FireEye hat im Mandiant Security Effectiveness Report 2020 analysiert, wie gut sich Unternehmen vor Cyber-Bedrohungen schützen und wie effektiv ihre Sicherheitsinfrastruktur ist. Der Bericht fasst die Ergebnisse von Tausenden Validierungstests zusammen, die die Experten des Mandiant Security Validation Teams (früher bekannt als Verodin) durchgeführt haben.
Die Tests umfassen echte Angriffe, spezifisches bösartiges Verhalten sowie Techniken und Taktiken, die bestimmten Cyber-Bedrohungs-Akteuren zugeordnet werden. Sie wurden in 100 Produktionsumgebungen von Großunternehmen aus 11 Branchen durchgeführt. Es wurden 123 marktführende Sicherheitslösungen gemessen – darunter auch Netzwerk-, E-Mail-, Endpunkt- und Cloud-Lösungen.
Der Security Effectiveness Report zeigt, dass Unternehmen zwar regelmäßig beträchtliche Budgets in ihre Cyber-Sicherheit investieren und davon ausgehen, dass ihre Umgebungen vollständig geschützt sind, in Wirklichkeit der Großteil der durchgeführten Angriffe jedoch erfolgreich war und unerkannt in die Produktionsumgebungen eingedrungen werden konnte.
Der Bericht beinhaltet außerdem Tipps für Unternehmen, damit diese sicherstellen können, dass ihre Sicherheitsmaßnahmen wie erwartet funktionieren. Wichtig dabei ist es, eine Strategie aufzusetzen, die eine regelmäßige Validierung der Abwehrmaßnahmen in ihrer Infrastruktur beinhaltet.
Die wichtigsten Herausforderungen auf einen Blick
Die Tests zeigen: 53 Prozent der Angriffe haben erfolgreich und unentdeckt die Zielumgebung infiltriert. 26 Prozent der Angriffe sind erfolgreich in Umgebungen eingedrungen, wurden aber entdeckt, während 33 Prozent durch Sicherheitslösungen verhindert wurden. Nur bei 9 Prozent der Attacken wurden Warnmeldungen ausgelöst.
Das zeigt, dass die Sicherheitsteams in den meisten Organisationen nicht die nötige Sichtbarkeit haben, die sie bei ernsthaften Bedrohungen brauchen, selbst wenn sie zentrale SIEM- (Security Information and Event Management), SOAR- (Security Orchestration, Automation, and Response) und Analyseplattformen verwenden. Das Mandiant-Team fand heraus, dass bei den verwendeten Sicherheitstools in Unternehmen großer Optimierungsbedarf herrscht:
- Sicherheitstool wurde lediglich mit voreingestellten Standard-Konfigurationen eingesetzt
- Mangelnde Ressourcen für die Optimierung nach der Bereitstellung
- Sicherheitsereignisse werden nicht im SIEM angezeigt
- Kontrolltests wurden nicht umgesetzt
- Unerwartete Änderungen in der zugrunde liegenden Infrastruktur
Der Bericht beleuchtet auch die von Angreifern verwendeten Techniken und Taktiken. Weiter umreißt er die größten Herausforderungen, die in Unternehmensumgebungen bei der Bewertung der Infrastruktur und bei den Tests auftraten:
- Erkundung: Beim Testen des Netzwerkverkehrs lösten laut der Unternehmen nur 4 Prozent der Aktivitäten einen Alarm aus.
- Infiltrierung & Ransomware: In 68 Prozent der Fälle berichteten Organisationen, dass das Eindringen in ihrer Umgebung nicht entdeckt wurde.
- Umgehung von Policies: In 65 Prozent der Fälle waren Sicherheitsumgebungen nicht in der Lage, die Angriffsarten zu verhindern oder aufzudecken
- Übertragung infizierter Dateien: In 48 Prozent der Fälle wurde die Übermittlung und Verteilung Schadcode-infizierter Dateien nicht erkannt oder verhindert.
- Command & Control: Bei 97 Prozent der Aktivitäten wurde kein entsprechender Alarm im SIEM generiert.
- Datenabfluss: Exfiltrationstechniken und -taktiken waren während der ersten Tests in 67 Prozent der Fälle erfolgreich.
- Lateral Movement: 54 Prozent der Techniken und Taktiken zum Testen von Lateral Movement wurden nicht erkannt.
„Unternehmen aller Branchen müssen besser werden, im Abwehrkampf gegen Cyber-Attacken. Das zeigt der Security Effectiveness Report klar und deutlich. Der einzige nachgewiesene Weg, dies zu erreichen, ist die kontinuierliche Bewertung der Wirksamkeit von Sicherheitskontrollen gegen neue und bestehende Bedrohungen. Dafür brauchen Unternehmen eine Technologie, die die Effektivität von Sicherheits-Tools automatisiert misst und Daten über die Ergebnisse liefert“, sagt Chris Key, Senior Vice President bei Mandiant Security Validation