Tech-Unternehmen haben die Tools entwickelt, mit denen wir Unternehmen aufbauen und betreiben, Verbrauchertransaktionen verarbeiten, miteinander kommunizieren und unser Privat- und Berufsleben organisieren. Technologie hat die moderne Welt, wie wir sie kennen, geprägt – und unsere Abhängigkeit von Technologie wächst weiter.
Die Bedeutung der Technologiebranche ist nicht an Cyberkriminellen und nationalstaatlichen Gruppen verloren gegangen, die aus verschiedenen Gründen auf Technologieunternehmen abzielen: um strategische, militärische und wirtschaftliche Ziele zu erreichen; um auf sensible Unternehmensdaten zuzugreifen, die sie für Lösegeld halten oder im Dark Web verkaufen können; Lieferketten zu gefährden; und vieles mehr.
Tech-Unternehmen sind Cyberkriminalität nicht fremd – sie sind seit langem Ziele gegnerischer Aktivitäten –, aber im vergangenen Jahr haben diese Angriffe rapide zugenommen. Technologie war zwischen Juli 2021 und Juni 2022 die am stärksten angegriffene Branche für Cyber-Angriffe CrowdStrike-Bedrohungsdaten. Dies machte die Technologie zum beliebtesten Sektor für Bedrohungsakteure in einem Jahr, in dem CrowdStrike-Bedrohungsjäger mehr als 77,000 potenzielle Eindringlinge registrierten, oder ungefähr einen potenziellen Eindringling alle sieben Minuten.
Wenn Ihnen das bekannt vorkommt, liegt es wahrscheinlich daran, dass Sie diese Bedrohungsaktivität in den Nachrichten gesehen haben – Datenverstöße Auswirkungen auf die Technologiebranche haben im Jahr 2022 die Schlagzeilen dominiert. Technologieunternehmen jeder Größe sollten sich Sorgen über das Potenzial für gegnerische Aktivitäten machen, da sie häufig versuchen, Daten zu stehlen. Werfen wir einen genaueren Blick auf die Bedrohungen, über die sich Technologieunternehmen am meisten Sorgen machen sollten, wie diese gegnerischen Taktiken aussehen und wie man sie stoppen kann.
Wie die Gegner von heute Technologieunternehmen ins Visier nehmen
Unternehmen, kleine und mittelständische Unternehmen (KMU) und Start-ups müssen sich der Bedrohungen bewusst sein, denen sie ausgesetzt sind, und wissen, wie sie sich dagegen wehren können.
Angreifer entfernen sich zunehmend von Malware, um der Entdeckung zu entgehen: CrowdStrike-Bedrohungsdaten zeigen, dass zwischen Juli 71 und Juni 2021 Malware-freie Aktivitäten 2022 % aller Erkennungen ausmachten. Diese Verschiebung hängt teilweise zunehmend mit Angreifern zusammen Missbrauch gültiger Anmeldeinformationen Zugriff zu erhalten und Persistenz aufrechtzuerhalten (dh trotz Unterbrechungen wie Neustarts oder geänderter Zugangsdaten einen langfristigen Zugriff auf Systeme einzurichten) in IT-Umgebungen. Es gibt jedoch noch einen weiteren Faktor: die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt werden, und die Geschwindigkeit, mit der Angreifer Exploits operationalisieren können.
Die Zahl der Zero-Days und neu aufgedeckten Schwachstellen steigt von Jahr zu Jahr weiter an. CrowdStrike-Bedrohungsdaten zeigen, dass im Jahr 20,000 mehr als 2021 neue Schwachstellen gemeldet wurden – mehr als in jedem Vorjahr – und mehr als 10,000 wurden bis Anfang Juni 2022 gemeldet. Dies ist ein klarer Hinweis darauf, dass sich dieser Trend nicht verlangsamt.
Ein genauerer Blick auf Taktiken, Techniken und Verfahren (TTPs), die bei Eindringlingen verwendet werden, zeigt allgemeine Muster bei gegnerischen Aktivitäten. Wenn eine Schwachstelle erfolgreich ausgenutzt wird, folgt darauf routinemäßig die Bereitstellung von Web-Shells (dh schädliche Skripte, die es Angreifern ermöglichen, Webserver zu kompromittieren und zusätzliche Angriffe zu starten).
