DEMO ANFORDERN

Monat: März 2025

Transparente Cybersicherheit dank Managed Detection and Response

Posted on by ForeNova

Beobachtbarkeit beschreibt die Fähigkeit eines Unternehmens, komplexe Probleme und potenzielle Bedrohungen in Netzwerken, Cloud-Umgebungen und Anwendungen sichtbar und nachvollziehbar zu machen. Klassische Überwachungslösungen, die auf KI und maschinellem Lernen basieren, arbeiten mit verarbeiteten Telemetriedaten, festen Regeln und Richtlinien, um auf Bedrohungen zu reagieren. Observability hingegen liefert zusätzliche Echtzeiteinblicke – noch bevor Sicherheitsvorfälle überhaupt erkannt werden.

Indem potenzielle Probleme frühzeitig erkannt und tiefere Einblicke gewonnen werden, können Unternehmen schneller und gezielter reagieren.

Möchten Sie die Beobachtungsfähigkeit Ihres Unternehmens ausbauen? Eine Partnerschaft mit einem erfahrenen Cybersicherheitsunternehmen wie Forenova stärkt Ihre Bedrohungserkennung und liefert wertvolle Einblicke in Ihre IT-Umgebung.

Was bedeutet Beobachtbarkeit in der Cybersicherheit?

Grundlage der Beobachtbarkeit ist der Einsatz von Technologien, die Telemetriedaten aus sämtlichen Systemkomponenten eines Unternehmens sammeln. So entsteht ein klarerer, umfassenderer Blick auf die gesamte IT-Umgebung.

Beobachtungsfähigkeit entwickelt sich rasch zu einem Schlüsselfaktor, wenn es darum geht, zentrale Leistungskennzahlen wie die mittlere Erkennungszeit (MTTD) und die mittlere Lösungszeit (MTTR) zu verbessern. Unternehmen setzen Observability ein, um Bedrohungen schneller und effizienter zu beheben.

Die schnellere Erkennung und Behebung von Bedrohungen ist ein zentraler Vorteil von Observability – und hilft Unternehmen dabei, gesetzliche Vorgaben zuverlässig zu erfüllen. Observability-Tools spielen eine entscheidende Rolle bei der Einhaltung von Datenschutz- und Compliance-Vorgaben wie GDPR, HIPAA und PCI DSS.

Der Weg zur fortgeschrittenen Beobachtbarkeit

Erweiterte Beobachtungsfunktionen gehen über die klassische Überwachung hinaus, indem sie auf eine deutlich präzisere Datenanalyse setzen. Diese Weiterentwicklung wird angetrieben durch den vermehrten Einsatz moderner Technologien zur Bedrohungserkennung, verbesserte Funktionen zur Endpunktanalyse und Reaktion sowie hochwertigere Quellen für Bedrohungsdaten.

Auch künstliche Intelligenz spielt eine zentrale Rolle, da sie zunehmend in Observability-Tools integriert wird. Funktionen wie Echtzeit-Überwachung, beschleunigte Datenverarbeitung und kontinuierliche Weiterentwicklung unterstützen Unternehmen dabei, von einer reaktiven zu einer proaktiven Sicherheitsstrategie überzugehen – und verdeutlichen die wachsende Bedeutung technologischer Fortschritte im Bereich Observability für die Cybersicherheit.

Warum Beobachtbarkeit für die Cybersicherheit entscheidend ist

Beobachtbarkeit spielt eine zentrale Rolle bei der Weiterentwicklung automatisierter, KI-gestützter Reaktionsmechanismen. Die umfassende Sammlung von Telemetriedaten – unabhängig davon, ob sie sicherheitsrelevant sind oder nicht – ermöglicht es, potenzielle Vorfälle frühzeitig zu erkennen. SecOps-Teams können diese Daten in LLM-Tools (Large Language Models) einspeisen, um die Automatisierung der Vorfallsreaktion gezielt zu verbessern.

Observability trägt wesentlich dazu bei, automatisierte Vorfallsreaktionen zu verbessern – insbesondere durch die Reduzierung von False Positives (FPs) und False Negatives (FNs). Auch moderne KI-gestützte Incident-Response-Systeme kämpfen noch mit einer hohen Anzahl solcher Fehlalarme. Während herkömmliche Erkennungsverfahren auf Richtlinien, Schwellenwerte und KI-verarbeitete Daten setzen, ermöglicht Observability präzisere Entscheidungen durch tiefere Einblicke.

Wie unterstützt Beobachtbarkeit die proaktive Bedrohungserkennung?

Einen entscheidenden Fortschritt in der Bedrohungserkennung bieten die verwertbaren Erkenntnisse, die durch Beobachtungstools gewonnen werden. Sie ermöglichen die frühzeitige Erkennung von Anomalien in Echtzeit – eine wichtige Grundlage für moderne Threat-Detection-Lösungen.

Observability hilft dabei, kleinere Anomalien frühzeitig zu erkennen – bevor sie sich zu ernsthaften Sicherheitsvorfällen entwickeln. Durch die Bereitstellung verwertbarer Erkenntnisse stärkt sie die Erkennungsfunktionen und entlastet SecOps-Teams, die sonst unter zunehmender Alarmmüdigkeit bei steigender Angriffsdynamik leiden.

Mit Observability gegen Alarmmüdigkeit

Alarmmüdigkeit ist selbst im Umfeld verwalteter Sicherheitsdienste ein bekanntes Problem. SecOps-Ingenieure sind zunehmend mit Angriffsvorfällen konfrontiert – was zu Überlastung führen und langfristig die Motivation sowie den Verbleib in der Branche gefährden kann.

