Trend Micro Sicherheitsprognosen 2022: Neue Dynamik
Unsere Prognosen für 2022: Globale Supply Chains, Cloud-Umgebungen und DevOps-Funktionen bleiben im Visier von Cyberkriminellen. Malware wird ausgefeilter und zielt besonders auf kleine und mittlere Unternehmen ab, aber auch die Abwehr wird besser.
In der Covid-19-Pandemie haben Unternehmen gelernt, sich an eine neue Geschäftslandschaft anzupassen, um den Betrieb aufrechtzuerhalten. Und 2022, nach gut einem Jahr der weltweiten Pandemie, werden Organisationen erneut einen Gang höher schalten, um in einem sich immer noch im Wandel befindlichen Umfeld weiter voranzukommen. Sie werden einem hybriden Arbeitsmodell den Vorzug geben. Aber böswillige Akteure nutzen Übergangsphase dazu aus, um sowohl neuartige als auch altbewährte Angriffe durchzuführen. Die Forscher von Trend Micro erwarten für das Jahr 2022, dass sich die Bedrohungsakteure darauf konzentrieren werden, mittels Ransomware vor allem Rechenzentrums- und Cloud-Workloads sowie besonders gefährdete Services anzugreifen. Wir gehen auch davon aus, dass im nächsten Jahr da draußen eine höhere Anzahl von Zero-Day-Exploits als je zuvor zu finden ist. Während größere Unternehmen versuchen gezielte Angriffe abzuwehren, werden böswillige Akteure kleinere Unternehmen mit handelsüblichen Werkzeugen erfolgreich attackieren. Cyberkriminelle haben es auch weiterhin auf die ständig wachsende Menge an Daten aus vernetzten Fahrzeugen abgesehen, denn die lassen sich im Untergrund profitabel vertreiben.
Globale Supply Chains werden im Fadenkreuz von vierfachen Erpressungstechniken stehen, da Unternehmen ihre Supply Chain-Abläufe weiterentwickeln
Cyberkriminelle fügen der bereits aus dem Gleichgewicht geratenen globalen Lage in der Logistik weiteren Schaden zu, indem sie das Modell der vierfachen Erpressung ausweiten. Dabei geht es um die Erpressung von Lösegeld für kritische Daten des Opfers, die Drohung, die Daten preiszugeben und den Diebstahl öffentlich zu machen, die Drohung, die Kunden des Opfers mit einzubeziehen, und den Angriff auf die Supply Chain des Opfers oder seine Anbieter. Mit diesem Ansatz versuchen die Akteure, Unternehmen der Supply Chain zur Zahlung hoher Geldsummen zu zwingen, indem sie den Zugriff auf wichtige Daten sowie den Zugang zu Produktionsmaschinen verweigern und sich direkt an Kunden und Interessengruppen wenden.
Wir erwarten, dass Unternehmen im kommenden Jahr ihre Supply Chains widerstandsfähiger machen, indem sie in ihre Entwicklungsprozesse und Diversifizierungsstrategien für die Supply Chain investieren. Organisationen können ihre Supply Chains schützen, indem sie den Zero-Trust-Ansatz anwenden, um die Art und Weise, wie sie untereinander interagieren und Daten austauschen, durch kontinuierliche Überprüfung während der gesamten Lebensdauer einer Verbindung absichern zu können. Gleichzeitig starten Kriminelle gezielte Angriffe, um die mit neuen Partnerschaften verbundenen Veränderungen und Unsicherheiten auszunutzen.
Cloud-Angreifer werden sich sowohl umorientieren als auch an Ort und Stelle bleiben: Sie werden Technologietrends folgen und sich dafür in der Pipeline weiter nach links bewegen, aber sie werden auch weiterhin bewährte Angriffe einsetzen, um Cloud-Anwendern zu schaden.
