Forescout ruft in seinem 2023 Global Threat Roundup Report nach verstärkten Maßnahmen zum Schutz kritischer Infrastrukturen vor Cyberangreifern
Im vergangenen Jahr waren die kritischen Infrastrukturen dieser Welt – also die Anlagen in den Sektoren Gesundheit, Energie, Kommunikation, Abfall, Produktion und Transport, die Menschen und Maschinen verbinden – praktisch unaufhörlich Angriffen ausgesetzt. Forescout Research – Vedere Labs verzeichnete im Zeitraum vom Januar bis Dezember 2023 mehr als 420 Millionen Angriffe. Das sind 13 Angriffe pro Sekunde – 30 % mehr als noch im Jahr 2022.
Forescout stellt in seinem neuen Bericht 2023 Global Threat Roundup die Erkenntnisse zu den weltweiten Angriffen vor, die das Unternehmen in seinem Adversary Engagement Environment (AEE) erfasst hat. Das AEE ist eine Testumgebung, die von Vedere Labs betrieben wird, einem weltweit führenden Forschungsteam, das sich auf die Aufdeckung von Sicherheitslücken und Bedrohungen spezialisiert hat, die kritische Infrastrukturen betreffen.
Trotz der gewaltigen Herausforderungen, die der anhaltende Anstieg von Cyberangriffen mit sich bringt, besteht jedoch auch Grund zum Optimismus. Elisa Costante, VP of Resarch, Forescout Research – Vedere Labs, hebt das Potenzial für positive Veränderungen hervor: „Es stimmt zwar, dass essentielle Technologien zur Absicherung kritischer Assets und Bewertung von Risiken derzeit noch nicht richtig ausgeschöpft werden, doch das bedeutet zugleich, dass es Verbesserungschancen gibt.“
Hier sind die fünf wichtigsten Erkenntnisse, die Forescout Research gewonnen hat:
Immer noch aktiv – aber weniger Log4j-Exploits gegen Software-Bibliotheken
Die Zahl der Exploits gegen Software-Bibliotheken ist aufgrund der schwindenden Popularität von Log4j-Exploits rückläufig. Die relative Ruhe an dieser Front hat allerdings zu einem starken Anstieg von Exploits geführt, die auf Netzwerkinfrastrukturen und IoT-Geräte abzielen.
In der IoT-Landschaft stehen IP-Kameras, Gebäudeautomationssysteme und Netzwerkspeicher im Fokus, die sich zu den begehrtesten Zielen der Angreifer entwickeln.
Nur 35 % der ausgenutzten Sicherheitslücken fanden Eingang in den Katalog bekannter ausgenutzter Schwachstellen (KEV) der Cybersecurity and Infrastructure Security Agency (CISA). Diese Diskrepanz unterstreicht die Notwendigkeit eines proaktiven und ganzheitlichen Sicherheitsansatzes, der sich nicht allein auf Datenbanken für bekannte Schwachstellen stützt.
Volle Wucht gegen OT-Protokolle
Die Betriebstechnologien (OT) stehen unter gnadenlosem Beschuss, wobei fünf wichtige Protokolle am stärksten betroffen sind. Zu diesen Hauptzielen zählen Protokolle, die in der industriellen Automatisierung und im Energiesektor eingesetzt werden, so etwa das Kommunikationsprotokoll Modbus, gegen das sich ein sattes Drittel der Angriffe richtet. Dicht dahinter folgen Ethernet/IP, Step7 und DNP3, auf die jeweils etwa 18 % der Attacken entfallen. IEC10X macht mit 10 % der Angriffe die Liste komplett. Die restlichen 2 % der Angriffe verteilen sich auf eine Reihe verschiedener Protokolle, allen voran BACnet.
Netzwerkprotokolle für die Gebäudeautomation wie BACnet werden von Angreifern seltener gescannt. Dahinter verbirgt sich jedoch ein alarmierender Trend – eine steigende Zahl von Exploits, die sich ganz gezielt gegen Sicherheitslücken in Geräten der Gebäudeautomation richten.
Veränderte Taktiken nach der Ausnutzung
Taktiken, die Persistenz bewirken sollen, schnellten auf 50 % hoch, von nur 3 % im Jahr 2022. Erkundungstaktiken machen ca. 25 % aus und Taktiken zur Ausführung die verbleibenden ca. 25 %. Nach wie vor zielen die meisten beobachteten Befehle von Angreifern auf generische Linux-Systeme ab. Daneben gibt es jedoch einen bemerkenswerten Trend zur Ausführung spezifischer Kommandos für Netzwerkbetriebssysteme, die auf weit verbreiteten Routern zu finden sind.
Malware-Familien bleiben stark
Malware-Familien sind nach wie vor eine ernstzunehmende Bedrohung. Der Remote Access-Trojaner (RAT) Agent Tesla zeichnet für signifikante 16 % der beobachteten bösartigen Aktivitäten verantwortlich. Dicht dahinter folgen Varianten des Mirai-Botnetzes ( 15 %) sowie der Infostealer Redline, der es auf sensible Daten abgesehen hat und sich mit 10 % behauptet.
Bei den Command-and-Control-Servern bleibt Cobalt Strike mit einem Anteil von 46 % unangefochtener Spitzenreiter, gefolgt von Metasploit (16 %) und dem zunehmend populären Sliver C2 mit 13 %. Die meisten dieser Server befinden sich in den USA – 40 % aller C2-Server weltweit sind dort stationiert. Die nächste Plätzen belegen China und Russland mit 10 % bzw. 8 %.
Bedrohungen für 163 Länder
Angreifergruppen haben ein riesiges digitales Netz ausgeworfen, das 163 Länder umspannt. Die Vereinigten Staaten sind dabei das Hauptziel: 168 Gruppen haben dieses Land ins Visier genommen. Weitere stark betroffene Länder sind das Vereinigte Königreich (88 Gruppen), Deutschland (77), Indien (72) und Japan (66).
Ein Großteil dieser Bedrohungsakteure kommt erwartungsgemäß aus den Ländern China (155), Russland (88) und Iran (45), auf die zusammengenommen fast die Hälfte aller identifizierten Angreifergruppen entfallen. Im Fadenkreuz der Hackergruppen stehen insbesondere drei Schlüsselbereiche: staatliche Einrichtungen, das Finanzwesen und die Medien- und Unterhaltungsbranche. Als wichtige Säulen der gesellschaftlichen Infrastruktur stehen diese Sektoren besonders stark im Fokus. Umso notwendiger sind hier verstärkte Sicherheitsmaßnahmen und ein gemeinsamer Kraftakt.
Elisa Costante weiter: „Der Schlüssel zum Erfolg liegt darin, umfassende Transparenz zu erreichen, damit die Sicherheitsteams kontextbezogene Echtzeit-Informationen zu sämtlichen Geräten erhalten, verwalteten wie auch unverwalteten. Mit dieser Transparenz können große Unternehmen von einer reaktiven Verteidigungshaltung zu einem proaktiven Ansatz übergehen und fruchtlose Maßnahmen vermeiden. Wenn dieser Wandel hin zu Transparenz und proaktiven Verteidigungsstrategien gelingt, werden sich die Aussichten für unsere kritischen Infrastrukturen verbessern.“
Weitere Informationen finden Sie im vollständigen 2023 Global Threat Roundup Report, der jetzt unter https://www.forescout.com/resources/research-report_2023-threat-roundup zum Download zur Verfügung steht.