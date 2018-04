Analyse des Angreiferverhaltens zeigt, dass 60 Prozent des Cryptocurrency Mining im höheren Bildungswesen stattfinden.

Vectra gibt die aktuellen Ergebnisse der 2018 RSA Conference Edition seines Attacker Behavior Industry Reports bekannt. Demnach verzeichnet vor allem der Hochschulsektor derzeit einen erstaunlichen Anstieg potenziell schädlicher Vorgänge durch Cryptocurrency Mining.

Der Report beschreibt Cyberangriffe und Trends basierend auf einer Stichprobe von 246 Unternehmenskunden, welche die Vectra Cognito-Plattform in 14 verschiedenen Branchen nutzen. Von August 2017 bis Januar 2018 überwachte Cognito den Datenverkehr und sammelte Metadaten von mehr als 4,5 Millionen Geräten und Workloads aus den Clouds, Rechenzentren und Unternehmensumgebungen der Kunden. Durch die Analyse dieser Metadaten wurden bislang versteckte Verhaltensweisen von Angreifern und identifizierte Geschäftsrisiken enttarnt. Die Kunden konnten dadurch schwerwiegende Datensicherheitsvorfälle vermeiden.

Da bei hochentwickelten Cyberangriffen die Effizienz ihrer eigenen Technologie automatisiert und erhöht wird, ist es dringend notwendig, die Fähigkeiten der Informationssicherheit durch Werkzeuge der KI-basierten Erkennung und Reaktion zu erweitern, um Bedrohungen schneller zu stoppen. Vectra verfolgt mit seinem Attacker Behavior Industry Report einen multidisziplinären Ansatz, der alle strategischen Phasen des Angriffslebenszyklus beobachtet. Es werden Daten von bestimmten Branchen aufbereitet, die relevante Unterschiede zwischen den einzelnen Branchen aufzeigen.

Die wichtigsten Ergebnisse des aktuellen Berichts:

Cryptocurrency Mining ist ein wachsendes Problem: Mit den steigenden Kursen von Kryptowährungen wie Bitcoin, Monero und Ethereum haben auch die Aktivitäten im Zusammenhang mit Cryptocurrency Mining zugenommen. Von allen entsprechenden Erkennungen sind 60 Prozent im Umfeld von Hochschulen aufgetreten, gefolgt von Unterhaltung und Freizeit (6 Prozent), Finanzdienstleistungen (3 Prozent), Technologie (3 Prozent) und Gesundheitswesen (2 Prozent). Cryptocurrency Mining beschreibt im Kern die Umwandlung von Elektrizität in Geldwert durch Rechenressourcen. Der für Studenten freie Zugang zur erforderlichen Stromversorgung und Internetverbindung könnte den Spitzenwert im höheren Bildungswesen erklären.

Die meisten Fälle verdächtigen Verhaltens je Branche wurden im Hochschulbereich (3.715 Erkennungen pro 10.000 Geräte) beobachtet, gefolgt vom Ingenieurwesen (2.918 Erkennungen pro 10.000 Geräte). Dies ist in erster Linie auf Command-and-Control-Aktivitäten (C&C) im Hochschulbereich und dem internen Ausspionieren der Netzwerke im Ingenieurwesen zurückzuführen.

Die C&C-Aktivität im Hochschulbereich liegt mit 2.205 Erkennungen pro 10.000 Geräte viermal über dem Durchschnitt von 460 Erkennungen pro 10.000 Geräte. Diese frühen Bedrohungsindikatoren gehen gewöhnlich anderen Angriffsstadien voraus und sind oft mit Botnet-Vorgängen in der Hochschulbildung verbunden.

Regierungsbehörden und die Technologiebranche weisen mit 496 beziehungsweise 349 Erkennungen pro 10.000 Geräte die niedrigsten Erkennungsraten auf. Dies könnte auf stärkere Sicherheitsregeln, eine ausgereifte Reaktionsfähigkeit und eine bessere Kontrolle der Angriffsfläche hindeuten.

Normiert man die Erkennungen pro 10.000 Geräte im Vergleich zum Vorjahr, so ist in jeder Branche ein starker Anstieg der folgenden Aktivitäten zu verzeichnen: C&C (37 Prozent), interne Aufklärung (31 Prozent), laterale Bewegung (24 Prozent) sowie eine moderate Zunahme bei der Datenexfiltration (6 Prozent).

»Die Security Operations and Analytics Platform Architecture (SOAPA) trägt dazu bei, technologische Innovationen zu beschleunigen, die Integration zu erleichtern und den Wert vorhandener Sicherheitstechnologien zu erhöhen«, erklärt Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. »Laut aktuellen ESG-Studien haben bereits 12 Prozent der Unternehmen auf künstlicher Intelligenz basierende Sicherheitsanalysen ausgiebig eingesetzt, und 27 Prozent haben in einer begrenzten Form KI-basierte Sicherheitsanalysen durchgeführt«, fügte Oltsik hinzu. »Der Bericht von Vectra liefert wichtige Einblicke in die Aktivitäten der Angreifer, die die bestehenden Sicherheitskontrollen eines Unternehmens umgehen. Vectra stellt dabei den Verlauf von Angriffen nach einer ersten Kompromittierung dar.«

Die Cognito-Plattform automatisiert die Suche nach verborgenen Cyberbedrohungen durch die kontinuierliche Analyse von Netzwerkverkehrsprotokollen und Cloud-Ereignissen, um Angreiferverhalten im Netzwerk zu erkennen. Zusätzlich zur automatischen Korrelation erkannter Bedrohungen mit Host-Geräten, die angegriffen werden, bietet Cognito einen einzigartigen Kontext darüber, wie Angreifer agieren und priorisiert Bedrohungen, die das größte Risiko darstellen. Cognito kombiniert Data Science, maschinelles Lernen und Verhaltensanalysen mithilfe von KI, um Angreiferverhalten ohne Signaturen oder Reputationslisten aufzudecken.

»Durch die Kombination von IT-gestützten Sicherheitsanalysen mit menschlichem Verständnis und Erfahrungen gewinnen wir auf globaler Ebene neue Einblicke in das Verhalten von Angreifern in Cloud-, Rechenzentrums- und Unternehmensumgebungen«, kommentiert Chris Morales, Leiter der Sicherheitsanalytik bei Vectra. »Diese Erkenntnisse ermöglichen es Vectra-Kunden letztlich, besser fundierte Entscheidungen zu treffen, die ihre Sicherheitsposition stärken und das Geschäftsrisiko verringern.«

Die Daten in diesem Bericht basieren auf anonymisierten Metadaten von Vectra-Kunden, die sich für die gemeinsame Nutzung von Erkennungsmetriken entschieden haben. Die Cognito-Plattform identifiziert Verhaltensweisen, die auf bereits laufende Angriffe hinweisen, indem der gesamte Datenverkehr und relevante Protokolle direkt überwacht werden. Dies umfasst den Datenverkehr zum und vom Internet, internen Datenverkehr zwischen Netzwerkgeräten sowie virtualisierte Workloads in privaten Rechenzentren und öffentlichen Clouds. Diese Analyse bietet wichtige Einblicke in fortgeschrittene Angriffsphasen.

Die 2018 RSA Edition des Attacker Behavior Industry Report ist nach Registrierung als Download verfügbar.

https://info.vectra.ai/attacker-behavior-industrie-report-2018