Unser Proofpoint Threat Operations Center veröffentlichte kürzlich die Sicherheitsvorhersagen für 2017. In diesem Bericht erklärten wir, wie wir uns die Cyber-Bedrohungslandschaft 2017 vorstellen und wie sie sich von den Vorjahren unterscheiden wird. In diesem Beitrag möchte ich gern mit einigen praktischen Ratschlägen zur Vorbeugung nachhaken.
Die meisten beachtenswerten Cyberangriffe von 2016 begannen auf dieselbe Weise. Ob klein oder groß, einfach oder kompliziert, Cyberkriminalität oder staatlich gesponserte Spionage, sie alle zielten auf Personen ab. Hier beschreiben wir Möglichkeiten, wie Personen unserer Ansicht nach in 2017 angegriffen werden und was Sie zu ihrem Schutz unternehmen können.
Beteiligen Sie sich am Dienstag, den 24. Januar 2017 um 10 Uhr PT/13 Uhr ET am Webinar über die Cybersicherheits-Prognosen für 2017.
1. Erweiterte Bedrohungen werden zwar abnehmen, jedoch an Raffinesse gewinnen.
Die Angreifer arbeiten pausenlos an der Ausbeutung des E-Mail-Kommunikationskanals, weil wir uns so sehr darauf verlassen. Beispiel: Angreifer bombardierten Organisationen 2016 mit E-Mail-Kampagnen, die die Locky-Ransomeware beinhalteten. Sie bedrohten Hunderte Millionen Opfer weltweit und kassierten Millionen an Lösegeldern ein.
Doch 2017 kommt „klein“ groß heraus. Angreifer werden kleinere ausgereifte Kampagnen zum Senden von Malware durch E-Mail verwenden, die jedoch gezielter eingesetzt werden. Wenn großvolumige E-Mail-Kampagnen auftreten, werden sie hauptsächlich für weniger fortgeschrittene Malware verwendet.
Empfehlung: Da fortschrittliche Angreifer Veränderungen vornehmen, sollten Sie mit einem Sicherheitsanbieter mit reichhaltiger Angriffsintelligenz zusammenarbeiten. Diese Informationen sollte Regionen, Branchen und Angriffsgruppen umfassen. Verwenden Sie Sicherheitslösungen, die statische und dynamische Techniken zur Entdeckung neuer Angriffs-Tools, Taktiken und Ziele vereinen. Vergewissern Sie sich, dass die Lösung aus jedem Angriff lernt, damit der nächste Angriff leichter abgewendet werden kann.
2. Schädlichen E-Mail-Makros geht endlich der Sprit aus
Bis April werden Dokumentenanhänge mit eingebetteten, schädlichen Makros für E-Mail-Attacken immer ineffektiver. Doch die Cyberkriminellen werden sich nicht auf ihren Lorbeeren ausruhen. Sie werden ihre Spear-Phishing-Technik verbessern und sich der Automation zuwenden, um großkalibrige, personalisierte Kampagnen anzutreiben. Das Ergebnis: mehr persönliche Details, die dabei helfen, die Glaubwürdigkeit der Phishing-E-Mails zu fördern und die Opfer zum Klicken zu verleiten.
Empfehlung: Verwenden Sie eine zweigleisige Strategie, um E-Mail-basierte Angriffe zu stoppen. Investieren Sie zunächst in Lösungen, die die Anzahl eingehender bösartiger Nachrichten effektiv reduzieren, unabhängig davon, ob sie Malware oder Phishing-Informationen enthalten oder einfach versuchen, den Empfänger mit Social-Engineering zum Handeln zu treiben. Eine wahrhaft effektive Lösung sollte das Unternehmen auch vor schädlichen Nachrichten warnen, die an einen potenziell anfälligen Benutzer gesendet werden. Zweitens sollten Sie einen Plan entwickeln, damit Ihre Sicherheits- /IR(Incident Response)-Teams die Maßnahmen bewerten können, die Benutzerkonten ergreifen, wenn sie durch Angriffe ohne Malware kompromittiert werden, z. B. Phishing nach Anmeldedaten.
3. Exploit-Kits weichen „Benutzer-Kits“
Bekannte Sicherheitslücken und die Exploits, die sie bedrohen, werden dank zweier miteinander verbundener Trends zurückgehen. Erstens werden Browser und Betriebssysteme immer sicherer. Gleichzeitig sind sich Organisationen der Sicherheitslücken immer mehr bewusst und gehen beim Patching disziplinierter vor.
Das bedeutet für das Exploit-Kit-Geschäft große Veränderungen. „Gebrauchsfertige“ Angriffs-Tools haben es Angreifern bisher leicht gemacht, aus neu aufgedeckten Software- und Hardware-Schwächen Kapital zu schlagen. Um 2017 am Ball zu bleiben, werden Exploit-Kits wesentlich persönlicher. Statt sich nur auf technische Fehler zu verlassen, stützen sie sich vermehrt auf Social-Engineering, um die Benutzer dazu zu veranlassen, ihre eigenen Geräte zu infizieren.
