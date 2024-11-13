Sicherheit

gegnerischer Vorteil: Nutzung nationalstaatlicher Bedrohungsanalysen zur Stärkung der U.S. Cybersicherheit

Topographische Weltkarte auf der Kavraisky VII-Projektion. Einschließlich Flüsse und genaue Längen- und Breitengradlinien.

Autoren

Doug Bonderud

Writer

Nationalstaatliche Gegner ändern ihre Vorgehensweise und verlagern ihren Fokus von der Datenzerstörung hin zur Priorisierung von Tarnung und Spionage. Laut dem Microsoft 2023 Digital Defense Report „erhöhen staatliche Angreifer ihre Investitionen und starten ausgefeiltere Cyberangriffe, um der Erkennung zu entgehen und strategische Prioritäten zu erreichen.“

Diese Akteure stellen eine entscheidende Bedrohung für die US-Infrastruktur und geschützte Daten dar, und die Kompromittierung einer der Ressourcen könnte Bürger gefährden.

Zum Glück haben diese böswilligen Bemühungen auch eine gute Seite: Informationen. Durch die Analyse der Regierungstaktiken sind Regierungsbehörden und private Unternehmen besser darauf vorbereitet, diese Angriffe zu verfolgen, zu steuern und abzumildern.

Kenne deinen Feind: Nationalstaaten im Einsatz

Die Cybersecurity & Infrastructure Security Agency (CISA) identifiziert vier produktive nationalstaatliche Akteure: Die chinesische Regierung, die russische Regierung, die nordkoreanische Regierung und die iranische Regierung. Jeder dieser Akteure nutzt verschiedene Methoden, um die Sicherheit zu gefährden und sich Zugang zu den Netzwerken der Opfer zu verschaffen.

Laut Jermaine Roebuck, stellvertretender Direktor für Bedrohungsverfolgung bei CISA: „gehören dazu Phishing, die Nutzung gestohlener Zugangsdaten sowie die Ausnutzung nicht gepatchter Sicherheitslücken und/oder Sicherheitsfehler. Sie führen umfangreiche Untersuchungen vor der Kompromittierung durch, um mehr über die Netzwerkarchitektur zu erfahren und Sicherheitslücken zu identifizieren. Mithilfe dieser Informationen nutzen diese staatlich geförderten Akteure Schwachstellen in Endgeräten aus und machen sich Fehlkonfigurationen des Systems zunutze, um sich ersten Zugriff zu verschaffen. Sie verwenden häufig öffentlich verfügbaren Exploit-Code für bekannte Sicherheitslücken, sind aber auch geschickt darin, Zero-Day-Sicherheitslücken zu entdecken und auszunutzen. Sobald sie Zugang zu den Netzwerken ihrer Opfer erlangt haben, nutzen fortgeschrittene Akteure Techniken des „Living-off-the-Land“ (LOTL), um einer Entdeckung zu entgehen.“

Durch das Verständnis der von Bedrohungsakteuren eingesetzten Techniken und Taktiken sind Organisationen besser darauf vorbereitet, begrenzte Sicherheitsressourcen dort einzusetzen, wo sie am effektivsten sind. „Die Kenntnis dieser Taktiken ermöglicht es den Verteidigern, spezifische Sicherheitskonzepte und Technologieklassen anzuwenden, um die Angriffe von Angreifern abzuwehren und sich auf klar definierte Dateneigenschaften und -werte zu konzentrieren, um deren Techniken zu erkennen“, sagt Roebuck.

Mit anderen Worten, je mehr Unternehmen und Behörden über nationalstaatliche Angriffsmethoden erfahren, desto besser.

Zurück zu den Basics: Die andere Seite der Sicherheitsmedaille

Während die Aktionen der einzelnen Nationalstaaten schützende Einblicke für die amerikanische Cybersicherheit bieten, gibt es noch eine weitere Komponente für eine effektive Verteidigung: Zurück zu den Grundlagen.

Diese Ansätze schließen sich nicht gegenseitig aus – zum Beispiel. Gleichzeitig müssen Regierungsbehörden Desinformationskampagnen identifizieren und abwehren. Es ist genauso kritisch, sicherzustellen, dass die Systeme über eine manipulationssichere Multifaktor-Authentifizierung (MFA) verfügen, um das Risiko einer Gefährdung zu verringern.

Laut Roebuck umfassen weitere Empfehlungen der CISA Folgendes:

  • Implementierung einer starken Authentifizierung: Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für Unternehmen. „MFA verbessert die Sicherheit, weil sie das Risiko kompromittierter Anmeldeinformationen mindert, die Auswirkungen von Phishing-Angriffen verringert, sensible Daten schützt, die Compliance verbessert und sich an sich entwickelnde Sicherheitsbedrohungen anpasst“, sagt Roebuck.
  • Regelmäßige Aktualisierung und Patching von Systemen: Angriffe von Nationalstaaten entwickeln sich ständig weiter. Wenn die Cybersicherheit statisch bleibt, sind Unternehmen gefährdet. Regelmäßige Systemaktualisierungen und Patches bieten wichtige Sicherheitsvorteile, wie z. B. eine verbesserte Systemstabilität, eine höhere Einhaltung der Sicherheitsstandards und ein geringeres Risiko von Sicherheitslücken.
  • Mitarbeiteraufklärung: Roebuck macht deutlich, dass die Mitarbeiterbildung ein entscheidender Bestandteil effektiver Cybersicherheit ist.

