E-Mail-Bedrohungen nach der Zustellung

Bedrohungs-Spotlight: E-Mail-Bedrohungen nach der Zustellung

Druckfreundlich, PDF & E-Mail

Was passiert, nachdem eine bösartige E-Mail die Sicherheitsmaßnahmen eines Unternehmens umgangen hat und im Posteingang eines Benutzers gelandet ist? Dies kann genauso wichtig sein wie die Maßnahmen, mit denen Bedrohungen von vornherein abgewehrt werden.

Die Experten von Barracuda untersuchten kürzlich rund 3.500 Unternehmen, um Bedrohungsmuster und Reaktionspraktiken besser zu verstehen. Sie fanden heraus, dass ein durchschnittliches Unternehmen mit 1.100 Benutzern etwa 15 E-Mail-Sicherheitsvorfälle pro Monat verzeichnet und das durchschnittlich 10 Mitarbeiter von jedem Phishing-Angriff betroffen sind, der es schafft, durchzudringen.

Wir fanden außerdem heraus, dass 3% der Mitarbeiter auf einen Link in einer bösartigen E-Mail klicken und damit das gesamte Unternehmen anfällig für Angreifer machen. Obwohl diese Zahlen gering erscheinen mögen, sind sie dennoch signifikant, da Hacker nur einen Klick oder eine Antwort benötigen, damit ein Angriff erfolgreich ist.

Darüber hinaus identifizierten die Experten Maßnahmen, die nach der Zustellung einer E-Mail einen messbaren Unterschied ausmachen können. Unsere Analyse ergab beispielsweise, dass Unternehmen, die ihre Benutzer schulen, nach nur zwei Schulungskampagnen eine Verbesserung der Genauigkeit der von Benutzern gemeldeten E-Mails um 73% feststellen.

Hier ein genauerer Blick auf die von unseren Forschern aufgedeckten Bedrohungsmuster und Reaktionspraktiken sowie Schritte, die Sie unternehmen können, um die Reaktion Ihres Unternehmens auf E-Mail-Bedrohungen nach der Zustellung zu verbessern.

Bedrohung im Fokus

E-Mail-Bedrohungen nach der Zustellung – Die Aktivitäten, die durchgeführt werden, um die Folgen einer Sicherheitsverletzung und die Bedrohungen, die nach der Zustellung auftreten, zu bewältigen, werden allgemein als Incident Response („Reaktion auf Vorfälle“) bezeichnet. Eine effektive Reaktion auf Vorfälle zielt darauf ab, die Sicherheitsbedrohung schnell zu beheben, um die Ausbreitung des Angriffs zu stoppen und potenzielle Schäden zu minimieren.

Sich weiterentwickelnde E-Mail-Angriffe stellen ein erhebliches Risiko für Unternehmen dar. Da Hacker immer ausgefeiltere Social-Engineering-Techniken verwenden, werden E-Mail-Bedrohungen sowohl für technische Lösungen als auch für E-Mail-Benutzer schwierig zu erkennen. Es gibt keine Sicherheitslösung, die 100 % der Angriffe verhindern kann. Ebenso melden Endbenutzer verdächtige E-Mails aufgrund unzureichender Schulungsmaßnahmen oder Nachlässigkeit nicht immer, und wenn sie es doch tun, ist die Genauigkeit der gemeldeten Nachrichten gering, was zu einer Verschwendung von IT-Ressourcen führt. Ohne eine effiziente Strategie zur Reaktion auf Vorfälle können Bedrohungen oft unentdeckt bleiben, bis es zu spät ist.

Die Details

Basierend auf der Analyse von Vorfällen von ca. 3.500 Unternehmen durch Experten von Barracuda wird ein durchschnittliches Unternehmen mit 1.100 Benutzern etwa 15 E-Mail-Sicherheitsvorfälle pro Monat verzeichnen. Ein „Vorfall“ bezieht sich in diesem Fall auf eine bösartige E-Mail, die es an den technischen Sicherheitslösungen vorbei in die Posteingänge der Benutzer geschafft hat. Sobald diese Vorfälle identifiziert sind, müssen sie nach ihrer Priorität eingestuft und untersucht werden, um ihr Ausmaß und ihren Bedrohungsgrad zu bestimmen. Wenn sich herausstellt, dass sie eine Bedrohung darstellen, müssen zudem Maßnahmen zur Behebung ergriffen werden.

Es gibt mehrere Möglichkeiten für Unternehmen, E-Mail-Bedrohungen zu identifizieren, um sie nach der Zustellung zu beheben. Benutzer können sie melden, IT-Teams können eine interne Bedrohungssuche einleiten oder sich auf eine Gemeinschaft von anderen Unternehmen verlassen, die Angriffe beheben. Bedrohungsdaten zu bereits behobenen Bedrohungen, die unternehmensübergreifend ausgetauscht werden, sind in der Regel zuverlässiger als von Benutzern gemeldete Daten.

