Sysbus
ArtikelSecurity

Sicherheit oder Komfort: Eine Geschichte über E-Mail-Spam und Ransomware

gcg

Memory-Scanning

Wird die Malware bereits auf dem Computer ausgeführt, hilft ein Memory Scanning dabei, weiteren aktiven Malware-Code zu finden und loszuwerden. Überprüft werden sollte auch die Liste der aktiven Programme. Cyber-Kriminelle kennen jedoch eine Vielzahl von Tricks, mit denen Malware in der Prozessliste verborgen bleibt, so dass nur eine direkte Untersuchung des Arbeitsspeichers helfen kann. Einige Malwarearten löschen sich bei Aktivität selbst von der Festplatte, so dass ein “Disc-only”-Scan vielleicht nicht hilft.

Unsere Tipps zum Endpoint-Scanning:

  • Stellen Sie sicher, dass Ihre Endpoints regelmäßig aktualisiert werden. Überprüfen Sie, dass dies auch korrekt geschieht.
  • Aktivieren Sie alle Live-Schutzfunktionen in Ihrem Produkt, um auch gegen die neuesten Bedrohungen gewappnet zu sein.
  • Aktivieren Sie HIPS, Behaviour Monitoring und Memory Scanning, wenn Ihr Produkt diese Funktionen unterstützt.
  • Aktivieren Sie Web Protection and Malicious Traffic Detection, um Downloader von ihrer Malwarequelle zu trennen.
  • Prüfen Sie, ob die Verwendung von Wechseldatenträgen wie USB-Sticks begrenzt werden kann.
  • Verwenden Sie Application Control um die Nutzung von ungenehmigter Software wie Torrent Clients, Keyloggern und anderem zu unterbinden.

Web Gateway-Schutz

Frank nutzt ein Unified Threat Management (UTM) Produkt, um Web-Richtlinien, Firewall, Netzwerk-Traffic und Serverschutz zu verwalten. Die bisherige Firewall-Regel, die den gesamten Datenverkehr in beide Richtungen erlaubte, hat er entfernt.

In den ersten Wochen seiner Tätigkeit erlaubte er den meisten Verkehr. Über einige Wochen hinweg prüfte er, was die Nutzer wirklich brauchten und schloss, was nicht benötigt wurde. Er aktiviert Intrusion Protection und nutzte die erweiterten Funktionen wie Port-Scanning um zu erkennen, wenn Kriminelle sein Netzwerk auf Schwachstellen hin testen würden. Er ermöglichte Traffic Flooding Protection um seine Server gegen einen DDoS-Angriff zu wappnen. Franks UTM-Lösung kommuniziert auch mit seinen Endpoints. Das hat den Vorteil, dass seine Policies einen Computer im Falle einer Infektion automatisch vom Internet oder internen Servern trennen können.

Im Falle einer Malware-Attacke könnten alle infizierten Computer schnell gestoppt und unter Quarantäne gestellt werden, um größeren Schaden vom Netzwerk abzuwenden.

Sicherheitsberechtigungen

Bei Frank gilt das Prinzip des geringsten Privilegs: wenn Benutzer nicht auf eine bestimmte Ressource oder Server im Netzwerk zugreifen müssen, dann erteilt er diese Erlaubnis auch nicht. Wie viele andere hat auch Frank sich schon mit den Konsequenzen von Ransomware beschäftigen müssen. Die Vorgehensweise ist perfide:

  • Ein Benutzer aktiviert eine infizierte Datei,
  • Diese holt und startet die Ransomware,
  • Diese kontaktiert einen Server und holt sich einen einzigartigen Encryption-Schlüssel,
  • Dann beginnt sie, alles Vorhandene zu verschlüsseln: mobile und stationäre Festplatten, Netzwerkfreigaben und vieles mehr,
  • Der User bittet die IT um Hilfe,
  • Ein System-Admin verbringt dann viel Zeit damit, den Computer wiederherzustellen und die verlorenen Daten aus dem Backup zu holen.

Verschlüsselt wird grundsätzlich alles: Bilder, Dokumente, Videos, die letzte Präsentation in der Stunden Arbeit stecken, die Bitcoin-Brieftasche und sogar die Minecraft-Kreationen. Verantwortliche sollten darauf achten, mindestens eine Sicherung offline zu haben. Ist das Backup-Laufwerk angeschlossen, werden die hier befindlichen Daten ebenso verschlüsselt.

Hinweis:

Bei der Fehlersuche in Folge einer Ransomware-Infektion, bei der Server-Dateien verschlüsselten wurden, kann es schwierig sein, die infizierten User zu identifizieren, die den Schaden verursacht haben. Nutzen Sie den Windows-Explorer und stellen Sie auf die “Details”-Ansicht. Dann fügen Sie die Spalte “Owner” hinzu. Hier finden Sie häufig den Usernamen, der die Verschlüsselung verursachte.

Zusammenfassung

Kundige Anwender machen das Netzwerk für alle sicherer. Informationen über das “Wie” und mögliche Konsequenzen ihres Tuns helfen dabei, die Vorteile der Sicherheit verständlicher zu machen und zu verdeutlichen, welche Unannehmlichkeiten entstehen können. Dies wird sich auch auf die Sicherheit in Heimnetzwerken auswirken. Niemand will seine Urlaubsbilder verschlüsselt sehen, nur weil er leichtsinnig auf den falschen Anhang geklickt hat.

Ähnliche Beiträge:

  1. Kostenloses CMS “Ghost”
  2. Bitdefender GravityZone Business Security im Test: Sicherheit für das ganze Unternehmensetz
  3. Clearswift eliminiert Spam-E-Mails und verhilft DMK zu mehr Compliance
  4. Möglichkeiten zur Bekämpfung von Bedrohungen durch Social Engineering, die auf Rechenzentren abzielen

Das könnte dir auch gefallen

Warum Zurückhaltung beim Privileged Access Management der falsche Weg ist

gg

Zero Trust: Systemarchitektur von EfficientIP integriert DNS in das IT-Sicherheitskonzept

gg

Neue Version von Kaspersky Small Office Security deckt aktuelle Sicherheitsanforderungen kleiner Unternehmen ab

gcg