Greenbone AG

Greenbone reduziert die Folgeschäden eines Cyberangriffs

Cyberangriffe können in ihrem Ausmaß und ihren Auswirkungen dramatisch sein, wie die meisten Sicherheitsvorfälle. Sind die Verteidiger vorbereitet, kann ein Vorfall eingedämmt und der Schaden begrenzt werden, die Wiederherstellung erfolgt dann zügig. Wenn sie jedoch unvorbereitet sind, kann ein einziger Vorfall zu tage- oder wochenlangen Ausfallzeiten, Umsatzeinbußen, Rufschädigung, behördlichen Strafen oder Sammelklagen führen [1][2]. Im Mai 2024 prognostizierte Change Healthcare einen Verlust von 1,6 Milliarden Dollar. Im Januar 2025 beliefen sich die Gesamtkosten des Ransomware-Angriffs von Change Healthcare auf fast 3 Milliarden Dollar [3][4].

Die Gesamtheit der Schäden, die durch eine IT-Sicherheitsverletzung verursacht werden, der sogenannte „Blast Radius“, hängt von vielen Faktoren ab. Zu diesen Faktoren gehört, ob Schwachstellen verwaltet werden, ob ein „Defense-in-Depth“-Ansatz für die Cybersicherheit angewandt wurde, ob das Netzwerk segmentiert ist, ob es wirksame Backup-Strategien gibt und vieles mehr. Eine nachlässige Sicherheitshygiene ist eine offene Einladung für Angreifer, die zu kostspieligen Ergebnissen führt: etwa zu umfangreichem Datendiebstahl, Erpressung durch Ransomware und sogar zerstörerischen Wiper-Angriffen, die zur industriellen Sabotage eingesetzt werden. Ein kürzlich veröffentlichter Bericht hat ergeben, dass Angreifer, sobald sie in ein Netzwerk eingedrungen sind, Ransomware im Durchschnitt innerhalb von 48 Minuten einsetzen und CVE-Enthüllungen innerhalb von 18 Tagen in Exploits umgewandelt werden.

Dieser Artikel befasst sich mit dem Konzept des „Blast Radius“ von Cyberangriffen und der Rolle, die ein effektives Schwachstellenmanagement bei der Eindämmung der Folgen von Cyberangriffen spielt. Mit den richtigen Kontrollen kann der Schaden eines Cyberangriffs minimiert und die schlimmsten Konsequenzen verhindert werden.

Der „Blast Radius“ eines Cyberangriffs

Der Begriff „Blast Radius“ (Explosionsradius) stammt aus dem Militärjargon und bezieht sich auf das physische Umfeld, das durch eine explodierende Bombe beschädigt wird. Bei digitalen Systemen bezieht sich der Begriff in ähnlicher Weise auf das Ausmaß des durch einen Cyberangriff verursachten Schadens. Wie viele Systeme hat ein Angreifer kompromittiert? War er in der Lage, nach dem ersten Zugriff kritische Systeme zu kompromittieren? Wurden benachbarte Netze oder Cloud-Systeme angegriffen?

Weitreichende Schäden sind nicht von vornherein ausgeschlossen, wenn Hacker den ersten Zugang erhalten. Verteidiger können den Angriff in einem frühen Stadium wirksam abwehren und verhindern, dass böswillige Akteure ihre eigentlichen Ziele erreichen oder weitreichende Schäden verursachen.

Die Folgen eines größeren Schadens-Radius

Zwar ist es schlimm, wenn ein Gegner unbefugten Zugang erhält, aber es sind die nachfolgenden Phasen eines Angriffs, die IT-Sicherheitsmanager nachts wachhalten. Die letzten Phasen eines Cyberangriffs, wie zum Beispiel die Installation von Malware auf kritischen Anlagen, das Exfiltrieren sensibler Daten oder die Verschlüsselung von Dateien, haben die tiefgreifendsten Auswirkungen für Unternehmen. Je größer der Blast Radius ist, desto wahrscheinlicher ist es, dass ein Unternehmen erhebliche negative Auswirkungen zu spüren bekommt.

