Ransomware
Erpressung und Ransomware von links aus bekämpfen
Wie können sich Unternehmen effektiver gegen Ransomware und andere Formen der Cyber-Erpressung wehren? Durch einen „Linksruck“ und die Einführung proaktiver Cybersicherheitsstrategien, erklärt unser Autor.
Ransomware ist eine „geräuschvolle“ Bedrohung. Wenn sie zuschlägt, lässt sie sich nicht verbergen: Angreifer sperren Systeme und geben explizite Anweisungen, was Unternehmen tun - und bezahlen - müssen, um ihre Daten und Geräte freizukommen. Damit aber exponieren sie sich. Darum lassen sich die meisten Angreifer erst dann auf Cyber-Erpressung ein, wenn sie bereits andere bösartige Ziele erreicht haben, wie z. B. die Exfiltrierung von Daten, die Einrichtung geheimer Befehls- und Kontrollstrukturen oder den Verkauf des Zugangs an andere Parteien.
Weil Unternehmen dies wissen, verlagern viele ihren Schwerpunkt im Bereich der Cybersicherheit weiter nach links: Sie ergreifen früher im Lebenszyklus der Bedrohung Maßnahmen zur Verhinderung von Angriffen und implementieren Funktionen zur Erkennung von Sicherheitsverstößen, bevor sie größeren Schaden anrichten können. Dieser zweigleisige Ansatz des „Sicherns und Verteidigens“ ist für die Eindämmungsphase des Zyklus „Erkennen, Bewerten und Abschwächen“ im Bereich der Cybersicherheit unerlässlich.
Der Lebenszyklus der Cybererpressung
Alle Cyberangriffe beginnen damit, dass sich Hacker Zugang zu Systemen verschaffen - sei es über anfällige Endbenutzergeräte, offene IP-Adressen, unsichere Websites, falsch konfigurierte Cloud-Services, kompromittierte Anmeldeinformationen oder missbräuchlich genutzte Privilegien innerhalb des Unternehmens selbst.
Sobald sie sich einen Zugang verschafft haben, bewegen sich die Angreifer lateral zu anderen Geräten und Systemen und nähern sich den sensibelsten oder wertvollsten Ressourcen. Dies führt in der Regel zur Datenexfiltrierung, d. h. zum Abgreifen von Kundenidentitäten und Zahlungsinformationen oder anderen sensiblen Daten, um sie zu verkaufen oder weiter auszunutzen. Diese Vorgänge werden im Verborgenen durchgeführt, um einer Entdeckung zu entgehen, und Ransomware wird erst dann eingesetzt, wenn die Angreifer dem Unternehmen so viele Werte wie möglich entlockt haben.
Cyber-Erpressung bis zum Ende aufzuschieben, ist geschäftlich sinnvoll, denn der Trend Micro-Bericht „Understanding Ransomware Using Data Science“ belegt, dass die meisten Opfer nicht zahlen. (Diejenigen, die es dennoch tun, subventionieren effektiv sechs bis zehn weitere Angriffe.) Daher versuchen es die meisten Bedrohungsakteure lieber zuerst mit anderen Cyberverbrechen und betrachten ein Lösegeld nur als Zusatzgewinn.
Solange sie sich im Netzwerk befinden, fügen die Eindringlinge oft Hintertüren und andere Strukturen hinzu, um den Zugang aufrechtzuerhalten und erneut angreifen zu können - auch nachdem ein Ransomware-Angriff ausgeführt wurde. Diese so genannte „Phase der Beibehaltung“ kann sich über Monate oder länger hinziehen. Das Internetunternehmen GoDaddy wurde über mehrere Jahre hinweg immer wieder Opfer von Cyberangriffen, weil die Täter in der Lage waren, im Netzwerk des Unternehmens zu verweilen, auch nachdem der ursprüngliche Angriff als erledigt galt.
Durch die Verlagerung der Cybersicherheit weiter nach links und durch frühzeitige, präventive Maßnahmen können Unternehmen unbefugten Zugriff blockieren, laterale Bewegungen sofort erkennen und auf ungewöhnliches Verhalten im Netzwerk reagieren, lange bevor die Ransomware abgesetzt wird.
Schritt 1: Unternehmen früher sichern
Das erste Ziel der Verlagerung nach links besteht darin, so viele Maßnahmen wie möglich zu ergreifen, um Bedrohungen und Cyber-Erpressungsmethoden zu blockieren, bevor sie überhaupt ins Netzwerk gelangen:
- Erzwingen Sie gute Passwörter,
- implementieren Sie eine mehrstufige Authentifizierung,
- behalten Sie die Kontrolle über Anmeldedaten und
- halten Sie Anwendungen und Betriebssysteme auf dem neuesten Stand.
Sandboxing ist eine weitere gute Möglichkeit, um zu verhindern, dass Bedrohungen in das Unternehmen ein- oder zu weit vordringen, insbesondere in Bezug auf E-Mails und das Surfen im Internet. Das Isolieren und Überprüfen von Anhängen und Webseiten, bevor sie auf den Endgeräten ausgeführt werden, verhindert das Eindringen von Malware oder schädlichen Skripts, kann aber auch zu Verzögerungen bei der Mail- und Online-Leistung führen.
