dwell time

Das Problem mit Dwell Time: Warum Unternehmen eine bessere Incident Response benötigen

Druckfreundlich, PDF & E-Mail

Die Bedrohungslandschaft entwickelt sich weiterhin in schwindelerregendem Tempo. Das sind schlechte Nachrichten für Netzwerkverteidiger, die sich nicht anpassen können oder wollen, wenn sich ihr direktes Umfeld ändert. Die neueste Studie zeigt, dass die Angreifer weiterhin einen Vorteil haben. Nach all dem Chaos und den Störungen, die das erste Jahr der Pandemie kennzeichneten, scheint es, dass Bedrohungsakteure tatsächlich noch besser darin werden, unvorbereitete Unternehmen auszunutzen.

Es gibt keinen Königsweg zur Behebung dieses Problems. Effektive Erkennung und Reaktion auf Vorfälle sollten Teil der Sicherheitsstrategie jedes KMUs sein. Ohne sie wird diese Dwell Time und damit auch die potenziellen finanziellen und Reputationsauswirkungen auf Unternehmen weiter zunehmen.

Warum spielt die Dwell Time eine Rolle?

Einfach ausgedrückt: Die Dwell Time misst, wie lange Eindringlinge sich in Opfernetzwerken befinden, bevor sie entdeckt und herausgeworfen werden. Es liegt auf der Hand, dass je länger die Dwell Time ist, desto mehr Schaden angerichtet werden kann und desto teurer das „Aufräumen“ wird. Es ist bedenklich, dass die durchschnittliche Dwell Time zwischen 2020 und 2021 von 11 auf 15 Tage angestiegen ist.

Obwohl separate Untersuchungen vom April darauf hindeuten, dass sich die Zahl in die andere Richtung bewegt, von 24 auf 21 Tage, war es in EMEA letztes Jahr weitaus schlechter (48 Tage). Es ist bezeichnend, dass die meisten reagierenden Unternehmen über das Eindringen Dritter informiert werden mussten, anstatt Vorfälle selbst zu entdecken.

Was können wir sonst noch über die Art und Weise sagen, wie Internetkriminelle heute arbeiten?

  • Das Ausnutzen von Schwachstellen gehört zu den beliebtesten Zugriffsvektoren.
  • Initial Access Broker (IABs) gibt es überall. Diese Internetkriminellen sind darauf spezialisiert, Opfer zu kompromittieren und diesen Zugriff dann an andere zu verkaufen, was Sicherheitsverletzungen sehr viel wahrscheinlicher macht.
  • Das Remote-Desktop-Protokoll (RDP) wurde für den anfänglichen Zugriff im Jahr 2021 weniger verwendet, ist aber dennoch ein wertvolles Instrument. Unternehmen konfigurieren diese Endpunkte häufig falsch, z. B. weil sie nicht auf sichere, eindeutige Kennwörter aktualisieren.

So verkürzen Sie die Dwell Time

Ransomware bleibt eine dauerhafte Bedrohung. Angesichts der Tatsache, dass einige Ransomware-Payloads 100.000 Dateien in nur vier Minuten verschlüsseln können, besteht die beste Chance für Unternehmen, die Bedrohung zu mindern, darin, Verstöße sofort zu verhindern oder sie früher zu erkennen. Die Prävention umfasst eine Reihe von Best Practice-Schritten, darunter:

Prävention ist jedoch niemals zu 100 % wirksam. Dies gilt insbesondere heute, nachdem die digitalen Ausgaben während der Pandemie die Angriffsflächen von Unternehmen um ein Vielfaches erhöht haben. Ein entschlossener Angreifer findet immer einen Weg, egal, ob er die Zugangsdaten stiehlt oder durch einen Brute-Force-Angriff erlangt, nicht abgeglichene Sicherheitslücken ausnutzt oder einen anderen Vektor nutzt.

Die Macht von Incident Response

Hier kommt Incident Response ins Spiel. Im Idealfall sollten Unternehmen ihre Best Practices zur Cyberhygiene und präventiven Kontrolle durch Überwachungstools auf E-Mail-, Netzwerk-, Endpunkt- und Cloud-Ebene ergänzen. Da diese eher nach verhaltensbezogenen Hinweisen als nach dem Vorhandensein von Malware suchen, können sie verwendet werden, um selbst verdeckte „Living off the Land“- und andere Techniken zu erkennen, mit denen Bedrohungsakteure normalerweise außerhalb des Radars älterer Tools agieren.

Am wichtigsten ist jedoch, dass diese Erkennungs- und Reaktions-Tools mit einem hohen Maß an Zuverlässigkeit erkennen sollten, wenn etwas nicht zu stimmen scheint, um die Zeit von gestreckten IT-Analysten zu maximieren, die andernfalls mit Falschmeldungen überflutet werden. Dann geht es um Untersuchung, Sanierung und Reaktion – die Bösen rausschmeißen, Probleme beheben und Widerstandsfähigkeit für das nächste Mal aufbauen.

Es versteht sich von selbst, dass solche Tools im Rahmen einer gut geplanten und regelmäßig praktizierten Incident Response-Strategie eingesetzt werden sollten. Es mag übertrieben erscheinen. Fortschrittliche Planung kann jedoch die Dwell Time und die Gesamtauswirkung eines Verstoßes minimieren, damit Ihr Unternehmen weiter bestehen bleibt.

Reagieren Sie schneller auf E-Mail-Angriffe.

Nach oben scrollen
Twittern
Teilen
Teilen