Site Logo

Das Problem mit Dwell Time: Warum Unternehmen eine bessere Incident Response benötigen

Themen:
21. Juli. 2022
|
Phil Muncaster

Die Bedrohungslandschaft entwickelt sich weiterhin in schwindelerregendem Tempo. Das sind schlechte Nachrichten für Netzwerkverteidiger, die sich nicht anpassen können oder wollen, wenn sich ihr direktes Umfeld ändert. Die neueste Studie zeigt, dass die Angreifer weiterhin einen Vorteil haben. Nach all dem Chaos und den Störungen, die das erste Jahr der Pandemie kennzeichneten, scheint es, dass Bedrohungsakteure tatsächlich noch besser darin werden, unvorbereitete Unternehmen auszunutzen.

Es gibt keinen Königsweg zur Behebung dieses Problems. Effektive Erkennung und Reaktion auf Vorfälle sollten Teil der Sicherheitsstrategie jedes KMUs sein. Ohne sie wird diese Dwell Time und damit auch die potenziellen finanziellen und Reputationsauswirkungen auf Unternehmen weiter zunehmen.

Warum spielt die Dwell Time eine Rolle?


Einfach ausgedrückt: Die Dwell Time misst, wie lange Eindringlinge sich in Opfernetzwerken befinden, bevor sie entdeckt und herausgeworfen werden. Es liegt auf der Hand, dass je länger die Dwell Time ist, desto mehr Schaden angerichtet werden kann und desto teurer das „Aufräumen“ wird. Es ist bedenklich, dass die durchschnittliche Dwell Time zwischen 2020 und 2021 von 11 auf 15 Tage angestiegen ist.

Aus einer separaten Studie von vom April geht zwar hervor, dass sich die Zahl in die andere Richtung bewegt, nämlich von 24 auf 21 Tage, aber in der EMEA-Region sah es letztes Jahr weitaus schlimmer aus (48 Tage). Es ist bezeichnend, dass die meisten reagierenden Unternehmen über das Eindringen Dritter informiert werden mussten, anstatt Vorfälle selbst zu entdecken.

Was können wir sonst noch über die Art und Weise sagen, wie Internetkriminelle heute arbeiten?

  • Das Ausnutzen von Schwachstellen gehört zu den beliebtesten Zugriffsvektoren.

  • Initial Access Broker (IABs) gibt es überall. Diese Internetkriminellen sind darauf spezialisiert, Opfer zu kompromittieren und diesen Zugriff dann an andere zu verkaufen, was Sicherheitsverletzungen sehr viel wahrscheinlicher macht.

  • Das Remote-Desktop-Protokoll (RDP) kam für anfängliche Zugriffe im Jahr 2021 zwar seltener zum Einsatz, ist aber dennoch ein wertvolles Instrument. Unternehmen konfigurieren diese Endpunkte häufig falsch, z. B. weil sie nicht auf sichere, eindeutige Kennwörter aktualisieren.


So verkürzen Sie die Dwell Time


Ransomware bleibt eine dauerhafte Bedrohung. Angesichts der Tatsache, dass einige Ransomware-Paylodas in nur vier Minuten 100.000 Dateien verschlüsseln können, besteht die beste Chance für Unternehmen, die Bedrohung gering zu halten, darin, Verstöße von vornherein zu verhindern oder sie zu einem früheren Zeitpunkt in der Angriffskette zu erkennen. Die Prävention umfasst eine Reihe von Best Practice-Schritten, darunter:
Prävention ist jedoch niemals zu 100 % wirksam. Dies gilt insbesondere heute, nachdem die digitalen Ausgaben während der Pandemie die Angriffsflächen von Unternehmen um ein Vielfaches erhöht haben. Ein entschlossener Angreifer findet immer einen Weg, egal, ob er die Zugangsdaten stiehlt oder durch einen Brute-Force-Angriff erlangt, nicht abgeglichene Sicherheitslücken ausnutzt oder einen anderen Vektor nutzt.

Die Macht von Incident Response


Hier kommt Incident Response ins Spiel. Im Idealfall sollten Unternehmen ihre Best Practices zur Cyberhygiene und präventiven Kontrolle durch Überwachungstools auf E-Mail-, Netzwerk-, Endpunkt- und Cloud-Ebene ergänzen. Da diese nach Verhaltenshinweisen und nicht nach dem Vorhandensein von Malware suchen, können sie auch verdeckte "Existenzgründungen" und andere Techniken erkennen, die Bedrohungsakteure in der Regel nutzen, um unter dem Radar der vorhandenen Tools zu bleiben.

Am wichtigsten ist, dass diese Erkennungs- und Reaktionstools mit einem hohen Maß an Sicherheit anzeigen sollten, wenn etwas nicht richtig aussieht, um die Zeit der gestressten IT-Analysten zu maximieren, die ansonsten mit Fehlalarmen überhäuft werden. Dann geht es um Untersuchung, Sanierung und Reaktion – die Bösen rausschmeißen, Probleme beheben und Widerstandsfähigkeit für das nächste Mal aufbauen.

Es versteht sich von selbst, dass solche Tools im Rahmen einer gut geplanten und regelmäßig praktizierten Incident Response-Strategie eingesetzt werden sollten. Es mag übertrieben erscheinen. Fortschrittliche Planung kann jedoch die Dwell Time und die Gesamtauswirkung eines Verstoßes minimieren, damit Ihr Unternehmen weiter bestehen bleibt.

Reagieren Sie schneller auf E-Mail-Angriffe.

Phil Muncaster

Phil Muncaster ist technischer Redakteur und Herausgeber mit über 12 Jahren Erfahrung bei einigen der größten Technologiepublikationen auf dem Markt, darunter Computing, The Register, V3 und MIT Technology Review. Er verbrachte mehr als zwei Jahre in Hongkong und konnte dadurch tief in die asiatische Technologieszene eintauchen. Jetzt ist er nach London zurückgekehrt, wo die Informationssicherheit zu einem wichtigen Schwerpunkt seiner Arbeit geworden ist.

Folgen Sie Phil auf Twitter und vernetzen Sie sich auf LinkedIn mit ihm.

Verwandte Beiträge:
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
Erfolg in der realen Welt: Wie Hunt Brothers Pizza Microsoft 365 absichert
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
Threat Spotlight: Sextortion
Threat Spotlight: Sextortion