All diese Techniken können in eine ASRM-Lösung (Attack Surface Risk Management) integriert werden, die die internen und externen Angriffsflächen eines Unternehmens kontinuierlich bewertet. Eine ständige Überwachung ist erforderlich, da sich die Angriffsfläche durch die Mobilität der Benutzer, neue Geräte, neue Bedrohungen und Unternehmensumzüge wie Übernahmen oder Partnerschaften ständig verändert. Die Bestimmung und Priorisierung der aufgedeckten Risiken stellt für viele Unternehmen eine Herausforderung dar: ASRM hilft bei der Klärung dessen, was am meisten Aufmerksamkeit erfordert.
Experten sind sich heute weitgehend einig, dass die Grundlage des Cyber-Risikomanagements ein Zero-Trust-Ansatz sein sollte, insbesondere für das Identitäts- und Zugriffsmanagement (IAM), da die Identität von Natur aus nicht vertrauenswürdig ist. Erweiterte Erkennungs- und Reaktionstechnologien (Extended Detection and Response, XDR) sind eine hervorragende Möglichkeit, Zero-Trust-Prinzipien umzusetzen, da sie Transparenz und Kontrolle über die gesamte Unternehmensumgebung bieten.
Im bereits erwähnten Trend Micro Bericht über Ransomware und Datenanalyse heißt es: „Die Implementierung von Zero Trust kann Sicherheitsteams dabei helfen, ein Profil bekannter Ransomware-Indikatoren zu erstellen, so dass sie mehr Informationen haben, wenn sie ihre Sicherheitsrichtlinien aktualisieren und neue Warnregeln entwickeln. Sie können auch sofort informiert werden, wenn es Anzeichen für verdächtiges Verhalten in den Systemen ihrer Organisation gibt.“
Im Idealfall wird ASRM Teil einer umfassenden, einheitlichen Cybersicherheitsplattform, die die Komplexität minimiert und alle Teile des Sicherheits-Frameworks eines Unternehmens unter einem Dach zusammenführt.
Schritt 2: Verteidigen, wenn Bedrohungen durchdringen
Selbst mit dem besten Sicherheitsansatz ist es unmöglich, jeden Angriff abzuwehren - es ist keine Frage des „ob“, sondern des „wann“. Der Schlüssel liegt darin, sie so früh wie möglich zu erkennen und auf Maßnahmen vorbereitet zu sein.
Dazu ist ein Incident Response-Plan erforderlich, der Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und Überlegungen zur Cybersicherheitsversicherung enthält. Vor allem im Zusammenhang mit Ransomware und anderen Formen der Cyber-Erpressung ist es von entscheidender Bedeutung, wie der Geschäftsbetrieb aufrechterhalten werden kann, da sie einzig und allein darauf abzielen, den Betrieb lahmzulegen.
Sichere, redundante Systeme und gut gewartete Backups, die schnell hochgefahren werden können, bieten ein schnelles Mittel zur Wiederherstellung, wenn ein Angriff erfolgreich war. Dies ist besonders wichtig für geschäftskritische Systeme, die in jedem Plan zur Aufrechterhaltung des Geschäftsbetriebs eindeutig identifiziert und priorisiert werden sollten.
Wie bei der Sicherung des Unternehmens ist XDR für eine starke Verteidigung unerlässlich und sollte in den Incident Response-Plan aufgenommen werden. XDR geht über Endpunkte hinaus und deckt alle potenziellen Angriffsziele ab, darunter Cloud-Infrastrukturen, Netzwerkverkehr, Betriebstechnologien (OT), Internet der Dinge (IoT) und industrielle Internet der Dinge (IIoT) Implementierungen und vieles mehr.
Ein Plan an sich ist zwar schon wichtig, aber ein Unternehmen muss sich auch darauf verlassen können, dass der Plan funktioniert, wenn er benötigt wird. Das setzt voraus, dass alle Personen (einschließlich Dritter), die an der Ausführung des Plans beteiligt sind, sich darüber im Klaren sind, was von ihnen erwartet wird, und dass der Plan mindestens einmal im Jahr getestet und auf dem neuesten Stand gehalten wird, wenn sich Bedrohungen und Geschäftsanforderungen weiterentwickeln. Unternehmen sollten sich auch bemühen, die Incident Response-Pläne ihrer Cloud-Anbieter und Softwarehersteller zu verstehen - was vorhanden ist und wie diese Maßnahmen ihre eigenen ergänzen.
Fazit
Eine von XDR unterstützte ASRM-Lösung, die auf Zero-Trust-Prinzipien basiert und in eine einheitliche Cybersicherheitsplattform integriert ist, gibt Unternehmen die Tools an die Hand, die sie zur Sicherung und Verteidigung benötigen, und minimiert gleichzeitig die Komplexität der Verwaltung einer Vielzahl von Einzelprodukten. Unternehmen, die nur über begrenzte interne Ressourcen verfügen, können durch die Zusammenarbeit mit einem Managed Security Service Provider, dessen Angebot auch Managed XDR umfasst, einen robusten Sicherheits- und Verteidigungsansatz entwickeln.
Die Erkenntnis, dass Sicherheitsverletzungen unvermeidlich sind, ist realistisch, aber keine Kapitulation - und durch einen Schwenk nach links können Unternehmen mehr Kontrolle über ihre Fähigkeit erlangen, sich gegen Ransomware und Cyber-Erpressungsversuche zu schützen. Mit den richtigen Abwehrmaßnahmen und einem gut durchdachten Incident Response-Plan können Angriffe, die in das Netzwerk eindringen, schneller abgefangen und beseitigt werden.