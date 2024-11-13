Nationalstaatliche Gegner ändern ihre Vorgehensweise und verlagern ihren Fokus von der Datenzerstörung hin zur Priorisierung von Tarnung und Spionage. Laut dem Microsoft 2023 Digital Defense Report „erhöhen staatliche Angreifer ihre Investitionen und starten ausgefeiltere Cyberangriffe, um der Erkennung zu entgehen und strategische Prioritäten zu erreichen.“
Diese Akteure stellen eine entscheidende Bedrohung für die US-Infrastruktur und geschützte Daten dar, und die Kompromittierung einer der Ressourcen könnte Bürger gefährden.
Zum Glück haben diese böswilligen Bemühungen auch eine gute Seite: Informationen. Durch die Analyse der Regierungstaktiken sind Regierungsbehörden und private Unternehmen besser darauf vorbereitet, diese Angriffe zu verfolgen, zu steuern und abzumildern.
Die Cybersecurity & Infrastructure Security Agency (CISA) identifiziert vier produktive nationalstaatliche Akteure: Die chinesische Regierung, die russische Regierung, die nordkoreanische Regierung und die iranische Regierung. Jeder dieser Akteure nutzt verschiedene Methoden, um die Sicherheit zu gefährden und sich Zugang zu den Netzwerken der Opfer zu verschaffen.
Laut Jermaine Roebuck, stellvertretender Direktor für Bedrohungsverfolgung bei CISA: „gehören dazu Phishing, die Nutzung gestohlener Zugangsdaten sowie die Ausnutzung nicht gepatchter Sicherheitslücken und/oder Sicherheitsfehler. Sie führen umfangreiche Untersuchungen vor der Kompromittierung durch, um mehr über die Netzwerkarchitektur zu erfahren und Sicherheitslücken zu identifizieren. Mithilfe dieser Informationen nutzen diese staatlich geförderten Akteure Schwachstellen in Endgeräten aus und machen sich Fehlkonfigurationen des Systems zunutze, um sich ersten Zugriff zu verschaffen. Sie verwenden häufig öffentlich verfügbaren Exploit-Code für bekannte Sicherheitslücken, sind aber auch geschickt darin, Zero-Day-Sicherheitslücken zu entdecken und auszunutzen. Sobald sie Zugang zu den Netzwerken ihrer Opfer erlangt haben, nutzen fortgeschrittene Akteure Techniken des „Living-off-the-Land“ (LOTL), um einer Entdeckung zu entgehen.“
Durch das Verständnis der von Bedrohungsakteuren eingesetzten Techniken und Taktiken sind Organisationen besser darauf vorbereitet, begrenzte Sicherheitsressourcen dort einzusetzen, wo sie am effektivsten sind. „Die Kenntnis dieser Taktiken ermöglicht es den Verteidigern, spezifische Sicherheitskonzepte und Technologieklassen anzuwenden, um die Angriffe von Angreifern abzuwehren und sich auf klar definierte Dateneigenschaften und -werte zu konzentrieren, um deren Techniken zu erkennen“, sagt Roebuck.
Mit anderen Worten, je mehr Unternehmen und Behörden über nationalstaatliche Angriffsmethoden erfahren, desto besser.
Während die Aktionen der einzelnen Nationalstaaten schützende Einblicke für die amerikanische Cybersicherheit bieten, gibt es noch eine weitere Komponente für eine effektive Verteidigung: Zurück zu den Grundlagen.
Diese Ansätze schließen sich nicht gegenseitig aus – zum Beispiel. Gleichzeitig müssen Regierungsbehörden Desinformationskampagnen identifizieren und abwehren. Es ist genauso kritisch, sicherzustellen, dass die Systeme über eine manipulationssichere Multifaktor-Authentifizierung (MFA) verfügen, um das Risiko einer Gefährdung zu verringern.
Laut Roebuck umfassen weitere Empfehlungen der CISA Folgendes:
„Unternehmen sollten regelmäßig Schulungen zur Erkennung von Phishing-Versuchen und zur Anwendung guter Cyber-Hygiene durchführen“, sagt er. „Vertrauenswürdigen Open-Source-Intelligence-Quellen (OSINT) zufolge waren 75 % der Eindringversuche „ohne Malware“. Das bedeutet, dass Bedrohungsakteure mit gültigen Konten, die durch Phishing und Social Engineering erlangt wurden, „durch die Vordertür gingen“. Die Nutzer müssen gut geschult sein, um Social-Engineering-Techniken und Phishing-E-Mails zu erkennen.
Um Probleme mit Anmeldedaten zu vermeiden, empfiehlt Roebuck, alle Konten mit starken, eindeutigen Passwörtern auszustatten und schlägt vor, dass Unternehmen die Standard-Anmeldedaten ändern. „Starke, einzigartige Passwörter verhindern unbefugten Zugriff, indem sie diesen deutlich erschweren, begrenzen den Schaden, indem sie sicherstellen, dass Bedrohungsakteure nicht so einfach auf andere Konten zugreifen können, reduzieren häufige Angriffe, die auf Standard- oder schwache Passwörter abzielen, schützen sensible Informationen und verbessern die allgemeine Sicherheit.“
Der koordinierte Charakter nationalstaatlicher Angriffe bedeutet, dass kein Unternehmen oder keine Regierungsbehörde eine Insel ist. Stattdessen sind es die gemeinsamen Anstrengungen von Unternehmen, die eine verbesserte Sicherheit ermöglichen.
Auch die CISA trägt ihren Teil dazu bei. Roebuck verweist auf die gemeinsame Empfehlung der Behörde zur Volksrepublik China (VR China), in der empfohlene Maßnahmen zur Erkennung, Minderung und Behebung neu auftretender Bedrohungen enthalten sind. „Wir wissen jedoch, dass ausgeklügelte nationalstaatliche Bedrohungsakteure ihre TTPs ständig weiterentwickeln“, sagt er. „Dementsprechend unterhält CISA eine enge Partnerschaft mit Regierungsbehörden, kommerziellen Partnern und Partnern im Bereich kritischer Infrastrukturen, um verwertbare Informationen zur Bekämpfung sich entwickelnder bösartiger Cyberaktivitäten, wie beispielsweise der Aktivitäten der Volksrepublik China, bereitzustellen.“
CISA hat vor kurzem auch den Plan zur operativen Ausrichtung der Cybersicherheit (FOCAL) der zivilen Exekutive des Bundes (FCEB) veröffentlicht. Dieser bietet einen Fahrplan, der Organisationen des öffentlichen und privaten Sektors dabei helfen soll, die Koordinierung der Cybersicherheit zu verbessern und sich besser gegen Bedrohungen durch Nationalstaaten zu verteidigen.
Roebucks Sicherheitsratschlag ist letztlich einfach: „Um sich vor der zunehmenden Verbreitung böswilliger Akteure zu schützen, sollten Sie eine effektive Lösung implementieren und pflegen, um Eindringversuche zu erkennen und Angreifer so schnell wie möglich zu vertreiben.“