Verwertbare Erkenntnisse aus Observability unterstützen die Optimierung von SecOps-Workflows, indem sie manuelle Eingriffe bei Sicherheitsvorfällen deutlich reduzieren.

Diese Erkenntnisse fließen direkt in die Erkennungsschicht ein und ermöglichen eine deutlich tiefere Analyse anomaler Verhaltensmuster. Die Integration dieses Wissens verbessert die Automatisierung, verkürzt die Reaktionszeiten und beschleunigt die Analyse von Ergebnissen, die in Threat-Intelligence- und Modellierungs-Tools einfließen.

Durch die vollständige Automatisierung dieser Abläufe gewinnen SecOps-Ingenieure Freiräume – für strategische Projekte und eine übergeordnete, fokussierte Sicherheitsüberwachung.

Einblicke und Analysen in Echtzeit

Observability erkennt Bedrohungen frühzeitig und ermöglicht präventive Maßnahmen, indem Schwachstellen in der Infrastruktur aufgedeckt werden. Unternehmen erhalten gezielte Warnmeldungen, um diese Schwächen zu beheben, bevor Angreifer sie ausnutzen können.

Die daraus resultierende Stärkung der Sicherheitslage hilft, Vorfälle zu verhindern und potenzielle Angriffspunkte zu schließen – was das Gesamtrisiko für das Unternehmen deutlich reduziert.

Mehr Transparenz im MDR: Beobachtbarkeit gezielt nutzen

Die Beobachtbarkeit muss die gesamte Infrastruktur abdecken – von der Cloud bis zu lokalen Systemen –, um blinde Flecken in der Cybersicherheit zu vermeiden und unentdeckte Schwachstellen zu minimieren. Diese ganzheitliche Sichtweise befähigt Sicherheitsteams, Bedrohungen gezielt zu begegnen und die Cyber-Resilienz des Unternehmens nachhaltig zu stärken.

Ein weiterer zentraler Aspekt bei der Verknüpfung von Observability und Managed Detection and Response (MDR) ist die Erfassung zusätzlicher Telemetriedaten aus besonders schützenswerten Unternehmensbereichen – etwa Kundendaten, öffentlich zugängliche Websites und internes geistiges Eigentum.

Dieser fortschrittliche Datenerfassungsprozess liefert verwertbare Informationen für Sicherheitsereignisse und verbessert die Reaktionsfähigkeit erheblich. Teams, die auf aktuelle, datengestützte Erkenntnisse zugreifen können, reagieren schneller und zielgerichteter – ein entscheidender Beitrag für ein wirkungsvolles Bedrohungsmanagement.

Observability versorgt MDR-Plattformen wie NovaMDR mit detaillierten Vorfalldaten, die für eine präzise Analyse und wirksame Gegenmaßnahmen unerlässlich sind.

Welche Herausforderungen entstehen bei der Integration von Observability in MDRs?

Observability-Tools schaffen echten Mehrwert, indem sie verwertbare Erkenntnisse aus umfangreichen Telemetriedaten generieren. Wie viele andere Cybersecurity-Lösungen produzieren sie jedoch große Datenmengen, was Unternehmen schnell vor Herausforderungen stellen kann. Insbesondere Organisationen, die nicht darauf vorbereitet sind, solche Datenmengen effizient zu erfassen, zu speichern, zu analysieren und regelkonform zu löschen, stoßen hier an ihre Grenzen. Die Einführung einer umfassenden Observability-Strategie kann erhebliche Kosten verursachen – etwa für Lizenzen, Implementierung, zusätzliches Fachpersonal oder die Zusammenarbeit mit einem MDR-Anbieter.

Ein weiterer wichtiger Aspekt der Beobachtbarkeit sind die Herausforderungen im Bereich Datenschutz und die Einhaltung von Vorschriften. Observability konzentriert sich auf die Erfassung großer Datenmengen, um wertvolle Erkenntnisse für die Cybersicherheit und die Leistung von Anwendungen zu gewinnen.

Unternehmen müssen klare Governance-Richtlinien etablieren, um sicherzustellen, dass diese Funktion Daten sammelt, ohne die Privatsphäre der Nutzer zu gefährden oder gegen gesetzliche Vorschriften und Compliance-Vorgaben zu verstoßen.

Datenmigration aus mehreren Quellen

Die Integration von Daten aus verschiedenen Quellen in ein einziges Beobachtungssystem ist komplex und erfordert sorgfältiges Management, um eine Überlastung der IT-Infrastruktur zu vermeiden und die Datenintegrität zu sichern. Eine vereinfachte Integration ist entscheidend für eine zeitnahe Überwachung und effektive Maßnahmen.

Beobachtbarkeit setzt eine große Menge an Daten voraus, um relevant zu bleiben. Datenquellen aus verschiedenen Unternehmensbereichen müssen dabei effizient zusammengeführt werden. Die Angst vor einer Überflutung von Daten ist nach wie vor eine der größten Hürden für die Einführung von Beobachtungstools.

Abwägen von Kosten und Wert

Beobachtbarkeit liefert einen hohen Mehrwert, insbesondere angesichts des steigenden Volumens feindlicher KI-Angriffe. Unternehmen müssen ihre Governance-Frameworks anpassen, um die Kosten für die Erfassung von Telemetriedaten und die Auswirkungen dieses Tools auf die Verbesserung von MTTD und anderen KPIs besser zu verstehen.

