Während der Bewertung nutzte das Red Team der CISA eine bestehende Web-Shell aus, um initialen Zugriff auf das Netzwerk der Organisation zu erhalten. Von dort aus drang das Team in die demilitarisierte Zone (DMZ) ein, bewegte sich seitlich und kompromittierte schließlich sensible Geschäftssysteme sowie den Domänencontroller der Organisation. Obwohl die Organisation einige frühzeitige bösartige Aktivitäten erkannte, konnte sie die Bedrohung nicht rechtzeitig bewältigen, wodurch kritische Systeme exponiert blieben. Das Red Team identifizierte Schwächen in der Netzwerksegmentierung und eine übermäßige Abhängigkeit von Endpoint-Detection-and-Response-Lösungen (EDR), die mehrere bösartige Nutzlasten nicht erkennen konnten.
Die Bewertung zeigte systemische Schwächen auf, darunter das Fehlen robuster Netzwerkschutzmaßnahmen wie Firewalls und Intrusion-Prevention-Systeme (IPS). Veraltete Systeme, unsichere Konfigurationen und eine unzureichende Identitätsverwaltung waren zusätzliche Faktoren, die es dem Red Team ermöglichten, über längere Zeiträume unentdeckt zu bleiben und ihre Privilegien zu erweitern. Auch die Schulung und Ressourcenausstattung des Personals wurden als verbesserungsbedürftig identifiziert, da viele Mitarbeiter nicht über das technische Wissen verfügen, um effektiv auf Cyberbedrohungen zu reagieren.
Führungsentscheidungen verschärften die Schwachstellen zusätzlich, da die Organisation bekannte Risiken, die von ihrem Cybersicherheitsteam identifiziert wurden, nicht priorisierte. Diese Lücken unterstreichen die Bedeutung eines proaktiven Managements und gezielter Investitionen in Cybersicherheitsmaßnahmen, um sich gegen fortschreitende Bedrohungen zu wappnen.
Zur Behebung dieser Probleme empfiehlt die CISA die Implementierung einer Zero-Trust-Architektur, die sichere Praktiken für Identitäts- und Zugriffsmanagement, phishingsichere Multi-Faktor-Authentifizierung (MFA) und eine zentrale Überwachung zur Erkennung ungewöhnlicher Aktivitäten umfasst. Regelmäßige Mitarbeiterschulungen, insbesondere zu Phishing-Bedrohungen, sind ebenfalls unerlässlich, um das Risiko von Identitätsdiebstahl zu verringern.
Der Bericht betont die Notwendigkeit, Cybersicherheitsmaßnahmen mit den sektorenübergreifenden Cybersicherheitsleistungszielen (CPGs) abzustimmen, die von der CISA und dem NIST entwickelt wurden. Diese Leitlinien bieten eine Grundlage für Organisationen, um sich gegen häufige Bedrohungen zu schützen und die Netzwerksicherheit zu verbessern. Darüber hinaus empfiehlt die CISA, die Infrastruktur zu modernisieren, um fortschrittliche Schutzmaßnahmen wie sichere Cloud-Dienste und verbesserte Endpunktüberwachung zu unterstützen und sich gegen immer ausgefeiltere Angriffe zu verteidigen.
Source: Industrial Cyber
Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.