Best Practices zur Offenlegung von Schwachstellen einhalten – so ein Fortinet-Report
Fortinet hat den neuen Global Threat Landscape Report 2H 2023 der FortiGuard Labs veröffentlicht. Der neueste halbjährliche Report ist eine Momentaufnahme der aktiven Bedrohungslandschaft und zeigt Trends von Juli bis Dezember 2023 auf. Er analysiert unter anderem die Geschwindigkeit, mit der Cyberangreifer neu identifizierte Exploits aus der Cybersecurity-Branche ausnutzen, sowie die Zunahme von gezielten Ransomware- und Wiper-Aktivitäten in der Industrie und im OT-Sektor.
Erkenntnisse aus der zweiten Jahreshälfte 2023
- Angriffe begannen durchschnittlich 4,76 Tage nach der Veröffentlichung neuer Exploits: Wie im Global Threat Landscape Report für das erste Halbjahr 2023 wollten die FortiGuard Labs feststellen, wie lange es dauert, bis eine Schwachstelle von der ersten Veröffentlichung zur Ausnutzung übergeht, ob Schwachstellen mit einem hohen ESS-Score ( Exploit Prediction Scoring System) schneller ausgenutzt werden und ob sie die durchschnittliche Zeit bis zur Ausnutzung mithilfe von EPSS-Daten vorhersagen können. Basierend auf dieser Analyse haben Angreifer die Geschwindigkeit, mit der sie neu veröffentlichte Schwachstellen ausnutzen, im zweiten Halbjahr 2023 erhöht (43 % schneller als im ersten Halbjahr 2023). Dies zeigt, wie wichtig es ist, dass sich die Anbieter intern darauf konzentrieren, Schwachstellen zu entdecken und einen Patch zu entwickeln, bevor sie ausgenutzt werden können (Reduzierung von 0-Day-Schwachstellen). Es unterstreicht auch, dass Anbieter Schwachstellen proaktiv und transparent gegenüber ihren Kunden offenlegen müssen, um sicherzustellen, dass diese über die notwendigen Informationen verfügen, um ihre Assets wirksam zu schützen, bevor Cyberkriminelle N-Day-Schwachstellen ausnutzen können.
- Einige N-Day-Schwachstellen bleiben über 15 Jahre ungepatcht: Es sind nicht nur neu entdeckte Schwachstellen, um die sich CISOs und Security-Teams sorgen müssen. Die Fortinet Telemetrie ergab, dass 41 Prozent der Unternehmen Exploits in Signaturen entdeckten, die weniger als einen Monat alt waren, und fast alle Unternehmen (98 Prozent) entdeckten N-Day-Schwachstellen, die seit mindestens fünf Jahren existierten. Die FortiGuard Labs beobachten weiterhin Bedrohungsakteure, die Schwachstellen ausnutzen, die älter als 15 Jahre sind. Dies unterstreicht die Notwendigkeit, die Cybersecurity-Hygiene im Auge zu behalten und die Unternehmen ständig dazu aufzufordern, schnell zu handeln, indem sie ein konsistentes Patch- und Update-Programm einführen und die bewährten Verfahren und Leitlinien von Organisationen wie der Network Resilience Coalition anwenden, um die allgemeine Netzwerksicherheit zu verbessern.
- Weniger als neun Prozent aller bekannten Schwachstellen wurden durch Angriffe ausgenutzt: Im Jahr 2022 führten die FortiGuard Labs von Fortinet das Konzept der „roten Zone“ ein, um den Lesern ein besseres Verständnis dafür zu vermitteln, wie wahrscheinlich es ist, dass Bedrohungsakteure bestimmte Schwachstellen ausnutzen. Um dies zu veranschaulichen, wurde in den letzten drei Global Threat Landscape Reports die Gesamtzahl der Schwachstellen untersucht, die auf Endpunkte abzielen. In der zweiten Jahreshälfte 2023 haben Untersuchungen ergeben, dass 0,7 Prozent aller auf Endpunkten beobachteten CVEs tatsächlich angegriffen werden. Dies bedeutet eine wesentlich geringere aktive Angriffsfläche für Security-Teams, die sich auf die Behebung konzentrieren und diese priorisieren können.
- 44 Prozent aller Ransomware- und Wiper-Samples zielten auf den Industriesektor ab: Über alle Sensoren von Fortinet hinweg ist die Erkennung von Ransomware im Vergleich zum ersten Halbjahr 2023 um 70 Prozent zurückgegangen. Der Rückgang von Ransomware im letzten Jahr kann darauf zurückgeführt werden, dass die Angreifer von der traditionellen „Spray and Pray“-Strategie zu einem gezielteren Ansatz übergegangen sind. Dieser Ansatz konzentriert sich hauptsächlich auf Sektoren wie Energie, Gesundheitswesen, Fertigung, Transport und Logistik sowie die Automobilindustrie.
- Botnets zeigten eine unglaubliche Widerstandsfähigkeit, und es dauerte im Durchschnitt 85 Tage, bis die Kommando- und Kontrollkommunikation (C2) sie nach der ersten Entdeckung ausschalten konnte: Während der Bot-Traffic im Vergleich zum ersten Halbjahr 2023 stabil blieb, beobachteten die FortiGuard Labs weiterhin die prominentesten Botnets der letzten Jahre wie Gh0st, Mirai und ZeroAccess. Im zweiten Halbjahr 2023 tauchten jedoch drei neue Botnets auf: AndroxGh0st, Prometei und DarkGate.
- 38 der 143 von MITRE gelisteten Advanced Persistent Threat (APT) Gruppen waren in der zweiten Jahreshälfte 2023 aktiv: FortiRecon, der Digital Risk Protection Service von Fortinet, zeigt, dass 38 der 143 von MITRE überwachten Gruppen im zweiten Halbjahr 2023 aktiv waren. Davon waren Lazarus Group, Kimusky, APT28, APT29, Andariel und OilRig die aktivsten Gruppen. Angesichts der zielgerichteten und relativ kurzlebigen Kampagnen von APTs und nationalen Cybergruppierungen im Vergleich zu den langlebigen und aufwändigen Kampagnen von Cyberkriminellen wird FortiGuard Labs die Entwicklung und den Umfang der Aktivitäten in diesem Bereich kontinuierlich verfolgen.
Fortinet – Dark Web Diskurs
Der Fortinet Global Threat Landscape Report für die zweite Jahreshälfte 2023 enthält auch Erkenntnisse von FortiRecon, die Einblicke in den Diskurs zwischen Bedrohungsakteuren in Dark-Web-Foren, Marktplätzen, Telegram-Kanälen und anderen Quellen geben. Einige der Ergebnisse sind:
- Am häufigsten diskutieren sie, wie sie auf Unternehmen im Finanzsektor abzielen, gefolgt von den Bereichen Business Services und Bildung.
- Über 3.000 Datenschutzverletzungen wurden in prominenten Dark-Web-Foren geteilt.
- 221 Schwachstellen wurden aktiv im Darknet diskutiert, 237 Schwachstellen auf Telegram-Kanälen.
- Über 850.000 Zahlungskarten wurden zum Verkauf angeboten.
Trendwende im Kampf gegen Cyberkriminalität
Angesichts der ständig wachsenden Angriffsfläche und des branchenweiten Cybersecurity-Fachkräftemangels ist es für Unternehmen schwieriger denn je, komplexe Infrastrukturen aus unterschiedlichen Lösungen angemessen zu verwalten. Noch schwieriger ist es, mit der Anzahl der Warnmeldungen und der Vielfalt der Taktiken, Techniken und Verfahren der Bedrohungsakteure Schritt zu halten.
Eine Kultur der Zusammenarbeit, der Transparenz und der Rechenschaftspflicht, die über die einzelnen Unternehmen hinausgeht, ist erforderlich, um die Cyberkriminalität zu bekämpfen. Jedes Unternehmen kann einen Beitrag in der Störungskette gegen Cyberbedrohungen leisten. Die Zusammenarbeit mit hochrangigen, anerkannten Organisationen aus dem öffentlichen und privaten Sektor, einschließlich CERTs, Regierungsbehörden und akademischen Einrichtungen, ist ein grundlegender Aspekt von Fortinets Engagement, die Cyberresilienz weltweit zu verbessern.
Durch kontinuierliche technologische Innovationen und die Zusammenarbeit zwischen Branchen und Arbeitsgruppen wie der Cyber Threat Alliance, der Network Resilience Coalition, Interpol, der World Economic Forum (WEF) Partnership Against Cybercrime und dem WEF Cybercrime Atlas wird der Schutz vor und die Bekämpfung von Cyberkriminalität weltweit durch gemeinsame Anstrengungen verbessert.