„Unternehmen sollten regelmäßig Schulungen zur Erkennung von Phishing-Versuchen und zur Anwendung guter Cyber-Hygiene durchführen“, sagt er. „Vertrauenswürdigen Open-Source-Intelligence-Quellen (OSINT) zufolge waren 75 % der Eindringversuche „ohne Malware“. Das bedeutet, dass Bedrohungsakteure mit gültigen Konten, die durch Phishing und Social Engineering erlangt wurden, „durch die Vordertür gingen“. Die Nutzer müssen gut geschult sein, um Social-Engineering-Techniken und Phishing-E-Mails zu erkennen.

  • Einsatz von Antiviren- und Anti-Malware-Lösungen: Laut Roebuck fungieren Antiviren- und Anti-Malware-Tools als „digitale Wächter“, die vor sich entwickelnden Bedrohungen schützen. Vorteile dieser Lösungen sind frühzeitige Erkennung, reduzierte Verbreitung von Malware und Echtzeitschutz für entscheidende Daten.
  • Härtung von Zugangsdaten: Zugangsdaten sind ein beliebter Kompromisspunkt für Angreifer von Bundesstaaten. Wenn böswillige Akteure legitime Zugangsdaten erhalten, können sie oft Unternehmenssysteme kompromittieren, ohne entdeckt zu werden.

Um Probleme mit Anmeldedaten zu vermeiden, empfiehlt Roebuck, alle Konten mit starken, eindeutigen Passwörtern auszustatten und schlägt vor, dass Unternehmen die Standard-Anmeldedaten ändern. „Starke, einzigartige Passwörter verhindern unbefugten Zugriff, indem sie diesen deutlich erschweren, begrenzen den Schaden, indem sie sicherstellen, dass Bedrohungsakteure nicht so einfach auf andere Konten zugreifen können, reduzieren häufige Angriffe, die auf Standard- oder schwache Passwörter abzielen, schützen sensible Informationen und verbessern die allgemeine Sicherheit.“

  • Überwachungs- und Protokollaktivitäten: Es ist auch entscheidend, dass Unternehmen alle Netzwerkaktivitäten überwachen und protokollieren. Roebuck empfiehlt Unternehmen, eine zentrale Protokollverwaltung einzurichten und diese Protokolle regelmäßig auf verdächtige Aktivitäten zu überprüfen. Er merkt an, dass die Zentralisierung es einfacher macht, verdächtige Aktivitäten zu erkennen und sofort Maßnahmen zu ergreifen, und dass sie die Fähigkeit von Unternehmen verbessert, forensische Analysen durchzuführen, um den Ursprung und das Ausmaß des Angriffs zu ermitteln.
  • Sicherstellung des Fernzugriffs: Fernzugriff ist heutzutage gängige Praxis, da Unternehmen zunehmend auf agile Arbeitsweisen setzen. Die Zugangspunkte stellen jedoch verlockende Ziele für staatliche Angreifer dar. Durch die Verwendung sicherer Konfigurationen für Remote-Dienste und die Beschränkung des Remote-Zugriffs auf vertrauenswürdige IP-Adressen können Unternehmen die Risiken des Remote-Zugriffs minimieren. „Die Implementierung sicherer Konfigurationen und IP-Beschränkungen für Remote-Dienste ist entscheidend, um die Angriffsfläche zu minimieren, unbefugten Zugriff zu verhindern, das Risiko von Bedrohungen zu reduzieren, die Überwachung zu verbessern und Sicherheitsstandards einzuhalten“, sagt Roebuck.

Teamarbeit: Die neue Realität staatlich motivierter Angriffe bewältigen

Der koordinierte Charakter nationalstaatlicher Angriffe bedeutet, dass kein Unternehmen oder keine Regierungsbehörde eine Insel ist. Stattdessen sind es die gemeinsamen Anstrengungen von Unternehmen, die eine verbesserte Sicherheit ermöglichen.

Auch die CISA trägt ihren Teil dazu bei. Roebuck verweist auf die gemeinsame Empfehlung der Behörde zur Volksrepublik China (VR China), in der empfohlene Maßnahmen zur Erkennung, Minderung und Behebung neu auftretender Bedrohungen enthalten sind. „Wir wissen jedoch, dass ausgeklügelte nationalstaatliche Bedrohungsakteure ihre TTPs ständig weiterentwickeln“, sagt er. „Dementsprechend unterhält CISA eine enge Partnerschaft mit Regierungsbehörden, kommerziellen Partnern und Partnern im Bereich kritischer Infrastrukturen, um verwertbare Informationen zur Bekämpfung sich entwickelnder bösartiger Cyberaktivitäten, wie beispielsweise der Aktivitäten der Volksrepublik China, bereitzustellen.“

CISA hat vor kurzem auch den Plan zur operativen Ausrichtung der Cybersicherheit (FOCAL) der zivilen Exekutive des Bundes (FCEB) veröffentlicht. Dieser bietet einen Fahrplan, der Organisationen des öffentlichen und privaten Sektors dabei helfen soll, die Koordinierung der Cybersicherheit zu verbessern und sich besser gegen Bedrohungen durch Nationalstaaten zu verteidigen.

Roebucks Sicherheitsratschlag ist letztlich einfach: „Um sich vor der zunehmenden Verbreitung böswilliger Akteure zu schützen, sollten Sie eine effektive Lösung implementieren und pflegen, um Eindringversuche zu erkennen und Angreifer so schnell wie möglich zu vertreiben.“
