Die 10 häufigsten Cyberangriffsvektoren und die effektivsten Abwehrmaßnahmen

Die Taktiken von Cyberkriminellen sind unterschiedlich – dennoch gibt es bestimmte Vorgehensweisen, die häufiger vorkommen als andere: Oft nutzen Verbrecher Fehlkonfigurationen, schwache Kontrollen und andere Cybersicherheitsfehler aus, die den unbefugten Zugriff auf die Systeme der Opfer erleichtern.

Ein gemeinsamer Beitrag der Infrastructure Agency (CISA) und Cybersicherheitsbeamten aus den Vereinigten Staaten, Kanada, Neuseeland, den Niederlanden und dem Vereinigten Königreich, fasst die wichtigsten Taktiken von Cyberkriminellen zusammen. Der Bericht thematisiert ebenfalls Methoden, die sich zur Minderung der Risiken von Angriffen einsetzen lassen.

Die gängigsten Cyberangriffe zielen üblicherweise auf Folgendes ab:

• Systeme, in denen keine Multi-Faktor-Authentifizierung (MFA) angewendet wird, insbesondere für den Remote-Desktop-Zugriff. Da das Remote-Desktop-Protokoll (RDP) einer der häufigsten Vektoren für Ransomware-Angriffe ist, ist MFA unerlässlich, um diese Art von Cyberbedrohung abzuwehren.

• Falsch angewendete Privilegien oder Berechtigungen und Fehler in Zugriffskontrolllisten. Diese Fehler können unbefugten Benutzern oder Prozessen ermöglichen, sich unrechtmäßigen Zugriff auf IT-Ressourcen zu verschaffen.

• Nicht ordnungsgemäß aktualisierte Software. Wenn anfällige Systeme nicht gepatcht werden, können Angreifer die Schwachstellen ausnutzen, um Zugang auf vertrauliche Informationen zu erhalten, einen Denial-of-Service-Angriff (DoS) zu starten oder die Kontrolle über Systeme zu erlangen. Dies ist einer der häufigsten Missbräuche im Bereich der Cybersicherheit.

• Arbeitsbereiche mit serienmäßigen Voreinstellungen oder standardisierten Benutzernamen und Kennwörtern für die Anmeldung. Viele Software-, Hardware- und Netzwerkprodukte werden mit übermäßig nachlässigen Werkseinstellungen ausgeliefert, um die Installation zu erleichtern und Supportanfragen zu reduzieren. Diese unverändert zu lassen, öffnet jedoch die Türen für Eindringlinge.

• Remote-Dienste ohne ausreichende Kontrollen zur Verhinderung eines unbefugten Zugriffs, wie z. B. virtuelle private Netzwerke (VPN).

• Schwache Passwortrichtlinien, die leicht durch eine Vielzahl von Methoden geknackt werden können. Durch veraltete oder gefährdete Kennwörter, erhalten die Angreifer unbefugten Zugang zu den Systemen der Opfer. Kriminelle haben diese vielmals eingesetzt, vor allem bei Angriffen auf RDP.

• Ungeschützte und falsch konfigurierte Cloud-Dienste sind häufige Ziele von Cyberangriffen, die darauf abzielen, vertrauliche Daten zu stehlen und Kryptowährungen zu minen.

• Offene Schnittstellen und falsch konfigurierte Dienste gehören zu den häufigsten Schwachstellenbefunden. Hacker verwenden Scan-Tools, um offene Schnittstellen aufzuspüren. Diese nutzen sie oft als ersten Angriffsvektor, um sich Zugang zu verschaffen. Daraufhin verwenden sie andere Taktiken und Verfahren, um gefährdete und anfällige IT-Ressourcen zu kompromittieren. RDP, Server Message Block (SMB), Telnet und NetBIOS sind die Dienste mit dem höchsten Risiko.

• Arbeitsbereiche mit Phishing-Schutz können von Tätern ins Visier genommen werden, die E-Mails mit Links oder Anhängen versenden, um Systeminfektionen zu fördern.

