APT und gezielte Angriffe
Bedrohungsbekämpfung nimmt an Reife zu
Die SANS-Umfrage zur Bedrohungsbekämpfung 2024 verdeutlicht, dass die Methoden dafür immer ausgereifter werden und die Zahl der Unternehmen, die formale Prozesse einführen, erheblich zunimmt. Auch die Informationsbeschaffung entwickelt sich weiter.
Bereits zum neunten Mal befasst sich der jährliche SANS Threat Hunting Survey mit den weltweiten Praktiken der Bedrohungsabwehr in Unternehmen und beleuchtet die Herausforderungen und Anpassungen in der Landschaft im vergangenen Jahr.
Die Umfrage 2024 zeigt, dass die Methoden zur Bedrohungsbekämpfung immer ausgereifter werden und die Zahl der Unternehmen, die formale Prozesse einführen, deutlich zunimmt. Dies ist ein Zeichen für eine Verlagerung hin zu einem stärker standardisierten Ansatz bei Cybersecurity-Strategien, trotz der Herausforderungen wie Fachkräftemangel und Tool-Beschränkungen. Darüber hinaus zeigt die Umfrage, dass sich die Vorgehensweisen bei der Beschaffung von Informationen weiterentwickeln und die Auslagerung der Bedrohungsbekämpfung mehr wird. Dabei stellen sich Fragen nach der Effizienz und der Übereinstimmung mit den Unternehmenszielen.
Teilnehmer
Bei der diesjährigen Umfrage stellte der Bereich Cybersicherheit mit 15 % die meisten Teilnehmer, 9 % der Befragten stammten aus dem verarbeitenden Gewerbe, das in letzter Zeit durch Ransomware-Angriffe vor große Schwierigkeiten stand. Die Umfrageteilnehmer variierten hinsichtlich der Unternehmensgröße und reichten von kleinen Unternehmen mit weniger als 100 Mitarbeitern (24 %) bis hin zu großen Konzernen mit über 100.000 Mitarbeitern (9 %).
Die Teilnehmer bekleiden in ihren Unternehmen unterschiedliche Funktionen, ein Zeichen dafür, dass Bedrohungsabwehr einen multidisziplinären Charakter aufweist. 22 % sind Sicherheitsadministratoren oder -analysten, während 11 % eine leitende Position innehaben. Es herrscht also ein Gleichgewicht zwischen technischen, finanziellen und personellen Aspekten bei der Bedrohungsbekämpfung.
Die Studie ist jedoch durch eine geografische Verzerrung geprägt, da 65 % der Teilnehmer aus Unternehmen in den Vereinigten Staaten stammen. Dies könnte die Ergebnisse hinsichtlich der Personalausstattung und der organisatorischen Praktiken beeinflussen. Man kann jedoch davon ausgehen, dass dies keinen Einfluss auf die technischen Aspekte der Bedrohungsbekämpfung hat.
Die wichtigsten Erkenntnisse und Auswirkungen
Die Erhebung untersucht die dynamische Landschaft der Cyberbedrohungen und die Strategien, die die involvierten Teams einsetzen, um die Risiken zu erkennen und zu bekämpfen. Sie beleuchtet vor allem die häufigsten Arten von Angriffen, denen sie ausgesetzt sind:
- Business Email Compromise (BEC): BEC ist das größte Problem, denn rund 68 % der Befragten gaben an, davon betroffen gewesen zu sein.
- Ransomware: Dicht darauf folgt Ransomware, wobei 64 % der Teilnehmer von Angriffen berichten.
- Taktiken, Techniken und Prozeduren (TTPs): TTPS werden laut der Studie in verschiedenen Angriffsszenarien eingesetzt. Bei Ransomware-Vorfällen nutzen Akteure häufig maßgeschneiderte Malware, zielen auf bestimmte Daten für die Exfiltration ab, nutzen Standard-Tools wie Cobalt Strike, versuchen Spuren zu löschen, und dringen manchmal auch physisch in die Zielunternehmen ein.
Sich entwickelnde Praktiken der Bedrohungsjagd
SANS stellte fest, dass Unternehmen ihre Methoden zur Bedrohungsbekämpfung erheblich weiterentwickelt haben und diese je nach Bedarf, monatlich, vierteljährlich oder jährlich ändern.
37 % der Unternehmen setzen inzwischen auf ausgelagerte Bedrohungsbekämpfung, und mehr als die Hälfte hat klar definierte Methoden dafür eingeführt, ein bemerkenswerter Fortschritt.
Darüber hinaus bewerten 64 % der Unternehmen formell die Effektivität ihrer Maßnahmen zur Bedrohungsbekämpfung, wobei der Anteil der Companies ohne formelle Methoden von 7 % auf 2 % gesunken ist. Die Auswahl der Methoden wird zunehmend von den verfügbaren Personalressourcen beeinflusst, sagen 47 % der Unternehmen.
Der Chief Information Security Officer (CISO) spielt eine Schlüsselrolle bei der Entwicklung von Methoden zur Bedrohungsjagd, wobei er in 40 % der Fälle maßgeblich beteiligt ist.
Vorteile besserer Bedrohungsabwehr
Zu den wesentlichen Vorteilen der Bedrohungsbekämpfung gehören ein verbesserter Schutz für die Angriffsfläche und Endpunkte, genauere Erkennungen mit weniger Fehlalarmen und ein geringerer Aufwand für die Behebung von potenziellen Schäden.
Etwa 30 % der Unternehmen nutzen Informationen von Anbietern als zusätzliche Bedrohungsdaten, 14 % verlassen sich ausschließlich auf diese Informationen. Die Beteiligung von Incident Response-Teams an der Entwicklung von Methoden für das Threat Hunting stieg bis 2024 auf 33 %, ein Zeichen für eine bessere Integration innerhalb der Sicherheitsfunktionen. Herausforderungen wie Datenqualität und Standardisierungsprobleme nehmen zu und unterstreichen die Komplexität der Verwaltung der steigenden Menge an Sicherheitsdaten.
Fazit
Unternehmen streben an, die Bedrohungsbekämpfung mit einer besseren kontextbezogenen Awareness und Datentools zu verbessern, wobei 51 % die Reaktion auf differenzierte Bedrohungen optimieren wollen.
Fast die Hälfte (47 %) plant den Einsatz von KI und ML, um die zunehmende Komplexität und das Volumen der Bedrohungen zu bewältigen. Es sind erhebliche Investitionen sowohl in Personal als auch in Tools geplant, wobei einige Unternehmen beabsichtigen, ihre Investitionen in den nächsten 24 Monaten um mehr als 10 % oder sogar 25 % zu erhöhen.
Eine kleine Minderheit beabsichtigt jedoch, ihre Investitionen zu reduzieren, was auf eine mögliche Änderung der Sicherheitsstrategie hindeutet.