Unternehmen, die Observability einführen möchten, sollten zunächst mit einer kleineren Auswahl an Tools beginnen, um eine messbare Verbesserung ihrer Cybersicherheitslage zu erreichen.

Der erste Schritt bei der Implementierung von Observability hilft, eine entscheidende Grundlage zu schaffen, indem gezielt hochwertige Unternehmensressourcen geschützt werden. Dies ermöglicht es, die gesammelten Daten und gewonnenen Erkenntnisse auf relevante Bereiche zu konzentrieren. SecOps-Teams können diesen zusätzlichen Datenstrom mit ihren erweiterten Erkennungs- und Reaktionstools (XDR) analysieren, um zu beurteilen, ob die Investition in diese Daten den erwarteten Nutzen für die Sicherheitslage des Unternehmens liefert.

Globaler Mangel an Talenten bleibt eine Herausforderung

Observability-Tools erfordern qualifiziertes Personal für die Erfassung und Analyse von Daten. Aufgrund des Fachkräftemangels im Bereich Cybersicherheit haben viele Organisationen Schwierigkeiten bei der Implementierung und dem laufenden Betrieb dieser Tools.

MDR-Anbieter wie Forenova verfügen über talentierte und erfahrene Sicherheitsingenieure, die Unternehmen bei der Erkennung, Prävention und Reaktion auf Cyberbedrohungen unterstützen.

nftige Trends bei der Beobachtbarkeit der Cybersicherheit und MDR

Die anfängliche Einführung von Observability folgte ähnlichen Mustern wie andere fortschrittliche Tools, mit proprietären Formaten, Datenschemata und Benutzeroberflächen-Workflows. Eine wichtige Entwicklung im Bereich der Beobachtungsdaten ist die Einführung von Open Telemetry (OTel) – einem offenen Standard für die Erfassung und Weiterleitung von Telemetriedaten an Open-Source-Tools.

Open-Source-Observability wird die Branche weiterhin positiv beeinflussen. Unternehmen, die Telemetriedaten aus verschiedenen Systemen sammeln möchten, können Plattformen nutzen, die das OTel-Framework unterstützen. Gleichzeitig hilft Open-Source-Observability Organisationen beim Aufbau ihres ersten Governance-Rahmens.

Open-Source-Observability lässt sich gut mit MDR-Anbietern wie Forenova kombinieren. Durch die Integration des OTel-Formats in die NovaMDR-Plattform erweitert Forenova die Möglichkeiten, Observability-Telemetrie zu nutzen und seine KI-gestützten Automatisierungsfunktionen für die Vorfallsreaktion zu verbessern.

Warum ForeNova?

ForeNova, ein preisgekrönter Anbieter von Managed Detection and Response (MDR) mit Sitz in der EU, versteht die Bedeutung, fortschrittliche Cyber-Bedrohungen zu bekämpfen und die sich ständig ändernde Cybersicherheitslandschaft im Blick zu behalten.

Um fortschrittliche, KI-gesteuerte Angriffe abzuwehren, sind mehrere Präventionstechnologien sowie tiefgehendes Fachwissen in Sicherheitsabläufen erforderlich. Ohne den nötigen Einblick in Netzwerke und digitale Unternehmensressourcen können Hacker weiterhin Geräte übernehmen, Anwendungen hijacken und Daten stehlen.

Möchten Sie mehr über die Systeme Ihres Unternehmens erfahren? Beobachtbarkeit wird zunehmend zu einer strategischen Investition, insbesondere für Unternehmen, die mit einer dramatischen Zunahme komplexer Cyberangriffe konfrontiert sind. Forenova erkennt die Bedeutung einer stärkeren Transparenz und Innovation im Bereich der automatisierten Vorfalls- und Reaktionsmechanismen, die in die NovaMDR-Plattform integriert sind.

Erhalten Sie Ihre gratis Sicherheitsanalyse

EDR-Killer: Erkennen und Vorbeugen mit Managed Detection and Response

Posted on by ForeNova

Rote Teams verwenden seit Jahren Endpoint Detection and Response (EDR) Killer-Tools. Diese Tools ermöglichen es den Teams, Sicherheitsagenten für Endgeräte zu umgehen und Schwachstellen aufzudecken, die ein Risiko für alle Unternehmen darstellen.

Um dieser globalen Besorgnis über die Umgehung von Cybersicherheits-Tools, einschließlich EDR, zu begegnen, hat ForeNova, ein globaler Anbieter von Managed Detection and Response (MDR), NovaMDR entwickelt. Der NovaMDR-Service überwacht mehrere Bereiche innerhalb des Unternehmensnetzwerks, einschließlich des Endpunkts, um sicherzustellen, dass Hacker die verschiedenen Kontrolltools nicht umgehen und ihre Angriffe über die Netzwerke ihrer Kunden verbreiten.

 Was sind EDR-Killer?

EDR-Killer haben den einzigen Zweck, Cybersicherheits-Tools zu beeinträchtigen, um eine weitere Angriffsausbreitung in die Netzwerke ihrer Opfer zu ermöglichen.

Wie andere Cybersicherheits-Tools, Firewalls, VPNs, drahtlose und hostbasierte IPS, weisen auch NDR-Tools bekannte Schwachstellen auf. Die Softwareentwickler geben während der Wartungsfenster Notfall-Patches heraus, um diese Schwachstellen zu beheben.