• Unzureichende Erkennung und Reaktion auf Endgeräte machen es PowerShell-Skripten und Angriffen leicht, die Sicherheitskontrollen für Endgeräte zu umgehen und Angriffe auf Zielgeräte zu starten.

Der CISA-Beitrag empfiehlt folgende Vorgehensweisen, um die wiederholt ausgenutzten Sicherheitslücken zu schließen:

• Einführung eines Zero-Trust-Modells, das das implizite Vertrauen in jeden Benutzer oder IT-Bestandteil aufhebt und eine kontinuierliche Überprüfung durch Echtzeitinformationen aus mehreren Quellen erfordert, um angemessene Zugriffsrechte zu bestimmen.

• Einschränkung der Remote-Anmeldung über das Administratorkonto und Verhinderung des Zugriffs über RDP-Sitzungen. Verwenden Sie außerdem bestimmte administrative Arbeitsstationen für privilegierte Benutzersitzungen, um eine Gefährdung zu begrenzen.

• Kontrolle des Zugangs auf Daten und Dienste. Es wird empfohlen, den Benutzern nur die Zugriffsrechte auf Daten und Systeme zu gewähren, die sie für ihre jeweilige Aufgabe tatsächlich benötigen. Diese aufgabenbasierte Zugangskontrolle, auch bekannt als das Least-Privilege-Prinzip, sollte sowohl für Konten als auch für den physischen Zugang gelten.

• Stärkung der Richtlinien für die Zugangskontrolle, um zu verwalten, wie sich Nutzer mit Netzwerken und Cloud-Diensten verbinden.

• Scannen von Geräten mit RDP-Ports, einschließlich virtueller in der Cloud. Sie sollten jedes System mit einem offenen RDP-Port hinter einer Firewall platzieren und von den Benutzern fordern, dass sie über VPN darauf zugreifen.

• Implementieren Sie MFA, insbesondere für alle VPN-Verbindungen, externen Dienste und privilegierten Konten. Verwenden Sie Phishing-resistente MFA (wie Sicherheitsschlüssel oder PIV-Karten) für kritische Dienste. In Fällen, in denen MFA nicht implementiert werden kann, sollte eine starke Passwortrichtlinie mit anderen ergänzenden Informationen wie Gerätedaten, Zugriffszeit, Benutzerhistorie und Geolokalisierungsdaten angewendet werden.

• Änderung der Benutzeridentität und der Passwörter ab Werk.

• Einsatz von Monitoring, um die Verwendung kompromittierter Zugangsdaten zu erkennen. Einführung von Kontrollen, um die Verwendung gefährdeter oder schwacher Passwörter zu verhindern.

• Ausreichende Protokollinformationen. Logfiles spielen eine Schlüsselrolle bei der Erkennung von Angriffen und der Behebung von Zwischenfällen. Das Aufrechterhalten eines zuverlässigen Satzes von Protokollen stellt sicher, dass genügend Informationen zur Untersuchung von Vorfällen und der Ermittlung des Verhaltens von Angreifern vorliegen.

• Einsatz von Anti-Malware-Lösungen und kontinuierliche Überwachung der Ergebnisse von Antiviren-Scans. Verwendung von Sicherheitstools für Endgeräte. Einsatz von Systemen zur Erkennung und Verhinderung von Eindringlingen zum Schutz von Netzwerken und Geräten.

• Durchführung von Tests zur Ermittlung fehlerhafter Konfigurationen.

• Überprüfung auf Schwachstellen und Einrichten von Patch-Management-Prozessen.

• Verwendung von Tools des Cloud-Dienstanbieters zur Erkennung von gemeinsam genutztem Speicher und zur Überwachung ungewöhnlicher Zugriffe.

• Gewährleisten sicherer Konfigurationen für Dienste auf Hosts, auf die über das Internet zugegriffen werden kann.