Was Bedrohungsakteure suchen und wie man sich gegen sie verteidigen kann.
Schutz vor RansomwareEin Bedrohungsakteur (Threat Actor) ist eine Einzelperson oder Gruppe, die Angriffe auf spezifische Ziele ausführt, typischerweise in einem bestimmten Stil, um Bekanntheit zu erlangen. „Threat actor“ ist ein umfassender Begriff für eine Person, die darauf abzielt, dem Ruf, der finanziellen Stabilität und/oder der gesamten Sicherheitslage eines Unternehmens Schaden zuzufügen.
Ein Forrester-Podcast stellte fest, dass es eine aufkommende Verbindung zwischen Bedrohungsakteuren und künstlicher Intelligenz (KI) gibt. Es wurde detailliert beschrieben, wie Bedrohungsakteure zunehmend KI nutzen, um sehr überzeugende falsche Identitäten zu schaffen, die Organisationen zu potenziell schädlichen Handlungen verleiten können.
Es ist kein Geheimnis, warum führende Bedrohungsakteure kontinuierlich große Unternehmensorganisationen ins Visier nehmen: Sie verfügen über tiefere Taschen als kleine bis mittelständische Unternehmen. Es ist ein größeres Risiko, größere Ziele zu verfolgen, gleichzeitig erwartet man aber auch eine größere finanzielle Ausbeute.
Der einzige Grund, warum ein Bedrohungsakteur ein kleineres Unternehmen ins Visier nehmen könnte, ist, dass die Organisation ein Zulieferer, ein Teil einer Lieferkette ist, die mit einer größeren Organisation – dem eigentlichen Ziel des Bedrohungsakteurs – verbunden ist. Einige Branchen bleiben immer im Visier von Bedrohungsakteuren, und zwar die Finanz-, Gesundheits- und Pharmabranchen.
Dies sind bedeutende Industriezweige mit einigen erstklassigen Brands, von denen Bedrohungsakteure träumen, Millionen oder potenziell Milliarden von Dollar zu erbeuten. Diese Unternehmen setzen robuste Security Operations Center (SOCs) ein, um ihre sensiblen Daten zu schützen. Die Messlatte für Bedrohungsakteure, die es auf derart anspruchsvolle Ziele abgesehen haben, liegt also hoch.
Bedrohungsakteure sind in erster Linie durch Geld motiviert. Aber auf welche Arten verdienen Bedrohungsakteure Geld? Durch den Verkauf von Informationen. Daher werden Daten zum primären Ziel, wenn ein Bedrohungsakteur einen Sicherheitsverstoß versucht. Lassen Sie uns einen Blick darauf werfen, wie Geld und vielleicht auch einige weniger illustre Formen der Motivation dafür sorgen können, dass ein Bedrohungsakteur das Ziel nicht aus den Augen verliert.
Wie bereits besprochen, gehören Unternehmen in stark regulierten Branchen wie dem Gesundheitswesen und den Finanzdienstleistungen zu den wohlhabendsten der Welt. Sollte ein Bedrohungsakteur die Sicherheitsprotokolle eines solchen Unternehmens kompromittieren können, könnte die Belohnung eine beachtliche Geldsumme sein.
Insider-Bedrohungen entstehen, wenn ein Mitarbeiter oder Auftragnehmer nach einem Weg zu potenziellem finanziellem Gewinn sucht oder eine Vendetta gegen das Unternehmen hat, für das er arbeitet oder mit dem er zusammenarbeitet. Dies könnte besonders problematisch sein, wenn ein Mitarbeiter Kundendaten, firmeneigene Finanzinformationen oder Identity and Access Management (IAM)-Tools – Passwörter, Verschlüsselungsschlüssel usw. – stiehlt, um sie an böswillige Akteure zu verkaufen.
