalstaatlichen Bedrohungsgruppen. Dies kann das Leben für Verteidiger zur Herausforderung machen“, sagt John Shier, senior Sicherheitsberater bei Sophos. „Im letzten Jahr haben unsere Incident-Responder dazu beigetragen, Angriffe von mehr als 37 Angriffsgruppen zu neutralisieren, wobei sie mehr als 400 verschiedene Tools eingesetzt haben. Viele dieser Tools werden auch von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben und das Erkennen von Sicherheitslücken verwendet. Der Unterschied zwischen gutartigen und bösartigen Aktivitäten ist nicht immer einfach.“

Zu den weiteren Themen, die im Playbook behandelt werden, gehören die Taktiken und Techniken, die am ehesten eine aktive Bedrohung signalisieren und eine genauere Untersuchung rechtfertigen, die frühesten Anzeichen eines Angriffs, die am häufigsten gesehenen Stufen, Bedrohungstypen und bösartigen Artefakte sowie die am häufigsten beobachteten Gegnergruppen.

Das vollständige Playbook finden Sie auf der Sophos-Website.

Bildnachweis: Andreas/Depositphotos.com



Vorheriger ArtikelMicrosoft Office 2021 kommt zu Windows 10 und macOS, aber nur ein Narr würde es kaufen
Nächster ArtikelSkype-Beta fügt Screen-Sharing-Funktion hinzu

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein