Warum sind Angreifer noch immer erfolgreich?
Auch wenn Cyberkriminelle mit zunehmend komplexeren und zielgerichteten Angriffen aufwarten, tragen nach wie vor fehlerhafte Prozesse in Unternehmen dazu bei, dass die Sicherheitsinfrastruktur überwindbar ist. (…) Jeder Bestandteil der Sicherheitsinfrastruktur sollte nicht für sich allein bestehen, sondern in ein umfangreiches Security-Prozessmanagement eingebettet werden. (…) Ein Gesamtkonzept für die IT-Sicherheit sollte (…) nicht nur auf die Abwehr oder Erkennung einer Erstinfektion abzielen, sondern die Löcher im Schutzschild durch verschiedenste übereinander gelagerte Mechanismen so klein werden lassen, dass der Aufwand für die Angreifer zu hoch wird.
Die folgenden fünf Bausteine sollten für die Bekämpfung von Ransomware-Attacken oder deren Schadensbegrenzung berücksichtigt werden:
Baustein 1: Erstinfektionsrisiko eindämmen durch TLS-Scanning
Eine große Lücke tut sich in jedem Schutzkonzept auf, wenn der TLS/SSL verschlüsselte Datenverkehr eines Unternehmens nicht vollumfänglich auf Malware untersucht wird und damit eine Erstinfektion möglich ist. Denn Hacker verbergen heute ihre Payload in dem Wissen hinter Verschlüsselung, dass Unternehmen nach wie vor nicht alle Datenströme auf Malware untersuchen. (…) Fehlt der Blick in diese Datenströme, hat das Sicherheitsteam keine Möglichkeit diesen Transportweg für Malware zu schließen und die erste große Lücke im Schutzschirm tut sich auf.
Baustein 2: Verhaltensanalyse schlägt signaturbasierte Malware-Erkennung
(…) Da Malware-Akteure ihre Baukästen an Schadcode kontinuierlich aktualisieren – auch mehrfach pro Tag - hinkt eine Signaturerkennung immer einen Schritt hinter den Machenschaften der Cyberkriminellen her. (…) Verhaltensanalyse wartet mit einem umfangreichen Repertoire an Erkennungsmechanismen auf, die bereits für die Patient Zero Erkennung ineinandergreifen. Wird eine Cloud-Sandbox zur Verhaltensanalyse über eine globale Sicherheitsplattform bezogen, erfolgt die Aktualisierung über die Cloud und das manuelle, fehleranfällige Update entfällt. So lässt sich der Angriffsvektor weiter schließen (…).
Baustein 3: Angriffsflächen im Netzwerk erkennen und schließen durch Zero Trust
(…) Ein auf Zero Trust basierter Sicherheitsansatz sowohl für den Remote Zugriff als auch für On-Premises Umgebungen sorgt dafür, dass diese Infrastruktur nicht mehr für jedermann sichtbar auffindbar ist. Unternehmen sollten sich also in einem ersten Schritt ihre Angriffsflächen bewusst machen und in einem zweiten Schritt Maßnahmen ergreifen, um diese Angriffsflächen zu reduzieren. (…)
Baustein 4: Mikrosegmentierung schaltet laterale Ausbreitung von Angreifern aus
Durch die granular gestalteten Zugriffsberechtigungen auf Dienste oder Anwendungen im Rechenzentrum oder public und hybriden Cloud-Umgebungen entsteht ein weiterer positiver Nebeneffekt. Für den Remote Zugriff des Mitarbeiters wird nicht mehr das gesamte Netzwerk geöffnet. Es erfolgt (…) auf Ebene der einzelnen Anwendung. Sollten Angreifer die Hürden der Erstinfektion gemeistert haben, so gelingt ihnen durch die Microsegmentierung zumindest keine laterale Ausbreitung im Netzwerk. (…)
Baustein 5: Data Loss Prevent beugt der Double Extortion vor
(…) Haben die Angreifer ihr Ziel erreicht, weil sie durch die ein oder andere vorhandene Lücke Einlass ins Netzwerk finden konnten, wird es ihnen durch eine DLP-Lösung zumindest verwehrt, Datenbestände abzugreifen. (…) Können Angreifer keine Daten erbeuten, um diese auf eigenen Leak-Plattformen zu veröffentlichen, läuft zumindest die Masche der doppelten Erpressung ins Leere, mit der Angreifer einer Lösegeldforderung Nachdruck verleihen könnten.
Fazit
(…) Das Augenmerk des IT-Sicherheitsteams sollte nicht mehr nur auf der Verhinderung eines Erstangriffs liegen, sondern zusätzlich auf der Schadensbegrenzung, sollten Angreifer einmal ins Netzwerk eingedrungen sein. (…) Die Angreifer sind zudem gut vernetzt. Wenn Unternehmen an ihrer Infrastruktur nach einem ersten erfolgreichen Angriff nichts Grundlegendes ändern, laufen sie sogar in Gefahr, einer zweiten Attacke ausgesetzt zu sein (…).
Es gibt heute keine Branche mehr, die nicht ins Visier von Angreifern geraten kann, dementsprechend tun Unternehmen gut daran, ihre Abwehrmechanismen an das Vorgehen der Angreifer anzupassen. (…)
(Quelle: Security-Insider.de)