Der Feind im eigenen Posteingang

Der Feind im eigenen Posteingang
Anzeige

Beitrag teilen

Angriffe auf E-Mail-Konten werden auch weiterhin eine der beliebtesten Methode von Cyberkriminellen sein, um an sensible Unternehmensdaten zu gelangen. Best Practices von Barracuda gegen fehlende Integration zwischen Incident Response und Web-Sicherheit.

Obwohl Klassiker wie kompromittierte E-Mail-Anhänge oder Links immer noch ihren Zweck erfüllen, wollen sich Angreifer darauf nicht unbedingt verlassen: Social Engineering oder die Verwendung gestohlener Anmeldeinformationen für den geplanten Datenklau sind weitaus diffizilere Taktiken. Und so sorgen ineffiziente Reaktionen auf E-Mail-Angriffe bei Unternehmen jedes Jahr für Milliardenverluste. Denn für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Wertvolle Zeit, die oft zur weiteren Verbreitung eines Angriffs führen kann.

Anzeige

Im Schnitt: Phishing-Angriffe auf 10 Mitarbeitern

Um Bedrohungsmuster und Reaktionspraktiken besser zu verstehen, untersuchten Barracuda-Security-Analysten rund 3.500 Unternehmen – mit einem eindeutigen Ergebnis: Ein Unternehmen mit 1.100 Anwendern erlebt etwa 15 E-Mail-Sicherheitsvorfälle pro Monat. Ein „Vorfall“ bezieht sich auf bösartige E-Mails, die es an IT-technischen Sicherheitslösungen vorbei in die Posteingänge der Benutzer geschafft haben. Sobald diese Vorfälle identifiziert sind, müssen sie priorisiert und untersucht werden, um ihren Umfang und ihren Bedrohungsgrad zu bestimmen. Wenn sich herausstellt, dass es sich um eine Bedrohung handelt, müssen auch Abhilfemaßnahmen getroffen werden. Durchschnittlich sind 10 Mitarbeiter von jedem Phishing-Angriff betroffen, der es schafft, bis in den jeweiligen Posteingang durchzukommen. Wie oben erwähnt, funktionieren bösartige Links immer noch: Drei Prozent der Mitarbeiter lassen sich von einem Phishing-Link täuschen, indem sie diesen anklicken und damit die gesamte Organisation den Angreifern ausliefern. Hacker benötigen nur diesen einen Klick oder eine E-Mail-Antwort, um einen Angriff erfolgreich durchzuführen. Da ist es gut zu wissen, dass Unternehmen, die ihre Benutzer schulen, nach bereits zwei Schulungseinheiten eine 73-prozentige Verbesserung der Genauigkeit der vom Benutzer gemeldeten E-Mails feststellen können.

Im Folgenden beleuchtet der Artikel erkannte Bedrohungsmuster und Reaktionspraktiken näher und stellt Maßnahmen vor, die IT-Security-Teams ergreifen können, um die Reaktion ihres Unternehmens auf E-Mail-Bedrohungen nach der Zustellung spürbar zu verbessern.

Anzeige

E-Mail-Bedrohungen nach der Auslieferung

Die Aktivitäten, die durchgeführt werden, um die Nachwirkungen eines Sicherheitsverstoßes und die Bedrohungen, die nach der Auslieferung auftreten, zu bewältigen, werden allgemein als Incident Response bezeichnet. Eine effektive Reaktion auf einen Vorfall zielt darauf ab, die Sicherheitsbedrohung schnell zu beheben, um die Ausbreitung des Angriffs zu stoppen und den potenziellen Schaden zu minimieren.
Da Hacker immer raffiniertere Social-Engineering-Techniken einsetzen, sind E-Mail-Bedrohungen sowohl für IT-technische Kontrollen als auch für E-Mail-Benutzer immer schwieriger zu erkennen. Es gibt keine IT-Security-Lösung, die sämtliche Angriffe verhindern könnte. Ebenso versäumen es Benutzer, verdächtige E-Mails – entweder mangels Schulung oder Nachlässigkeit – immer zu melden. Tun sie es doch, und ist die Genauigkeit der gemeldeten Nachrichten mangelhaft, führt dies zu einer Verschwendung von IT-Ressourcen. Ohne eine effiziente Incident-Response-Strategie können Bedrohungen oft unentdeckt bleiben – bis es zu spät ist.

Bedrohungen mit Threat Hunting effektiv entdecken

Es gibt mehrere Möglichkeiten, wie sich E-Mail-Bedrohungen identifizieren lassen, um sie anschließend beheben zu können. Benutzer können sie melden, IT-Teams können intern auf Bedrohungsjagd gehen, soll heißen das sogenannte Threat Hunting einleiten, oder sie können externe Anbieter beauftragen, die Angriffe zu beseitigen. Daten zu bereits behobenen Bedrohungen, die Unternehmen untereinander austauschen, sind in der Regel zuverlässiger als vom Benutzer gemeldete Hinweise.