Unsere Experten fanden heraus, dass die Mehrheit der Vorfälle (67,6 %) durch interne Bedrohungssuche entdeckt wurde, die vom IT-Team eingeleitet wurde. Diese Untersuchungen können auf unterschiedliche Weise eingeleitet werden. Zu den üblichen Praktiken gehören das Durchsuchen von Nachrichtenprotokollen oder das Durchführen von Schlüsselwort- oder Absendersuchen in bereits zugestellten E-Mails. Weitere 24 % der Vorfälle entstanden aus von Benutzern gemeldeten E-Mails, 8,1 % wurden mithilfe von gemeinschaftlicher Threat Intelligence entdeckt und die restlichen 0,4 % durch andere Quellen wie automatisierte oder bereits behobene Vorfälle.

Quelle des Vorfalls

 

Unternehmen sollten Endbenutzer immer dazu ermutigen, verdächtige E-Mails zu melden, aber eine Flut von E-Mails, die von Benutzern gemeldet werden, kann für ressourcenschwache IT-Teams eine große Belastung darstellen. Eine gute Möglichkeit, die Genauigkeit der Meldungen von Benutzern zu erhöhen, besteht in konsistenter Schulung zur Stärkung des Risikobewusstseins. Unsere Untersuchung ergab, dass Unternehmen, die ihre Benutzer schulen, nach nur zwei Schulungskampagnen eine Verbesserung der Genauigkeit der von Benutzern gemeldeten E-Mails um 73 % feststellen.

gemeldete E-Mails

3 % der Benutzer klicken auf Links in bösartigen E-Mails

Sobald IT-Administratoren bösartige E-Mails identifiziert und bestätigt haben, müssen sie den möglichen Umfang und die potenziellen Auswirkungen des Angriffs untersuchen. Die Identifizierung aller Personen innerhalb eines Unternehmens, die bösartige Nachrichten erhalten haben, kann ohne die richtigen Tools unglaublich zeitaufwändig sein. Unsere Untersuchung ergab, dass im Durchschnitt 10 Mitarbeiter von jedem Phishing-Angriff betroffen sind, der es schafft, durchzudringen.

Darüber hinaus klicken 3 % der Mitarbeiter auf einen Link in einer bösartigen E-Mail und machen damit das gesamte Unternehmen anfällig für Angreifer. Mitarbeiter werden zudem bösartige Nachrichten weiterleiten oder auf diese antworten und so die Angriffe innerhalb ihres Unternehmens oder sogar nach außen weiter verbreiten. Obwohl diese Zahlen gering erscheinen mögen, sind sie nicht unbedeutend. Hacker brauchen nur einen Klick oder eine Antwort, damit ein Angriff erfolgreich ist. Es dauert nur 16 Minuten, bis ein Benutzer auf einen bösartigen Link klickt. Eine schnelle Untersuchung und Behebung ist daher der Schlüssel zur Gewährleistung der Sicherheit des Unternehmens.

bösartige E-Mails

Bösartige E-Mails verbleiben 83 Stunden in den Posteingängen der Benutzer, bevor sie entfernt werden.

Die Beseitigung von bösartigen E-Mails kann ein langwieriger und zeitaufwändiger Prozess sein. Unsere Experten fanden heraus, dass von dem Moment an, in dem ein Angriff in den Posteingängen der Benutzer landet, bis zu dem Zeitpunkt, an dem er von einem Sicherheitsteam entdeckt oder von Endbenutzern gemeldet und schließlich behoben wird, durchschnittlich dreieinhalb Tage oder etwas mehr als 83 Stunden vergehen. Diese Zeit kann durch gezielte Sicherheitsschulungen, die die Genauigkeit der von Benutzern gemeldeten Angriffe verbessern, sowie durch den Einsatz automatischer Behebungstools, die Angriffe automatisch erkennen und beheben können, erheblich verkürzt werden. Dadurch hat das Sicherheitspersonal mehr Zeit für andere Aufgaben.

Viele Sicherheitsteams nutzen auch Bedrohungsanalysen von behobenen Vorfällen, um ihre Sicherheitsrichtlinien zu aktualisieren und zukünftige Angriffe zu verhindern. So aktualisieren beispielsweise 29 % der Unternehmen regelmäßig ihre Blocklisten, um Nachrichten von bestimmten Absendern oder aus bestimmten Regionen zu blockieren. Allerdings aktualisieren nur 5 % der Unternehmen ihre Web-Sicherheit, um den Zugriff auf bösartige Websites für das gesamte Unternehmen zu blockieren. Diese geringe Zahl ist auf die fehlende Integration zwischen der Reaktion auf Vorfälle und der Web-Sicherheit in den meisten Unternehmen zurückzuführen.