Ein größerer Schadens-Radius kann Folgendes nach sich ziehen:

  • Längere Verweildauer: Durch seitliche Bewegungen im Netzwerk und Persistenz-Techniken können Angreifer für längere Zeit unentdeckt bleiben, Informationen sammeln und weitere Angriffe vorbereiten.
  • Erhöhte finanzielle Verluste: Service-Unterbrechungen und Ransomware-Angriffe tragen zu höheren finanziellen Verlusten, entgangenen Einnahmen aufgrund von Ausfallzeiten, dem Risiko gesetzlicher Strafen und der Erosion von Geschäftsbeziehungen bei.
  • Erhöhte betriebliche Ausfallzeiten: Die Auswirkungen von Betriebsausfällen können sich auf das gesamte Unternehmen auswirken und zu Verzögerungen, Frustration und Desynchronisierung der Abläufe führen.
  • Verlust von sensiblen Daten: Angreifer versuchen, sensible Daten herauszufiltern, um Spionagekampagnen zu unterstützen oder Opfer zur Zahlung von Lösegeld zu erpressen.
  • Beeinträchtigtes Vertrauen: Unbefugter Zugriff auf Messaging-Systeme oder Vermögenswerte Dritter kann das Vertrauen der Beteiligten, einschließlich Kunden, Mitarbeiter und Geschäftspartner, untergraben.

Greenbone reduziert den „Blast Radius“ eines Cyberangriffs

Schwachstellenmanagement ist ein wichtiger Faktor bei der Reduzierung des so genannten „Blast Radius“. Durch die wirksame Beseitigung von Sicherheitslücken kann ein Angreifer keine leicht zugänglichen Mittel mehr finden, um seine anfängliche Position auszubauen. Schwachstellenmanagement lässt sich am effizientesten und effektivsten durch automatisches Scannen auf Sicherheitslücken in der gesamten Netzwerkinfrastruktur und die Behebung der Angriffsfläche umsetzen. Auf diese Weise können Unternehmen den potenziellen Wirkungskreis eines erfolgreichen Cyberangriffs erheblich reduzieren und auch die Wahrscheinlichkeit verringern, dass es überhaupt zu einem Einbruch kommt.

Threat Mapping hilft IT-Sicherheitsteams, ihre Angriffsflächen zu verstehen, also die Stellen, an denen Angreifer in ein Netzwerk eindringen können. Die Kernfunktionen von Greenbone unterstützen das Threat Mapping mit System- und Service-Discovery-Scans und durch das Scannen von Netzwerk- und Host-Angriffsflächen, wodurch Verteidiger ihre Angriffsfläche um 99 % reduzieren können. Darüber hinaus bietet Greenbone Reports und Warnungen in Echtzeit, um Sicherheitsteams über aufkommende Bedrohungen auf dem Laufenden zu halten und so eine proaktive Cybersicherheitshaltung und rechtzeitige Abhilfemaßnahmen zu ermöglichen. Dieser proaktive, mehrschichtige Ansatz zur Cybersicherheit reduziert den potenziellen Schadensumfang und führt zu besseren Sicherheitsergebnissen. Den Verteidigern bleibt mehr Zeit, die Präsenz eines Angreifers zu erkennen und ihn zu eliminieren, bevor katastrophale Schäden entstehen können.

Stärkste Verteidigung mit Greenbone Enterprise Feed

Der stärkste Schutz kommt aus dem branchenführenden Enterprise Vulnerability Feed von Greenbone. Insgesamt umfasst der Greenbone Enterprise Feed circa 180.000 Schwachstellentests (Tendenz steigend), die sowohl allgemeine Schwachstellen bei der Einhaltung von Sicherheitsvorschriften als auch anwendungsspezifische Schwachstellen aufdecken können. Unser Enterprise Feed fügt jede Woche hunderte von neuen Tests hinzu, um die neuesten Bedrohungen zu erkennen.

