Elastic Global Threat Report 2023: Die wichtigsten Prognosen und Empfehlungen zum Thema Cybersicherheit

Von

Santosh Krishnan

gtr-forecast-blog.jpg

Wir freuen uns, die Veröffentlichung des Elastic Global Threat Report 2023 bekanntzugeben, einer umfassenden Analyse von mehr als einer Milliarde Datenpunkte. Der Bericht enthält Einblicke in die Methoden, Techniken und Trends von Angreifern aus der Perspektive der Verteidiger und unterstützt Kunden, Partner und Sicherheitsteams dabei, ihre Sicherheitshaltung zu priorisieren und zu verbessern.

Die Beobachtungen im Bericht basieren auf anonymisierten Telemetriedaten von Elastic sowie auf öffentlich zugänglichen und freiwillig übermittelten Daten. Wir möchten zeigen, welche Vorteile unsere einzigartige Perspektive für Entwickler und Betreiber von Sicherheitstechnologien bietet.

Highlights der Prognosen und Empfehlungen zum Thema Elastic Security

Der Global Threat Report liefert wertvolle Einblicke in potenzielle Cyberbedrohungen für das Jahr 2024. Er zeigt die zunehmend raffinierten und unauffälligen Vorgehensweisen von Angreifern und deren Vorliebe für öffentlich zugängliche Tools und Ressourcen zur Durchführung ihrer Angriffe. Außerdem finden Sie im Bericht Anleitungen und Best Practices dazu, wie Sie sich und Ihre Daten vor diesen Angriffen schützen können. Hier sind einige der wichtigsten Prognosen und Empfehlungen aus dem Bericht:

icon-quote

Angreifer nutzen vermehrt Open-Source-Communitys für Implantate, Tools und Infrastruktur.

Cyberangreifer nutzen immer häufiger kommerzielle und Open-Source-Tools, um Systeme auf unterschiedlichen Plattformen zu kompromittieren. Tools wie Metasploit, Cobalt Strike und das Sliver-Framework werden sehr häufig eingesetzt, um Windows-, Linux- und macOS-Geräte gezielt anzugreifen. Außerdem existiert ein zunehmender Trend zu Malware-as-a-Service und Ransomware-Kampagnen, die diese Tools für ihre Angriffe einsetzen. Die Angreifer nutzen Open-Source-Tools, um ihre Betriebskosten zu reduzieren.

Prognose 1Empfehlung
Angreifer nutzen vermehrt Open-Source-Communitys für Implantate, Tools und Infrastruktur.
  • Angreifer nutzen Open-Source-Code für ihre Angriffe.
  • Dies umfasst legitime Bibliotheken wie OneDriveAPI, Tools wie SharpShares und Implantate wie Sliver.
  • Angreifer werden weiterhin öffentlich zugängliche Projekte für ihre Zwecke nutzen.
Unternehmen sollten direkte Downloads von Code-Sharing-Websites unter die Lupe nehmen und gegebenenfalls den Zugriff einschränken. Damit lässt sich zwar nicht verhindern, dass Angreifer den Code wiederverwenden, aber immerhin können keine vorkompilierten Binärdateien oder portierbare Skripts für Angriffe eingesetzt werden. Unternehmen sollten ihre Sichtbarkeit im Hinblick auf neue Angriffs-Frameworks überprüfen.

icon-quote

Die Offenlegung von Cloud-Anmeldeinformation wird eine der Hauptursachen für Datenpannen sein.

Angreifer nutzen oft Zugriffe mit Anmeldeinformation, um auf Daten oder Systeme zuzugreifen. „Zugriffe mit Anmeldeinformationen“ ist ein weit gefasster Begriff, der Passwörter, Token und andere Authentifizierungsmethoden umfasst. Wir haben festgestellt, dass etwa 7 % aller Endpoint-Verhaltenssignale mit dieser Taktik im Zusammenhang standen. Bei 79 % dieser Signale wurden Anmeldeinformationen mithilfe von integrierten Tools oder Features aus dem Betriebssystem ausgelesen.

