Site Logo

Barracuda XDR Insight: Bedrohungsschwere steigt während der Ferienmonate

Themen:
2. Nov.. 2022
|
Adam Khan

1 von 5 Cyberbedrohungen, die zwischen Juni und Ende September 2022 entdeckt wurden, galten als hohes Risiko – im Vergleich zu 1 von 80 im Januar.

XDR-Daten zeigen, dass die größten Bedrohungen zwischen Juni und September erfolgreiche Microsoft 365-Anmeldungen aus einem verdächtigen Land waren (auf die 40 % der Angriffe entfielen), gefolgt von der Kommunikation vom Netzwerk zu einer bekannten gefährlichen IP-Adresse (15 % der Angriffe) und Brute-Force-Benutzerauthentifizierungsversuche (10 %).

Einleitung

Die auf Unternehmen abzielenden Cyberbedrohungen variieren im Lauf der Zeit in Umfang, Art und Intensität und spiegeln das sich verändernde Verhalten der Angreifer sowie die Verbesserung der Sicherheitsmethoden und die Feinabstimmung der Informationen wider. Wenn Unternehmen diese Trends verstehen, können sie Angriffe besser vorhersehen und ihre Abwehr darauf vorbereiten.

Die neuesten Erkenntnisse über Bedrohungen dank der fortschrittlichen XDR-Plattform von Barracuda und dem rund um die Uhr tätigen Security Operations Centre zeigen, wie sich das Bedrohungsvolumen und der Schweregrad der Bedrohungen im Laufe des Jahres 2022 entwickelt haben – mit besonderem Augenmerk auf die Sommermonate.

Die Daten stammen von Kunden und MSP-Partnern, die sich zur Erkennung und Analyse von verdächtigen oder bösartigen Bedrohungen und die Reaktion darauf auf Barracuda XDR verlassen.

Im Jahr 2022 bisher erkannte Bedrohungen

Im Januar 2022 stieg die Zahl der von der XDR-Plattform erkannten Bedrohungsalarme sprunghaft auf 1,4 Millionen an, bevor sie auf knapp drei Viertel (71,4 %) stark zurückging. Im Juni kam es zu einer zweiten Spitze von 1,4 Millionen Meldungen, auf die ein ähnlicher, wenn auch sukzessiver Rückgang im Juli bis August folgte.

Bedrohungsmeldungen

Von Meldungen zu Kundenwarnungen

Ein ganz anderes Bild ergibt sich, wenn man sich ansieht, wie viele dieser Bedrohungsmeldungen eine Sicherheitswarnung beim Kunden auslösten, nachdem die Bedrohungsexperten von Barracuda einen genaueren Blick darauf geworfen hatten.

Im Januar waren nur etwa 1,25 % der Bedrohungsmeldungen oder 1 von 80 (17.500) ernst genug, um eine Sicherheitswarnung an den Kunden zu rechtfertigen. Von Juni bis September jedoch stieg die Rate auf 1 von 5 (96.428).

Sicherheitswarnungen

Ein genauerer Blick auf die Bedrohungsmeldungen im Sommer

Von den 476.994 Bedrohungsmeldungen, die von den Bedrohungsexperten bei Barracuda zwischen Juni und September analysiert wurden, waren 96.428 oder 20 % so schwerwiegend, dass der Kunde auf die potenzielle Gefahr aufmerksam gemacht und aufgefordert wurde, Abhilfemaßnahmen zu ergreifen.

Analysierte Meldungen

Ausgegebene Meldungen

Die drei am häufigsten erkannten Bedrohungen zwischen Juni und September waren:

1. Erfolgreiche Microsoft 365-Anmeldung aus einem verdächtigen Land – Kategorie „hohes Risiko“

Diese Art von Angriff machte 40 % aller Angriffe während des 90-Tage-Fensters zwischen Juni und Ende September aus. Zu den Ländern, die eine automatische Sicherheitswarnung auslösen, gehören Russland, China, Iran und Nigeria. Ein erfolgreicher Verstoß gegen ein Microsoft 365-Konto ist besonders riskant, da es einem Eindringling potenziellen Zugriff auf alle verbundenen und integrierten Assets bietet, die das Opfer auf der Plattform gespeichert hat. Unter anderem suchen die Analysten nach Hinweisen auf Anmeldungen aus mehreren Ländern bei ein und demselben Konto, z. B. eine Anmeldung aus dem Vereinigten Königreich, der eine Stunde später eine Anmeldung aus Russland oder China folgt. Nur 5 % dieser Alarme waren „falscher Alarm“, sprich legitime Anmeldungen.

