Geschätzte Lesezeit: 4 Minuten

Bekämpfen Sie Ransomware mit einer Defense-in-Depth-Strategie

Der von Check Point Research beobachtete tägliche Durchschnitt der Ransomware-Angriffe ist in Q3 im Vergleich zum ersten Halbjahr 2020 um 50% gestiegen. Von der Regierung über Finanzdienstleistungen bis hin zu Krankenhäusern — hoch lukrative Ransomware-Angriffe auf der ganzen Welt sind explodiert und zeigen keine Anzeichen von Nachgeben. Da Ransomware-Angriffe weiterhin Schlagzeilen machen, müssen sich Unternehmen weiterentwickeln, um Ransomware mit einer umfassenden Verteidigungsstrategie zu bekämpfen.

Die Cybersicherheit entwickelt sich aggressiv weiter, und die Verteidiger sind tief in ein Schachspiel gegen die Angreifer verwickelt. Mit jedem Schritt, den ein Verteidiger unternimmt, um sein Netzwerk zu sichern, erstellt ein Angreifer eine neue Methode oder einen neuen Angriffsvektor. Verteidiger müssen ihre Bewegungen kontinuierlich untersuchen, Indikatoren für Kompromisse genau beobachten und lernen, potenzielle Strategien und Angriffsvektoren zuverlässig vorherzusagen. Diese Beobachtungen werden Teil einer komplexen Defense-in-Depth-Strategie, mit der Sicherheitslücken oder potenzielle Fehlerquellen innerhalb der Cyber Operating Environment (COE) identifiziert werden.

Common Tools for Cyber Defense

Defense in Depth nutzt eine Reihe von Sicherheitstools, die unterschiedliche Arten von Schutz an den verschiedenen Zugangspunkten des COE bieten. Im Folgenden sind einige der am häufigsten verwendeten, um die primären Sicherheitsschichten zu adressieren.

Firewalls

Da Ransomware-Angriffe mit dem Malicious Cyber Actor (MCA) beginnen, der Zugang zu einem Netzwerk erhält, ist eine Firewall oft die erste Verteidigungslinie. Die Firewall blockiert den Zugriff bestimmter Ports auf das Netzwerk und verwendet verhaltens- und / oder regelbasierte Erkennungen, um zu verhindern, dass ein MCA Zugriff auf das Netzwerk erhält.

Network Intrusion Prevention System (NIDS)

NIDS bieten eine weitere Sicherheitsebene, indem sie Verhaltens- und regelbasierte Erkennung für potenzielle Ransomware-Bedrohungen auf Netzwerkebene verwenden. Darüber hinaus bieten NIDS die Datengranularität, die Cyberanalysten benötigen, um einen Angriff zu erkennen, damit sie mit einem gezielten Ansatz reagieren können, um den Zugriff des MCA auf das Netzwerk zu blockieren.

Endpoint Detection and Response (EDR)

EDRs bieten Netzwerksicherheitsteams entscheidende Transparenz, um Bedrohungen wie Ransomware zu erkennen, wenn es den MCAs gelingt, die anderen Sicherheitsebenen zu umgehen und in das Netzwerk einzudringen. EDRs bieten hostbasierte Erkennung, Untersuchung und Behebung von Malware, um Bedrohungen einzudämmen, bevor die schändlichen Aktionen eines MCA vollständig ausgeführt werden können.

Patch-Management

Patch-Management ist eine weitere Ebene der vorbeugenden Sicherheit und dient dazu, Kompromisse zu verhindern, bevor sie überhaupt eintreten. Ransomware-Angreifer zielen auf Systemschwachstellen ab, die verwendet werden können, um Berechtigungen zu eskalieren und Remotecodeausführung auf dem System ohne Administratorrechte zu erhalten.

