Der Elastic Global Threat Report 2024: Prognosen und Empfehlungen

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

Gestern hat Elastic Security Labs den Elastic Global Threat Report 2024veröffentlicht, einen umfassenden Überblick über mehr als eine Milliarde Datenpunkte aus der einzigartigen Telemetrie von Elastic. Der Bericht bietet Einblicke in die Methoden, Techniken und Trends von Bedrohungsakteuren aus der Sicht der Verteidiger – und liefert Sicherheitsteams wichtige Erkenntnisse, um ihre Sicherheitslage zu priorisieren und zu verbessern. 

Die Beobachtungen in diesem Bericht basieren auf anonymisierten und bereinigten Telemetriedaten von Elastic sowie auf öffentlichen und Drittanbieterdaten, die freiwillig übermittelt wurden. Die Telemetriedaten wurden von unseren Experten in den Elastic Security Labsumfassend geprüft und in umsetzbare Erkenntnisse für unsere Kunden, Partner und die Sicherheits-Community im Allgemeinen umgewandelt.

Highlights der Prognosen und Empfehlungen

In diesem Jahr hat Elastic Security Labs die Entwicklung von Bedrohungsakteuren beobachtet – einschließlich einer Zunahme von Angriffen auf Zugangsdaten und der fortgesetzten Manipulation von offensiven Sicherheitstools. Hier sind einige der wichtigsten Prognosen und Empfehlungen aus dem Bericht.  

Access Broker und das Infostealer-Ökosystem werden die Wirkung offengelegter Anmeldeinformationen erhöhen

Bei mehreren aufsehenerregenden Vorfällen in diesem Jahr haben Forscher beobachtet, dass die Angreifer gestohlene Zugangsdaten aus der Umgebung des Opfers verwendet haben. In den meisten dieser Fälle enthielt die Umgebung auch Hinweise auf frühere Infostealers oder Backdoor-Artefakte. Es kann sehr schwierig sein, festzustellen, welche Anmeldedaten kompromittiert wurden, nachdem einige Zeit vergangen ist.

Empfehlung: Rotieren Sie die Anmeldedaten für gefährdete Konten und investieren Sie in Reaktions-Workflows, um Konten zurückzusetzen. User and Entity Behaviour Analytics (UEBA) ist eine Klasse von Technologien, die dabei helfen können, kompromittierte Konten zu identifizieren. Die Überwachung der Konten, die bei Brute-Force-Angriffen verwendet werden (in Cloud-basierten Umgebungen sehr häufig), kann in Fällen helfen, in denen Beweise verschoben oder gelöscht wurden.

Die Telemetrie ergab, dass Sicherheitsteams zu freizügig mit den Ressourcen von Cloud Service Providern (CSPs) umgehen, was das Risiko zukünftiger Datenverluste erhöht

Wir haben festgestellt, dass die Sicherheitseinstellungen für die Cloud bei allen Hyperscalern durchweg falsch konfiguriert waren. In der einen oder anderen Form haben die Nutzer die gleichen Funktionen aller CSPs falsch konfiguriert:

  • Freizügige Zugriffsrichtlinien, die Anmeldungen von überall aus zulassen

  • Freizügige Speicherrichtlinien ließen Dateioperationen von Konten aller Art zu

  • Lockere Richtlinien für die Datenverarbeitung oder schwache Verschlüsselung

Unternehmen, die zwischen Benutzerfreundlichkeit und dem Aufwand für die Sicherung kritischer Ressourcen abwägen müssen, haben möglicherweise Schwierigkeiten, einer aggressiven Haltung Priorität einzuräumen oder sie konsequent zu verfolgen. In vielen Fällen sind Audits und Anleitungen allgemein verständlich und kostenlos verfügbar.

Empfehlung: Sicherheitsteams sollten in Erwägung ziehen, den Benchmark-Prozess des Center for Internet Security (CIS) zu nutzen, um zu ermitteln, welche Einstellungen in ihrer Umgebung mehr Aufmerksamkeit erfordern. Sobald der CIS-Positionswert 100 erreicht hat, sollten Sie sicherstellen, dass das InfoSec-Team mit den gängigsten Cloud-basierten Eindringungstechniken vertraut ist. Die Überwachung von diesem Grundzustand aus sollte dazu beitragen, die Geschwindigkeit der Bedrohungserkennung zu verbessern und die Umgebung gegen zukünftige Bedrohungen abzusichern.

Die Angreifer werden sich auf die Umgehung von Verteidigungsmaßnahmen konzentrieren, insbesondere auf Techniken, die die Sichtbarkeit der Sensoren verhindern

Die häufigsten Defense Evasion-Signale wurden auf Windows-Systemen beobachtet und umfassten in der Regel ein Trio von Techniken: Process Injection, System Binary Proxy Execution und Impair Defenses. Zusammen können diese drei Techniken verwendet werden, um mit ausreichenden Rechten zur Manipulation oder Blindschaltung von Instrumenten Fuß zu fassen, bevor Daten an ein Datenrepository gesendet werden können.

Empfehlung: Es gibt keine einheitliche Lösung für diese komplexe Methode, aber Sicherheitsteams sollten auf Veränderungen der Sichtbarkeit von Endpoints, integrierte binäre Proxys und auf Anzeichen von Process Injection achten. Eine effiziente Überwachung ist jedoch nur möglich, wenn interaktive Endpoint-Agenten vor der Erkennung von Bedrohungsaktivitäten eingesetzt werden, die nicht wirksam sind, wenn sie falsch konfiguriert sind. Forscher haben häufig Unternehmen beobachtet, in denen Administratoren es versäumt haben, lizenzierte Abhilfemaßnahmen zu aktivieren, was zu unerwünschten Ergebnissen geführt hat.

Bleiben Sie Angreifern einen Schritt voraus mit dem Elastic Global Threat Report 2024

Diese Prognosen bieten nur einen kurzen Überblick über die Bedrohungen, Angreifer und Abwehrmaßnahmen, die wir im kommenden Jahr erwarten. Weitere Prognosen und einen detaillierten Überblick über die Sicherheitslandschaft finden Sie im vollständigen Elastic Global Threat Report 2024.

Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.