Cyberkriminelle versuchen generell Strategien anzuwenden, die auch weiterhin funktionieren. Um sich Zugang zu Cloud-Anwendungen und -Services zu verschaffen, werden sie Methoden einsetzen, die mit geringem Aufwand große Wirkung erzielen, wie z. B. Phishing-Mails für den Diebstahl von Anmeldedaten, gerade infolge der häufigeren Nutzung von SaaS und damit Domain-Passwörtern. Zudem werden böswillige Akteure auch weiterhin Fehlkonfigurationen ausnutzen, unabhängig davon, ob sie in Anwendungen, gehosteten Containern oder Source Code-Repositories vorkommen. Zu den weiteren Angriffsvektoren gehören der Missbrauch bekannter Schwachstellen und von vertraulichen Zugangsschlüsseln, die sich auslesen lassen, ungesicherter Geheimnisse sowie unsichere Container-Images (Docker), die für Krypto-Mining genutzt werden
Aber auch neue Technologien setzen sie für ihre Zwecke ein. Zum Beispiel nutzen sie bei ihren Angriffen zunehmend den Shift-Links-Ansatz. Bereits heute zielen die Kriminellen auf DevOps-Tools und Pipelines in integrierten Cloud-Entwicklungsumgebungen (IDEs) ab. Wir gehen davon aus, dass sie 2022 DevOps-Prinzipien bei ihren Angriffen nutzen, um Supply Chains, Kubernetes-Umgebungen und Infrastructure-as-Code (IaC)-Implementierungen ins Visier zu nehmen.
Um Cloud-Umgebungen sicher zu halten, sollten Unternehmen die Grundlagen der Cloud-Sicherheit beachten. Dazu gehört, dass sie das Modell der gemeinsamen Verantwortung verstehen und anwenden, ein gut durchdachtes Framework nutzen, verschlüsseln, patchen und das richtige Maß an Fachwissen einbringen. Auch ist die Durchsetzung strengerer Sicherheitsprotokolle im Bereich der Build-Systeme zu empfehlen.
Server werden die wichtigsten Ransomware-Ziele sein
Für 2022 erkennen wir zwei wichtige Entwicklungen in der Ransomware-Bedrohungslandschaft. Erstens werden Ransomware-Angriffe immer gezielter und auffälliger. Obwohl die von Ransomware-Betreibern eingesetzten Taktiken, Techniken und Prozeduren (TTPs) wahrscheinlich gleich bleiben, sollen damit komplexere Ziele kompromittiert werden, also Server, die möglicherweise sogar größer sind als die der vergangenen Jahre. Der Grund: Server enthalten viel mehr Daten und von da aus, lassen sich unter Umständen weitere Ziele im Unternehmen erreichen. Moderne Ransomware ist eine relativ neue Bedrohung, so dass möglicherweise die meisten Unternehmen für Server nicht dieselben Anstrengungen zur Ransomware-Bekämpfung und –Verhinderung getätigt haben wie für Endgeräte.
Zweitens kommen modernere und raffiniertere Erpressungsmethoden zum Einsatz, ähnlich den APT-Angriffen (Advanced Persistent Threats), bei denen die Angreifer sensible Daten exfiltrieren, um Geld von ihren Opfern zu erpressen, und den Verschlüsselungsprozess überspringen können. Mit dieser Entwicklung verlagert sich der Schwerpunkt vom Sperren des Zugangs zu kritischen Daten auf das Leaking und die Verwertung gestohlener Daten zum Zwecke des Missbrauchs und der Kompromittierung. Es zeichnet sich ab, dass die Cloud ein noch lukrativeres Ziel für Cyberkriminelle sein wird, da immer mehr Unternehmen auf die Cloud umsteigen.
Um vor den sich entwickelnden Ransomware-Bedrohungen geschützt zu sein, werden Unternehmen ihre Server mit strengen Richtlinien zur Server-Härtung und Anwendungskontrolle schützen.
Empfehlungen
Anhand folgender Empfehlungen können sie eine Strategie zur proaktiven Eindämmung neuer Risiken entwickeln und implementieren:
- Konsistente Richtlinien zur Härtung von Servern und zur Anwendungskontrolle, um Ransomware-Angriffe zu bekämpfen
- Risikobasiertes Patching und hohe Alarmbereitschaft beim Erkennen von Sicherheitslücken
- Verbesserter Basisschutz für Cloud-zentrierte KMU
- Netzwerküberwachung für mehr Transparenz in IoT-Umgebungen
- Zero-Trust-Philosophie zur Absicherung internationaler Lieferketten
- Cloud-Security mit Schwerpunkt auf DevOps-Risiken und unter Anwendung bewährter Vorgehensweisen der Branche
- Extended Detection and Response (XDR) zur Erkennung von Angriffen über ganze Netzwerke hinweg
Weitere Trends und Sicherheitsherausforderungen für 2022 (etwa im Bereich IoT oder neue Services im kriminellen Untergrund) sowie wichtigen Empfehlungen und Strategien, um Umgebungen und Systeme zu schützen, bietet der vollständigen Bericht „Toward a New Momentum: Trend Micro Security Predictions for 2022“.