Empfehlung: Schaffen Sie Bewusstseinsprogramme für Arbeitnehmer und setzen Sie eine erweiterte E-Mail-Sicherheitslösung ein, da E-Mail wahrscheinlich weiterhin der bevorzugte Vektor für auf Menschen abgesehene Angriffs-Kits bleiben wird. Um menschliche Fehler zu reduzieren, sollten Sie Lösungen einsetzen, die Spear-Phishing-E-Mails erkennen und unter Quarantäne setzen können, bevor sie in den Posteingang ihrer Arbeitnehmer gelangen. Erweitern Sie die Transparenz in die Social-Engineering-Vektoren, indem Sie die Social-Media-Präsenz ihrer Organisation und die Mobile-App-Verwendung Ihrer Benutzer überprüfen. Beziehen Sie außderdem das Social-Engineering stärker in Ihre Bedrohungsmodelle ein.
4. BEC-Angriffe werden sich weiterentwickeln und große Verluste nach sich ziehen
BEC-Betrug (Business Email Compromise) führte zu über 3 Milliarden Dollar Verlusten und steigt stetig an. Im Vergleich zu den meisten E-Mail-Bedrohungen enthält er keine Malware und wird in sehr geringen Mengen gesendet. Das Hauptziel: den Benutzer dazu zu bringen, Geld zu überweisen oder vertrauliche Daten an die Kriminellen zu senden, die sich als leitende Angestellte, Partner oder Anbieter ausgeben.
Gesamtverluste durch BEC werden ansteigen. Doch wir erwarten weniger Fälle mit hohen Verlusten, da die Unternehmen ihre finanziellen Kontrollen und andere Prozesse verbessern.
Empfehlung: Investieren Sie in eine Sicherheitslösung, die E-Mail nicht nur nach statischen Regeln, sondern auch dynamisch klassifizieren kann. Erstellen Sie BEC-bewusste Richtlinien ähnlich dem, was Sie bereits für Spam-E-Mail tun sollten. Stellen Sie sicher, dass Ihr Personal den Wert der Informationen versteht, die es bearbeitet, und sich der E-Mail-Angriffstaktiken und Gefahren bewusst ist.
5. „Angler-Phishing“ auf Social Media wird vollständig automatisiert
Wir haben „Angler-Phishing“ diskutiert, bei dem Angreifer gefälschte Kundendienstkonten in Social Media erstellen, um Kunden aufzulauern, die Hilfe suchen. Diese Konten leiten Kunden auf eine gefälschte Kundendienstseite um, wo ihre Anmeldedaten gestohlen werden können.
2017 werden diese Attacken durch Automation umfangreicher und raffinierter. Sie werden beispielsweise eine Form natürlicher Sprachverarbeitung verwenden, um ihreTätigkeiten auszubauen.
Empfehlung: Verstehen Sie Ihren Social-Media-Fußabdruck und achten Sie auf Benutzerrisiken von außerhalb, speziell auf betrügerischer Konten, die sich Ihrer Marke ungefragt bedienen. Während die Betrüger ihre Attacken automatisieren, benötigen auch Sie die Automation auf Ihrer Seite. Obwohl sich das Angler-Phishing derzeit auf Twitter konzentriert, sollten Sie nach einer Lösung suchen, die Facebook, Twitter, Google+, LinkedIn und andere Social-Media-Netzwerke überwacht. Sie sollte die Ermittlung, Benachrichtigung und Berichterstellung aller Ihrer Markenkonten handhaben – einschließlich Konten, die Ihren Namen oder Ihre Marke verwenden. Eine robuste Social-Media-Sicherheitslösung informiert Sie in wenigen Minuten, wenn irgendwer irgendwo auf der Welt ein Account erstellt, das sich als Ihre Marke tarnt oder ihr schadet. Und schließlich sollten Sie eine Lösung einsetzen, die neu erstellte Webdomänen proaktiv auf frühe Anzeichen von Phishing-Angriffen überprüft, einschließlich Angler-Phishing.
6. Das Tempo der Social-Media-Attacken nimmt zu und erforscht neue Gebiete
Social Media breitet sich schnell aus und bietet eine erheblich höhere Rendite für die Cyberkriminalität.
2017:
- Social-Media-Betrug und Phishing werden im Vgl. zu 2016 um 100 % ansteigen.
- Social-Media-Spam wird im Vgl. zu 2016 um 500 % steigen.
- Betrug und Fälschungen, die fingierte Social-Accounts verwenden, werden rapide ansteigen.
- Integrierte Betrugsmethoden, die eine Mischung aus Social-Media-Accounts, gefälschten Mobile-Apps, betrügerischen Websites und E-Mails verwenden, werden ebenfalls in die Höhe schnellen.
Bisher gab es auf der beliebten Foto-App Snapchat keine großen Angriffe. Das wird sich 2017 ändern. Und da viele Social-Media-Instanzen Zahlungsmodelle eingeführt haben, sind viele davon reif für irgendeine Art von Attacke.
