Cyber-Angreifer haben den Jackpot geknackt: Erfahren Sie, warum nicht nur Casinos gefährdet sind

Seit vielen Jahren nutzen Hacker und Cyberkriminelle Social-Engineering-Techniken, um sich unbefugt Zugang zu vertraulichen Informationen zu verschaffen. Es ist leicht vorherzusagen, dass diese Angriffe immer ausgefeilter und häufiger werden. Ob sie KI nutzen, um bessere Köder zu entwickeln, oder Cyberkriminelle einfach immer geschickter darin werden, die menschliche Natur auszunutzen – der Erfolg dieser Angriffe beweist, dass die Taktik aufgeht. So boomt beispielsweise Ransomware: Im Jahr 2021 wurden dem FBI 324.000 Phishing-Versuche gemeldet.

Das Jahr 2023 erweist sich auch für Cyberkriminelle als erfolgreiches Jahr. Kürzlich haben Angriffe auf die Hotelgiganten MGM Resorts und Caesars Entertainment dazu geführt, dass letztere mehr als 15 Millionen Dollar zahlen mussten, um wieder Zugang zu ihren Systemen zu erhalten.

MGM gab am Mittwoch, dem 13. September, offiziell bekannt, dass ein Cybervorfall „in den letzten drei Tagen zu erheblichen Störungen in den Vereinigten Staaten geführt hat“, aber früheren Berichten zufolge begannen die Probleme am Sonntag, dem 10. September. Caesars gab am Donnerstag, den 14. September, bekannt, dass es am 7. September zu einer Datenpanne gekommen ist. Während Cyberexperten noch dabei sind, die Einzelheiten zusammenzustellen, wissen wir, dass Bedrohungsakteure, die unter verschiedenen Namen bekannt sind (Scattered Spider / UNC3944 / Oktapus / Scatter Swine), Social-Engineering-Techniken eingesetzt haben, um einen ersten Zugang zu erlangen.

Social-Engineering-Angriffe sind nach wie vor schwer zu erkennen und abzuwehren. Gelingt ein Angriff, verfügen die Täter über gültige Zugangsdaten, die sie als Insider des Unternehmens nutzen können. Ausgehend von den Informationen, die Mandiant teilte, setzten die Angreifer Social-Engineering-Techniken ein, um einen ersten Zugang zu erhalten. Im Fall von Caesars wurde bestätigt, dass die Angreifer einen IT-Vertragspartner anriefen und vorgaben, von Okta zu sein. Nach Erhalt gültiger Zugangsdaten scannten die Angreifer ihre Systeme, fanden Wege, um ihre Berechtigungen zu erhöhen, und führten einen Ransomware-Angriff durch. Auch wenn bei diesem Angriff keine besonders neue Technik zum Einsatz kam, erinnert er uns daran, wie wichtig gute Schulungen, Sicherheits-Hygiene und die notwendige Konzentration auf Bst Practices sind.

Wir wollen untersuchen, was Unternehmen vor und während eines solchen Angriffs tun können.

Vor dem Angriff:

Bei ausgeklügelten Social-Engineering-Angriffen scheint Prävention die beste Option zu sein. Die Aufrechterhaltung der Cybersicherheitshygiene sowie ein aktiver Plan für die Wiederherstellung im Katastrophenfall bzw. die Kontinuität des Geschäftsbetriebs und genaue Backups Ihrer kritischen Daten können einen großen Beitrag zur Wiederherstellung leisten. Ein wichtiger Aspekt ist das Security-Awareness-Training für Benutzer, Administratoren und Helpdesks sowie die Erstellung eines Plans zur Erkennung und Bekämpfung von Social-Engineering-Angriffen. Aber Schulungen allein reichen nicht aus, und Unternehmen sollten bei der Modellierung von Bedrohungen dieser Art von Angriffen eine „Assume-Breach“-Mentalität“ annehmen.

Darüber hinaus gibt es weitere Möglichkeiten für Unternehmen, sich abzusichern, falls Endbenutzer Opfer von Social-Engineering-Angriffen werden:

• Überprüfen und überwachen Sie Ihre Firewall-Richtlinien

  • Erstellen Sie eine Standardregel „Outbound-Deny“, die ausdrücklich nur den Zugang zu bekannten und erforderlichen Zielen an den erforderlichen Ports erlaubt. Auch wenn dies nicht für jedes System in Ihrem Netzwerk möglich ist, sollte der Datenverkehr kritischer Systeme wie Domain_Controller und Identity-Server profiliert und eine entsprechende Firewall-Richtlinie angewendet werden.

  • Erstellen Sie eine Standard-Deny-Inbound-Policy, die eingehenden Traffic nur von öffentlichen IPs und nur auf den notwendigen Ports erlauben (wenn möglich ausschließlich Port 443).

  • Konfigurieren Sie Firewall- oder Proxy-Lösungen, um Protokollmissbrauch oder DNS-Tunneling zu erkennen

  • Konfigurieren Sie die Netz-, Mikro- oder Nanosegmentierung, um den Explosionsradius zu minimieren

• Verwalten Sie privilegierte Benutzerkonten und Dienste

  • Erstellen Sie separate administrative Konten für Personen, die administrative Rechte für IAM oder andere kritische Infrastrukturen und Systeme benötigen

  • Entfernen Sie administrative Rechte auf den Arbeitsstationen aller Benutzer und verwenden Sie stattdessen eine Endpoint-Privilege-Manager-Lösung, um Berechtigungen für bestimmte Programme temporär zu erhöhen.

  • Aktivieren Sie User Access Control (UAC) für alle administrativen Aktionen.

  • Behandeln Sie Passwort-Tresore als „Tier 0“-Assets – überwachen Sie, wer sich anmeldet und welche Aktionen ausgeführt werden

  • Systeme, die Hybrid-Identity- oder Hybrid-Funktionalitäts-Agenten enthalten (z. B. Entra ID Connect / Okta Connect), sollten ebenfalls als „Tier 0“-Assets behandelt werden – nur autorisierte Administratoren sollten Zugriff auf diese Systeme haben

• Führen Sie eine regelmäßige Sicherheitshygiene durch

  • Der Schutz vor Credential-Theft-Malware erfordert, dass Sie Ihre Netzwerke dahingehend prüfen, wo Anmeldedaten gespeichert sind – File Shares, Cloud-Repositories und andere Speicherorte können sensible Anmeldedaten enthalten. Das Team von Sumo Logic Threat Labs hat sich eingehend mit der Verteidigung gegen diese Art von Angriffen sowohl für Windows- als auch Linux-Betriebssysteme beschäftigt

  • Überwachen Sie die Installation von Remote-Management-Tools wie AnyDesk – Befehlszeilen sind in dieser Hinsicht eine sehr wertvolle Datenquelle.

  • Der Bedrohungsakteur ist dafür bekannt, Cloud-Ressourcen bereitzustellen – grundlegende Überwachung, wie z. B. wenn eine neue virtuelle Azure-Maschine bereitgestellt wird, ist hier wertvoll

• Führen Sie aktive Überwachung durch

  • Bedrohungsakteure wurden dabei beobachtet, wie sie Treiber auf anfälligen Systemen installieren, um Sicherheitskontrollen zu umgehen–- Cloud-SIEM bietet UEBA-Funktionen zur Überwachung von „First Seen“-Treiberinstallationen

  • Die Erkennung von Anomalien kann auch auf Authentifizierungsszenarien angewandt werden, um nach merkwürdigen oder anormalen Authentifizierungsmustern zu suchen, z. B. wenn sich ein Benutzer seit einem festgelegten Basiszeitraum von einem neuen geografischen Standort aus an einem System authentifiziert.

  • Überwachen Sie Änderungen an Methoden der Multi-Faktor-Authentifizierung, korrelieren Sie diese Änderungen mit den jeweiligen Tickets und validieren Sie diese Aktionen, wenn möglich, automatisiert mit dem betreffenden Benutzer – insbesondere bei Administratoren.

