Orientierung für Ihr Unternehmen mit dem Elastic Global Threat Report 2024

Der Bericht von 2024 hat gezeigt, dass 54 % der Malware mit offensiven Sicherheitstools (OSTs) in Verbindung gebracht wurden – Tools, die zum Testen und Erkennen von Schwachstellen in Umgebungen verwendet werden. Diese Tools werden von verteidigungsorientierten Einzelpersonen und Gruppen entwickelt, von denen einige über Budgets für Forschung und Entwicklung verfügen. Bedrohungsakteure werden von diesen Tools angezogen, weil sie ihre Ziele so einfach und effizient umsetzen können.  

Meine Gedanken: Cobalt Strike war in den letzten Jahren die am weitesten verbreitete Malware und die Bedrohungsakteure halten daran fest. Wenn Sie darauf vorbereitet sind, wird es Ihnen gut gehen. 

Wie kann ich das mit meiner Organisation besprechen?
Sorge: Wir sollten OSTs nicht verwenden, weil sie von Bedrohungsakteuren missbraucht werden. 

Entgegnung: Die Verwendung eines OST in Ihrer Umgebung erhöht das Risiko dieser Art von Angriffen nicht. OSTs liefern wichtige Details der Sicherheitsumgebung und können leistungsstarke Werkzeuge für Simulationen wie Red Teaming oder Pen-Tests sein. Wir können uns auf diese potenziellen Bedrohungen vorbereiten, indem wir unsere Abwehrmaßnahmen auf dem neuesten Stand halten.

Unsere Forscher haben festgestellt, dass viele Cloud-Umgebungen falsch konfiguriert sind. Der Bericht enthält eine klare Aufschlüsselung der Probleme pro Cloud-Service-Anbieter (CSP) und enthüllt einige ziemlich erschreckende Fehlkonfigurationen, einschließlich Speicherkonten und Multifaktor-Authentifizierung (MFA).

Meine Gedanken: Cloud-Anbieter müssen ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden, wenn sie Standardrichtlinien in Betracht ziehen und gleichzeitig sicherstellen, dass die Cloud-Umgebung optimale Kosten und Leistungen bietet. Versuchen Sie, den Mittelweg zwischen dem, was Ihr Team bewältigen kann, und dem, was Sie gemäß Branchen-Benchmarking und Berichten priorisieren sollten, zu finden. 

Wie kann ich dies in meiner Organisation ansprechen?
Anliegen: Wie können wir sicherstellen, dass wir die besten Sicherheitspraktiken verwenden und das Risiko in unserer Cloud-Umgebung minimieren?

Entgegnung: Wir können CSPs zwar ermutigen, sicherere Vorgaben zu machen, aber das CSP-Benchmarking ist dazu gedacht, die Komplexität der Cloud-Sicherheit zu bewältigen. Geben Sie an, wie hoch Ihr CIS-Benchmark ist, und erläutern Sie Ihren Plan, ihn zu erhöhen.

Innerhalb der Endpunkte machte Defense Evasion fast 38 % aller Taktiken aus. Die allgemeine Verteilung der Warnungen verdeutlichte ein Wachstum der Process-Injection-Techniken, auf die 5 3% aller Windows Defense-Umgehungswarnungen entfielen. 

Meine Gedanken: Die zunehmende Betonung von Process Injection ist sinnvoll, weil die Abwehrtechnologien verbessert wurden, um die Technik zu bekämpfen, die zuvor die Mehrheit hatte, sodass die Angreifer gezwungen sind, zu einem anderen Ansatz zu wechseln.

Wie kann ich dieses Problem in meiner Organisation ansprechen?
Anliegen: Wir müssen uns darauf konzentrieren, unsere Umgebung auf Process-Injection-Angriffe abzustimmen. 

Entgegnung: Es ist zwar häufiger, aber die Zunahme dieser Techniken bedeutet nicht, dass Angreifer keine anderen Arten von Angriffen verwenden werden. Sicherheitsteams sollten vorsichtig sein und ihre Umgebung weiterhin auf Bedrohungen aller Art abstimmen.

Der Zugriff auf Zugangsdaten ist mit 23 % aller Warnungen die wichtigste Taktik von Angreifern in Cloud-Umgebungen und wird durch die Zunahme von Infostealern noch verstärkt. 

Meine Gedanken: Der Verlust von Zugangsdaten und die Manipulation von Konten sind immer noch die wichtigsten Techniken in der Cloud, was bedeutet, dass die Grundlagen nach wie vor entscheidend sind. Die Umsetzung des Prinzips der geringsten Privilegien und eine starke Authentifizierung werden einen großen Unterschied machen. Der beste Weg, um das Risiko der Offenlegung von Zugangsdaten zu verringern, ist eine Mischung aus Prävention und Überwachung – Sicherheitsteams müssen ihren Bestand an Geheimnissen und Zugangsdaten kennen und wissen, wo diese verwendet werden.

Wie kann ich dieses Problem in meiner Organisation ansprechen?
Problem: Anmeldeinformationen werden meist von Benutzern weitergegeben. 

Entgegnung: Berechtigungsnachweise sind ein kritisches Gut und sollten auch als solches behandelt werden – Sicherheitstrainings können da nur wenig ausrichten. Die Implementierung von Least Privilege und Phishing-resistenter MFA zusammen mit Identitätsanbietern (IdPs) kann das Risiko verringern. Unternehmen können ihre Umgebung mit Analysen des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analysis, UEBA) und auf Authentifizierung ausgerichtete Analysen weiter stärken, um Ausreißer zu überwachen.

Es ist ein heißes Thema, aber Elastic Security Labs hat in diesem Jahr keinen massiven Anstieg der KI-gestützten Angriffe festgestellt – nur eine leichte Zunahme des Angriffsvolumens. 

Meine Gedanken: Mein Team hat von den innovativen generativen KI-Funktionen (GenAI) von Elastic profitiert. Wir verwenden häufig die auf maschinellem Lernen basierenden Erkennungsregeln und Attack Discovery – beide haben unsere Fähigkeit verbessert, Sicherheitsabläufe zu automatisieren und gleichzeitig meinem Team und mir ein beruhigendes Gefühl gegeben. 

Wie kann ich dieses Problem in meiner Organisation ansprechen?
Bedenken: GenAI kommt Angreifern zugute. 

Entgegnung: GenAI hat einen allgemein beobachteten positiven Einfluss auf Verteidiger, indem es Bedrohungen mit fortschrittlicher Analytik begegnet und schnelle und zuverlässige KI-Anleitung bietet.

Als Sicherheitsexperten müssen wir uns über die aktuelle Bedrohungslandschaft auf dem Laufenden halten. Die Lektüre des Elastic Global Threat Report 2024 liefert Ihnen und Ihren InfoSec-Teams viele wichtige Informationen. 

Der Bericht beleuchtet nicht nur aufkommende Trends, sondern gibt uns auch das nötige Wissen an die Hand, um fundierte Entscheidungen über unsere Sicherheitsstrategien zu treffen. Erörtern Sie mit unseren Forschern diese Erkenntnisse im kommenden Webinar, Die Bedrohungslandschaft im Blick.