down arrow
DE
Hintergrund
Hintergrund

BEDROHUNGSBERICHT VON UNIT 42 ZUR ANGRIFFSFLÄCHE

Unbekannte Ressourcen und die dynamische Natur der Cloud führen dazu, dass Angriffsflächen sich ständig ändern und immer neue Risiken entstehen. Das ist überall so.

Wenn Sicherheitsteams verstehen, welche Ressourcen über das Internet erreichbar – und damit potenziell gefährdet – sind, können sie ihre Angriffsfläche verkleinern und ihre Infrastruktur damit proaktiv sichern. Die folgenden diesbezüglichen Untersuchungsergebnisse basieren auf den umfassenden Daten zu mit dem Internet verbundenen Ressourcen und zu Bedrohungen, die in einem Zeitraum von 12 Monaten von Cortex Xpanse erfasst wurden.

Finden und beheben Sie Ihre Unbekannten

Xpanse ist eine Plattform für aktives Angriffsflächenmanagement, mit der Sicherheitsteams Schwachstellen in über das Internet erreichbaren Systemen aufdecken und automatisch beheben können. Dabei findet Xpanse in der Regel 30 % bis 40 % mehr Assets, als dem Sicherheitsteam bekannt waren.

Finden und beheben Sie Ihre unbekannten Unbekannten

Ohne XpanseMit Xpanse Mit XpanseOhne Xpanse
Mehr dazu
Angriffsfläche zurücksetzen
Video-Overlay
Kanten der oberen EckeKanten der oberen Ecke
0
rote Linie

Falsch konfigurierte Datenbanken

Unzureichend gesicherte Datenbanken sind anfällig für Datendiebstahl. Bsp.: offene MongoDB-Instanzen, ungesicherte MySQL-Server usw.

0
rote Linie

Unsichere Dateifreigabesysteme

Dateitransfersysteme ohne angemessene Sicherheitsmaßnahmen leisten Angriffen Vorschub. Bsp.: unverschlüsseltes FTP, ungeschütztes Telnet usw.

0
0
0
rote Linie

Inkorrekt konfigurierte IT- und Sicherheitsinfrastruktur

Falsch eingerichtete Netzwerke gewähren Unbefugten Zutritt. Bsp.: Administratorseiten für Firewalls, schlecht konfigurierte VPNs usw.

rote Linie

ist gefälscht

ist gefälscht

rote Linie

Über das Internet zugängliche Dienste für den Remotezugriff

Ungesicherte Zugangspunkte für den Remotezugriff werden häufig von Unbefugten missbraucht. Bsp.: offene RDP-Ports, schwache SSH-Authentifizierung usw.

rote Linie

ist gefälscht

ist gefälscht

rote Linie

Systeme der Gebäudeleittechnik

Infrastrukturmanagementsysteme sind mitunter anfällig für Cyberattacken. Bsp.: anfällige Klimaanlagen usw.

0

0 Probleme automatisch behoben. 5 Probleme mit Handlungsbedarf.

Zur Bewertung der von Natur aus dynamischen modernen IT-Umgebungen haben wir die Kombination aus neuen und etablierten Diensten verschiedener Cloud-Anbieter untersucht, die von einer Organisation in einem Zeitraum von sechs Monaten genutzt wurden.

Hintergrund

CLOUD-ANGRIFFSFLÄCHEN STEHEN NIE STILL

Die Dynamik der Cloud stellt Sicherheitsmaßnahmen auf eine harte Probe.

Im Durchschnitt ändern sich jeden Monat mehr als 20 % der extern zugänglichen Cloud-Dienste. Ohne eine lückenlose, kontinuierliche Übersicht ist es also nur zu einfach, versehentliche Fehlkonfigurationen oder das unaufhaltsame Wachstum der Schatten-IT innerhalb der eigenen Infrastruktur aus den Augen zu verlieren.

Ergebnisse

20%

der kritischen cloudbasierten IT-Infrastruktur werden jeden Monat geändert.

45%

der neuen Risiken entstehen durch diese monatlichen Änderungen.

Matt Kraning, CTO, Cortex Xpanse
Sie sollten Ihre Angriffsfläche aktiv überwachen, denn sie ändert sich unaufhörlich und wenn Sie sie nicht ständig im Auge haben, entstehen schnell mehrere unbekannte Schwachstellen, die von Angreifern ausgenutzt werden können.“
Matt Kraning, CTO, Cortex Xpanse

Unit 42® hat die Threat Intelligence zu 30 CVEs (Common Vulnerabilities and Exposures) analysiert, um zu ermitteln, wie schnell Widersacher sie ausnutzen konnten.

Hintergrund

ANGRIFFE GESCHEHEN IN MASCHINENSCHNELLE

Erste Exploits nur Stunden nach der Veröffentlichung

Erschreckend war, dass drei der 30 Schwachstellen schon einige Stunden nach der Veröffentlichung der CVEs ausgenutzt wurden. Die Tatsache, dass 19 der 30 Schwachstellen innerhalb von 12 Wochen nach der Veröffentlichung ausgenutzt wurden, zeigt einmal mehr, wie riskant es ist, Sicherheitspatches nicht konsistent und zeitnah einzuspielen.