Hacker, die auf EDR-Killer aus dem Dark Web und anderen Quellen zugreifen, nutzen diese Tools, um Schwachstellen zu finden und auszunutzen. Die Umgehung von EDR mithilfe dieser betrügerischen Tools erfolgt auf der Host-Ebene, der Kernel-Ebene und in Dateiverzeichnissen.

Sobald die EDR-Verteidigungstools deaktiviert sind, haben Hacker Zugriff auf wichtige Teile des Netzwerks ihres Opfers, einschließlich Daten.

Der Schwarzmarkt für EDR-Umgehungstools

Hacker verschaffen sich weiterhin Zugang zu EDR-Killer-Tools oder entwickeln diese selbst. Die Entwicklung eigener EDR-Umgehungstools wird gemeinhin als „Bring Your Vulnerable Driver (BYOVD)“-Angriffsmethode bezeichnet.

Hier sind einige Beispiele für bekannte EDR-Killer, die im Dark Web und auf offenen Marktplätzen zu finden sind:

KernelMode

Das KernelMode-Tool ist ein typisches Red-Team-Tool, mit dem verschiedene EDR-Lösungen getestet werden, darunter Bitdefender, CrowdStrike und Cylance. Das Tool deaktiviert EDR nicht; es weist lediglich verschiedene Schwachstellen innerhalb der Anwendungsdatei und der Speicherbereiche nach.

EDRSilencer

EDRSilencer konzentriert sich darauf, die Fähigkeit des EDR-Tools zu blockieren, wertvolle Telemetriedaten an die zentrale Verwaltungskonsole zu senden. Dieser Angriffsvektor nutzt die Windows Filtering Platform (WFP) aus, um die Kommunikation zwischen dem EDR-Client und der zentralen Verwaltungskonsole zu blockieren, einschließlich aller Warnmeldungen.

EDRKillShifter

Mit diesen raffinierten Tools können Hacker den aktuellen NDR-Dienst stoppen, Malware-Dateien, die einen bösartigen Treiber enthalten, in den Speicher laden und eine neue .sys-Datei im Ordner \AppData\Local\Temp ablegen. Die Malware startet dann den NDR-Dienst mit den bösartigen .exe-Dateien neu.

Terminator

„Terminator nutzt BYOVD, indem er verwundbare Zemana Anti-Malware-Treiber lädt, die es Angreifern ermöglichen, bösartigen Code im Kernel-Modus auszuführen und alle System- oder Benutzerprozesse, einschließlich der Erkennungsmechanismen, zu beenden.“

AuKill

Bedrohungsakteure verwenden das Tool „AuKill“, um die EDR-Abwehr von Unternehmen auszuschalten, bevor sie Ransomware einsetzen. Das Tool infiltriert Systeme mithilfe bösartiger Gerätetreiber und legt ähnliche .sys-Dateien ab, um vorhandene Dateien zu überschreiben. AuKill stoppt mehrere NDR-Prozesse und verhindert so deren Neustart.

MS4Killer

MS4Killer beendet Kernel-Sicherheitsprodukte, indem es den anfälligen Treiber einer globalen Variable ausnutzt. Die globale Hackergruppe Embargo fügte Funktionen hinzu, darunter das endlose Scannen von Prozessen und hart kodierte Namen von Prozessen, die innerhalb der Binärdatei beendet werden sollen.

Grenzen des ausschließlichen Verlassens auf EDR

Die Umgehung von EDR und anderen adaptiven Sicherheitskontrollen kommt vor. Unabhängig vom Hersteller hat jedes Tool Schwachstellen, die ausgenutzt werden können. Es ist fast unmöglich, diese Schwachstellen zu verhindern, da sich Unternehmen zu sehr auf den Softwareanbieter verlassen, um das Problem zu beheben.

Konkret hat CrowdStrike einen nicht getesteten Sicherheits-Patch veröffentlicht, der zu einer weltweiten Abschaltung des Falcon-Agenten führte. Dieser Mangel an Qualitätskontrolle betraf internationale Unternehmen, darunter Microsoft und Delta Airlines.

Wie andere Sicherheitstools verarbeitet auch EDR täglich zahlreiche Sicherheitstelemetriedaten. Diese Verarbeitung führt zu einer Datensatzanalyse, die den Kunden bei der Abwehr von Zero-Day-Angriffen hilft. Keine Sicherheit ist zu 100 % narrensicher. Selbst bei Tools, die auf künstlicher Intelligenz basieren, gibt es falsch positive und falsch negative Ergebnisse.

Hacker führen wirksame Kill Chains gegen NDR aus

Da die NDR-Killer-Tools so einfach zu bedienen sind, setzen Hacker immer wieder mehrere dieser Tools in einer einzigen Kill Chain ein.

Hier ist ein Beispiel:

  • Identifizierung von Schwachstellen in Anwendungsdateien: KernelMode
  • Stoppen bestehender NDR-Dienste: Terminator und AuKill
  • Laden einer neuen Nutzlast in den Speicher: EDRKillShifter
  • Blockieren aller Telemetriedaten vom NDR-Agenten an die Konsole: EDRSilencer

Sicherheitsteams könnten auch die Ausführung von Denial-of-Service (DoS)-Angriffen gegen ihre Grenzrouter, eine Zunahme von KI-gestützten E-Mail-Phishing-Angriffen oder Brute-Force-Angriffe gegen Identitätsmanagementsysteme als Teil der Kill Chain sehen.

Die Verhinderung von Kill Chains erfordert mehr als eine adaptive Sicherheitskontrolle. Kontinuierliche Überwachung, vollständige Transparenz und Beobachtbarkeit mit automatisierter Reaktion auf Vorfälle sind für die Vermeidung erfolgreicher Kill-Chain-Angriffe unerlässlich.

