Blog

ENISA Threat Landscape Report – Die wichtigsten Trends und Empfehlungen

/ Kategorie: CISO, Threat Intelligence

Ransomware, Malware, Social Engineering-Attacken, Bedrohungen gegen Daten, Denial of Service Angriffe, Internet-Bedrohungen, Des- und Fehlinformationen sowie Angriffe auf die Lieferkette – der aktuelle Threat Landscape Bericht der europäischen Cyber-Sicherheitsbehörde ENISA warnt vor den aktuellen Cyberbedrohungen und fordert alle Organisationen auf, den Reifegrad ihrer Verteidigungs- und Cybersicherheitsprogramme zu erhöhen.

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat vor wenigen Tagen ihren zehnten Bericht zum Stand der Bedrohungslandschaft im Bereich der Cybersicherheit für den Zeitraum Juli 2021 bis Juli 2022 veröffentlicht. Der Bericht legt klar, dass die geopolitische Lage, insbesondere die russische Invasion in der Ukraine, die globale Cyber-Bedrohungslandschaft stark verändert hat. Einerseits haben die Angriffe auf die Cybersicherheit weiter zugenommen, und zwar nicht nur in Bezug auf die Vektoren und die Anzahl, sondern auch in Bezug auf die Auswirkungen. Andererseits, so ENISA, wird es, aufgrund der instabilen internationalen Lage, in naher bis mittlerer Zukunft mehr geopolitisch motivierte Cyberoperationen geben. Kein Wirtschaftssektor bleibt verschont, auch wenn fast die Hälfte der untersuchten Angriffe auf die öffentliche Verwaltung und auf Regierungen abzielt. Zudem bleiben weiterhin staatlich geförderte Cyberkriminalität, Auftragshacker und Hacktivisten wichtige Bedrohungsakteure. Nicht zuletzt zeigen verschiedene Bedrohungsgruppen ein verstärktes Interesse an Angriffen auf die Lieferkette und auf Managed Service Provider.

Die wichtigsten Trends im Überblick

Die wichtigsten Hauptgefahren sind alte Bekannte. Wie das BSI schätzt auch ENISA Ransomware als die grösste Gefahr ein. Auch Malware, die über sogenannte Zero-Day-Schwachstellen eingespielt wird, bleibt eine der grössten Gefahren. So sind im vergangenen Jahr 66 Zero-Day-Schwachstellen bekannt geworden. Ausserdem sind Distributed Denial of Services-Angriffe (DDoS-Angriffe) häufiger, grösser und komplizierter geworden. Diese richteten sich dabei vermehrt gegen das Internet der Dinge (IoT). Und auch die Schwachstelle Mensch ist weiterhin im Fokus der Kriminellen. Nachfolgend eine Übersicht der wichtigsten Gefahren/Trends:

  1. Ransomware und Bedrohungen der Verfügbarkeit sind die wichtigsten Bedrohungen.
  2. Findige Bedrohungsakteure haben sich 0-Day-Exploits zunutze gemacht, um ihre operativen und strategischen Ziele zu erreichen.
  3. Je mehr Unternehmen die Reife ihrer Abwehrmechanismen und Cybersicherheitsprogramme erhöhen, desto mehr erhöhen sie die Kosten für die Angreifer und treiben sie dazu, 0-Day-Exploits zu entwickeln und/oder zu kaufen, da Verteidigung in der Tiefe die Verfügbarkeit von ausnutzbaren Schwachstellen verringert.
  4. Die Geopolitik hat weiterhin einen starken Einfluss auf Cyberoperationen.
  5. Zerstörerische Angriffe sind ein wichtiger Bestandteil der Operationen staatlicher Akteure. Während des Russland-Ukraine-Konflikts wurden Cyber-Akteure dabei beobachtet, wie sie Operationen in Abstimmung mit kinetischen Militäraktionen durchführten.
  6. Kontinuierliche „Rückzüge“ und die Umbenennung von Ransomware-Gruppen werden genutzt, um Strafverfolgung und Sanktionen zu umgehen.
  7. Das Geschäftsmodell „Hacker-as-a-Service“ gewinnt an Zugkraft und wächst seit 2021.
  8. ENISA verzeichnet eine erhebliche Zunahme von Angriffen auf die Verfügbarkeit, insbesondere DDoS, wobei der laufende Krieg der Hauptgrund für solche Angriffe ist.
  9. Eine neue Welle des Hacktivismus ist insbesondere seit Beginn der Russland-Ukraine-Krise zu beobachten.
  10. Phishing ist nach wie vor der häufigste Einstiegsweg für Cyberkriminelle. Fortschritte bei der Raffinesse von Phishing, Benutzermüdigkeit und gezieltes, kontextbezogenes Phishing haben zu einem Anstieg im Bereich Phishing geführt.
  11. Die Erpressungstechniken entwickeln sich mit der beliebten Nutzung von Leak-Sites weiter.
  12. Malware ist nach dem festgestellten Rückgang, der mit der COVID-19-Pandemie in Verbindung gebracht wurde, wieder auf dem Vormarsch.
  13. Zustimmungs-Phishing: Angreifer nutzen Zustimmungs-Phishing, um Benutzern Links zu senden, die, wenn sie angeklickt werden, dem Angreifer Zugriff und Berechtigungen für Anwendungen und Dienste gewähren.
  14. Die Gefährdung von Daten nimmt von Jahr zu Jahr zu. Die zentrale Rolle von Daten in unserer Gesellschaft hat zu einem starken Anstieg der gesammelten Datenmenge und der Bedeutung einer angemessenen Datenanalyse geführt. Der Preis, den wir für diese Bedeutung zahlen, ist eine kontinuierliche und unaufhaltsame Zunahme von Daten-Kompromittierungen.
  15. Modelle des maschinellen Lernens (ML) sind das Herzstück moderner verteilter Systeme und werden zunehmend zum Ziel von Angriffen.
  16. DDoS Attacken werden immer grösser und komplexer, verlagern sich auf mobile Netzwerke und das Internet der Dinge und werden im Rahmen der Cyberkriegsführung eingesetzt.
  17. Staatliche Zertifizierungsstellen (CA) machen es leicht, den HTTPS-Verkehr abzuhören und Man-in the-middle-Angriffe auf seine Bürger durchzuführen und damit die Internetsicherheit und die Privatsphäre zu gefährden.
  18. Desinformation ist ein Werkzeug der Cyberkriegsführung. Sie wurde bereits vor dem Beginn des „physischen“ Krieges als vorbereitende Massnahme für Russlands Einmarsch in die Ukraine genutzt.
  19. KI-gestützte Desinformation und Deepfakes. Die Verbreitung von Bots, die Personas modellieren, nimmt zu. So werden etwa Behörden mit gefälschten Kommentaren überschwemmt.
  20. Bedrohungsgruppen haben ein gesteigertes Interesse an Angriffen auf die Lieferkette und zeigen eine zunehmende Fähigkeit und Angriffe auf Managed Services Provider (MSPs).

Die wichtigsten Empfehlungen

Der ENISA Bericht zeigt nicht nur die massgeblichen Bedrohungen auf. Er gibt auch konkrete Empfehlungen für die wichtigsten Bereiche, u. a. für Social Engineering:

  1. Überprüfen und aktualisieren Sie Ihre Reaktionspläne auf Zwischenfälle zur Anpassung an die neuen Trends bei Social-Engineering-Angriffen.
  2. Verschaffen Sie sich einen Überblick über den digitalen Fussabdruck Ihrer Organisation und aktualisieren Sie diese Informationen regelmässig. Im Idealfall erfolgt diese Aktualisierung automatisch, und Änderungen im digitalen Fussabdruck lösen eine Warnung für weitere Ermittlungen aus.
  3. Ernennen Sie eine Person innerhalb Ihrer Organisation, die regelmässig OSINT-Recherchen über Ihre Organisation durchführt (in der Rolle eines „Aussenstehenden“).
  4. Registrieren Sie präventiv Domains, die dem Namen Ihrer Organisation ähneln, einschliesslich alternativer TLDs. Überprüfen Sie die Domäneneinstellungen der Organisation regelmässig, um Anti-Spoofing- und Authentifizierungsmechanismen zum Filtern von E-Mails zu unterstützen.
  5. Passen Sie Ihre Sensibilisierungsschulungen an die neuen Social-Engineering-Trends an. Erwägen Sie massgeschneiderte Schulungen, die sich auf die Personal-, Vertriebs- und Finanzabteilungen konzentrieren. Ziehen Sie auch spezielle Schulungen für IT- und Sicherheitspersonal in Betracht.
  6. Stellen Sie sicher, dass die Infrastruktur Ihrer Organisation, in der Social-Engineering-Angriffe entdeckt werden können, „forensisch bereit“ ist, d. h., dass die relevanten Protokolle mit ausreichenden Details gesammelt werden, um Untersuchungen zur Reaktion auf Vorfälle zu unterstützen. Die Protokolle sollten vollständig, zuverlässig, genau und konsistent sein.
  7. Erweitern Sie die Anwendungsfälle für die Überwachung über die Grenzen Ihres Netzwerks hinaus und schliessen Sie die Überwachung von Domänen und Zertifikaten ein, die den „Assets“ der Organisation ähneln. Nehmen Sie in diese Überwachungsanwendungsfälle auch die Erkennung von Anzeichen für Datenverstösse, die für Ihr Unternehmen relevant sind, dazu.
  8. Nutzen Sie Bedrohungsdaten zur Erkennung von Social-Engineering-Operationen und wenden Sie diese Informationen automatisch für die Verhinderung von Eindringlingen in das Netzwerk, den Internetzugang und die E-Mail-Filterung an.
  9. Abonnieren Sie einen Feed mit ausgestellten Zertifikaten (Zertifikatstransparenz-Feed) und schlagen Sie bei Namen Alarm, die dem Namen oder den Werten Ihrer Organisation ähneln. Überwachen Sie neu ausgestellte Domains auf Namen, die dem Namen Ihrer Organisation oder Ihrer Vermögenswerte ähneln. Abonnieren Sie Warnungen von Websites zur Überwachung von Datenschutzverletzungen. Abonnieren Sie Warnungen, wenn Vermögenswerte Ihrer Organisation in kriminellen Foren veröffentlicht werden. Erwägen Sie den Einsatz des AIL-Frameworks.
  10. Setzen Sie Erkennungsregeln ein, die beim Vorhandensein (oder Öffnen) von Disk-Image-Dateien auf Systemen warnen, auf denen diese Dateitypen üblicherweise nicht vorhanden sind.
  11. Erzwingen Sie Einstellungen für die Benutzerzustimmung, damit Benutzer nicht zustimmen können, den Zugriff von Drittanbieteranwendungen zu erlauben. Erlauben Sie nur Anwendungen von verifizierten Anbietern oder für bestimmte, risikoarme Berechtigungen.
  12. Führen Sie routinemässige Überprüfungen der Mailserver-Konfigurationen, der Mail-Einstellungen der Mitarbeitenden und der Verbindungsprotokolle durch. Konzentrieren Sie Ihre Bemühungen auf die Identifizierung der Mail-Weiterleitungsregeln der Mitarbeitenden und die Erkennung anormaler Verbindungen zu Mail-Servern.
  13. Verwenden Sie E-Mail-Sicherheitsfunktionen, die einen Benutzer benachrichtigen, wenn eine E-Mail von einem Benutzer gesendet wird, mit dem er zuvor nicht interagiert hat.

Beachten Sie auch die ENISA-Empfehlungen für die Bereiche Malware, Bedrohungen gegen Daten, Denial of Service Angriffe, Internet-Bedrohungen, Des- und Fehlinformationen sowie Angriffe auf die Lieferkette. Wappnen Sie sich gegen die zunehmenden Bedrohungen.

» Download Report "ENISA Threat Landscape 2022"

Zusammen. Sicher.

Wenn Sie Unterstützung bei der Umsetzung der ENISA-Empfehlungen benötigen – wir stehen Ihnen gerne mit Erfahrung, Rat und Tat zur Verfügung. Kontaktieren Sie uns und sorgen Sie gemeinsam mit uns dafür, dass Ihre Organisation keinen Schaden nimmt.

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.