Ransomware automatisch abwehren

bei

 / 23. December. 2020

Die Anzahl der weltweiten Ransomware-Angriffe [1] ist im vergangenen Jahr enorm gestiegen und obwohl sich das Prinzip der Erpressung dahinter nicht verändert, so werden die Methoden doch raffinierter. Die wichtige Frage von Unternehmen lautet daher: Wie gehen wir am besten mit Lösegeldforderungen um und wie können wir sogar verhindern, dass sie unser Unternehmen treffen?

Um eine Lösung zum Stoppen von Ransomware-Angriffen zu finden, gilt es zunächst deren Methoden zu verstehen, mit denen sie sich Zugang zu den Systemen eines Unternehmens verschaffen. Die beliebtesten Angriffswege folgen hier:

  • Phishing-E-Mails – Der Angreifer versucht den Benutzer zu verleiten, einem Link zu folgen oder einen infizierten Anhang zu öffnen.
  • Remote-Desktop-Protokoll – Unternehmen nutzen das Protokoll, damit die IT-Abteilung die Rechner der Mitarbeiter aus der Ferne warten kann, was einen Port öffnet – darauf spekulieren Kriminelle. Es ist eine der sehr häufig ausgenutzten Schwachstellen.
  • Drive-By-Downloads von kompromittierten Websites – Ein Benutzer besucht unbewusst eine infizierte Webseite von der sich selbstständig eine Malware herunterlädt – meist sogar, ohne die Aufmerksamkeit des Nutzers zu erregen.
  • USB-Sticks und andere Wechseldatenträger – Über diese Speichergeräte können Viren ebenfalls in Firmennetzwerke gelangen, wenn ein Anwender sie unbedarft in den Anschluß steckt. Häufig passiert dies mit zufällig gefunden Geräten, auf deren Inhalt die Person neugierig ist. Zufällig aber lagen diese Speichergeräte nicht herum – sie wurden von Verbrechern platziert.

Best-Practice der Sicherheitsprinzipien

Der Kampf gegen Ransomware erfordert eine umfassende Sicherheitsstrategie – es gibt keine bestimmte Lösung, die man von der Stange kauft und alle Sorgen sind vorbei. Stattdessen muss eine echte Defense-in-Depth-Methodik angewandt werden. Die komplette Strategie dagegen auf nur ein Standbein zu stellen, birgt ein großes Risiko. Die Best-Practice besteht dagegen daraus, ein Netz von Produkten zu spinnen, die zusammenwirken. Diese können dann automatisierte Aufklärung und schnelle Reaktion auf alles bieten, was sich in den Firmennetzwerken abspielt. Unternehmen benötigen daher eine Kombination aus Endpoint Detection & Response [2] (EDR), Intrusion Detection und/oder  Prevention Systemen [3] (IDS/IPS), Security Information and Event Management [4] (SIEM), Security Orchestration, Auromation and Response [5] (SOAR) und einer zentralen Konsole, die all diese Komponenten automatisch steuert und Ereignisse auf einer Oberfläche vereint anzeigt – so erhalten die Fachkräfte auch die Sichtbarkeit des Datenflusses, die sie dringend benötigen. Jede Komponente spielt hierbei eine einzigartige Rolle und hilft IT-Sicherheitsingenieuren, die richtige Wahl zur richtigen Zeit aufgrund der richtigen und aller Informationen zu treffen. So kann beispielsweise die Besatzung eines Security Operations Center (SOC) wirklich gezielt reagieren.

Wen mehrere Lösungen zum Zug kommen, hat das zudem den Vorteil, dass das Netzwerk aus unterschiedlichen Blickwinkeln erfasst wird und so größeres Vertrauen in die Unversehrtheit der eigenen Infrastruktur gelegt werden kann. Außerdem lassen sich die Daten besser kontrollieren und bei Beschädigungen ist schnelles Handeln möglich. Wer auf diese verschiedene Blickwinkel verzichtet, der betrachtet im Grunde genommen nur die Vordertür seines Hauses und ist in dem Glauben, dass dies der einzige Weg sei, wie jemand in das Haus gelangen könnte. Er fühlt sich sicher, doch vergisst dieser jemand die Fenster und die Hintertür. Ein Fehler, der für Unternehmen ebenso schwerwiegende Folgen hätte.

Neben den genannten Sicherheitslösungen müssen auch klassische Firewalls gegen die Bedrohung durch Ransomware angepasst werden. Dabei kommt es besonders auf die Grundlagen an.

Aufbau einer Verteidigungsmauer

Firewalls sind so konzipiert, dass sie den gesamten Datenverkehr blockieren, mit Ausnahme dessen, was durch die Sicherheitsrichtlinien ausdrücklich erlaubt wurde. Aber mit der Zeit werden diese Kataloge aufgebläht, da sich über Jahre hinweg Änderungen ergeben und oft veraltete Regeln dort ansammeln. Daher lauten die Empfehlungen für Firewalls:

  • Das Durcheinander von Regeln entfernen – Im Laufe der Zeit hat eine Firewall wahrscheinlich zahlreiche Administratoren hinter sich und jeder hat die Geräte anders verwaltet. Von Benennungen der Objekte hin zum einfachen Hinzufügen von Regeln am unteren Ende der Firewall-Regelbasis. Doppelte Objekte müssten außerdem beseitigt werden und unbenutzte Regeln entfernt, um die Übersicht zu wahren. Zudem benötigen diese Richtlinien allesamt einen nachvollziehbaren Pfad zur Prüfung. Transparenz und Kontrollinstanzen sind entscheiden für den Erfolg. Eine Nachlässigkeit hier aber kann alles durcheinander bringen.
  • Regeln laufend validieren – Obwohl bestimmte Regeln zu einem bestimmten Zeitpunkt ein sinnvoller Zusatz zu Katalog einer Firewall waren, bedeutet das nicht, dass sie Jahre später noch über eine Daseinsberechtigung verfügen. Firewall-Pflege benötigt daher ein automatisiertes Verfahren, mit dem sich die eigene Regelbasis laufend neu zertifizieren lässt, als ob es sich um eine weitere Änderungsanfrage handeln würde. Auf diese Weise wird verhindert, dass Administratoren ständig Änderungen bearbeiten müssen und die gesamte Regelbasis neu zertifizieren. Wenn das in einem fortlaufenden Prozess geschieht, bleibt alles sortiert und es wird sichergestellt, dass ein Unternehmen die Erwartungen seiner Kunden erfüllt oder übertrifft.
  • Entfernen von überflüssigen Objekten – Oft wird eine Änderungsanforderung zu jeder Firewall innerhalb des Datenstroms hinzugefügt wird, weil der Administrator nicht die Zeit hatte genauer vorzugehen. Hier kommt erneut eine Security-Automatisierung ins Spiel, um diesen Prozess korrekt durchzuführen. Wenn Daten angefordert werden, dann bedeutet das nicht, dass jede Firewall im Netzwerk die Ausnahmeregel beinhalten muss – die Daten kommen möglicherweise gar nicht bei ihr vorbei. Eine automatisierte Richtlinienverwaltung wird daher die Anfrage für jede Firewall auswerten und sicherstellen, dass den Firewalls keine überflüssigen Objekte hinzugefügt werden.
  • Einrichtung eines Änderungsverfahrens für Policies – Gutes Firewall-Management benötigt ein durchdachtes Änderungsverfahren, welches eine vollständige Dokumentation aller Änderungen für das Auditing und zur Einhaltung der Compliance erstellt. Es gibt an, was zu welchem Zeitpunkt und warum geändert wurde.

Ransomware-Angriffe stellen ein besonders gefährliches Problem dar, wenn ein abtrünniger Mitarbeiter (Insider) daran beteiligt ist [6]. Die oft zitierte Mikro-Segmentierung für das Netzwerk hilft auch hier [7]. Ihre Einführung ist unerlässlich geworden – und durch Security-Automatisierung endlich in angemessener Zeit und mit angemessenen Kosten zu schaffen. Diese Maßnahme schränkt jeden Angreifer in seiner Bewegungsmöglichkeit innerhalb des Systems stark ein. So bleibt der Schaden im Falle einer erfolgreichen Attacke in klar abgesteckten Grenzen stecken.

Absicherung endet nie

Die vorgestellten Methoden, um sich gegen Ransomware-Angriffe besser zu schützen, stellen lediglich den Kern, nicht aber das gesamte Spektrum von Möglichkeiten zur Absicherung dar. Die sich stetig entwickelnde IT-Technologie und die ebenso fortschreitende Angriffsmethode der Angreifer erfordern gemeinsam von IT-Sicherheitsgruppen, stets auf der Hut zu sein und die eigene Verteidigung anzupassen. Die jüngste Notwendigkeit, um Schritt halten zu können, ist die Automatisierung alltäglicher und zu umfangreicher Prozesse. Das schaufelt den Fachkräften auch Zeit frei für große Projekte und entlastet sie, angesichts des Fachkräftemangels und vieler Überstunden. Einmal eingerichtet, können alle Beteiligten eines Unternehmens ruhiger an ihre Arbeit gehen – trotz ständiger Meldungen über erfolgreiche Ransomware-Attacken in den Nachrichten.

 

 

Quellen und Referenzen:

[1] https://securityintelligence.com/posts/ransomware-2020-attack-trends-new-techniques-affecting-organizations-worldwide/

[2] https://www.computerweekly.com/de/definition/Endpoint-Detection-and-Response-EDR

[3] https://www.security-insider.de/intrusion-detection-und-prevention-systeme-a-735825/

[4] https://www.security-insider.de/was-ist-ein-siem-a-772821/

[5] https://www.computerweekly.com/de/definition/SOAR-Security-Orchestration-Automation-and-Response

[6] https://techjury.net/blog/insider-threat-statistics/#gref

[7] https://www.it-daily.net/it-sicherheit/cloud-security/26312-das-netzwerk-sichern-wie-den-firmen-komplex

Über den Autor / die Autorin:


Tim Bloomer ist ein erfahrener Vertriebsingenieur, der sich hauptsächlich auf MSSPs konzentriert. Er bringt umfassende Kenntnisse und Erfahrungen aus erster Hand aus über 20 Jahren in dieser Branche mit. Seine Freizeit nutzt er am liebsten für Kajakfahren, Radfahren oder eine Kreuzfahrt mit seiner Frau.

Aktuell arbeitet er als Vertriebsingenieur bei AlgoSec.