Bedrohungsakteure brauchen immer weniger Zeit für Netzwerkübernahmen
Die Sicherheitsfirma CrowdStrike hat kürzlich einen interessanten neuen „Threat Hunting“-Bericht veröffentlicht, der einen besorgniserregenden Trend bei Bedrohungsakteuren beleuchtet. Der Bericht zeigt, dass Hacker immer weniger Zeit benötigen, um vom ersten Angriff und dem Knacken eines Systems in einem offenen Netzwerk bis zum vollständigen Zugriff und zur Querbewegung im gesamten Netzwerk zu gelangen.
CrowdStrike nutzte Daten, die von fast 250.000 Endpunkten gesammelt wurden, die von den Kunden des Unternehmens verwendet wurden, und verwendete sie in seinem Bericht. Die Daten zeigen, dass Bedrohungsakteure im Durchschnitt etwa anderthalb Stunden brauchten, um von der anfänglichen Infiltration bis zur seitlichen Bewegung im Netzwerk eines Opfers zu gelangen.
Laterale Bewegung ist per Definition der Punkt, an dem es dem Bedrohungsakteur gelungen ist, Gegenmaßnahmen zur Blockierung der Erkennung zu ergreifen, und er ist in der Lage, sich zwischen verschiedenen Host-Computern in einem Netzwerk zu bewegen, indem er Zugriff auf ihre Dateisysteme hat und zusätzliche Malware darauf verteilen kann , sowie Daten aus ihnen zu exfiltrieren.
Allein diese stark vereinfachte Definition macht deutlich, dass das IT-Sicherheitsteam eines Opfers viel mehr Probleme mit einem Bedrohungsakteur haben wird, der es geschafft hat, Querbewegungen im Netzwerk sicherzustellen.
Hacker, die von der anfänglichen Verletzung zur seitlichen Bewegung übergegangen sind, können Ransomware im Opfernetzwerk bereitstellen und zusätzliche bösartige Tools verwenden, um die Erkennung zu vereiteln. All dies zeigt, wie wichtig es ist, den ersten Angriff einzudämmen und so schnell wie möglich zu handeln, um zu verhindern, dass die Hacker einen größeren Teil des Netzwerks übernehmen.
Der Bericht von CrowdStrike zeigt auch, dass Hacker bei mehr als einem Drittel der verfolgten Angriffe in weniger als einer halben Stunde von der ersten Verletzung zur seitlichen Bewegung übergingen. Dies bedeutet einen immensen Druck auf die Sicherheitsteams, Sicherheitsverletzungen einzudämmen und den Angreifern weiteren Zugriff zu verhindern.
Zwar müssen Bedrohungsakteure in der Regel frühzeitig ein Netzwerk auskundschaften und nach zusätzlichen Schwachstellen suchen, aber die einfache Tatsache, dass eine Gruppe von Hackern vom anfänglichen Netzwerkzugriff auf vollen Zugriff übergehen und praktisch jede zusätzliche Malware bereitstellen kann, die sie wollen ist mehr als ein wenig besorgniserregend.
