Die gängigsten Angriffstechniken für Vorfälle im Jahr 2021

Mit unserem Dienst Kaspersky Managed Detection and Response (MDR) können Unternehmen ihre Sicherheitsteams stärken, indem sie die Unternehmensinfrastruktur rund um die Uhr extern überwachen lassen. Laut einer kürzlich veröffentlichten MDR-Analystenstudie verarbeitete der Dienst im Jahr 2021 etwa 414.000 Sicherheitswarnungen, was zu der Meldung von 8479 Vorfällen an Kunden führte. Bei der Vorfallsanalyse identifizierten unsere SOC-Experten die häufigsten Angriffstechniken der MITRE ATT&CK-Klassifikation. Das sind 3 gängigsten dieser Techniken:

User Execution

Die Kategorie User Execution umfasst alle Vorfälle, bei denen sich der Angreifer auf die Aktionen eines Benutzers innerhalb der Infrastruktur verlässt. Das sind die Fälle, in denen Angreifer einen Mitarbeiter zwingen, auf einen schädlichen Link zu klicken oder einen E-Mail-Anhang zu öffnen. Zu dieser Gruppe gehören auch Vorfälle, bei denen ein getäuschter Benutzer einem Angreifer Fernzugriff auf Unternehmensressourcen gewährt.

Spearphishing Attachment

Gemäß der MITRE ATT&CK-Klassifizierung beinhaltet die Taktik Spearphishing Attachment den Versand von E-Mails mit einer schädlichen Datei im Anhang. Am häufigsten verlassen sich Angreifer auch auf Social Engineering und die zuvor beschriebene User Execution (Ausführung durch den Nutzer), um einen solchen Angriff durchzuführen. Zu den typischen Payloads gehören ausführbare Dateien, MS Office-Dokumente, PDFs und Archivdateien.

Exploitation of Remote Services

Die Kategorie Exploitation of Remote Services umfasst Vorfälle, bei denen sich Angreifer anfällige Dienste zunutze machen, um auf interne Systeme innerhalb eines Unternehmensnetzwerks zuzugreifen. Typischerweise wird dies für die Seitwärtsbewegung (Lateral Movement) innerhalb der Infrastruktur verwendet. Angreifer zielen oft auf Server ab, nutzen in einigen Fällen aber auch Schwachstellen in anderen Endpunkten, einschließlich Workstations, aus.

So schützen Sie Ihre Infrastruktur vor den gängigsten Angriffsmethoden

Die Website MITRE ATT&CK listet die effektivsten Methoden auf, die im Kampf gegen gängige Angriffsmethoden eingesetzt werden können:

• Um die unabsichtliche Beteiligung eines Mitarbeiters an einem Angriff auf die Infrastruktur Ihres Unternehmens automatisch zu verhindern, wird empfohlen, Sicherheitslösungen mit Funktionen zur Anwendungskontrolle zu verwenden, die auch Netzwerkangriffe blockieren, die Reputation von Websites überprüfen, und heruntergeladene Dateien zu scannen. Darüber hinaus ist es sinnvoll, das Sicherheitsbewusstsein der Mitarbeiter zu stärken, indem ihnen aktuelle Angriffstaktiken und -methoden erklärt werden.
• Diese Schutzmechanismen gelten auch für schädliche Anhänge in zielgerichteten E-Mails. Als zusätzliche Schutzebene für Ihr firmeninternes E-Mail-System wird auch die Verwendung von SPF-, DKIM- und DMARC-Technologien
• Technologien zur Anwendungsisolierung wirken gut gegen den Exploit von Remote-Diensten. Dennoch gibt es bestimmte Maßnahmen, die auf Ihrer Prioritätenliste weiter oben stehen sollten: Es wird empfohlen, alle nicht verwendeten Remote-Dienste zu entfernen oder zu deaktivieren, Netzwerke und Systeme zu segmentieren und die Zugriffsebene und Berechtigungen von Dienstkonten zu minimieren. Zudem ist es notwendig, Sicherheitsupdates für kritische Systeme rechtzeitig zu installieren und Sicherheitslösungen mit Verhaltenserkennungsfunktionen einzusetzen. Weiterhin kann es nicht schaden das Netzwerk regelmäßig auf potenziell anfällige Dienste zu untersuchen und aktuelle Threat Intelligence-Daten zu verwenden.

Um Ihre Unternehmensinfrastruktur vor komplexen Angriffen zu schützen, sollten Sie sich auf die Hilfe externer Experten verlassen, die Ihre Infrastruktur schützen, Sicherheitswarnungen untersuchen und Sie über gefährliche Aktivitäten benachrichtigen und Ihnen mögliche Gegenmaßnahmen und Empfehlungen zur Verfügung stellen.