Maßnahmen nach der Behebung

So schützen Sie sich vor Bedrohungen nach der Zustellung

Schulen Sie Ihre Benutzer, um die Genauigkeit und die Menge der gemeldeten Angriffe zu erhöhen.

Ein aufgeklärter E-Mail-Benutzer kann die verheerenden Auswirkungen eines erfolgreichen E-Mail-Angriffs verhindern. Eine kontinuierliche Schulung zur Stärkung des Risikobewusstseins wird die Wahrscheinlichkeit erhöhen, dass Benutzer potenzielle Bedrohungen an ihr IT-Team melden, statt auf sie zu antworten oder sie anzuklicken oder weiterzuleiten. Die Endbenutzer sollten regelmäßig geschult werden, damit die Best Practices im Bereich Sicherheit präsent bleiben und die Genauigkeit der gemeldeten Bedrohungen die IT-Abteilung davon abhält, zu viel Zeit mit der Untersuchung nicht bösartiger Junk-Mails zu verbringen.

Verlassen Sie sich auf die Community als Quelle für potenzielle Bedrohungen.

Geteilte Bedrohungsdaten sind ein wirksames Mittel, um zu verhindern, dass sich entwickelnde Bedrohungen Ihre Daten und Ihre Benutzer gefährden. Ähnliche und manchmal identische E-Mail-Bedrohungen betreffen mehr als ein Unternehmen, da Hacker häufig dieselben Angriffstechniken für mehrere Ziele einsetzen. Die Auswertung von Daten, die andere Unternehmen erfassen, ist ein effektiver Ansatz, um groß angelegte Angriffe abzuwehren, anstatt nur Bedrohungsdaten zu nutzen, die über das individuelle Netzwerk eines Unternehmens erfasst wurden. Stellen Sie sicher, dass Ihre Lösung für die Reaktion auf Vorfälle auf geteilte Bedrohungsdaten zugreifen und diese für eine effektive Bedrohungssuche und die Warnung vor möglichen Vorfällen nutzen kann.

Verwenden Sie Tools für die Bedrohungssuche, um die Untersuchung von Angriffen zu beschleunigen.
Die Aufdeckung potenzieller Bedrohungen sowie die Identifizierung des Umfangs des Angriffs und aller betroffenen Benutzer kann Stunden, wenn nicht sogar Tage dauern. Unternehmen sollten Tools zur Bedrohungssuche einsetzen, die ihnen nach der Zustellung Einblick in die E-Mails geben. Diese Tools können verwendet werden, um Anomalien in bereits zugestellten E-Mails zu identifizieren, schnell nach betroffenen Benutzern zu suchen und festzustellen, ob diese mit bösartigen Nachrichten interagiert haben.

Automatisieren Sie die Behebung, wo immer es möglich ist.
Durch den Einsatz automatisierter Systeme zur Reaktion auf Vorfälle können die erforderliche Zeit für die Identifizierung verdächtiger E-Mails und deren Entfernung aus den Posteingängen aller betroffenen Benutzer erheblich verkürzt und Prozesse automatisiert werden, die die Abwehr künftiger Bedrohungen stärken. Durch die Implementierung automatisierter Workflows haben unsere Barracuda-Kunden ihre Reaktionszeit um bis zu 95 % verkürzt. Dadurch verringert sich die Zeit, in der sich eine Bedrohung ausbreiten kann, und ihre IT-Teams haben mehr Zeit, um sich auf andere Sicherheitsaufgaben zu konzentrieren.

Nutzen Sie Integrationspunkte.
Unternehmen müssen nicht nur ihre Workflows automatisieren, sondern auch ihre Reaktion auf Vorfälle in die E-Mail- und Web-Sicherheit integrieren, um weitere Angriffe zu verhindern. Die bei der Reaktion auf Vorfälle gesammelten Erkenntnisse können zudem genutzt werden, um eine automatische Behebung und die Identifizierung verwandter Bedrohungen zu ermöglichen.

Dieses Threat-Spotlight wurde von Mike Flouton mit Forschungsunterstützung von Wenting Zhang, Sheila Hara, Stephanie Cavigliano und Olesia Klevchuk aus dem Barracuda-Sentinel-Team verfasst.

Reagieren Sie schneller auf E-Mail-Angriffe.

Nach oben scrollen
Twittern
Teilen
Teilen