Unser Kaspersky Global Emergency Response Team (GERT) hat die von unseren Experten im Jahr 2021 untersuchten Vorfälle analysiert und einen detaillierten Bericht erstellt. Sie können auf den vollständigen Bericht zugreifen, indem Sie das entsprechende Formular auf unserem Securelist-Blog ausfüllen. In der Zwischenzeit möchten wir hier die wichtigsten Ergebnisse und Empfehlungen der Response-Experten mit Ihnen teilen.
Initiale Angriffsvektoren
Bei 53,6 % der Angriffsversuche im Jahr 2021 versuchten die Angreifer, sich Zugang zur Unternehmensinfrastruktur zu verschaffen, indem sie Schwachstellen in weit verbreiteten Anwendungen ausnutzten. In 17,9 % der Fälle verwendeten sie zuvor kompromittierte Anmeldeinformationen und in 14,3 % bösartige E-Mails. Vor diesem Hintergrund empfehlen unsere Experten:
- Die Einführung einer strengen Passwortpolitik und Verwendung einer mehrstufigen Authentifizierung;
- Keinen direkten Internetzugriff auf die Verwaltungsmechanismen der Informationssysteme;
- Die Installation von Updates für öffentlich zugängliche Dienste und Systeme sollte schnellstmöglich erfolgen, bzw. entsprechende Gegenmaßnahmen zu deren Schutz entwickelt werden;
- Eine regelmäßige Sensibilisierung der Mitarbeiter für die Cybersicherheit.
Eingesetzte Tools
Bei fast 40 % der Vorfälle verwendeten die Angreifer typische Tools: Entweder handelte es sich um legitime Betriebssystemkomponenten oder um Penetrationstest-Software. Unsere Experten empfehlen Ihnen, sich im Vorfeld auf solche Angriffe vorzubereiten.
- Verwenden Sie nach Möglichkeit keine Software, die häufig von Angreifern ausgenutzt wird.
- Nutzen Sie EDR-Lösungen.
- Stellen Sie Regeln für die Erkennung der von Angreifern am häufigsten verwendeten Tools auf.
- Führen Sie regelmäßige Penetrationstests und Cyber-Drills mit gängigen Angriffstechniken und -taktiken durch.
Auswirkungen der Vorfälle
Bei 51 % der Vorfälle versuchten die Angreifer, Unternehmensdaten zu verschlüsseln. Schlimmer noch: 16 % der Angriffe führten zu Datenlecks. In 11,1 % der Fälle wurde der Verzeichnisdienst Active Directory kompromittiert. Um den Schaden für Ihr Unternehmen so gering wie möglich zu halten, empfehlen wir:
- Regelmäßige Backups Ihrer Daten.
- Besondere Aufmerksamkeit für den Schutz von Systemen, die personenbezogene Daten enthalten.
- Eine Zusammenarbeit mit vertrauenswürdigen Incident-Response-Dienstleistern mit schnellen SLAs.
- Die Verbesserung und Aufrechterhaltung der Fähigkeiten Ihres Notfallteams durch spezielle Schulungen und Cyber-Übungen.
Um die Fähigkeiten der internen Incident-Response- und Cyber-Forensik-Teams zu entwickeln und sie auf die Bewältigung komplexer Cyberangriffe vorzubereiten, empfehlen wir die Teilnahme an unserem Kurs Kaspersky Expert Training Windows Incident Response. Er basiert auf der Erfahrung und dem Fachwissen von Spezialisten unseres Kaspersky Global Emergency Response Teams und bringt Ihren Spezialisten unter anderem bei, wie sie Vorfälle richtig identifizieren, Beweise sammeln, Netzwerk- und Protokollprotokolle analysieren und Indikatoren für Kompromittierungen ermitteln. Mehr über den Kurs erfahren Sie auf der Online-Schulungsseite für Experten.