Ransomware ist schädlicher Code oder Aktionen, die Angreifer nutzen, um die Daten eines Unternehmens als Geiseln zu nehmen, mit dem Ziel, ein Unternehmen zu zwingen, ein Lösegeld für die Rückgabe seiner gestohlenen Daten zu zahlen. Obwohl ein Unternehmen niemals vollständig undurchdringlich für Ransomware-Angriffe sein kann, kann es Maßnahmen ergreifen, um seine Angriffsfläche zu schützen oder die Auswirkungen eines solchen Angriffs zu mildern.
Wie die Welt in der jüngsten Vergangenheit erlebt hat, hat der wachsende Einfluss staatlich geförderter Bedrohungsakteure auf Wahlen und politische Aktivitäten weltweit in den letzten zehn Jahren exponentiell zugenommen. Diese Arten von Bedrohungsakteuren versuchen, Wahlen zu beeinflussen und die wahlberechtigten Bürger eines Landes ins Visier zu nehmen. Dafür nutzen sie künstliche Intelligenz, soziale Medien und die mit dem Wahlprozess selbst verbundenen elektronischen Geräte.
Wir haben bereits über bestimmte Kategorien von Aktivitäten und die Beweggründe gesprochen, die einen Bedrohungsakteur zum Handeln veranlassen. Lassen Sie uns nun einen Blick auf einige der strengeren Definitionen der Arten von Bedrohungsakteuren werfen, die derzeit in großem Maßstab operieren.
Diese Bedrohungsakteure können direkt von einem Zweig einer nationalen Regierung beschäftigt sein oder von einer organisierten kriminellen Vereinigung stammen, die von einer nationalen Regierung beschäftigt wird. Sie verfügen im Allgemeinen über umfangreiche Ressourcen, und ihre kollektiven Motivationen erstrecken sich über das gesamte Spektrum.
Da nationalstaatliche Akteure im Vergleich zu kleinen Gruppen und Einzelpersonen extrem gut finanziert werden, können sie besonders starke Gegner für andere Länder und die kommerzielle Branche sein. Bösartige, von Nationalstaaten gesponserte Cyberaktivitäten können verheerende Auswirkungen auf die nationale Sicherheit und die Wirtschaft eines Landes haben.
Laut den National Institutes of Health (NIH) "beinhaltet ein Akt des Cyberterrorismus die Nutzung des Internets und anderer Formen der Informations- und Kommunikationstechnologie, um zu drohen oder Körperverletzungen zu verursachen, um durch Bedrohung oder Einschüchterung politische oder ideologische Macht zu erlangen."
Dies gilt insbesondere im Hinblick auf die wesentlichen Dienstleistungen der Staats- und Bundesregierungen weltweit. Wenn eine Gruppe von Cyberterroristen die Motivation hätte, könnte das gezielte Angreifen von essenziellen Diensten wie Stromnetzen, Krankenhausinfrastruktur und Stadtverwaltungsservices verheerende Auswirkungen haben.
Hacker-Aktivisten – oder Hacktivisten – sind in der Regel nicht durch finanziellen Gewinn motiviert, wenn sie ihre Angriffe ausführen. Auf diese Weise sind sie eng mit Open-Source-Projekten verbunden und unterliegen in ähnlicher Weise Einschränkungen durch die Fachkräfte, die sie anziehen. Da jeder zu einem Open-Source-Projekt beitragen kann, scheint es, als seien die Ressourcen unendlich. In Wirklichkeit haben Hacktivistengruppen die mühsame Aufgabe, Menschen davon zu überzeugen, kostenlos für sie zu arbeiten.
Aus diesem Grund zeigen Hacktivisten im Allgemeinen nicht das gleiche Level an operativer Raffinesse wie andere Arten von Bedrohungsakteuren. Hacktivistengruppen haben in der Regel einen weniger ausgeprägten Angriffspfad, wenn sie einen Angriff durchführen. Daher sind sie völlig damit zufrieden, Angriffe mit geringem Aufwand zu versuchen, die weniger zielgerichtet und opportunistischer sind.