Ergebnisse

3/30

der in CVEs erwähnten Schwachstellen wurden in der ersten Woche nach der Veröffentlichung ausgenutzt

19/30

der in CVEs erwähnten Schwachstellen wurden innerhalb von 12 Wochen ausgenutzt

Greg Heon, Senior Director of Product, Cortex Xpanse
Wir müssen uns bewusst sein, dass CVEs für Cyberkriminelle weiter relevant bleiben, auch nachdem die Öffentlichkeit sie vergessen hat. Deshalb sollten Sicherheitsteams in Unternehmen und Organisationen kontinuierlich nach Schwachstellen suchen und sie beheben, um ihre Angriffsfläche zu reduzieren.“
Greg Heon, Senior Director of Product, Cortex Xpanse

Unit 42 hat 15 Sicherheitslücken analysiert, die aktiv für Ransomwareangriffe mittels Remotecodeausführung (RCE) ausgenutzt werden. Diese CVEs wurden anhand von Threat Intelligence über die Angreifergruppen und deren Aktivitäten in den 12 vorangegangenen Monaten ausgewählt.

Hintergrund

RANSOMWAREVERBREITUNG

Ransomwarelieferung am selben Tag

Drei dieser kritischen RCE-Schwachstellen wurden schon wenige Stunden und sechs innerhalb von acht Wochen nach ihrer Veröffentlichung ausgenutzt.

Ergebnisse

3/15

der in CVEs erwähnten Schwachstellen wurden schon Stunden nach der Veröffentlichung ausgenutzt

6/15

der in CVEs erwähnten Schwachstellen wurden innerhalb von acht Wochen nach der Veröffentlichung von diesen Angreifern ausgenutzt

Marshall Kuypers, Director of Technical Enablement, Cortex Xpanse
Sicherheitsteams sollten automatisierte Abwehrfunktionen nutzen, um kritische Schwachstellen in ihrer Angriffsfläche zu finden und zu beheben, bevor sie ausgenutzt werden.“
Marshall Kuypers, Director of Technical Enablement, Cortex Xpanse

Aus dem Incident-Response-Bericht 2022 von Unit 42 geht hervor, dass 20 % der erfolgreichen Ransomwareangriffe mit Brute-Force-Angriffen für den Diebstahl von Anmeldedaten verbunden waren. Aktuelle Empfehlungen der US-Behörden CISA und NSA bekräftigen, dass RDPs ein sehr empfindlicher und immer wieder von Cyberkriminellen ausgenutzter Angriffsvektor sind.

Hintergrund

RANSOMWARE DELIVERY PROTOCOL

Ungeschützter Remotezugriff führt zu Ransomware

85 % der für diesen Bericht untersuchten Unternehmen und Institutionen hatten mindestens eine über das Internet zugängliche RDP-Instanz, die während der einen Monat langen Untersuchung online war.  Bei 50 % der über 600 Einsätze, die für den Incident-Response-Bericht 2022 ausgewertet wurden, fand Unit 42 geschäftskritische über das Internet zugängliche Systeme ohne Multifaktor-Authentifizierung (MFA).

Ergebnisse

85%

der für diesen Bericht untersuchten Unternehmen und Institutionen hatten mindestens eine über das Internet zugängliche RDP-Instanz, die während der einen Monat langen Untersuchung online war.

Ross Worden, Senior Consulting Director, Unit 42
RDP ist sehr anfällig für Brute-Force-Angriffe. Deshalb sollten Sicherheitsteams über das Internet zugängliche RDP-Schnittstellen identifizieren und entfernen. Wo es unbedingt erforderlich ist, sollte RDP nur mit MFA und anderen ausgleichenden Sicherheitsvorkehrungen genutzt werden.“
Ross Worden, Senior Consulting Director, Unit 42

Mehrere Fehlkonfigurationen und andere Pannen sind so weit verbreitet, dass sie Cyberkriminellen einfachen Internetzugang zu Unternehmen und Institutionen in aller Welt bieten.

Hintergrund

DIE GRÖSSTEN RISIKEN IN DER ANGRIFFSFLÄCHE

Gängige Schwachstellen bieten einfachen Zugang

Schwachstellen in Webframeworks, Remotezugriffsdiensten sowie IT- und Sicherheitsinfrastrukturen machen zusammen 60 % aller Schwachstellen der globalen Angriffsfläche aus. Daher sollten Sicherheitsteams die Suche nach und Behebung von Schwachstellen in diesen Umgebungen in ihre tägliche Routine einbeziehen, um ihre Angriffsfläche besser unter Kontrolle zu behalten und zu verkleinern.

Ergebnisse

23%

aller Schwachstellen befinden sich in Webframeworks und gestatten es Hackern, aktiv nach Websites zu suchen, die anfällige Software nutzen, und diese gezielt anzugreifen.

20%

aller Schwachstellen befinden sich in Services für den Remotezugriff und machen diese anfällig für Brute-Force-Angriffe.

Dominique Kilman, Consulting Director, Unit 42
Über das Internet zugängliche IT- und Sicherheitsinfrastrukturen stellen ein gewaltiges Sicherheitsrisiko dar.  Angreifer konzentrieren sich auf diese Systeme, um sich Zugang zu Ihrem Unternehmensnetzwerk zu verschaffen und um Ihre Sicherheitsmaßnahmen zu schwächen oder zu deaktivieren. Kontinuierliche Transparenz und Automatisierung können dazu beitragen, diese Schwachstellen zu beseitigen.“
Dominique Kilman, Consulting Director, Unit 42
Hintergrund

Bedrohungsbericht 2023 von Unit 42 zur Angriffsfläche

Informieren Sie sich über die spezifischen und gemeinsamen Bedrohungen in verschiedenen Branchen weltweit. Laden Sie den aktuellen Bericht zur Angriffsfläche herunter.