Sysbus
ArtikelSecurity

Ransomware: Ihnen bleiben fünf Minuten

gg

Achten Sie auf Anzeichen einer lateralen Bewegung

Eine verdächtige laterale Bewegung ist ein deutliches Zeichen dafür, dass eine nicht autorisierte Person Zugang zu einem Netzwerk hat. Angreifer bewegen sich durch die Systeme auf der Suche nach wertvollen Informationen, die sie (durch Diebstahl und/oder Korrumpierung) monetarisieren können. Um überhaupt erkennen zu können, ob etwas verdächtig, also abnormal ist, muss man zunächst wissen, wie sich alle Nutzer beziehungsweise Konten in einem Netzwerk normalerweise verhalten. Kommt es hier zu Diskrepanzen, sollten die Alarmglocken klingeln.

Voraussetzung hierfür ist, dass alle Konten im Netzwerk identifiziert und ihre üblichen Aktivitäten protokolliert werden. Diese Informationen umfassen beispielsweise, zu welchen Zeiten von welchem Rechner aus auf ein Konto und auf welche Ressourcen normalerweise zugegriffen wird. Diese Daten bilden das „Normalverhalten“. Kommt es zu Abweichungen, können die Sicherheitsteams dann auf alles Ungewöhnliche reagieren, indem sie zum Beispiel ein Konto vorübergehend sperren oder den Kontoinhaber kontaktieren, um zu überprüfen, ob es sich tatsächlich um den legitimen Nutzer handelt.

Begrenzen Sie den Zugriff nach dem Least Privilege-Modell

Es ist eigentlich ganz logisch: Ransomware kann nur die Daten verschlüsseln, auf die das kompromittierte Konto Zugriff hat. Gemäß dem Least Privilege-Ansatz erhält jeder Mitarbeiter nur den Zugriff, den er auch tatsächlich für seine Arbeit benötigt. Leider wird dieses Modell zu selten umgesetzt: Der Data Risk Report hat gezeigt, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können. Ein Ransomware-Angriff hat dann eine entsprechend verheerende Wirkung.

In diesem Zusammenhang werden oftmals IT-Konten übersehen. Idealerweise sollten etwa IT-Administratoren über zwei getrennte Konten verfügen: eines für die Verwaltung des IT-Netzwerks und ein weiteres für alltägliche Arbeitsfunktionen wie das Beantworten von E-Mails. Wenn der Administrator eine böswillige E-Mail unter Verwendung seines „Alltags-Kontos“ öffnet, wird so das Potenzial für die Verbreitung von Malware begrenzt. Benutzt er hingegen nur ein Konto, könnte sich die Malware auf sämtliche betreute Rechner verteilen.

Bild: Varonis Systems

Überwachen Sie Datei-Aktivitäten

Die Überwachung des E-Mail-Verkehrs sowie der Webnutzung der Mitarbeiter ist seit geraumer Zeit bei vielen Unternehmen gang und gäbe. Leichtfertiges Online-Verhalten oder unvorsichtige Mail-Aktivitäten wie das Klicken auf einen Phishing-Link können der Auslöser für einen mehrstufigen Angriff sein, der auch Ransomware einschließt. Überwacht man diese zwei Angriffsvektoren, ist man in der Lage, vieles, was das IT-Netzwerk gefährden könnte, schnell im Keim zu ersticken. Gleichwohl wenden nur wenige Unternehmen diese Art von Wachsamkeit auch auf ihre sensiblen Daten an. Unternehmen sollten protokollieren, wer wann auf welche Daten zugreift und was er mit ihnen macht. Dies dient nicht dem Zweck einer Überwachung der Arbeitsleistung, sondern ausschließlich der Sicherheit: Auf diese Weise wird nicht nur sichergestellt, dass die Mitarbeiter nicht unbefugt Dateien ansehen, verschieben, kopieren oder verändern, sondern gleichzeitig ein wertvollen Audit-Trail im Falle eines Angriffs ermöglicht. Anhand dieser Informationen kann das IT-Sicherheitsteam nachvollziehen, welche Daten kompromittiert oder verschlüsselt wurden, und Maßnahmen ergreifen, um ihre Wiederherstellung nach dem Angriff sicherzustellen.