• Wenden Sie zusätzliche Taktiken an

  • Üben Sie Tabletop-Szenarien und Authentifizierungsabläufe, um festzustellen, welche Systeme welche Teile des Authentifizierungsflusses übernehmen, insbesondere in hybriden Umgebungen

  • Verlangen Sie für alle risikoreichen Transaktionen einen Lichtbildausweis und/oder eine Live-Videoüberprüfung und vergleichen Sie die Beweise mit Ihren vertrauenswürdigen internen HR- oder Ausweissystemen.

Die vier Karten, die bei einem Cyberangriff gespielt werden

Auch wenn ich voreingenommen bin, glaube ich wirklich, dass das Zentrum Ihres SOC Ihre SIEM-Lösung (Security Information and Event Management) ist. Auch wenn Organisationen viele Tools besitzen können, führt das SIEM alle Aspekte der Sicherheitslage zusammen und gibt Ihren Teams den notwendigen Fokus während eines Angriffs. Verwenden Sie dieses Objektiv, um Ihren Sicherheitsteams den Fokus zu geben, den sie während eines Angriffs benötigen.

System- und Benutzerverhaltensanalysen sind entscheidend, um unbekannte gegnerische Aktivitäten zu erkennen. Logs erzeugen fortlaufend Daten, die Ereignisse und deren Auswirkungen auf technische Systeme widerspiegeln. Die schnelle und effiziente Analyse von Sicherheitsprotokollen ist der Schlüssel zur betrieblichen Cybersicherheit.

Stellen Sie sicher, dass die notwendigen Werkzeuge und Prozesse vorhanden sind, um Sie in den vier Phasen eines Cyberangriffs zu unterstützen:

1. Detect – Sammeln, korrelieren und analysieren Sie Logs aus Endpunkten, IAM und Netzwerkverkehr, um benutzerdefinierte Abfragen und erweiterte Verhaltensanalysen durchzuführen.

2. Contain – Nutzen Sie Automatisierung, um kompromittierte Endpunkte oder Cloud-Workloads einzudämmen. Üben und testen Sie Ihre Playbooks, um den Erfolg zu zertifizieren.

3. Eradicate – Bereinigen Sie infizierte Malware und bestimmen Sie den Radius des Angriffs oder die volle Auswirkung, indem Sie die verbundenen Systeme und IP-Adressen überprüfen.

4. Recover – Stellen Sie kompromittierte Geräte oder Systeme anhand aktueller Datensicherungen her und führen Sie eine Nachanalyse durch.

Sumo Logic Cloud-SIEM im Einsatz

Zwischen präventiven Kontrollen und aktivem Threat Hunting wird deutlich, dass Social-Engineering-basierte Angriffe und Ransomware zu den schwierigsten Bedrohungen gehören, mit denen Sie umgehen müssen. Viele Unternehmen haben uns mitgeteilt, dass sie eine Möglichkeit benötigen, ihre Erkennungsmethoden zu zentralisieren und ungewöhnliche Verhaltensweisen zu überwachen. Sie können sich nicht mehr auf eine einzige Taschenlampe im Dunkeln verlassen, sondern brauchen ein Objektiv, das ihre Bemühungen bündelt. Sumo Logic Cloud-SIEM ist dieser Leuchtturm.

Sumo Logic Cloud-SIEM erfasst, normalisiert, korreliert, analysiert und visualisiert automatisch Alerts in Ihrer Cloud-, Hybrid-Cloud- und On-Prem-Umgebung mit mehr als 900 vorkonfigurierten Regeln. Insbesondere die Ausreißer- und First-Seen-Regeln unseres Cloud-SIEM können auf folgende Weise verwendet werden:

• Suche nach Aktivitäten zum Zurücksetzen des Passworts

• Verwendung einer API, auf die noch nie jemand zugegriffen hat

• Suche nach geänderten Verschlüsselungscodes und Anfertigung von Kopien

• Achten auf Ergänzungen zu Superuser-/Admin-Gruppen, insbesondere in Ihrem Active Directory (z. B. Domänenadministratoren, Forest-Administratoren, Schema-Administratoren)

Zudem bietet Sumo Logic Cloud-SIEM Sicherheitsanalysten und SOC-Managern einen verbesserten Einblick in das gesamte Unternehmen, um den Umfang und den Kontext eines Angriffs genau zu erfassen. Optimierte Workflows sortieren automatisch Alerts, um bekannte und unbekannte Bedrohungen schneller zu erkennen.