Die Bedeutung eines mehrschichtigen Cybersicherheitskonzepts

Angriffe erfolgen an verschiedenen Stellen innerhalb des Netzwerks. Hacker verwenden ständig automatisierte Penetrationstools und -techniken, um die Netzwerke, Hosts und Geräte ihrer Opfer auf Schwachstellen zu scannen, die sich leicht ausnutzen lassen. Die meisten Penetrationstests sind vollständig automatisiert, einschließlich der Möglichkeit, dass die bösartigen Scan-Agenten den Command-and-Control-Servern (C&C-Servern) des Hackers alle Schwachstellen melden, die für zukünftige Angriffe offen sind.

Die Verhinderung der Umgehung einer EDR-Lösung beginnt mit einer Verteidigungsschicht in Kombination mit kontinuierlicher Überwachung, automatischer Reaktion auf Vorfälle und Berichterstattung. Hacker werden jedoch EDR-Killer-Tools verwenden, um diese Sicherheitskontrollen zu umgehen. Andere Red-Team-Tools, die sich in freier Wildbahn befinden, haben auch Virenschutz, E-Mail-Sicherheit und Network Detection and Response (NDR) betroffen.

Unternehmen, die von einer reaktionären, cyber-defensiven Denkweise zu einem proaktiven Ansatz übergehen, erkennen die Notwendigkeit, verschiedene adaptive Kontrollen der nächsten Generation einzusetzen. Diese Tools, darunter Firewalls der nächsten Generation (NGFW), Zero-Trust-Architekturen, SASE-Cloud mit SD-WAN, MFA, EDR, NDR und XDR-Tools, erfordern ein umfassendes Sicherheitsteam, Prozesse und einfach zu befolgende Standardbetriebsverfahren.

Da Ingenieure immer mehr Tools verwenden, wird die Betriebsebene immer schwieriger. Unternehmen, die nur wenig in Humankapital, Talente, Schulungen und verwaltete Dienste investieren, erleben mehr Cybersecurity-Angriffe und Datenverluste.

Investitionen in Talente in Kombination mit verwalteten Diensten helfen Unternehmen, ihre Investitionen in diese proaktiven Sicherheitstools zu maximieren.

Kontinuierliche Überwachung und Bedrohungsjagd

Unternehmen, die den NDR-Kill-Chain-Angriffen einen Schritt voraus sein wollen, investieren viel Geld in Tools der nächsten Generation. Diese Tools, kombiniert mit kontinuierlicher Überwachung, Bedrohungsjagd und Bedrohungsmodellierung, helfen Unternehmen, ihre Cybersicherheit proaktiv zu gestalten.

Der Einsatz von Managed Service Providern mit Fachkenntnissen in den Bereichen Bedrohungssuche und -modellierung ist entscheidend für den Umgang mit NDR-Killern.

Diese Dienste helfen Unternehmen bei der Analyse von NDR-Killer-Angriffen, um sich besser auf künftige Angriffe vorzubereiten. Threat Hunting hilft bei der Überprüfung möglicher zukünftiger NDR-Schwachstellen innerhalb des Unternehmens. Diese vorausschauende Analyse hilft Unternehmen, Patches und andere Abhilfemaßnahmen vor dem nächsten NDR zu beschleunigen.

Die Modellierung von Bedrohungen ist ebenfalls ein wichtiger Service. Diese Funktion konzentriert sich auf die Auswirkungen eines NDR-Killerangriffs. Organisationen sind in ihrem gesamten Unternehmen mit Schwachstellenrisiken konfrontiert. Mit Hilfe der Bedrohungsmodellierung lässt sich feststellen, welcher Bereich der Schwachstelle finanzielle und betriebliche Auswirkungen auf das Unternehmen hat.

Die Ergebnisse der Bedrohungsmodellierung und Bedrohungsjagd helfen bei der Festlegung einer Prioritätsstufe für die kontinuierliche Überwachung. SecOps-Teams, die ein SIEM verwenden, können alles im Netzwerk überwachen, einschließlich der Priorisierung des Anlagenschutzes. Dieser kritische Schritt wirkt der Alarmmüdigkeit entgegen, selbst wenn KI-Tools aktiviert sind.

Anbieter von Managed Services wie ForeNova arbeiten mit ihren Kunden zusammen, um die Prioritäten für den Schutz von Assets und die Anforderungen an die automatische Reaktion auf Vorfälle festzulegen.

Die Rolle von MDR beim Aufspüren von EDR-Killern

MDR-Anbieter wie ForeNova sind entscheidend für den Schutz der Kunden vor NDR-Killerangriffen. Die Überwachung von Endgeräten ist einer ihrer wertvollsten Dienste im Rahmen des NovaMDR-Lösungsangebots. Die Überwachung von Endpunkten ist entscheidend, um Angriffe auf diese Geräte zu stoppen.

Der NovaMDR-Dienst sucht nach Endpunkt-Agentendiensten, die nicht mehr reagieren oder nicht mehr rechtzeitig aktualisierte Telemetriedaten senden. Das Team von ForeNova überwacht auch verschiedene andere Bereiche in den Kundennetzwerken und sucht nach der Verbreitung von Ransomware, die möglicherweise von einem ursprünglichen NDR-Angriff ausgegangen ist.