Barracudas Analysten fanden heraus, dass die meisten Vorfälle (67,6 Prozent) durch vom IT-Team eingeleitete, interne Threat-Hunting-Untersuchungen entdeckt wurden. Diese Untersuchungen lassen sich auf unterschiedliche Weise durchführen. Üblicherweise werden Nachrichtenprotokolle durchsucht oder Schlüsselwort- beziehungsweise Absendersuchen in zugestellten E-Mails durchgeführt. Weitere 24 Prozent der Vorfälle gingen zurück auf von Benutzern gemeldete E-Mails. Rund acht Prozent wurden mithilfe von Bedrohungsdaten aus der Community, das verbleibende knappe halbe Prozent durch andere Quellen wie automatisierte oder bereits behobene Vorfälle entdeckt.
Zwar sollten Unternehmen ihre Belegschaft immer ermutigen, verdächtige E-Mails zu melden. Allerdings bedeutet ein Strom von durch Benutzer gemeldeten E-Mails für ressourcenlimitierte IT-Teams auch eine große Belastung. Eine gute Möglichkeit, die Genauigkeit der Anwenderberichte zu erhöhen, besteht darin, konsequente Schulungen zum Sicherheitsbewusstsein durchzuführen.

Drei Prozent der E-Mail-Nutzer klicken auf Links in bösartigen E-Mails

Sobald IT-Security-Teams bösartige E-Mails identifiziert und bestätigt haben, müssen sie den möglichen Umfang und die Auswirkungen des Angriffs einschätzen. Die Identifizierung aller Personen innerhalb einer Organisation, die bösartige Nachrichten erhalten haben, kann ohne die richtigen Tools unglaublich zeitaufwändig sein.

Drei Prozent der Mitarbeiter eines Unternehmens klicken auf einen Link in einer bösartigen E-Mail und setzen damit das gesamte Unternehmen Angreifern aus. Mit anderen Worten: In einer durchschnittlichen Organisation mit 1.100 E-Mail-Nutzern klicken jeden Monat etwa fünf davon auf einen bösartigen Link an. Damit nicht genug: Mitarbeiter leiten bösartige Nachrichten weiter oder beantworten diese und verbreiten damit die Angriffe nicht nur innerhalb ihres Unternehmens, sondern auch extern. Der Wert mag auf den ersten Blick gering erscheinen, seine Auswirkungen sind deshalb aber nicht weniger erheblich. Hacker brauchen nur einen Klick oder eine Antwort, damit ein Angriff erfolgreich ist. Und es dauert nur 16 Minuten, bis ein Benutzer einen bösartigen Link anklickt. Eine schnelle Untersuchung und Abhilfe sind deshalb der Schlüssel, um die Sicherheit des Unternehmens aufrechtzuerhalten.

Bösartige E-Mails verbringen 83 Stunden in Posteingängen

Die Beseitigung von E-Mails kann ein langwieriger und zeitraubender Prozess sein. Im Schnitt dauert es dreieinhalb Tage, von dem Moment an, in dem ein Angriff in den Posteingängen der Benutzer landet, bis diese ihn entweder melden oder das Security-Team ihn entdeckt, und die Attacke schließlich eliminiert wird. Gezielte Security-Schulungen können diese lange Zeit erheblich verkürzen, indem sie die Genauigkeit, der von den Anwendern gemeldeten Angriffe verbessern. Der zusätzliche Einsatz automatischer Abwehrtools kann die Angriffe automatisch erkennen und beheben. Tatsächlich aktualisieren nur fünf Prozent der Unternehmen ihre Web-Sicherheit, um den Zugriff auf bösartige Websites für das gesamte Unternehmen zu blockieren. Grund dafür ist meistenteils die fehlende Integration zwischen Incident Response und Web-Sicherheit.