Hier eine Liste der IT-Assets, die Greenbone scannen kann:

  • Interne Netzwerkinfrastruktur: Scannen von internen Netzwerkgeräten mit jeder Art von offenem Dienst, wie Datenbanken, Dateifreigaben, SNMP-fähige Geräte, Firewalls, Router, VPN-Gateways und mehr.
  • Vor-Ort- und Cloud-Server: Überprüfung von Serverkonfigurationen, um die Einhaltung von Sicherheitsrichtlinien und -standards zu gewährleisten.
  • Workstations: Greenbone scannt Workstations und andere Endpunkte unter allen wichtigen Betriebssystemen (Windows, Linux und macOS), um das Vorhandensein bekannter Softwareschwachstellen zu identifizieren und die Einhaltung von Cybersicherheitsstandards wie CIS Benchmark-Controls zu bestätigen.
  • IoT- und Peripheriegeräte: IoT- und Peripheriegeräte, wie z. B. Drucker, verwenden dieselben Netzwerkprotokolle für die Kommunikation wie andere Netzwerkdienste. Dadurch können sie ähnlich wie andere Netzwerk-Endpunkte leicht auf geräte- und anwendungsspezifische Schwachstellen und häufige Fehlkonfigurationen gescannt werden.

Reduzierung der Angriffsfläche von Netzwerken

Die Angriffsfläche eines Netzwerks besteht aus exponierten Netzwerkdiensten, APIs und Websites innerhalb der internen Netzwerkumgebung eines Unternehmens und der öffentlichen Infrastruktur. Zum Scannen von Netzwerk-Angriffsflächen erstellt Greenbone ein Inventar von Endpunkten und Listening Services innerhalb eines oder mehrerer Ziel-IP-Bereiche oder eine Liste von Hostnamen und scannt dann nach bekannten Schwachstellen.

Die Netzwerk-Schwachstellen-Tests (NVTs) von Greenbone bestehen aus Versionsprüfungen und aktiven Prüfungen. Versionsprüfungen fragen den Dienst nach einer Versionszeichenfolge ab und vergleichen diese dann mit den entsprechenden CVEs. Aktive Checks verwenden Netzwerkprotokolle, um mit dem exponierten Dienst zu interagieren und zu überprüfen, ob bekannte Exploit-Techniken wirksam sind. Diese aktiven Prüfungen verwenden dieselben Netzwerkkommunikationstechniken wie reale Cyberangriffe, versuchen aber nicht, die Schwachstelle auszunutzen. Stattdessen teilen sie dem Sicherheitsteam lediglich mit, dass ein bestimmter Angriff möglich ist. Alles, was ein Angreifer über das Internet oder ein lokales Netzwerk erreichen kann, kann von Greenbone auf Schwachstellen untersucht werden.

Reduzierung der Angriffsfläche von Hosts

Die Host-Angriffsfläche besteht aus der Software und den Konfigurationen innerhalb einzelner Systeme, auf die nicht direkt über das Netz zugegriffen werden kann. Die Reduzierung der Host-Angriffsfläche minimiert, was ein Angreifer mit dem ersten Zugriff tun kann. Die authentifizierten Scans von Greenbone führen lokale Sicherheitsprüfungen (Local Security Checks, LSC) durch, um die internen Komponenten eines Systems auf bekannte Schwachstellen und nicht konforme Konfigurationen zu prüfen, die es Angreifern ermöglichen könnten, ihre Privilegien zu erweitern, auf sensible Informationen zuzugreifen, zusätzliche Malware zu installieren oder sich seitlich auf andere Systeme zu bewegen.

Greenbones Enterprise Feed umfasst LSC-Familien für alle wichtigen Betriebssysteme wie Ubuntu, Debian, Fedora, Red Hat, Huawei, SuSE Linux-Distributionen, Microsoft Windows, macOS und viele mehr.

Post-Breach-Taktiken: Die zweite Phase von Cyberangriffen

Sobald Angreifer im Netzwerk eines Opfers Fuß gefasst haben, wenden sie sekundäre Exploitation-Techniken an, um ihren Zugang zu vertiefen und ihre Ziele zu erreichen. Im modernen Ökosystem der Cyberkriminalität sind Initial Access Brokers (IABs) darauf spezialisiert, sich unerlaubten Zugang zu verschaffen. IABs verkaufen diesen Zugang dann an andere cyberkriminelle Gruppen, die sich auf Angriffstaktiken der zweiten Stufe spezialisiert haben, wie zum Beispiel den Einsatz von Ransomware oder Datendiebstahl. Ähnlich wie beim Durchbrechen der Mauern einer Festung wird das interne Netzwerk eines Unternehmens nach dem ersten Zugriff für Angreifer immer zugänglicher.