Bedrohungen mit „hohem Risiko“ sind umsetzbare Ereignisse, die das Potenzial haben, der Kundenumgebung ernsthaften Schaden zuzufügen, und die sofortiges Handeln erfordern.

2. Kommunikation mit einer der Threat Intelligence bekannten IP-Adresse – Kategorie „mittleres Risiko“

Zu dieser Art von Angriff, die 15 % aller Angriffe in diesem Zeitraum ausmachten, gehören alle Versuche der böswilligen Kommunikation von einem Gerät innerhalb des Netzwerks zu einer Website oder einem bekannten Command-and-Control-Server usw.

Ein „mittleres Risiko“ erfordert Maßnahmen zur Minderung, würde aber als eigenständiges Ereignis normalerweise nicht zu erheblichen Auswirkungen führen.

3. Brute-Force-Benutzerauthentifizierungsversuch – Kategorie „mittleres Risiko“

Bei 10 % aller Angriffe handelt es sich um automatisierte Angriffe, die versuchen, die Verteidigungssysteme eines Unternehmens zu durchdringen, indem sie einfach so viele Kombinationen aus Namen/Passwörtern wie möglich ausführen.

Was bedeuten die Daten?

Cyberangreifer zielen auf Unternehmen und IT-Sicherheitsteams ab, wenn diese wahrscheinlich unterbesetzt sind. Dies kann an Wochenenden, über Nacht oder während der Urlaubszeit, z. B. im Sommer, geschehen.

Die XDR-Daten spiegeln das deutlich wider – trotz eines insgesamt geringeren Bedrohungsvolumens war der Anteil der Bedrohungen mit höherem Risiko in den Sommermonaten erheblich größer.

Diese Tatsache sollte man für die nächste Urlaubszeit im Kopf behalten.

Barracuda empfiehlt, dass IT-Sicherheitsteams wesentliche Sicherheitsmaßnahmen verstärken, wie zum Beispiel:

  1. Multi-Faktor-Authentifizierung (MFA) für alle Anwendungen und Systeme aktivieren
  2. Backups aller kritischen Systeme durchführen
  3. Robuste Sicherheitslösung mit E-Mail-Schutz und Endpoint Detection and Response (EDR) implementieren
  4. Transparenz über die gesamte IT-Infrastruktur
  5. Ein rund um die Uhr (24×7) besetztes Security Operations Center (SOC) zur Überwachung, Erkennung und Reaktion auf Cyberbedrohungen – entweder intern oder über einen vertrauenswürdigen Dienstleister.

Die Ergebnisse basieren auf Erkennungsdaten von Barracuda XDR, einer erweiterten Sichtbarkeits-, Erkennungs- und Reaktionsplattform (XDR), die von einem rund um die Uhr operierenden Security Operations Center (SOC) unterstützt wird, das Kunden zu jeder Zeit menschliche und KI-gestützte Dienste zur Erkennung, Analyse, Incident Response und Schadensbegrenzung von Bedrohungen bietet. Barracuda XDR ist derzeit für MSPs verfügbar.

 

 

Adam Khan

Adam Khan ist VP, Global Security Operations bei Barracuda MSP. Er leitet derzeit ein globales Sicherheitsteam, das aus hochqualifizierten Blue-, Purple- und Red-Team-Mitgliedern besteht. Zuvor arbeitete er über 20 Jahre lang für Unternehmen wie Priceline.comBarnes und Noble.com, und Scholastic. Adam verfügt über ein sehr großes Expertenwissen in den Bereichen Automatisierung und Sicherheit von Anwendungen/Infrastrukturen. Er engagiert sich leidenschaftlich für den Schutz von KMUs vor Cyberangriffen, die das Herzstück der amerikanischen Innovation darstellen.

Verwandte Beiträge:
Barracuda XDR Insight: Bedrohungsschwere steigt während der Ferienmonate
Barracuda XDR Insight: Bedrohungsschwere steigt während der Ferienmonate
 Threat Spotlight: Drei neuartige Phishing-Taktiken
Threat Spotlight: Drei neuartige Phishing-Taktiken
 Neue Forschungsergebnisse: Das riskante Verhalten, das australische Organisationen Cyberangriffen aussetzt
Neue Forschungsergebnisse: Das riskante Verhalten, das australische Organisationen Cyberangriffen aussetzt
 Threat Spotlight: Detaillierte Informationen zu einem Kryptominer-Angriff, der den Confluence-Bug ausnutzt
Threat Spotlight: Detaillierte Informationen zu einem Kryptominer-Angriff, der den Confluence-Bug ausnutzt