Es empfiehlt sich zudem, veraltete und nicht mehr benötigte Daten (stale data) zu entfernen, also zum Beispiel Informationen über Kunden und Mitarbeiter, die schon länger nicht mehr mit dem Unternehmen in Verbindung stehen. Diese Daten haben zwar für das Unternehmen keinen Wert mehr, sind für Angreifer aber dennoch durchaus interessant. In einem durchschnittlichen Unternehmen ist bis zur Hälfte der Daten veraltet, was zu großen Problemen bei der Überwachung und einer potenziellen Offenlegung führt. Herauszufinden, welche Daten noch genutzt werden und welche gelöscht beziehungsweise archiviert werden können, ist angesichts der schieren Menge nicht manuell durchführbar. Aber auch hier hilft Automation: Unternehmen sollten hierfür Tools einsetzen, die automatisch solche Daten identifizieren und dann ebenfalls automatisch entsprechend der jeweiligen Aufbewahrungsrichtlinien löschen oder ins Archiv verschieben – und damit die Angriffsfläche deutlich reduzieren.

Schaffen Sie Transparenz in die lokale und Cloud-Infrastruktur

Die Nutzung von Cloud-Anwendungen und -Datenspeichern bringt Unternehmen zahlreiche Vorteile, eröffnet aber auch neue Angriffspunkte, die es zu überwachen gilt. Zumal Angriffe auf und über die Cloud bei Cyberkriminellen immer mehr an Beliebtheit gewinnen: Die Cloud ist immer verfügbar, häufig schwach geschützt oder mangelhaft konfiguriert. Darüber hinaus ermöglicht sie eine leichtere Verbreitung von Ransomware: Wurde beispielsweise ein Microsoft 365-Konto kompromittiert, ist es für Angreifer relativ einfach und erfolgsversprechend, bösartige Links innerhalb des Unternehmens zu verteilen. Da diese Nachricht aus einer scheinbar vertrauenswürdigen Quelle stammt, ist die Wahrscheinlichkeit recht hoch, dass die Nachricht von den Empfängern auch geöffnet beziehungsweise der Link angeklickt wird.

Die hybride Nutzung von lokalen und Cloud-Infrastrukturen führt dazu, dass viele Unternehmen separate Sicherheitslösungen einsetzen. Folglich sind sie nicht in der Lage, von einem Ort aus einen vollständigen Überblick über das Netzwerk zu haben. Dies macht es schwierig, genau zu überwachen, was in diesen Umgebungen vor sich geht. Eine konsolidierte Ansicht hingegen ermöglicht den Sicherheitsverantwortlichen, schnell und einfach alles zu erkennen, was darauf hindeuten könnte, dass ein Angriff stattfindet. Je mehr Informationen aus unterschiedlichen Quellen in Zusammenhang gebracht werden, desto klarer wird das Bild und desto präziser lassen sich Angriffe erkennen und unterbinden.

Müssen wir uns mit Ransomware abfinden? Auf absehbare Zeit bestimmt. Sind wir Ransomware schutzlos ausgeliefert? Auf keinen Fall. Unternehmen sollten davon ausgehen, dass sie irgendwann Opfer einer solchen Attacke werden. Die fünf genannten Schritte können bei der Vorbereitung hierauf helfen und dafür sorgen, dass der Angriff schnell erkannt und schnell gestoppt wird. Die Ransomware hat sich in den letzten Jahren weiterentwickelt. Jetzt ist es an den Unternehmen, ihre Sicherheitsstrategie an diese Bedrohung anzupassen. Um gegen Ransomware zu bestehen, kommt es vor allem auf eine schnelle Reaktion an. Eine umfassende Vorbereitung kann hier zusammen mit automatisierten Sicherheitswerkzeugen den entscheidenden Unterschied ausmachen.

Ähnliche Beiträge:

  1. Gekommen, um zu bleiben – man muss auf Ransomware vorbereitet sein
  2. Bei aller Vorsicht vor Ransomware – Versteckte Malware lauert häufig im Verborgenen
  3. Barracuda identifiziert aktiven Ransomware-Angriff mit bisher weltweit über 20 Millionen Attacken
  4. Neues Kaspersky Anti-Ransomware Tool für Unternehmen kostenlos verfügbar

Das könnte dir auch gefallen

Neuer LANCOM VPN Client für Windows

gcg

Bromium-Lösung schützt vor bösartigen Downloads

gg

Sophos bietet Dienst zum Finden der richtigen Firewall

gcg
Die mobile Version verlassen
%%footer%%