Mandiant Security Effectiveness Report 2020: Unternehmen überschätzen ihre Sicherheitsinfrastruktur

Untersuchungen zeigen, dass die meisten Angriffe auf Unternehmensumgebungen erfolgreich sind und unentdeckt bleiben

[datensicherheit.de, 05.05.2020] FireEye, Inc.  hat im Mandiant Security Effectiveness Report 2020 analysiert, wie gut sich Unternehmen vor Cyber-Bedrohungen schützen und wie effektiv ihre Sicherheitsinfrastruktur ist. Der Bericht fasst die Ergebnisse von Tausenden Validierungstests zusammen, die die Experten des Mandiant Security Validation Teams (früher bekannt als Verodin) durchgeführt haben. Die Tests umfassen echte Angriffe, spezifisches bösartiges Verhalten sowie Techniken und Taktiken, die bestimmten Cyber-Bedrohungs-Akteuren zugeordnet werden. Sie wurden in 100 Produktionsumgebungen von Großunternehmen aus 11 Branchen durchgeführt. Es wurden 123 marktführende Sicherheitslösungen gemessen – darunter auch Netzwerk-, E-Mail-, Endpunkt- und Cloud-Lösungen.

Der Security Effectiveness Report zeigt, dass Unternehmen zwar regelmäßig beträchtliche Budgets in ihre Cyber-Sicherheit investieren und davon ausgehen, dass ihre Umgebungen vollständig geschützt sind, in Wirklichkeit der Großteil der durchgeführten Angriffe jedoch erfolgreich war und unerkannt in die Produktionsumgebungen eingedrungen werden konnte.

Tipps zur Sicherstellung der Funktion der Sicherheitsinfrastruktur

Der Bericht beinhaltet außerdem Tipps für Unternehmen, damit diese sicherstellen können, dass ihre Sicherheitsmaßnahmen wie erwartet funktionieren. Wichtig dabei ist es, eine Strategie aufzusetzen, die eine regelmäßige Validierung der Abwehrmaßnahmen in ihrer Infrastruktur beinhaltet.

Bild: FireEye

Chris Key, Senior Vice President bei Mandiant Security Validation

„Jedes Unternehmen möchte, basierend auf verlässlichen Zahlen, wissen, ob seine Investitionen in Cyber-Sicherheit einen wirklichen Nutzen bringen. Außerdem wollen sie natürlich vermeiden, in der nächsten große Schlagzeile über einen Cyber-Angriff aufzutauchen“, sagt Chris Key, Senior Vice President bei Mandiant Security Validation. „Unsere Untersuchungen zeigen, dass Unternehmen größtenteils glauben, gut abgesichert zu sein, in den meisten Fällen jedoch nicht ausreichend geschützt sind. Wir kombinieren die automatisierte Validierung der Sicherheitsinfrastruktur mit den neuesten Erkenntnissen über Bedrohungen aus der täglichen Abwehr. Unsere Kunden unterstützen wir bei der Bewertung ihrer Infrastruktur, indem wir Tests durchführen und Bedrohungen simulieren, die sie mit hoher Wahrscheinlichkeit treffen werden. Diese Kombination ist nicht nur eine wirkungsvolle Abwehrmaßnahme, sondern hilft Unternehmen auch dabei, ihre Investitionen so zu priorisieren, dass sie die größtmögliche Wirkung entfalten.“ 

Die wichtigsten Herausforderungen auf einen Blick

Die Tests zeigen: 53 Prozent der Angriffe haben erfolgreich und unentdeckt die Zielumgebung infiltriert. 26 Prozent der Angriffe sind erfolgreich in Umgebungen eingedrungen, wurden aber entdeckt, während 33 Prozent durch Sicherheitslösungen verhindert wurden. Nur bei 9 Prozent der Attacken wurden Warnmeldungen ausgelöst. Das zeigt, dass die Sicherheitsteams in den meisten Organisationen nicht die nötige Sichtbarkeit haben, die sie bei ernsthaften Bedrohungen brauchen, selbst wenn sie zentrale SIEM- (Security Information and Event Management), SOAR- (Security Orchestration, Automation, and Response) und Analyseplattformen verwenden.

Die Untersuchungen des Mandiant-Teams fanden heraus, dass bei den verwendeten Sicherheitstools in Unternehmen großer Optimierungsbedarf herrscht:

• Sicherheitstool wurde lediglich mit voreingestellten Standard-Konfigurationen eingesetzt
• Mangelnde Ressourcen für die Optimierung nach der Bereitstellung
• Sicherheitsereignisse werden nicht im SIEM angezeigt
• Kontrolltests wurden nicht umgesetzt
• Unerwartete Änderungen in der zugrunde liegenden Infrastruktur

Der Bericht beleuchtet ferner die von Angreifern verwendeten Techniken und Taktiken. Weiter umreißt er die größten Herausforderungen, die in Unternehmensumgebungen bei der Bewertung der Infrastruktur und bei den Tests auftraten:

• Erkundung: Beim Testen des Netzwerkverkehrs lösten laut der Unternehmen nur 4 Prozent der Aktivitäten einen Alarm aus.
  Infiltrierung & Ransomware: In 68 Prozent der Fälle berichteten Organisationen, dass das Eindringen in ihrer Umgebung nicht verhindert oder entdeckt wurde.
• Umgehung von Policies: In 65 Prozent der Fälle waren Sicherheitsumgebungen nicht in der Lage, die Angriffsarten zu verhindern oder aufzudecken
• Übertragung infizierter Dateien: In 48 Prozent der Fälle wurde die Übermittlung und Verteilung Schadcode-infizierter Dateien nicht erkannt oder verhindert.
• Command & Control: Bei 97 Prozent der Aktivitäten wurde kein entsprechender Alarm im SIEM generiert.
  Datenabfluss: Exfiltrationstechniken und -taktiken waren während der ersten Tests in 67 Prozent der Fälle erfolgreich.
  Lateral Movement: 54 Prozent der Techniken und Taktiken zum Testen von Lateral Movement wurden nicht erkannt.

Anhand von Beispielen aus der Praxis zeigt der Report 2020, welche negativen Auswirkungen diese Leistungsdefizite auf die verschiedenen Industriesektoren haben.

„Unternehmen aller Branchen müssen besser werden, im Abwehrkampf gegen Cyber-Attacken. Das zeigt der Security Effectiveness Report klar und deutlich“, sagt Key. „Der einzige nachgewiesene Weg, dies zu erreichen, ist die kontinuierliche Bewertung der Wirksamkeit von Sicherheitskontrollen gegen neue und bestehende Bedrohungen. Dafür brauchen Unternehmen eine Technologie, die die Effektivität von Sicherheits-Tools automatisiert misst und Daten über die Ergebnisse liefert. Unser Bericht bietet Unternehmen eine Anleitung dafür.“

Weitere Informationen zum Thema:

FireEye
Mandiant Security Effectiveness Report 2020

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020

datensicherheit.de, 21.08.2019
FireEye-Bericht: Gesundheitssektor beliebtes Hacker-Angriffsziel