Empfehlung: Suchen Sie eine Lösung, die nicht nur Facebook, Twitter, Google+ und LinkedIn überprüft, sondern auch neuere Chat-Apps wie Snapchat, WeChat, Signal, BBM und andere. Dieser Schritt kann Einblicke bieten, wie andere über Ihre Marke sprechen und Ihren Markennamen auf neuen Kanälen verwenden und sie warnen, wenn sie geschädigt werden.
7. Mobile Bedrohungen: Der Geist ist aus der Flasche
2016 war ein Wendepunkt in der mobilen Bedrohungslandschaft. Das Risiko stieg aufgrund dieser drei Hauptfaktoren sprunghaft an:
- Schädliche Clones beliebter Apps (raubkopierte Apps, denen ein schädlicher Code hinzugefügt wurde)
- Mehr Benutzer verwenden das „Querladen“ für Apps – Downloaden von Apps von Quellen außerhalb der offiziellen App-Stores wie dem Apple App Store und Google Play Store
- Gezielte Angriffs-Tools für mobile Geräte
2017 sind Zero-Day Bedrohungen, wie das „Pegasus“ Angriffskit für mobile Geräte, nicht mehr auf staatlich gesponserte Bemühungen beschränkt, die auf Dissidenten ausgerichtet sind. Sie werden auch von Allerwelts-Cyberkriminellen verbreitet, die Unternehmen und Personen bedrohen.
Diese Attacken verwenden SMS und Chat-Systeme zur Lieferung bösartiger URLs und selbst Zero-Day Exploits. Die Angriffe werden das gesamte Spektrum umfassen – von breit angelegten Kampagnen, die auf Bank-Anmeldedaten ausgelegt sind, bis hin zu personalisierten, gezielten Attacken auf Mitarbeiter und leitende Angestellte von Unternehmen.
Sie sind sich bereits der schädlichen und „riskanten“ Apps bewusst Apps, die zwar nicht offentkundig bösartig sind, aber dennoch Ihre Daten freigeben können. 2017 werden Sie mehr betrügerische Apps sehen bösartige und Spam-Apps, die vorgeben, von legitimen Marken zu stammen.
Empfehlung: Investieren Sie in datengesteuerte Tools, die mit Ihrem Mobile-Device-Management (MDM) zusammenarbeiten, um das Verhalten von Apps in Ihrer Umgebung offenzulegen. Die Tools sollten in der Lage sein, Ihnen genau zu sagen, auf welche Art von Daten die Apps zugreifen, welche sie senden und wohin. Sie sollten eine datengesteuerte Bewertung des App-Verhaltens sowie des Risikos für Ihre persönlichen Daten und Ihr Unternehmen liefern. Wenn Ihr Unternehmen mobile Apps für Kundenkontakte verwendet, sollten Sie zusätzlich in Betracht ziehen, eine Lösung bereitzustellen, die öffentliche App-Stores auf betrügerische mobile Apps überprüft, die Ihre Kunden in Gefahr bringen.
8. Staatlich gesponserte Angriffe werden zunehmen und über Hacking und Datenschutzverletzungen hinausgehen
Gruppen staatlich gesponserter und organisierter Cyberkrimineller nutzen menschliche Schwächen in allen Sektoren aus. 2017 erwarten wir eine Renaissance staatlich gesponserter Cyberattacken. Raffinierte, heimliche Einbrüche von vielen Ländern werden alle Zweige der US- Regierung angreifen. Und vermehrt werden staatlich gesponserte Attacken darauf aus sein, Daten zu stehlen sowie Social Media und Nachrichten zu beeinflussen, um Zwietracht zu stiften.
Empfehlung: Priorisieren Sie Investitionen in Ihre Abwehr, die moderne Bedrohungen bekämpfen können. Und ändern Sie Ihre Sicherheitskontrollen, damit Sie der modernen Arbeitsumgebung gerecht werden. Die effektivsten Sicherheitstechnologien kombinieren hierzu drei Dinge:
- Verwertbare Bedrohungsintelligenz (ein gründliches Verständnis der Methoden der Angreifer und ihres Handwerks).
- Die Fähigkeit, diese Intelligenz so zu nutzen, dass Ihre Abwehr schnell aktualisiert werden kann, wenn Angreifer ihre Offensive ändern.
- Umfassende Sicherheit über die wichtigste E-Mail-, mobile und Social-Media-Kanäle.
Sind Sie bereit für 2017?
Erweiterte Sicherheitsansätze, die benutzer- und datenzentriert sind, sind nicht nur die beste, sondern möglicherweise die einzige Lösung.
Um den Herausforderungen von 2017 entgegenzutreten, benötigen Sie vollständige Deckung aller Kommunikationkanäle, die Ihre Mitarbeiter bedrohen. In der heutigen Bedrohungslandschaft müssen sie an jedem Ort, in jedem Netzwerk und auf jedem Gerät abgesichert sein.
Beteiligen Sie sich am Dienstag, den 24. Januar 2017 um 10 Uhr PT/13 Uhr ET an einer Diskussion über unsere Cybersicherheits-Prognosen und Best Practices für das Jahr 2017:https://www.proofpoint.com/us/webinars