Im ersten Halbjahr 2023 sammelte Barracuda Managed XDR fast eine Billion IT-Ereignisse von Kunden, unter denen Tausende von risikoreichen Vorfällen erkannt und neutralisiert wurden.
In diesen sechs Monaten waren die meisten Vorfälle mit hohem Risiko – also Bedrohungen, die sofortige Abwehrmaßnahmen erfordern – mit einer Art von Identitätsmissbrauch verbunden. Diese Art von Angriffen wurde im Laufe der Zeit immer raffinierter, konnte aber von der Managed-XDR-Plattform mit Hilfe der KI-basierten Kontenprofilierung erkannt und blockiert werden.
Im Arbeitskontext hat jeder ein eigenes digitales Profil in Bezug darauf, wie, wo und wann er arbeitet. Wenn ein IT-Ereignis außerhalb dieser Muster liegt, wird Alarm geschlagen – und selbst wenn die Angriffe so subtil und hinterhältig sind, dass ein erfahrener SOC-Analyst erforderlich ist, um die böswillige Absicht zu bestätigen, sorgt die KI-basierte Erkennung dafür, dass dies auch geschieht.
Von alltäglichen Ereignissen zu dringenden Maßnahmen
Zwischen Januar und Juli 2023 sammelte die Managed-XDR-Plattform von Barracuda 950 Milliarden IT-Ereignisse aus den integrierten Netzwerk-, Cloud-, E-Mail-, Endpunkt- und Server-Sicherheitstools der Kunden.
Diese fast eine Billion Ereignisse umfassen alles von (erfolgreichen und erfolglosen) Anmeldungen, Netzwerkverbindungen und Datenverkehrsströmen bis hin zu E-Mail-Nachrichten und -Anhängen, erstellten und gespeicherten Dateien, Anwendungs- und Geräteprozessen, Änderungen an der Konfiguration und der Registrierung sowie alle spezifischen Sicherheitswarnungen.
0,1 % dieser Ereignisse (985.000) wurden als „Alarme“ eingestuft, d. h. als Aktivitäten, die bösartig sein könnten und weitere Untersuchungen erfordern.
Davon wurde 1 von 10 (9,7 %) dem Kunden zur Überprüfung gemeldet, während weitere 2,7 % als hohes Risiko eingestuft und an einen SOC-Analysten zur genaueren Analyse weitergeleitet wurden. 6.000 erforderten sofortige Abwehrmaßnahmen zur Eindämmung und Neutralisierung der Bedrohung.
Die am häufigsten erkannten risikoreichen Angriffe.
Die drei häufigsten risikoreichen Erkennungen durch Managed XDR, die von den SOC-Analysten in den ersten sechs Monaten des Jahres 2023 untersucht wurden, waren:
1. „Impossible travel“ (unmögliches Reisen) Anmeldeereignisse
Diese treten auf, wenn eine Erkennung zeigt, dass ein Nutzer versucht, sich von zwei geografisch entfernten Standorten aus kurz hintereinander bei einem Cloud-Konto anzumelden – wobei die Entfernung zwischen den beiden Standorten in der Zeit zwischen den Anmeldungen unmöglich überwunden werden kann. Dies kann zwar bedeuten, dass sie für eine der Sitzungen ein VPN verwenden, ist aber oft ein Zeichen dafür, dass ein Angreifer Zugriff auf das Konto eines Benutzers erwirkt hat. Impossible-Travel-Anmeldungen sollten immer untersucht werden.
Die Impossible-Travel-Erkennung von Barracuda XDR für Microsoft 365-Konten entdeckte und blockierte zwischen Januar und Juli Hunderte von versuchten Angriffen auf geschäftliche E-Mails (Business Email Compromise, BEC).
Bei einem vom SOC-Team untersuchten Vorfall meldete sich ein Nutzer von Kalifornien aus bei seinem Microsoft 365-Konto an, und nur 13 Minuten später von Virginia aus. Um dies zu erreichen, müsste er mit einer Geschwindigkeit von mehr als 10.000 Meilen pro Stunde reisen. Die IP-Adresse, die für die Anmeldung aus Virginia verwendet wurde, war nicht mit einer bekannten VPN-Adresse verbunden, und der Nutzer meldete sich normalerweise nicht von diesem Standort aus an. Das Team benachrichtigte den Kunden, der bestätigte, dass es sich um eine unbefugte Anmeldung handelte, setzte sofort die Passwörter zurück und meldete den betrügerischen Benutzer von allen aktiven Konten ab.