Bei den Cloud-Dienstanbietern beliefen sich Zugriffe mit Anmeldeinformation auf etwa 45 % aller Erkennungssignale. Bei AWS waren dies hauptsächlich ungewöhnliche Versuche, Geheimnisse aus dem Secrets Manager, aus Umgebungsvariablen lokaler EC2-Hosts und aus Anmeldedateien zu extrahieren. Anmeldeinformationen können auch über Code-Repositorys wie etwa GitHub offengelegt werden, wenn der Code nicht angemessen überprüft oder bereinigt wird.

Prognose 2Empfehlung
Die Offenlegung von Cloud-Anmeldeinformation wird eine der Hauptursachen für Datenpannen sein.
  • Angreifer nutzen Cloud-Anmeldeinformationen, um Daten zu stehlen und Malware zu verbreiten.
  • Der Cloud-Speicher ist in Großunternehmen oft nicht segmentiert und daher ein leichtes Ziel für Angreifer mit gestohlenen Anmeldeinformationen.
  • Offengelegte Cloud-Computing-Anmeldeinformationen begünstigen die Verbreitung von Kryptominern und sonstiger Malware.
Konten mit minimalen Privilegien und robuste Authentifizierungsmechanismen können durch die Überwachung des Nutzerverhaltens ergänzt werden. Diese Lösungen hängen von einer angemessenen Datensegmentierung ab.

icon-quote

Die Umgehung von Verteidigungsmaßnahmen hat weiterhin höchste Priorität, und Tarnung wird durch Manipulation verdrängt.

Der umfassende Einsatz von Umgehungstechniken für Verteidigungsmaßnahmen legt nahe, dass die Angreifer mit den vorhandenen Überwachungstools und Sicherheitslösungen vertraut sind und Strategien zu deren Umgehung entwickeln. Dies zeigt eindeutig, dass sich die Angreifer an die angegriffenen Umgebungen anpassen und Zeit und Ressourcen investieren, um ihre bösartigen Aktivitäten zu verschleiern.

Prognose 3Empfehlung
Die Umgehung von Verteidigungsmaßnahmen hat weiterhin höchste Priorität, und Tarnung wird durch Manipulation verdrängt.
  • Aktuelle Trends in der Sicherheitsbranche haben zur Entwicklung robuster Endpoint-Schutzfunktionen geführt, aber die Angreifer wissen, dass sie diese Features umgehen müssen, um ihre Ziele zu erreichen.
  • Dieser Trend wird vermutlich zu einer Abnahme von Maskierungsangriffen führen.
  • In der Praxis zeigt sich dieser Wandel beispielsweise an Taktiken wie „Bring Your Own Vulnerable Driver“.
Unternehmen sollten die Manipulationssicherheit ihrer Endpoint-Security-Sensoren überprüfen und Monitoring-Projekte wie „Living off the Land“-Treiber in Betracht ziehen, um anfällige Gerätetreiber aufzuspüren, mit denen Sicherheitstechnologien kompromittiert werden können.

Den Angreifern einen Schritt voraus mit Elastic Security

Diese Prognosen sind nur ein kleiner Einblick in die Bedrohungen, Angreifer und Abwehrmaßnahmen, die wir für das kommende Jahr erwarten. Sie zeigen auch, wie wir dieses Wissen nutzen, um Elastic Security zu verbessern und vorauszuplanen. Eine ausführliche Übersicht über die Sicherheitslage und deren Zukunftsaussichten finden Sie im vollständigen Elastic Global Threat Report 2023.

Die Entscheidung über die Veröffentlichung von Features oder Leistungsmerkmalen, die in diesem Blogpost beschrieben werden, oder über den Zeitpunkt ihrer Veröffentlichung liegt allein bei Elastic. Möglicherweise werden aktuell nicht verfügbare Features oder Funktionen nicht rechtzeitig oder gar nicht bereitgestellt.

Elastic Cloud kostenlos ausprobieren

Richten Sie ein Deployment mit vollem Funktionsumfang beim Cloud-Anbieter Ihrer Wahl ein. Als das Unternehmen hinter Elasticsearch stellen wir unsere Features und unseren Support für Ihre Elastic-Cluster in der Cloud bereit.

Kostenlos ausprobieren