13. Nov. 2019
Bösartige E-Mails erfordern automatisierte Incident-Response
Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Einer aktuellen Umfrage von Barracuda zufolge benötigen Unternehmen jedoch durchschnittlich dreieinhalb Stunden (212 Minuten), um einen Angriff zu beheben. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
11 Prozent der Unternehmen verbringen laut Barracuda mehr als sechs Stunden mit Untersuchungen und Korrekturen. Das Unternehmen betrachtete hierfür die Ergebnisse von E-Mail-Bedrohungsscans zu 383790 Postfächern in 654 Unternehmen über einen Zeitraum von 30 Tagen, die fast 500000 bösartige Nachrichten in diesen Posteingangsbereichen identifiziert hatten. Im Durchschnitt erhielt jedes Unternehmen mehr als 700 bösartige E-Mails, auf die Benutzer jederzeit zugreifen konnten. Bei dreieinhalb Stunden Bereinigung pro Kampagne würde es Tage, wenn nicht Wochen dauern, bis ein Unternehmen all diese bösartigen Nachrichten identifiziert, untersucht und bereinigt hat.
Zusätzlich zu diesen Angriffen, die sich bereits in den Mailboxen befanden, meldeten Benutzer jeden Tag verdächtige Nachrichten an die IT-Abteilung. Basierend auf Barracuda-Daten reagiert ein typisches Unternehmen täglich auf etwa fünf E-Mail-Sicherheitsvorfälle. Mit durchschnittlich 3,5 Stunden für die Reaktion auf jeden Vorfall bedeutet diese tägliche Herausforderung statistisch mehr als 17 Stunden, was zwei Vollzeitmitarbeitern entspricht.
Der Sicherheitsanbieter empfiehlt, durch Automatisierung gegenzusteuern: Die Einführung eines KI-basierten Schutzes vor Phishing und Account-Takeover helfe IT-Teams, diesen Bedrohungen effektiver zu begegnen und in Echtzeit nach Anomalien suchen zu können. Auch eine Automatisierung der Incident-Response sei wichtig, um gefundene Bedrohungen schneller zu beseitigen und die Korrektur für zukünftige Nachrichten effizienter zu gestalten. So könnten Unternehmen effizient alle internen Benutzer identifizieren, die eine bösartige E-Mail erhalten haben, und alle deren Instanzen entfernen. Zudem ermöglichten diese Lösungen auch die automatische Zusendung von Meldungen an betroffene Benutzer, um sie zu warnen oder andere Anweisungen zu geben.
Die aktuelle Untersuchung habe gezeigt, dass Unternehmen mit einer automatisierten Incident-Response ihre Reaktionszeit um durchschnittlich 95 Prozent reduzieren könnten, betont Barracuda. So dauere beispielsweise die Reaktion auf Vorfälle bei 78 Prozent der Unternehmen mit automatisierter Vorfallreaktion weniger als 10 Minuten.
Von Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks
Incident-Response ist auch Thema in der aktuellen <kes> – eine Leseprobe des Beitrags "Dos and Don’ts des Incident-Response" ist online frei verfügbar.