Die Sicherheitstechniker von ForeNova können durch kontinuierliche Überwachung und Bedrohungsanalyse schnell auf ein NDR-Killerereignis und andere Cyberangriffe reagieren. Die umfassende Beobachtung der Kundenumgebung in Kombination mit Telemetriedaten aus verschiedenen Quellen hilft dem ForeNova-Team, eine weitaus präzisere und effektivere proaktive Sicherheitslage zu schaffen.

Warum ForeNova?

Erfahrung, Fachwissen und bewährte Methoden in verschiedenen Branchen machen ForeNova zu einem führenden Unternehmen im MDR-Bereich. Viele MDR-Anbieter sind auf bestimmte Sektoren spezialisiert oder bieten nur ein minimales Service-Engagement. ForeNova bietet mit seinem NovaMDR-Angebot eine breite Palette von Sicherheitsfunktionen. Diese Fähigkeiten sind stark auf verschiedene Compliance-Mandate der Europäischen Union abgestimmt, einschließlich GDPR.

Die NovaMDR-Lösung von ForeNova bietet außerdem eine 24/7-Überwachung und Reaktionsmöglichkeiten, die eine schnelle und effektive Reaktion auf jegliche Sicherheitsvorfälle gewährleisten. Durch eine Partnerschaft mit ForeNova können Unternehmen ihre Cybersicherheitsmaßnahmen verbessern und das Risiko von Datenschutzverletzungen minimieren.

Verhinderung von Account-Takeover-Angriffen durch den Einsatz von Managed Detection and Response Services

Posted on by ForeNova

Haben Sie schon einmal dasselbe E-Mail-Konto und Passwort für mehrere Websites verwendet, z. B. für Reisen, Bankgeschäfte und E-Commerce? Da sind Sie nicht allein. Millionen von Online-Nutzern verwenden ihre Anmeldedaten aus Bequemlichkeit immer wieder. Dies macht es den Hackern jedoch sehr viel einfacher, einen ATO-Angriff (Account Takeover) auszuführen.

Fakt: „Eine jährliche Analyse der wiedererlangten Daten aus dem Darknet zeigt eine 74%ige Wiederverwendungsrate von Passwörtern für Benutzer, die im letzten Jahr zwei oder mehr Sicherheitsverletzungen ausgesetzt waren.“

Die Verhinderung von ATO beginnt mit einer proaktiven Überwachung und Kontrolle der Identitätsmanagementsysteme und Anwendungsplattformen des Unternehmens, um verdächtige Aktivitäten, unbefugten Zugriff auf Konten und andere bösartige Aktivitäten zu erkennen.

ForeNova, ein globaler Anbieter von verwalteten Erkennungs- und Reaktionsdiensten, hat sein NovaMDR-Angebot entwickelt, um Unternehmen dabei zu helfen, die digitalen Ressourcen ihrer Kunden zu überwachen, darauf zu reagieren und Abhilfemaßnahmen zu ergreifen, um komplexe Cyberangriffe, einschließlich ATO, zu verhindern.

Möchten Sie mehr über NovaMDR und ATO-Prävention erfahren?

Klicken Sie hier, um noch heute eine Demo mit den Forenova-Experten für Technik und Produktsupport zu vereinbaren!

Verständnis von Kontoübernahme-Angriffen (ATO)

Eine der häufigsten Methoden des Finanzbetrugs und des Identitätsdiebstahls ist der Zugriff auf eine einzige Zugangsberechtigung, die zu mehreren Domänen führt. Hacker nutzen verschiedene Angriffsvektoren, darunter E-Mail-Phishing, um Opfer dazu zu verleiten, ihre Benutzernamen und Kennwörter preiszugeben oder auf bösartige Links zu klicken, die sie auf unseriöse Websites umleiten und sie auffordern, ihre Kennwörter zu ändern.

Wie groß ist das Problem der ATO?

Hier sind einige wichtige Statistiken, die verdeutlichen, dass ATO ein globales Problem ist, dessen sich jede Organisation und jeder Einzelne bewusst sein muss.

Persönliche Auswirkungen

  • Kontoübernahmebetrug verursachte im Jahr 2023 Verluste in Höhe von fast 13 Milliarden Dollar.“
  • „24% der Verbraucher waren 2024 Opfer von ATO, gegenüber 18% im Jahr 2023.“
  • „Nur 43% der Opfer von Kontoübernahmen wurden von dem Unternehmen darüber informiert, dass ihre Daten kompromittiert wurden.
  • „Vier von fünf Verbrauchern würden nicht mehr auf einer Website einkaufen, auf der sie Opfer von ATO geworden sind.“

Auswirkungen auf Unternehmen

  • „Über 75 % der Sicherheitsverantwortlichen stufen Kontoübernahmen als eine der vier größten Cyber-Bedrohungen ein, denen Unternehmen weltweit ausgesetzt sind.
  • „ATO-Angriffe haben im Jahr 2024 im Vergleich zum Vorjahr um 24% zugenommen.“

Standardmethoden für ATO-Angriffe

90% aller Cyberangriffe beginnen mit E-Mail-Phishing. E-Mail-Phishing ist eine der Hauptursachen für ATO. ATO ist auch die Hauptursache für Identitätsdiebstahl und Finanzbetrug geworden.

Social Engineering ist ein Bestandteil von E-Mail-Phishing-Versuchen. Bei diesem Angriffsvektor geht es weniger um einen technischen Cyberangriff als vielmehr darum, dass böswillige Akteure ihre sozialen Fähigkeiten einsetzen, um das Opfer zur Preisgabe von Anmeldeinformationen zu verleiten.