Cyberkriminelle sind vielleicht der häufigste Bedrohungsakteur-Archetyp, wenn man an jemanden denkt, der ein Unternehmen über das Internet angreift. Viele Cyberkriminelle sind nicht nur daran interessiert, persönliche Daten zu erhalten, sondern suchen auch nach Unternehmensinformationen, die an den Meistbietenden verkauft werden könnten.
Sie setzen Ransomware ein, um Daten als Geiseln zu nehmen, betreiben Social Engineering und/oder Phishing-Angriffe, und suchen nach ausnutzbaren Netzwerkschwachstellen, um Zugriff auf Informationen zu erhalten, die entweder für das Unternehmen, eine andere Gruppe von Bedrohungsakteuren – oder beide – als wertvoll erachtet werden.
Natürlich setzen verschiedene Arten von Bedrohungsakteuren unterschiedliche Taktiken, Techniken und Verfahren (TTPs) ein, um ihre endgültigen Ziele zu erreichen. Moderne Bedrohungsakteure finden Wege, um eine Organisation länger in ihrem Griff zu halten, was eine Art Alptraumszenario für Unternehmen mit hohem Bekanntheitsgrad schafft.
Denken Sie daran, dass der Begriff „Bedrohungsakteur“ viele verschiedene Arten von Tätern umfassen kann, die viele verschiedene Arten von kriminellen Handlungen in Unternehmensnetzwerken begehen. Es gibt jedoch einige gängige Taktiken, die SOC-Analysten und Cybersecurity-Mitarbeiter nutzen können, um Cyberkriminelle erfolgreich abzuwehren.
Security Awareness Training kann viele verschiedene Themen der Netzwerkverteidigungsmethoden umfassen, aber der Hauptzweck dieser Art von Schulungsprogramm besteht darin, Mitarbeiter zu schulen, die nicht im Bereich der Cybersicherheit tätig sind.
Ganz gleich, ob es darum geht, die Belegschaft über Malware, Desktop-Sicherheit, drahtlose Netzwerke oder Phishing aufzuklären, sollten die Führungskräfte eines Unternehmens verstehen, was bei der Entwicklung eines Sicherheitstrainings-Programms zu beachten ist, sich einbringen und während des gesamten Prozesses Feedback geben.
Ein Unternehmensnetzwerk besteht aus vielen Komponenten. Viele sind digital, aber es könnte mehr physische Komponenten – oder Endpunkte – geben, als Sie vielleicht denken. Netzwerksicherheit ist die umfassende Praxis, ein defensives und offensives Framework um die physischen und Cloud-Umgebungen einer Organisation zu errichten.
Zu den Netzwerksicherheitsprozessen können die Überprüfung von Active Directory-Gruppen, die Aktivierung der Multi-Faktor-Authentifizierung (MFA) und die Aufrechterhaltung eines starken Cloud-Sicherheitsstatus gehören. Gleichzeitig ist ein Netzwerk nur so stark wie sein schwächster Endpunkt (Laptops, Mobilgeräte, Server usw.). Denn die Schwachstellen auf diesem Endpunkt könnten genau das sein, was ein Bedrohungsakteur benötigt, um in das Netzwerk einzudringen und sich mit der lateralen Bewegung seinem endgültigen Ziel zu nähern.
Es ist eine bewährte Praxis, von einem Mitarbeiter oder Systembenutzer zu verlangen, dass er seine Identität in mehreren Schritten bestätigt, um sicherzustellen, dass er kein Bedrohungsakteur ist, der sich als jemand ausgibt, der das Recht hat, im Netzwerk zu sein.
Identity and Access Management-Regeln implementieren eine Sicherheitsebene zwischen Benutzern und lokalen oder Cloud-basierten Servern und Anwendungen. Zu den Komponenten von IAM gehören zum Beispiel Passwortverwaltung, Durchsetzung von Sicherheitsrichtlinien, MFA und/oder Access Monitoring und Alerts.