„Active Adversary“ beschreibt als Fachbegriff die Art der Angriffsstrategie auf ein System. Im Gegensatz zu rein technischen und automatisierten Attacken kommt bei dieser Art der menschliche Faktor ins Spiel: Cyberkriminelle sitzen aktiv am Keyboard und reagieren individuell auf die Gegebenheiten in einem infiltrierten System. Diese Schleichfahrten werden durch Lücken in der Telemetrie nochmals unterstützt, da sie die notwendige Sichtbarkeit in den Netzwerken und Systemen verringern. Ein großes Problem, besonders seit sich die Verweildauer der Angreifer:innen – vom initialen Zugang bis zur Aufdeckung – kontinuierlich verringert und somit auch die Zeit für die Verteidigungsreaktion kürzer ist.

John Shier, Field CTO bei Sophos, zum Telemetrie-Problem: „Zeit ist der kritische Faktor bei der Reaktion auf eine aktive Bedrohung. Die Phase zwischen der Entdeckung eines initialen Zugriffs bis zur kompletten Entschärfung der Situation sollte so kurz wie möglich sein. Je weiter die Kriminellen in der Angriffskette kommen, desto mehr Probleme sehen wir im Abwehrzentrum. Fehlende Telemetriedaten erhöhen die Wiederherstellungszeit – etwas, das die meisten Organisationen sich nicht leisten können. Deswegen ist ein komplettes und präzises Protokollieren sehr wichtig. Wir sehen aber, dass Organisationen viel zu oft nicht über die Daten verfügen, die sie eigentlich benötigen.“

Im Active Adversary Report klassifiziert Sophos Ransomware-Angriffe mit einer Verweildauer von bis zu fünf Tagen als „schnelle Attacken“. Davon gab es 38 Prozent in den untersuchten Fällen. „Langsame Attacken“ gelten als solche, die teilweise eine weitaus größere Verweildauer als fünf Tage haben. Davon gab es 62 Prozent. Auch wenn die „schnellen“ Attacken damit noch weniger oft vertreten sind, nimmt deren Anteil im Gesamtbild ständig zu – und das hat Gründe: Angreifer:innen reagieren damit auf die besseren Erkennungsmethoden in Unternehmen, die ihnen weniger Zeit lassen, und zudem sind die Cyberkriminellen mittlerweile auch einfach sehr geübt. „Wie bei jedem Prozess führen Wiederholung und Übung tendenziell zu besseren Ergebnissen“, so John Shier. „Moderne Ransomware wird in diesem Jahr zehn Jahre alt, eine lange Zeit mit vielen Beispielen, um immer mehr Kriminelle zu Expert:innen zu machen. Eine umso gefährlichere Entwicklung, wenn viele Verteidigungsstrategien nicht mithalten konnten und es in der Folge zu einer erheblich umfangreicheren Störung des Geschäftsbetriebs kommen kann.“

„Cyberkriminelle sind faul, sie nehmen nur Veränderungen vor, wenn sie dadurch besser ihr Ziel erreichen. Was läuft, ändern Angreifer:innen nicht, selbst wenn sie dadurch nach der Infiltration schneller entdeckt werden. Das sind gute Nachrichten für Organisationen, da sie ihre Defensivstrategie nicht radikal ändern müssen, nur weil die Angreifer:innen den Turbo einlegen.

Defensivmaßnahmen, die schnelle Attacken aufspüren, greifen bei allen Angriffen, zeitunabhängig. Das beinhaltet auch die komplette Telemetrie, den robusten Schutz für alle Bereiche und eine allgegenwärtige Überwachung“, gibt Shier zu bedenken. „Der Schlüssel liegt in der Erhöhung der Widerstände. Macht man es den Angreifer:innen schwerer und zieht jede Phase des Angriffs in die Länge, bleibt mehr Zeit, um zu reagieren.“

Die komplette Analyse auf Basis des Sophos Active Adversary Reports liefert Unternehmen wertvolle Informationen, wie Sicherheitsexpert:innen ihre Defensivstrategien optimal gestalten können.

Sophos bietet fortschrittlicher Cybersecurity-Lösungen inklusive Managed-Detection-and-Response-Diensten sowie Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien. Sophos schützt mehr als 500.000 Unternehmen und mehr als 100 Millionen Anwender:innen weltweit.

Zum Sophos Active Adversary Report