Zu den Social-Engineering-Taktiken gehören E-Mail-Nachrichten, Social-Media-Postings, Telefonanrufe, SMS-Nachrichten und öffentliche Begegnungen. Die Hacker ködern ihre Opfer mit der Behauptung, sie würden jemanden kennen, der ihnen nahe steht, an einem Ort arbeiten, an dem sie gearbeitet haben, oder vielleicht sogar ein Familienmitglied.

Die Verhinderung von Social Engineering beginnt damit, dass Unternehmen in Sicherheitsschulungen und Angriffssimulationen investieren, also in zusätzliche Sicherheitsmaßnahmen, die diese Bedrohung minimieren helfen. Diese Tools sind von entscheidender Bedeutung, wenn es darum geht, die Benutzergemeinschaft über die sozialen Fähigkeiten von Hackern und andere Arten von Angriffen aufzuklären.

Auswirkungen von ATO-Angriffen

Finanzkonten sind nach wie vor Hauptziel von ATO-Angriffen, da Cyberkriminelle einen schnellen Zugang zu Bankkonten und -transaktionen suchen. Kontoübernahmen machen derzeit 90% der Betrugsversuche aus, und dieser Trend wird sich wahrscheinlich bis 2024 fortsetzen.

ATO-Angriffe und ihre Folgen sind je nach Opfer unterschiedlich. Unternehmensanwender, die ihre geschäftlichen Anmeldedaten wiederverwenden, insbesondere in föderierten Identitätsdomänen, setzen sich und ihre Organisationen einem erheblichen Risiko für Finanzbetrug, Diebstahl von geistigem Eigentum und Erpressung aus.

Hacker, die erfolgreich die Anmeldeinformationen eines Unternehmens kompromittieren, verbreiten ihre Angriffe auf andere Mitarbeiter innerhalb derselben Domäne. Diese Ausbreitung von Angriffen wird auch für andere Organisationen zum Problem, die über Lieferketten oder digitale Anwendungsplattformen verbunden sind. Angriffe auf die Lieferkette durch Phishing-Kampagnen sind nach wie vor ein globales Problem, teilweise aufgrund von ATO-Angriffen.

Sobald die Anmeldedaten einer Person innerhalb einer Organisation kompromittiert werden, zielen die Hacker auf die individuellen Benutzer- und Passwortdaten dieser Person ab.

Anstieg der ATO-Angriffe im Jahr 2024: Trend wird für 2025 erwartet

„Sift hat seinen Q3 2024 Digital Trust Index veröffentlicht, der zeigt, dass Account Takeover (ATO)-Angriffe auf dem Vormarsch sind, mit einem Anstieg von 24% in seinem globalen Netzwerk.“

„Darüber hinaus gaben 24 % der von Sift befragten Kunden an, im vergangenen Jahr Opfer von ATO-Angriffen geworden zu sein, gegenüber 18 % im Jahr 2023. Dieser Anstieg ist Teil eines Trends, denn die Daten von Sift zeigen einen Anstieg der ATO-Angriffe um 354 % im Vergleich zum Vorjahr im zweiten Quartal 2023.“

Unternehmen mit komplexen Passwörtern sehen weiterhin steigende Betriebskosten, selbst wenn sie Self-Tools aktivieren.

Finanzielle Verluste für Organisationen und Einzelpersonen

In einem kürzlich veröffentlichten Bericht hat Experian Statistiken veröffentlicht, die zeigen, wie groß die Auswirkungen von ATO-Angriffen auf Banken in aller Welt sind.

„Eine im März 2024 von Liminal durchgeführte Umfrage ergab, dass ATO-Angriffe im Durchschnitt 6.232 Dollar pro Angriff kosten, wobei die Zahl der Social-Engineering-Angriffe in den letzten zwei Jahren um 66,8 % gestiegen ist. Trotz dieses Anstiegs nutzen nur 44 % der Banken Signale für mobile Geräte, um diese Bedrohungen zu bekämpfen.“

Die Kosten pro ATO beinhalten nur selten den Schaden für den Ruf eines Unternehmens, wenn es zu einem Verstoß kommt. Das Vertrauen der Kunden ist für ein Unternehmen entscheidend, um Kunden zu halten. Ein ATO-Angriff schädigt die Fähigkeit eines Unternehmens, das Vertrauen der Kunden zu erhalten.

Die Bedeutung von Präventionsstrategien

Es ist unrealistisch, ATO-Angriffe allein mit herkömmlicher E-Mail-Sicherheit, statischer Identitätsmanagement-Betrugserkennung oder Firewalls der nächsten Generation (NGFW) zu verhindern.

Hacker nutzen künstliche Intelligenz (KI) und Tools für maschinelles Lernen (ML), um Angriffsvektoren zu erstellen. Mit Hilfe von KI können Hacker ATO-Angriffe durch Social Engineering, E-Mail-Phishing und SMS in einem viel größeren Umfang durchführen, als die meisten Unternehmen erkennen und verhindern können.

Unternehmen, die mit der ständigen Zunahme von ATO-Angriffen zu kämpfen haben, investieren beträchtliche finanzielle Mittel in Cybersecurity-Abwehrtools der nächsten Generation, die durch künstliche Intelligenz (KI) und maschinelles Lernen (ML) unterstützt werden.

Leveraging AI and Machine Learning in ATO Prevention

Organizations must place front-end AI-based fraud detection and prevention security tools on their various application portals, databases, and websites that link back to sensitive customer and organization data.

