Connect with us

Deutsch

Ransomware: Auch wenn sich die Angreifer in Ihrem Netzwerk befinden, ist es noch nicht zu spät, sich zu wehren

Published

on

Ransomware ist eines der größten Cybersicherheitsprobleme der heutigen Welt, da Banden routinemäßig in Unternehmensnetzwerke einbrechen, um Dateien und Netzwerke zu verschlüsseln.

Oft erkennen die Opfer erst, dass sie kompromittiert wurden, wenn Dateien, Server und andere Systeme verschlüsselt wurden und ihnen eine Lösegeldforderung vorgelegt wird, in der eine Zahlung in Kryptowährung für den Entschlüsselungsschlüssel verlangt wird.

Aber selbst wenn sich bereits Cyberkriminelle im Netzwerk befinden, ist es nicht unbedingt zu spät, um einen Ransomware-Angriff zu verhindern. Wenn ein Unternehmen über eine gute Strategie zur Bedrohungssuche verfügt, kann es seltsame oder verdächtige Aktivitäten erkennen und der Bedrohung entgegenwirken, bevor Ransomware zu einem großen Problem wird.

Das liegt daran, dass Kriminelle Wochen im Netzwerk verbringen können, bevor sie einen Ransomware-Angriff auslösen – und selbst wenn Schutzmaßnahmen, die sie am Eindringen in das Netzwerk hindern, versagt haben, kann diese Verzögerung eine Chance bieten, einen ausgewachsenen Ransomware-Angriff zu verhindern.

Das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) des US-Handelsministeriums listet Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen als die fünf Funktionen zur Sicherung von Netzwerken auf. Aber viele Unternehmen versuchen immer noch, sich auf den „Schutz“-Aspekt als Hauptverteidigungslinie zu verlassen, ohne eine klare Strategie, falls sie überhaupt eine hat, um Bedrohungen zu erkennen und darauf zu reagieren, die Schutzmaßnahmen umgehen.

„Wenn Sie an das CSF-Framework denken, geben wir meiner Meinung nach so viel für den Schutzbehälter aus und nicht genug für die Erkennung, Reaktion und Wiederherstellung“, sagte Jason Lewkowicz, Global CISO für Cognizant, während einer Podiumsdiskussion über Ransomware auf der VMware-Konferenz VMworld 2021 .

SEHEN: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht)

Wenn Kriminelle bereits in das Netzwerk eindringen konnten, mag es schwer zu glauben sein, dass noch nicht alles verloren ist, aber die Art und Weise, wie Angriffe funktionieren, bedeutet, dass es immer noch möglich ist, sie abzuschneiden und einen Ransomware-Vorfall zu verhindern.

Es ist beispielsweise üblich, dass Cyberkriminelle sich Zugang zu Netzwerken verschaffen und Malware installieren, um die von ihnen kompromitierte Umgebung zu untersuchen – dann folgen sie oft während der Tage oder Wochen, die sie im Netzwerk sind, einer Standardroutine. Es ist möglich, diese Aktivität zu identifizieren und wenn sie identifiziert wird, besteht die Möglichkeit, die Angreifer zu stoppen.

„Erkennung kann tatsächlich ein Teil der Abwehr von Ransomware sein. Es gibt eine klassische Ereigniskette von Ransomware und sie ist fast herzzerreißend, weil sie vorhersehbar ist und wir sie jeden Tag sehen“, sagte Katie Nickels, Director of Intelligence bei Red Canary.

„Mein Team wird eine erste Malware-Familie wie QBot sehen – dann werden sich die Gegner in der Umgebung umschauen, etwas auskundschaften und dann ein Tool namens Colbalt Strike installieren, dann bewegen sie sich seitlich. Es ist das gleiche Spielbuch – Ransomware kommt.“

Wenn Unternehmen ihr eigenes Netzwerk gut kennen und über ein Threat-Hunting-Team verfügen, das die Funktionsweise dieser praktischen Ransomware-Angriffe kennen und sie zur Erkennung von Bedrohungen nutzen kann, können sie identifiziert, entfernt und behoben werden, bevor das Problem zu einem wird umfassende Ransomware-Attacke.

„Wenn Sie diese Dinge erkennen können – dies sind sehr vorhersehbare Verhaltensweisen – wenn Sie sie frühzeitig erkennen können, können Sie die Verschlüsselung, die Exfiltration oder ein wirklich schlechtes Ergebnis tatsächlich verhindern“, sagte Nickels.

„Es ist interessant, weil jeder an Prävention und Schutz denkt, aber Früherkennung ist eigentlich die Verhinderung von Ransomware“, fügte sie hinzu.

Kleinere Unternehmen oder solche ohne ein beträchtliches IT- oder Informationssicherheitsbudget könnten Schwierigkeiten haben, sich selbst auf die Bedrohungssuche einzulassen, aber es kann nützlich sein, um einen Ransomware-Angriff zu verhindern, und es ist viel weniger kostspielig, als Opfer zu werden.

„Es ist so wichtig, Threat-Hunting-Fähigkeiten im Team zu haben – wenn Sie diese nicht in Ihrem Unternehmen haben, arbeiten Sie innerhalb des Ökosystems zusammen – weil Threat-Hunting wirklich hilft, diese zu identifizieren und diese Aktivitäten zu profilieren“, sagte Amelia Estwick, Director of Threat Forschung bei VMware.

In der Lage zu sein, herauszufinden, ob Cyberkriminelle das Netzwerk kompromittiert haben, kann eine wichtige Rolle dabei spielen, einen Vorfall tatsächlich zu verhindern oder zumindest sicherzustellen, dass die Auswirkungen reduziert werden. Es ist immer noch besser, einen Ransomware-Angriff auf einen Teil des Netzwerks zu beschränken, als ihn über die gesamte Unternehmensumgebung ausbreiten zu lassen. Es kann auch Cybersicherheitsteams helfen, zu lernen, zusätzliche Angriffe in Zukunft zu verhindern.

„Wir wissen bereits, dass sie da drin sind, also lassen Sie uns herausfinden, wie man die Luken verriegelt und wie sie sich im System bewegen, damit wir lernen können, bessere Tools bereitzustellen und zu entwickeln, um dies zu erkennen und zu verhindern, dass dies erneut auftritt.“ sagte Estwick.

MEHR ZU CYBERSICHERHEIT

Continue Reading

Copyright © 2021 Meta Mag Inc.