Große und komplexe Angriffsoberflächen machen es Cyberkriminellen in Ämtern und Behörden einfach
Palo Alto Networks veröffentlicht Untersuchung über die populärsten und gefährlichsten Angriffswege
Palo Alto Networks Unit 42 beleuchtet heute mit dem 2023 Unit 42 Attack Surface Threat Report einige der risikoreichsten Sicherheitsbeobachtungen rund um das Attack Surface Management (ASM). Der Bericht stellt die dynamische Natur von Cloud-Umgebungen der Geschwindigkeit gegenüber, mit der Angreifer neue Schwachstellen ausnutzen. Der Report zeigt, dass Cyberkriminelle neue Schwachstellen innerhalb weniger Stunden nach ihrer Veröffentlichung ausnutzen. Unternehmen haben mittlerweile Schwierigkeiten, ihre Angriffsflächen so schnell und in dem Umfang zu verwalten, wie es für die Bekämpfung der Automatisierung durch Angreifer erforderlich ist.
Die meisten Unternehmen haben ein Problem mit der Verwaltung ihrer Angriffsflächen und wissen es nicht einmal, weil sie keinen vollständigen Überblick über die verschiedenen IT-Ressourcen und deren Eigentümer haben. Einer der größten Schuldigen für diese unbekannten Risiken sind die Angriffe auf Remote-Zugriffsdienste, die fast jedes fünfte Problem ausmachen, das die Forscher im Internet gefunden haben. Verteidiger müssen ständig wachsam sein, denn mit jeder Konfigurationsänderung, jeder neuen Cloud-Instanz und jeder neu entdeckten Schwachstelle beginnt ein neuer Wettlauf gegen Angreifer.
Speziell bei Ämtern und Behörden stechen folgende Ergebnisse hervor
Die größten Risiken für nationale Behörden stehen mit 28 Prozent im Zusammenhang mit der Datensicherheit und der IT-Infrastruktur.
Die gemeinsame Nutzung von Dateien und Datenbanken machen zusammen über 46 Prozent aller Exposures/Gefährdungen in einer typischen nationalen Regierungsbehörde aus.
Falsch konfigurierte kritische IT-Systeme und über das Internet zugängliche Login-/Admin-Seiten von Routern, Firewalls, VPNs etc. waren einige der häufigsten Exposures/Gefährdungen.
Unsichere Dateifreigabe (23 Prozent) und Datenbanken (23 Prozent) sind die größten Risiken für die Angriffsoberfläche in nationalen Behörden, gefolgt von unverschlüsselten Logins und Fernzugriffsdiensten.
Bemerkenswerte Erkenntnisse aus dem Bericht
Die heutigen Angreifer sind in der Lage, den gesamten IPv4-Adressraum innerhalb von Minuten nach anfälligen Zielen zu durchsuchen.
Von den 30 analysierten CVEs (Common Vulnerabilities and Exposures) wurden drei innerhalb von Stunden nach der Veröffentlichung ausgenutzt und 63 Prozent wurden innerhalb von zwölf Wochen nach der Veröffentlichung ausgenutzt.
Von den 15 von Unit 42 analysierten Schwachstellen für Remotecode-Ausführung (RCE) wurden 20 Prozent innerhalb von Stunden nach der Veröffentlichung von Ransomware-Banden angegriffen. 40 Prozent der Schwachstellen wurden innerhalb von acht Wochen nach der Veröffentlichung ausgenutzt.
Die Cloud ist die vorherrschende Angriffsfläche
80 Prozent der Sicherheitslücken sind in Cloud-Umgebungen zu finden, verglichen mit 19 Prozent in On-Premises-Umgebungen.
Cloud-basierte IT-Infrastrukturen befinden sich ständig im Wandel und ändern sich jeden Monat um mehr als 20 Prozent in jeder Branche.
Nahezu 50 Prozent der risikoreichen, in der Cloud gehosteten Exposures pro Monat waren das Ergebnis des ständigen Wandels bei den in der Cloud gehosteten neuen Diensten, die online gehen und/oder bei den alten, die ersetzt werden.
Über 75 Prozent der öffentlich zugänglichen Softwareentwicklungsinfrastrukturen wurden in der Cloud gefunden, was sie zu attraktiven Zielen für Angreifer macht.
Fernzugriffsschwachstellen sind weit verbreitet
Bei über 85 Prozent der untersuchten Unternehmen war das Remote Desktop Protocol (RDP) während mindestens 25 Prozent des Monats über das Internet zugänglich, was sie anfällig für Ransomware-Angriffe oder unbefugte Anmeldeversuche machte.
In acht der neun von Unit 42 untersuchten Branchen war RDP während mindestens 25 Prozent des Monats über das Internet zugänglich und damit anfällig für Brute-Force-Angriffe.
Der Median der Finanzdienstleister sowie der staatlichen oder kommunalen Organisationen wies den gesamten Monat über RDP-Angriffe auf.
Nachfrage nach Attack Surface Management
Um SecOps-Teams in die Lage zu versetzen, die mittlere Reaktionszeit (MTTR) sinnvoll zu verkürzen, sind ein genauer Einblick in alle Unternehmensressourcen und die Fähigkeit, die Gefährdung dieser Ressourcen automatisch zu erkennen, erforderlich. Lösungen für das Management von Angriffsflächen, wie das branchenführende Cortex Xpanse von Palo Alto Networks, bieten SecOps-Teams ein vollständiges und genaues Verständnis ihrer globalen, dem Internet zugewandten Assets und potenziellen Fehlkonfigurationen. So gelingt es, die Risiken auf einer Angriffsfläche kontinuierlich zu entdecken, zu bewerten und zu mindern.
Cortex Xpanse arbeitet agentenlos und automatisch und entdeckt routinemäßig Assets, von denen die IT-Mitarbeiter nichts wissen und die sie nicht überwachen. Jeden Tag werden mehr als 500 Milliarden Scans von mit dem Internet verbundenen Assets durchgeführt. Dies hilft Unternehmen, unbekannte Risiken in allen angeschlossenen Systemen und exponierten Diensten aktiv zu entdecken, kennenzulernen und vor allem darauf zu reagieren. Cortex Xpanse ist eines der wenigen Produkte, das Unternehmen nicht nur die Möglichkeit gibt, ihre Risiken zu erkennen, sondern sie auch automatisch zu beheben. Cortex Xpanse hat außerdem kürzlich neue Funktionen eingeführt, die Unternehmen dabei helfen, Risiken auf der Angriffsfläche besser zu priorisieren und zu beseitigen, indem sie reale Intelligenz und KI-gestützte Workflows nutzen.
Es hat sich gezeigt, dass die alten Technologien, die die heutigen Security Operations Center (SOC) antreiben, nicht mehr funktionieren und dass die Kunden eine massive Verkürzung der mittleren Reaktions- und Abhilfezeit benötigen. Das Cortex-Produktportfolio, wie XSIAM, beinhaltet KI und Automatisierung, um die Sicherheitsabläufe zu revolutionieren und den Kunden zu helfen, flexibler und sicherer zu werden.