    • AI-based access control observability tools detect the initial attack vectors of ATO even if the attack is multi-threaded and distributed.

    • Upgrade to AI-powered email security tools to eliminate the threat of phishing attacks. This tool is vital in blocking ATO attacks through the email channel.

    • Invest in AI-powered security awareness training and attack simulation tools to educate the user community about the threats.

    • Deploying multi-factor authentication (MFA) as a strong protection against ATO. However, hackers continue to discover ways to bypass this adaptive control.

    • Invest in incident response automated tools for faster response to ATO attacks.

    • Continue to hire more experienced security engineering talent to staff security operations. center 24×7.

    • If the organization has trouble hiring security talent, the next step is to develop a relationship with an MDR provider like Forenova to assist with the SecOps functions.

Einsatz von KI und maschinellem Lernen bei der ATO-Prävention

Unternehmen müssen KI-basierte Sicherheitstools zur Betrugserkennung und -vermeidung in ihren verschiedenen Anwendungsportalen, Datenbanken und Websites einsetzen, die auf sensible Kunden- und Unternehmensdaten zugreifen.

KI-basierte Tools zur Beobachtung der Zugriffskontrolle erkennen die ersten Angriffsvektoren von ATO, selbst wenn der Angriff mehrere Threads umfasst und verteilt ist.

Rüsten Sie auf KI-gestützte E-Mail-Sicherheitstools auf, um die Bedrohung durch Phishing-Angriffe zu beseitigen. Dieses Tool ist entscheidend für die Abwehr von ATO-Angriffen über den E-Mail-Kanal.

Investieren Sie in KI-gestützte Sicherheitstrainings und Angriffssimulationstools, um die Benutzergemeinschaft über die Bedrohungen aufzuklären.

Einsatz der Multi-Faktor-Authentifizierung (MFA) als starker Schutz gegen ATO. Hacker finden jedoch immer wieder Wege, um diese adaptive Kontrolle zu umgehen.

Investitionen in automatisierte Tools zur Reaktion auf Zwischenfälle, um schneller auf ATO-Angriffe reagieren zu können.

Die Rolle von MDR für alle ATOs

Die Erkennung und Verhinderung von ATO-Angriffen erfordert eine kontinuierliche Überwachung über mehrere Sicherheitsgeräte und Plattformen hinweg. ATO-Angriffe nutzen mehrere Vektoren, die eine digitale Kill Chain bilden.

Die Verhinderung von Kill-Chain-Angriffen beginnt mit der Korrelation von Telemetriedaten in einer SIEM-Plattform (Security Information Event Management), die von Sicherheitsingenieuren mit globalen Kenntnissen und Erfahrungen besetzt ist, um diese Angriffe zu identifizieren und ihre Ausbreitung im Unternehmen zu verhindern.

Zusätzlich zur Korrelation der Telemetriedaten müssen die SecOps-Teams diese mit Bedrohungsdaten und Tools zur Bedrohungsmodellierung kombinieren, um die Quelle und ihre Auswirkungen auf das Unternehmen besser zu verstehen.

KI-gestützte ATO-Angriffe morphen auf der Grundlage von Angriffstelemetrie, die vom LLM des Hackers verarbeitet wird. SecOps-Teams benötigen Zugang zu ähnlichen Funktionen, um zu erkennen, wenn ein ATO-Angriff seine Methode, Geschwindigkeit und den GEO-Standort des Angriffsvektors ändert.

NovaMDR by Forenova is a global MDR service built for the AI-adversary world. Attacks, including AI-generated ATO, need an MDR provider like Forenova with expertise in hosted-based, network, and endpoint detection. Along with its expertise in these defensive tools, Forenova’s ability to support regulated industries in Germany, including healthcare, manufacturing, education, and government, speaks to its expertise in cybersecurity and wealth of experience.

NovaMDR von Forenova ist ein globaler MDR-Dienst, der für die Welt der KI-Angriffe entwickelt wurde. Angriffe, einschließlich KI-generierter ATO, benötigen einen MDR-Anbieter wie Forenova, der über Fachwissen in den Bereichen Hosted-Based-, Netzwerk- und Endpunkt-Erkennung verfügt. Neben der Expertise in diesen Abwehrwerkzeugen spricht auch die Fähigkeit von Forenova, regulierte Branchen in Deutschland zu unterstützen, darunter das Gesundheitswesen, die Fertigungsindustrie, das Bildungswesen und die Regierung, für seine Kompetenz in der Cybersicherheit und seinen Erfahrungsschatz.

NovaMDR ist nach ISO 27001:2022 zertifiziert.

Warum Forenova?

Werden ATO-Angriffe zu einem größeren Problem? Sehen Sie eine Zunahme des Diebstahls von Zugangsdaten und des unbefugten Zugriffs auf kritische Systeme mit sensiblen Daten?

Klicken Sie hier, um einen Termin für einen Erstberater und eine Demonstration des NovaMDR-Service durch das Team von Forenova zu vereinbaren.

Die Sicherheitsplattform von ForeNova wurde entwickelt, um mehr Cyber-Bedrohungen und -Angriffe als je zuvor zu erkennen – selbst bisher unbekannte und unentdeckte – über die gesamte IT-Landschaft hinweg.
RSMCERT.2024.32_ForeNova Technologies B.V
Services
Partners
Company
Resources
ForeNova Technologies GmbH, Sulzbacher Str. 48, 90489 Nürnberg +49 8926 200 920 © 2025 ForeNova Technologies. All Rights Reserved.