Branche - geschrieben von cp am Mittwoch, Juni 10, 2020 20:19 - noch keine Kommentare
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht
Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement
Ein Kommentar von Max Rahner, Sales Director DACH bei Claroty
[datensicherheit.de, 10.06.2020] Der jährliche Verizon Data Breach Investigation Report (DBIR) ist seit seiner ersten Veröffentlichung im Jahr 2008 zu einer bedeutenden Ressource für IT-Sicherheitsexperten geworden. Der aktuelle Report 2020 ist insofern bemerkenswert, da viele seiner Erkenntnisse nicht nur für die IT-Security relevant sind, sondern auch für die OT-Security (Sicherheit von Operational-Technology-Netzwerken). Entsprechend wollen wir die wichtigsten Ergebnisse aus der OT-Perspektive genauer betrachten.
OT-Sicherheitsvorfälle sind (noch) selten, aber besorgniserregend
Zum ersten Mal überhaupt untersucht der DBIR 2020 die Rolle der Informationstechnologie (IT) gegenüber der operativen Technologie (OT) bei Sicherheitsvorfällen. 4 Prozent der beobachteten Sicherheitsverletzungen betrafen die OT, im Vergleich zu 96 Prozent bei der IT. Dieser Prozentsatz mag zwar relativ unbedeutend erscheinen, der Bericht charakterisiert ihn jedoch als einen beachtenswerten Grund zur Besorgnis für Unternehmen mit robusten OT-Umgebungen.
Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement
In einem Experiment haben die Autoren des Reports die Anfälligkeit von Servern mit einer bestimmten Schwachstelle mit der Anfälligkeit von zufällig ausgewählten Servern verglichen. Dabei zeigte sich, dass die Server etwa mit Exim- oder Eternal Blue-Sicherheitslücken auch deutlich anfälliger für alte, andere Schwachstellen waren. Das bedeutet, dass Unternehmen mit einem langfristigen, gut priorisierten Patch-Management-System weitaus seltener Opfer von Exploits werden. Der Bericht zeigt zudem, dass Patches, die nicht innerhalb von drei Monaten nach ihrer Veröffentlichung aufgespielt werden, in der Regel überhaupt nicht installiert werden. Entsprechend wichtig ist ein konsequentes, regelmäßiges und zeitnahes Patch-Management.
Gerade in OT-Umgebungen stellen Identifizierung von Schwachstellen und die Priorisierung von Patches eine große Herausforderung dar. Wichtig ist hierbei eine tiefe Transparenz. Viele Tools zur Erfassung von Informationen über OT-Assets sind allerdings nur in der Lage, grundlegende Attribute wie IP-Adresse und Hersteller zu identifizieren, nicht aber präzise Daten wie das genaue Modell und die Firmware-Version. Diese sind jedoch für ein effektives Patch-Management sowie eine Risikoberechnung und -minderung unerlässlich.
Angreifer nutzen am liebsten den einfachen Weg
Eine Analyse der Angriffspfade bei beobachteten Zwischenfällen ergab, dass die überwiegende Mehrheit der Angriffe in weniger als fünf Schritten erfolgt. Dies deutet darauf hin, dass die Angreifer bevorzugt niedrig hängende Früchte suchen, die es ihnen ermöglichen, relativ einfache Angriffe durchzuführen, um hochwertige Ziele zu kompromittieren. Entsprechend machen zusätzliche Barrieren, die Angriffe komplexer und zeitaufwändiger machen, Ziele wesentlich unattraktiver. So ist beispielsweise die Zwei-Faktor-Authentifizierung zwar an sich ein unvollkommener Sicherheitsmechanismus, aber sie fügt dem Angriffspfad einen zusätzlichen Schritt hinzu. Der Data Breach Investigation Report stellt fest, dass die Differenz zwischen zwei und drei Schritten oder drei und vier Schritten im Hinblick auf die Verbesserung des Sicherheitsstatus einen wesentlichen Unterschied macht. Dies gilt sowohl für IT- als auch für OT-Umgebungen.
OT-bezogene Sicherheitsvorfälle konzentrieren sich weitgehend auf bestimmte Branchen
Bei den untersuchten OT-Sicherheitsvorfällen stechen zwei Branchen deutlich heraus: die verarbeitende Industrie sowie Energie- und Versorgungsunternehmen (inklusive Bergbau, Öl- und Gasförderung).
Wie bei allen im DBIR aufgeführten Branchen war die häufigste Motivation für die beobachteten Vorfälle mit Auswirkungen auf die verarbeitende Industrie ein potenzieller finanzieller Gewinn (73 %). Allerdings spielt in diesem Sektor auch Cyberspionage mit 27 Prozent eine große Rolle. Der starke Bedarf an Lösungen zur Überwachung von und zum Schutz vor Insider-Bedrohungen wird durch die Tatsache unterstrichen, dass hinter 25 Prozent der Verstöße im verarbeitenden Gewerbe interne Bedrohungen stehen und 13 Prozent der Verstöße auf den Missbrauch von Mitarbeiterprivilegien oder Datenmissbrauch zurückzuführen sind. Bei Angriffen von außen machen staatlich unterstützte Angreifer mit 38 Prozent den Löwenanteil aus. Insofern sollten Unternehmen in dieser Branche sich gut auf raffinierte, gut ausgestattete Angreifer vorbereiten, deren vornehmliches Ziel der Diebstahl von geistigem Eigentum und anderer sensibler Daten ist. Wie der Bericht kurz und bündig formuliert, „ist es billiger und einfacher, etwas zu stehlen, als es selbst zu entwickeln.“
Der DBIR fasst Bergbau, und Öl- und Gasförderung sowie Versorgungsunternehmen für eine gemeinsame Betrachtung der beobachteten Vorfälle und Verstöße zusammen. Auch hier spielen mit 28 Prozent Insider-Bedrohungen eine große Rolle. Die Bewertung der Motive ist in diesen Branchen jedoch deutlich schwieriger: Finanzielle Motive dominieren mit Werten zwischen 63 und 95 Prozent, jedoch spielt auch Spionage mit einer Bandbreite von 8 bis 43 Prozent eine große Rolle. Eine präzise Interpretation dieser Werte ist kaum möglich, jedoch liegen die Werte in aller Regel deutlich über den 10 Prozent im Mittel aller Branchen. Die Angriffsmuster, denen sich Unternehmen in diesem Sektor ausgesetzt sehen, sind sehr unterschiedlich und häufig auch überlappend. Deshalb war die quantitative Bestimmung der vorherrschenden Angriffsvektoren statistisch unmöglich. Entsprechend lautet die schlichte Empfehlung an alle CISOs in diesem Bereich: „Alles sichern!“
Weitere Informationen zum Thema:
datensicherheit.de, 21.05.2020
Verizon Business: Data Breach Investigations Report 2020 vorgestellt
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren