Aufgrund der zunehmenden Raffinesse krimineller Akteure und der immer gezielteren Angriffe befinden sich Organisationen weiterhin in einer reaktiven Position. Die kontinuierliche Analyse der Bedrohungslage im Global Threat Landscape Report für das erste Halbjahr 2023 liefert wertvolle Erkenntnisse, die als Frühwarnsystem für potenzielle Bedrohungsaktivitäten dienen können.
In der ersten Jahreshälfte 2023 verzeichneten die FortiGuard Labs unter anderem einen Rückgang bei der Erkennung von Ransomware in Organisationen, eine hohe Aktivität von Advanced Persistent Threat (APT)-Gruppen und eine Veränderung der von Angreifern verwendeten MITRE ATT&CK-Techniken.
Highlights des Global Threat Landscape Reports für das erste Halbjahr 2023:
- Die Erkennung von Ransomware in Organisationen nimmt ab
Die FortiGuard Labs verzeichneten in den letzten Jahren einen starken Anstieg bei der Anzahl von Ransomware-Varianten, der größtenteils auf die Verbreitung von Ransomware-as-a-Service (RaaS) zurückzuführen ist. Im ersten Halbjahr 2023 haben weniger Organisationen Ransomware erkannt (13 Prozent) als im gleichen Zeitraum vor fünf Jahren (22 Prozent). Dies bestätigt den Trend, den die FortiGuard Labs in den letzten Jahren beobachtet haben:
Ransomware und andere Angriffe werden immer zielgerichteter, da die Angreifer raffinierter vorgehen und den ROI pro Angriff steigern wollen. Die Untersuchungen haben auch gezeigt, dass die Zahl der Ransomware-Erkennungen weiterhin volatil ist. Sie war in der ersten Jahreshälfte 2023 13-mal höher als Ende 2022, zeigt aber im Jahresvergleich insgesamt einen rückläufigen Trend.
- Böswillige Akteure greifen Top-EPSS-Schwachstellen häufiger an als alle anderen CVEs
Die FortiGuard Labs analysierten über einen Zeitraum von sechs Jahren Daten von mehr als 11.000 veröffentlichten und ausgenutzten Schwachstellen. Dabei wurde festgestellt, dass CVEs (Common Vulnerabilities and Exposures) mit einer hohen EPSS-Bewertung (Top ein Prozent Severity) eine 327-mal höhere Wahrscheinlichkeit haben, innerhalb von sieben Tagen angegriffen zu werden, als andere Schwachstellen.
Diese erste Analyse kann CISOs und IT-Teams frühzeitig vor gezielten Angriffen auf ihre Organisation warnen. Ähnlich wie die „Rote Zone“, die im letzten Threat Landscape Report vorgestellt wurde, können IT-Teams durch diese neuen Bedrohungsinformationen ihre Patch-Maßnahmen systematisch priorisieren, um das Risiko für ihre Organisation zu minimieren.
- Die „Rote Zone“ hilft CISOs weiterhin bei der Priorisierung von Patching-Maßnahmen
Die Analyse von der FortiGuard Labs zur Ausnutzung von EPSS baut auf den Bemühungen zur Bestimmung der „Roten Zone“ auf. Sie trägt dazu bei, den Anteil der Schwachstellen zu quantifizieren, die auf Endpunkten verfügbar sind und aktiv angegriffen werden. In der zweiten Hälfte des Jahres 2022 lag die „Rote Zone“ bei etwa 8,9 Prozent, was bedeutet, dass etwa 1.500 der mehr als 16.500 bekannten CVEs angegriffen wurden.
In der ersten Jahreshälfte 2023 sank diese Zahl leicht auf 8,3 Prozent. Der Unterschied ist minimal, es ist jedoch wichtig zu beachten, dass die Anzahl der entdeckten, vorhandenen und ausgenutzten Schwachstellen ständig schwankt. Diese Variablen und die Wirksamkeit der Patch-Management-Strategie einer Organisation können die Größe ihrer „Roten Zone“ erheblich reduzieren. Ähnlich wie bei der oben erwähnten EPSS-Analyse arbeiten die FortiGuard Labs weiterhin an effizienteren Methoden, um Organisationen dabei zu helfen, Schwachstellen zu priorisieren und schneller zu beheben.
- Fast ein Drittel der APT-Gruppen waren im ersten Halbjahr 2023 aktiv
Zum ersten Mal in der Geschichte des Global Threat Landscape Reports haben die FortiGuard Labs die Anzahl der Bedrohungsakteure hinter den Trends untersucht. Die Untersuchungen ergaben, dass 41 (30 Prozent) der 138 von MITRE erfassten Cyberbedrohungsgruppen in der ersten Jahreshälfte 2023 aktiv waren.
Von diesen waren Turla, StrongPity, Winnti, OceanLotus und WildNeutron am aktivsten. Aufgrund der zielgerichteten und relativ kurzlebigen Kampagnen von APTs und staatlichen Cybergruppen im Vergleich zu den lang anhaltenden Kampagnen von Cyberkriminellen wird die Entwicklung und der Umfang der Aktivitäten in diesem Bereich ein interessanter Aspekt für zukünftige Berichte sein.
Fünf-Jahres-Vergleich zeigt explosionsartige Zunahme von Exploits, Malware-Varianten und der Hartnäckigkeit von Botnetzen:
- Zunahme einzelner Exploits
In der ersten Jahreshälfte 2023 haben die FortiGuard Labs mehr als 10.000 einzelne Exploits identifiziert, was einer Zunahme von 68 Prozent im Vergleich zu vor fünf Jahren entspricht. Der Anstieg verdeutlicht das große Volumen schädlicher Angriffe, auf die IT-Teams achten müssen, und wie sich die Angriffe in relativ kurzer Zeit vervielfacht und diversifiziert haben.
Der Report zeigt auch, dass die Zahl der Exploits pro Organisation über einen Zeitraum von fünf Jahren um mehr als 75 Prozent und die Zahl der schwerwiegenden Exploits um 10 Prozent zurückgegangen ist. Dies deutet darauf hin, dass böswillige Angreifer zwar immer mehr Exploit-Toolkits einsetzen, ihre Angriffe aber zielgerichteter sind als noch vor fünf Jahren.
- Malware-Familien und -Varianten haben sich vervielfacht und sind explostionsartig gestiegen
Eine weitere überraschende Erkenntnis ist, dass sich die Anzahl der Malware-Familien, die sich in mindestens 10 Prozent der globalen Organisationen ausbreiten (eine bemerkenswerte Prävalenzschwelle), in den letzten fünf Jahren verdoppelt hat. Dieser Anstieg ist auf die erhöhte Aktivität von Cyberkriminellen und APT-Gruppen sowie auf die Diversifizierung ihrer Angriffe in den letzten Jahren zurückzuführen.
Ein Schwerpunkt des letzten Global Threat Landscape Reports war die Zunahme von Wiper-Malware, die größtenteils mit dem russisch-ukrainischen Konflikt in Verbindung gebracht wurde. Die FortiGuard Labs beobachten weiterhin, dass Wiper-Malware von staatlichen Akteuren eingesetzt wird. Die Verbreitung von Wiper-Malware durch Cyberkriminelle nimmt jedoch ebenfalls zu und richtet sich gegen Unternehmen und Organisationen in den Bereichen Technologie, Fertigung, Regierung, Telekommunikation und Gesundheitswesen.
- Botnetze bleiben länger in Netzwerken als je zuvor
Es gibt immer mehr aktive Botnetze (+27 Prozent) und die Inzidenzrate bei Organisationen ist in den letzten fünf Jahren gestiegen (+126 Prozent). Eine der alarmierendsten Erkenntnisse des Reports ist aber der exponentielle Anstieg der Gesamtzahl der „aktiven Tage“. Die FortiGuard Labs definieren „aktive Tage“ als die Zeitspanne zwischen dem ersten und dem letzten Angriffsversuch eines bestimmten Botnetzes auf einen Sensor.