Was können Technologieunternehmen tun, um Datenschutzverletzungen zu stoppen?
Die Technologiebranche steht vor der Herausforderung, eine starke Verteidigung gegen eine sich ständig weiterentwickelnde Bedrohungslandschaft aufrechtzuerhalten. Die heutigen Angreifer ändern ihre TTPs, um subtiler zu sein, um der Erkennung zu entgehen und mehr Schaden anzurichten. Es liegt an den Verteidigern, die Workloads, Identitäten und Daten zu schützen, auf die sich ihr Unternehmen stützt.
Es gibt weder ein einheitliches Modell dafür, wie Cyberkriminelle ihre Angriffe durchführen, noch gibt es eine Patentlösung für Technologieunternehmen, um sich gegen jeden Einbruch zu verteidigen. Ein genauerer Blick auf die Angriffsaktivitäten zeigt jedoch kritische Bereiche, auf die sich IT- und Sicherheitsteams konzentrieren müssen. Nachfolgend finden Sie die wichtigsten Empfehlungen:
- Zurück zu den Grundlagen: Es ist von größter Bedeutung, dass Technologieunternehmen über die Grundlagen der Sicherheitshygiene verfügen. Dazu gehört die Bereitstellung eines starken Patch-Verwaltungsprogramms und die Sicherstellung einer robusten Benutzerkontensteuerung und privilegierten Zugriffsverwaltung, um die Auswirkungen kompromittierter Anmeldeinformationen zu mindern.
- Remote-Zugriffsdienste routinemäßig prüfen: Angreifer nutzen alle ihnen zur Verfügung stehenden bereits vorhandenen Fernzugriffstools oder versuchen, legitime Fernzugriffssoftware zu installieren, in der Hoffnung, dass sie automatisierte Erkennungen umgeht. Regelmäßige Audits sollten überprüfen, ob das Tool autorisiert ist und ob die Aktivität in einen erwarteten Zeitrahmen fällt, z. B. innerhalb der Geschäftszeiten. Verbindungen, die in kurzer Zeit von demselben Benutzerkonto zu mehreren Hosts hergestellt werden, können ein Zeichen dafür sein, dass ein Angreifer die Anmeldeinformationen kompromittiert hat.
- Suchen Sie proaktiv nach Bedrohungen: Sobald ein Angreifer die Verteidigung eines Technologieunternehmens durchbricht, kann es schwierig sein, ihn zu entdecken, da er heimlich Daten sammelt, nach vertraulichen Informationen sucht oder Anmeldeinformationen stiehlt. Hier kommt die Bedrohungssuche ins Spiel. Durch die proaktive Suche nach Angreifern in ihrer Umgebung können Technologieunternehmen Angriffe früher erkennen und ihre Sicherheitslage stärken.
- Priorisieren Sie den Identitätsschutz: Angreifer zielen zunehmend auf Zugangsdaten, um Technologieunternehmen zu verletzen. Jeder Benutzer, ob Mitarbeiter, Drittanbieter oder Kunde, kann unwissentlich kompromittiert werden und Angreifern einen Angriffspfad bieten. Technologieunternehmen müssen jede Identität authentifizieren und jede Anfrage autorisieren, um Cyberangriffe wie einen Angriff auf die Lieferkette, einen Ransomware-Angriff oder eine Datenschutzverletzung zu verhindern.
- Vergessen Sie nicht die Bedrohungsprävention: Für Technologieunternehmen können Bedrohungspräventionstools Cyberbedrohungen blockieren, bevor sie in eine Umgebung eindringen oder Schaden anrichten. Erkennung und Prävention gehen Hand in Hand. Um Cyber-Bedrohungen vorzubeugen, müssen diese in Echtzeit erkannt werden. Je größer die IT-Umgebung, desto größer der Bedarf an Tools, die bei der Erkennung und Abwehr von Bedrohungen helfen können.
Die Entwicklung der Cyberkriminalität und der nationalstaatlichen Aktivitäten zeigt keine Anzeichen einer Verlangsamung. Technologieunternehmen müssen ihre Verteidigung stärken und die Techniken eines Gegners verstehen, um ihre Workloads, Identitäten und Daten zu schützen und ihre Organisationen am Laufen zu halten.