2. Entdeckung von „Anomalien“
Diese Erkennungen identifizieren ungewöhnliche oder unerwartete Aktivitäten im Konto eines Benutzers. Dazu gehören z. B. seltene oder einmalige Anmeldezeiten, ungewöhnliche Dateizugriffsmuster oder die übermäßige Einrichtung von Konten für einen einzelnen Benutzer oder eine Organisation. Solche Erkennungen können ein Anzeichen einer Vielzahl von Problemen sein, darunter Malware-Infektionen, Phishing-Angriffe und Insider-Bedrohungen. Wenn Sie eine Anomalie erkennen, sollten Sie das Konto untersuchen, um die Ursache der Anomalie zu ermitteln.
Barracuda Managed XDR verfügt über eine Windows-Erkennungsbasis für „ungewöhnliche Uhrzeiten für Nutzer“, die die Anmeldemuster für einen bestimmten Benutzer erkennt und markiert, wenn sich dieser Benutzer zu einem ungewöhnlichen Zeitpunkt anmeldet. Das SOC-Team hat seit Januar 2023 über 400 Warnungen zu dieser Art von Aktivitäten herausgegeben.
3. Kommunikation mit bekannten bösartigen Artefakten
Diese Erkennungen identifizieren die Kommunikation mit alarmierenden oder als bösartig bekannten IP-Adressen, Domänen oder Dateien. Dies kann ein Zeichen einer Malware-Infektion oder eines Phishing-Angriffs sein. Wenn Sie eine Kommunikation mit einem bekannten bösartigen oder verdächtigen Artefakt sehen, sollten Sie den Computer sofort unter Quarantäne stellen und die Infektion untersuchen.
KI in den Händen von Angreifern
Die obigen Ausführungen zeigen zwar, wie KI die Sicherheit erheblich verbessern kann, aber sie kann von Angreifern auch für böswillige Zwecke genutzt werden.
So können beispielsweise generative KI-Sprachprogramme äußerst überzeugende E-Mails erstellen, die den Stil eines seriösen Unternehmens genau imitieren, sodass es für Einzelpersonen sehr viel schwieriger ist, zu erkennen, ob eine E-Mail seriös ist, oder ob es sich um einen Phishing-, Account Takeover- oder BEC-Versuch handelt.
KI-Tools werden wahrscheinlich auch von Angreifern verwendet, um gegnerisches Verhalten zu automatisieren und dynamisch zu emulieren, wodurch ihre Angriffe effektiver und schwerer zu erkennen sind.
KI-gestützte Befehlszeilenprogramme können sich beispielsweise schnell an Veränderungen in der Verteidigung eines Ziels anpassen, Schwachstellen erkennen oder sogar aus früheren Fehlversuchen lernen, um nachfolgende Angriffe zu verbessern. Ein frühes Beispiel für ein solches Tool ist „WormGPT“, das bereits in einem Untergrundforum beworben wird und von Bedrohungsakteuren eingesetzt werden kann, um die Erstellung bösartiger Skripte und Befehle zu automatisieren und sie dynamisch an jedes spezifische Ziel anzupassen.
Security für eine sich schnell entwickelnde Bedrohungslandschaft
Da die KI immer weiter voranschreitet, müssen sich Unternehmen der potenziellen Risiken bewusst sein und Maßnahmen ergreifen, um diese zu minimieren.
Dazu gehören robuste Authentifizierungsmaßnahmen, wie z. B. mindestens die Multifaktor-Authentifizierung, idealerweise aber auch Zero-Trust-Ansätze, sowie kontinuierliche Mitarbeiterschulungen, insbesondere im Hinblick auf Phishing-Angriffe.
IT-Sicherheitsteams und ihre externen Sicherheitsanbieter sollten versuchen, über die neuesten KI-gestützten Bedrohungen informiert zu bleiben und ihre Sicherheitsvorkehrungen anzupassen. Aber es ist ebenso wichtig, sich an die grundlegenden Maßnahmen zu erinnern – dafür zu sorgen, dass die Systeme und die Software auf dem neuesten Stand sind und dass Sie einen vollständigen Überblick über die IT-Umgebung haben.
Wenn sich das kompliziert und ressourcenintensiv anhört, keine Sorge. Die Branche geht zunehmend zu integrierten Sicherheitsdiensten und -plattformen über. Es gibt jetzt hervorragende Optionen für verwalteten Support, XDR und rund um die Uhr (24×7) angebotenen SOC-as-a-Service, um Cyber-Bedrohungen zu jeder Tages- und Nachtzeit zu überwachen, zu erkennen und darauf zu reagieren, sodass Sie und Ihre Vermögenswerte immer sicher sind.
Die Ergebnisse basieren auf Erkennungsdaten von Barracuda Managed XDR, einer erweiterten Plattform für Sichtbarkeit, Erkennung und Reaktion (XDR), die von einem 24/7 Security Operations Center (SOC) unterstützt wird, das seinen Kunden rund um die Uhr menschliche und KI-gestützte Dienste zur Erkennung, Analyse, Incident Response und Schadensbegrenzung von Bedrohungen bietet.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