Zu den Taktiken, die in der zweiten Phase eines Cyberangriffs eingesetzt werden, gehören:

  • Eskalation von Privilegien [TA0004]: Angreifer suchen nach Möglichkeiten, ihre Zugriffsrechte auszuweiten, sodass sie Zugang zu sensibleren Daten erhalten oder administrative Aktionen ausführen können.
  • Seitliche Bewegung [TA0008]: Angreifer kompromittieren andere Systeme innerhalb des Netzwerks des Opfers und erweitern ihren Zugang zu hochwertigen Ressourcen.
  • Dauerhafter Fernzugriff [TA0028]: Durch die Erstellung neuer Konten, die Bereitstellung von Hintertüren oder die Verwendung kompromittierter Anmeldeinformationen versuchen Angreifer, ihren Zugang aufrechtzuerhalten, selbst wenn die ursprüngliche Schwachstelle behoben oder ihre Anwesenheit entdeckt wurde.
  • Diebstahl von Zugangsdaten [TA0006]: Gestohlene sensible Daten können offline von Angreifern verarbeitet werden, die versuchen, Passwörter zu knacken, in geschützte Ressourcen einzudringen oder Social-Engineering-Angriffe zu planen.
  • Zugriff auf Messaging-Systeme [T1636]: Der Zugriff auf Messaging-Plattformen oder Tools für die Zusammenarbeit in Unternehmen ermöglicht den Zugang zu sensiblen Informationen, die zur Durchführung von Social-Engineering-Angriffen wie Spear-Phishing genutzt werden können, die sich sogar gegen externe Partner oder Kunden richten.
  • Verschlüsselung mit Wirkung [T1486]: Finanziell motivierte Angreifer versuchen, die Auswirkungen zu maximieren, indem sie Ransomware einsetzen und das Opfer erpressen, damit es den Zugriff auf die verschlüsselten Daten zurückgibt.
  • Daten-Exfiltration [TA0010]: Das Herunterladen sensibler Daten eines Opfers kann für Spionagezwecke genutzt werden und gibt Angreifern außerdem ein Druckmittel in die Hand, um Opfer zu erpressen, damit sie für die Nichtveröffentlichung der Daten bezahlen.
  • Denial-of-Service-Angriffe [T0814]: Die Unterbrechung eines Services kann für weitere Erpressungen oder als Ablenkung für andere Angriffe im Netzwerk des Opfers genutzt werden.

Zusammenfassung

Der „Blast Radius“ bezieht sich auf den Umfang des Schadens, den ein Angreifer bei einem Cyberangriff verursacht. Je weiter die Angriffe fortschreiten, desto tiefer versuchen die Angreifer einzudringen und sich Zugang zu sensibleren Systemen und Daten zu verschaffen. Mangelnde Cyber-Hygiene lässt Angreifern freie Hand, um Daten zu stehlen, Ransomware einzusetzen und Service-Unterbrechungen zu verursachen und erschwert zudem die Erkennung und Wiederherstellung. Die Minimierung der Angriffsfläche ist entscheidend für die Verringerung der potenziellen Auswirkungen eines Cyberangriffs und trägt zu einem besseren Sicherheitsergebnis bei.

Der Hauptbeitrag von Greenbone zur Cybersicherheit besteht darin, die Sicherheitstransparenz in Echtzeit zu erhöhen, Verteidiger auf Schwachstellen aufmerksam zu machen und ihnen die Möglichkeit zu geben, Sicherheitslücken zu schließen und Hacker daran zu hindern, diese auszunutzen. Dies umfasst sowohl die Angriffsfläche des Netzwerks: öffentlich zugängliche Anlagen, interne Netzwerkinfrastruktur, Cloud-Anlagen, als auch die Angriffsfläche des Hosts: interne Softwareanwendungen, Pakete und häufige Fehlkonfigurationen.

Durch die branchenführende Erkennung von Schwachstellen ermöglicht Greenbone eine Echtzeit-Transparenz von Bedrohungen und versetzt Verteidiger in die Lage, proaktiv sicherzustellen, dass Angriffe entscheidend neutralisiert werden.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von