Kunden wählen Sumo Logic wegen folgender differenzierter SIEM Funktionen:

• Das Rauschen reduzieren

  • Muss sich Ihr Sicherheitsteam bei kritischen Bedrohungen anpassen? Sumo Logic Cloud-SIEM kombiniert Ereignismanagement mit einem interaktiven Warndisplay, um Bedrohungsdaten und Analysen zur Priorisierung von Alerts zu liefern.

  • Cloud-SIEM parst, mappt und erstellt normalisierte Datensätze aus Ihren strukturierten und unstrukturierten Daten und korreliert erkannte Bedrohungen, um die Anzahl der Log-Ereignisse zu reduzieren.

    Verringern Sie die Alarmmüdigkeit mit unserer Insight Engine, die auf das MITRE ATT&CK-Framework abgestimmt ist. Ihr adaptiver Algorithmus zum Signal-Clustering gruppiert automatisch zusammenhängende Signale und beschleunigt so die Alarmtriage. Sobald das aggregierte Risiko einen Schwellenwert überschreitet, wird automatisch eine Erkenntnis (Insight) erstellt, damit Sie sich auf die wichtigsten Bedrohungen konzentrieren können.

• Analyse des Benutzer- und Entitätsverhaltens (UEBA)

  • SIEM-Korrelationsregeln sind nicht genug. Identifizieren Sie eine potenzielle Sicherheitsbedrohung anhand des Verhaltens von Benutzern und Entitäten. Mit den UEBA-Funktionen von Cloud-SIEM können Sie Abweichungen vom grundlegenden Benutzer- und Entitätsverhalten melden, eine Risikoeinstufung vornehmen und mit intelligenten Entitäts-Zeitleisten Prioritäten setzen.

• Entitätsbeziehungsdiagram

  • Eine isolierte Untersuchung von Bedrohungen ist schwierig. Sehen und erkunden Sie, wie Entitäten über eine Panorama-Visualisierung miteinander verbunden sind, um das gesamte Ausmaß und den Umfang eines Cyberangriffs zu erkennen. Verkürzen Sie die mittlere Reaktionszeit (MTTR) durch Einblicke in verwandte Signale und Insights.

• Integrierte Automatisierung und Playbooks

  • Wählen Sie aus Hunderten von vorgefertigten Integrationen und Playbooks – oder schreiben Sie Ihre eigenen. Mit dem Sumo Logic Cloud-SIEM Automation Service können Sie Playbooks manuell oder automatisch ausführen, wenn ein Insight erstellt oder geschlossen wird.

All-in gehen

Auch dies ist eine gute Erinnerung daran, Ihre Cybersicherheitshygiene aufrechtzuerhalten und einen aktiven DR/BC-Plan sowie genaue Backups Ihrer kritischen Daten zu haben. Unternehmen jeder Größe können davon profitieren, wenn sie ein aktives Programm zur Sensibilisierung der Benutzer für die Sicherheit einrichten (und es regelmäßig auf Lücken und potenzielle Verbesserungsmöglichkeiten hin überprüfen). Aber es ist auch klar, dass Unternehmen von einer verbesserten Sichtbarkeit von Bedrohungen profitieren, wenn sie alle ihre Sicherheitsdaten an einem zentralen Ort zusammenführen – und damit die Zusammenarbeit der Teams verbessern. Unternehmen benötigen fortschrittliche Analysen, um anomales (und potenziell bösartiges) Verhalten von Benutzern zu erkennen, um angesichts der zunehmenden Zahl falsch positiver Warnmeldungen Anzeichen für Angriffe zu identifizieren.

Ermöglichen Sie mit Sumo Logic Cloud-SIEM umfassende Transparenz, die Silos aufbricht und Teams zusammenbringt. Wenn Sie mehr erfahren möchten, schauen Sie sich unser Cloud-SIEM an oder fordern Sie eine Demo an.