Protokollierung und Netzwerksegmentierung

Die Protokollierung und Netzwerksegmentierung dient als zusätzliches Hindernis für MCAs, sobald sie in die anderen Netzwerksicherheitstools eingedrungen sind. Wenn ein MCA das Netzwerk kompromittiert, wird dies verwendet, um bestimmte Bereiche des Netzwerks zu segmentieren, um die Bewegung eines Angriffs zu mildern und ihn zu verlangsamen, bis Verteidiger in der Lage sind, die Bedrohung einzudämmen. Im Falle von Ransomware-Angriffen würde dies genutzt, um seitliche Bewegungen innerhalb des Netzwerks zu verhindern.

Während die oben genannten Sicherheitstools eine solide, breit angelegte Verteidigung gegen Bedrohungen und Exploits bieten, sind sie auch gegenüber erfahrenen MCAs überlegen — insbesondere wenn es um Ransomware-Angriffe geht. Was fehlt also im Defense-in-Depth-Tool-Set? Und wie können Verteidiger die Sicherheit stärken, um den Ransomware-Angriffen einen Schritt voraus zu sein?

Die kurze Antwort lautet Cyber Threat Intelligence. Das am häufigsten fehlende Element einer Defense-in-Depth-Strategie besteht darin, sowohl über umfassende Cyber-Bedrohungsinformationen als auch über ein engagiertes Team von Sicherheitsexperten zu verfügen, die verstehen, wie sie aus potenziell nützlichen Daten über Bedrohungen umsetzbare Bedrohungsinformationen ableiten können. Während viele Unternehmen einen oder mehrere Threat Intelligence-Feeds beziehen, fehlen ihnen häufig die internen Ressourcen, um wirklich zu verstehen, wie sich diese Daten auf ihre einzigartige COE auswirken. Wenn es um Cybersicherheit geht, ist es entscheidend, dass Threat Intelligence-Daten basierend auf der einzigartigen Zusammensetzung des COE eines Unternehmens angezeigt werden.

Ein Ransomware-Beispiel: Emotet

Das Bild unten zeigt Daten, die eine häufig verwendete Malware namens Emotet identifizieren. Diese Malware ist als Trojaner konzipiert, der es Angreifern ermöglicht, remote auf ein System zuzugreifen, es auszunutzen und andere schädliche Nutzlasten, insbesondere Ransomware, zu installieren.

Zusätzliche Einblicke in Angreifer C2 und bösartige Domänen können Verteidigern eine weitere Verteidigungsebene geben, um einen Angriff zu verhindern oder die Erkennungsfunktion bereitzustellen, damit Verteidiger auf einen Angriff reagieren können.Basierend auf den oben dargestellten Daten kann ein Threat Intelligence-Experte möglicherweise Domain-Squatting oder Typosquatting identifizieren, wenn ein Angreifer auf Ihre Unternehmen oder Kunden abzielt, sowie den C2 eines MCA und neue Techniken, die in einer Kampagne verwendet werden. Die Identifizierung ist jedoch nur ein Schritt. Sobald die potenzielle Bedrohung identifiziert ist, müsste ein Verteidiger die C2—Infrastruktur validieren und hoffentlich neue Malware-Hashes oder Angriffsvektoren ermitteln – Details, die verwendet werden, um die Kill-Chain zu unterbrechen und MCAs am ersten Zugriffspunkt zu blockieren. Dies zeigt den Unterschied zwischen nur Threat Intelligence-Daten und umsetzbaren Threat Intelligence-Daten.

Unabhängig davon, ob Ihr Unternehmen Ransomware-Angriffen oder einer der anderen Legionen von Bedrohungen und Exploits ausgesetzt ist, ist die wertvollste Ergänzung Ihrer Bedrohungsabwehr umsetzbare Bedrohungsinformationen. Während die Bedrohung durch Cyberangriffe für Unternehmen nach wie vor ein Hauptanliegen ist, ergreifen relativ wenige die erforderlichen vorbeugenden Maßnahmen, um ihre Umgebung zu schützen und Sicherheitspersonal zu schulen. Zumindest nicht erst, nachdem sie angegriffen wurden – was weitaus kostspieliger ist, als wenn sie zunächst vorbeugende Maßnahmen ergriffen hätten.