In den ersten sechs Monaten des Jahres 2023 betrug die durchschnittliche Verweildauer von Botnetzen bis zum Abbruch der Kommunikation mit dem Command-and-Control-Server (C2-Server) 83 Tage. Das ist mehr als tausend Mal so viel wie noch vor fünf Jahren und ein weiteres Beispiel dafür, wie wichtig es ist, die Reaktionszeit zu verkürzen, denn je länger Organisationen Botnetze verweilen lassen, desto größer sind der Schaden und das Risiko für ihr Geschäft.
Die Bekämpfung der Cyberkriminalität erfordert einen ganzheitlichen Ansatz
Die Beiträge der FortiGuard Labs zur Bedrohungsaufklärung in den letzten zehn Jahren haben weltweit große Resonanz gefunden und dazu beigetragen, den Schutz von Kunden, Partnern und Regierungen im Kampf gegen Cyberkriminalität zu verbessern.
Durch den Abbau von Silos und die Qualitätsverbesserung bei anwendbaren Bedrohungsinformationen können Organisationen Risiken reduzieren und die Gesamteffizienz der Cybersecurity-Branche steigern. Die heutigen Cyber-Experten verfügen bereits über die Werkzeuge, das Wissen und die Unterstützung, um die Wirtschaftlichkeit böswilliger Akteure zu beeinflussen. Doch erst eine branchenweite Bereitschaft zur Zusammenarbeit und zum Informationsaustausch wird das Cybercrime-Ökosystem nachhaltig stören und der Branche dabei helfen, die Oberhand über die Cyberkriminelle zu gewinnen.
Als führender Anbieter von Cybersecurity- und Netzwerktechnologie der Enterprise-Klasse trägt Fortinet zum Schutz von mehr als einer halben Million Organisationen weltweit bei, darunter globale Konzerne, Service Provider und staatliche Einrichtungen.
Besonders hervorzuheben ist die kontinuierliche Weiterentwicklung im Bereich der künstlichen Intelligenz (KI), die in unseren FortiGuard Labs und in unserem Produktportfolio auf Anwendungsfälle der Cybersicherheit übertragen wird. Sie beschleunigt die Prävention, Erkennung und Reaktion auf bekannte und unbekannte Bedrohungen.
Konkret werden die KI-gestützten FortiGuard Security Services in verteilten Cybersecurity-Kontrollen für Endpunkte und Anwendungen sowohl in Netzwerk- als auch in Cloud-Infrastrukturen eingesetzt. Speziell entwickelte Erkennungs- und Reaktionstechnologien, die auf KI-Technologie und Cloud-Analysen (einschließlich EDR, NDR und andere) basieren, können auch als integrierte Erweiterungen solcher Kontrollen implementiert werden.
Fortinet bietet auch zentralisierte Reaktionssysteme wie XDR (Extended Detection and Response), SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation, and Response), DRPS (Digital Risk Protection Service) und andere an, die verschiedene KI-, Automatisierungs- und Orchestrierungs-Technologien nutzen, um die Problembekämpfung zu beschleunigen. All dies kann die Cyberkriminalität über die gesamte Angriffsfläche und die gesamte Angriffskette hinweg erheblich erschweren.
Über den Global Threat Landscape Report
Der aktuelle Global Threat Landscape Report bietet eine Zusammenfassung der Erkenntnisse der FortiGuard Labs, die aus Fortinets breitem Spektrum an Sensoren gewonnen werden. In der ersten Jahreshälfte 2023 wurden Milliarden von Bedrohungsvorfällen weltweit erfasst. Unter Verwendung des MITRE ATT&CK-Frameworks, das die Taktiken, Techniken und Verfahren von Angreifern klassifiziert, beschreibt der FortiGuard Labs Global Threat Landscape Report, wie Bedrohungsakteure Schwachstellen gezielt angreifen, bösartige Infrastrukturen aufbauen und ihre Ziele ausnutzen.