Fünf Tipps zum Schutz vor Bedrohungen nach der Auslieferung

  • Schulungen der Mitarbeiter, um die Genauigkeit und den Umfang der gemeldeten Angriffe zu verbessern
    Regelmäßige Schulungen sorgen dafür, dass Sicherheitspraktiken im Gedächtnis bleiben und die Genauigkeit der gemeldeten Bedrohungen die IT-Abteilung dahingehend entlastet, zu viel Zeit mit der Untersuchung nicht bösartiger, sondern nur lästiger Junk-Mails zu verbringen.
  • Community als Quelle potenzieller Bedrohungen
    Gemeinsam genutzte Bedrohungsdaten sind ein wirksames Mittel gegen sich entwickelnde Bedrohungen, die Daten und E-Mail-Nutzer gefährden. Ähnliche und manchmal identische E-Mail-Bedrohungen betreffen mehr als eine Organisation, da Hacker häufig dieselben Angriffstechniken für mehrere Ziele einsetzen. Erkenntnisdaten anderer Organisationen zu sammeln, ist ein effektiver Ansatz, um groß angelegte Angriffe abzuwehren. Eine Incident-Response-Lösung, die auf gemeinsame Bedrohungsdaten zugreifen und diese nutzen kann, hilft, eine effektive Bedrohungssuche durchzuführen und potenzielle Vorfälle zu melden.
  • Threat Hunting Tools für eine schnellere Untersuchung von Angriffen
    Die Aufdeckung potenzieller Bedrohungen sowie die Identifizierung des Umfangs des Angriffs und aller betroffenen Benutzer kann unter Umständen Tage dauern. Unternehmen sollten Threat Hunting-Tools einsetzen, die ihnen Einblick in die Mails nach der Zustellung geben. Diese Tools können verwendet werden, um Anomalien in bereits zugestellten E-Mails zu identifizieren, schnell nach betroffenen Benutzern zu suchen und zu sehen, ob diese mit bösartigen Nachrichten interagiert haben.
  • Verteidigungsmaßnahmen automatisieren
    Der Einsatz automatisierter Incident-Response-Systeme kann die Zeit, die benötigt wird, um verdächtige E-Mails zu identifizieren, sie aus den Posteingängen aller betroffenen Benutzer zu entfernen und Prozesse zu automatisieren, die die Abwehr zukünftiger Bedrohungen stärken, erheblich reduzieren.
  • Integrationspunkte nutzen
    Unternehmen sollten nicht nur ihre Workflows automatisieren, sondern auch ihre Incident Response mit E-Mail- und Web-Sicherheit integrieren, um Angriffe zu verhindern. Die bei der Reaktion auf Vorfälle gesammelten Informationen lassen sich auch zur automatischen Problembehebung und zur Identifizierung verwandter Bedrohungen einsetzen.

Eine schnelle und automatisierte Reaktion auf Vorfälle ist mittlerweile wichtiger denn je, da ausgefeilte Spear-Phishing-Angriffe zur Umgehung der E-Mail-Sicherheit immer häufiger auftreten. Im Wettlauf gegen Cyberkriminelle verbessert die Automatisierung der Incident Response daher erheblich die Reaktionszeit auf Vorfälle, hilft die Unternehmenssicherheit zu stärken, Schäden zu begrenzen und spart IT-Teams wertvolle Zeit und Ressourcen.

Mehr bei Barracuda.com

 

Klaus Gheri

 

Passende Artikel zum Thema

Webinar 05.11.21: Effektive Arbeit im SOC durch Fakten und Automatisierung

Kaspersky lädt in seiner Webinar-Reihe zur einer weiteren Runde ein. Dieses Mal geht es um das Thema „Effektive Arbeit im ➡ Weiterlesen

Finanzbranche: 91 Prozent von Cyber-Sicherheitsvorfällen betroffen

Die Finanzbranche in Deutschland sieht sich mit einer Vielzahl von Bedrohungen konfrontiert – das ergibt die aktuelle Kaspersky-Studie „Cybersicherheit: Finanzbranche ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Voice-Phishing: Vishing-Angriffe auf Rekordniveau

Voice-Phishing: Vishing-Angriffe haben seit dem dritten Quartal 2021 die Kompromittierung geschäftlicher E-Mails (Business Email Compromise, BEC) als zweithäufigste gemeldete E-Mail-Bedrohung ➡ Weiterlesen

Phishing: Zwei Millionen Angriffe über HTML-Dateien

Kaspersky-Experten warnen vor der wachsenden Bedrohung durch Phishing-E-Mails mit HTML-Dateien [1]. Von Januar bis April 2022 blockierte Kaspersky fast zwei ➡ Weiterlesen

Fake-Shops verbreiten Schad-Apps und zielen auf Bankdaten

Experten des europäischen IT-Sicherheitsherstellers ESET haben eine noch immer andauernde Cybercrime-Kampagne entdeckt und analysiert. Ahnungslose Online-Shopper sollen zum Download von ➡ Weiterlesen

Spendenbetrüger: Hilfe für Ukraine als Betrug

Ukraine-Scammer bauen ihr Kampagnenrepertoire aus. Bitdefenders Antispam Lab beobachtet neue Scam-Mail-Kampagnen rund um den Ukraine-Krieg. Spendenbetrug mit gefälschten Mails von ➡ Weiterlesen

Cyberangriffe: Industrie am stärksten betroffen

Erstmals seit fünf Jahren gibt es mehr Cyberangriffe auf die Fertigungsindustrie. Damit hat sie die Finanz- und Versicherungsbranche bei der ➡ Weiterlesen