Drei Schlüsselfaktoren bei der Abwehr von Ransomware



Category: Unkategorisiert
 

This post is also available in: Nederlands (Niederländisch) Türkçe (Türkisch) Español (Spanisch) Italiano (Italienisch)

Die effektivste Strategie gegen Ransomware-Angriffe ist es, ein Eindringen in das Unternehmen zu verhindern. Die Anzahl der Anwendungen und Dienste, die ein Unternehmen benötigt, steigt ständig an. Dies führt bei unzureichenden Schutzmaßnahmen zu einer vergrößerten Angriffsfläche, die das Netzwerk, SaaS-basierte Anwendungen und Endpunkte umfasst. Da die Angreifer immer raffinierter werden, werden neue Angriffe schneller ausgeführt als bekannte Schwachstellen geflickt oder Patches aufgespielt werden können. Unternehmen müssen daher beginnen, ihre Sicherheitsplattform ganzheitlich zu überdenken.

 

VON DER ERKENNUNG ZUR ABWEHR

Ältere Cybersicherheitsansätze haben sich vor allem auf die Erkennung und Schadensbehebung konzentriert. Das ist heute aber nicht mehr wirksam. Um einen Angriff per Ransomware zu verhindern, muss hier ein Paradigmenwechsel weg von der Erkennung und hin zur Abwehr erfolgen. Es gilt, Angriffe zu stoppen, bevor sie ein Unternehmen infizieren und Schaden anrichten können. Dazu benötigt das Unternehmen eine geeignete Sicherheitsarchitektur, die drei entscheidende Eigenschaften haben muss:

  1. Minimierung der Angriffsfläche
  2. Abwehr bekannter Bedrohungen
  3. Identifikation und Abwehr unbekannter Bedrohungen

 

  1. Minimierung der Angriffsfläche

Um die Angriffsfläche zu reduzieren, müssen Sie sich einen vollständigen Überblick über den Datenverkehr in Ihrem Netzwerk verschaffen, und zwar für alle Anwendungen, Bedrohungen und Benutzertypen. Wenn Sie nicht wissen, was sich in Ihrem Netzwerk tut, hat der Angreifer Ihnen etwas voraus und findet ein Schlupfloch. Wenn Sie Aktivitäten richtig einordnen können, treffen Sie die richtigen Entscheidungen darüber, was erlaubt ist und was nicht. Außerdem fallen unbekannte Ereignisse, die untersucht werden müssen, dadurch wesentlich mehr auf. Dieser Überblick erlaubt es Ihnen, aktiv zu werden und beispielsweise unbekannten Datenverkehr zu blockieren, ausgeklügelte Angriffe zu erkennen oder ausschließlich die Anwendungen zuzulassen, die in Ihrem Unternehmen etwas zu suchen haben.

Nachdem Sie den Verkehr eingegrenzt haben, müssen anwendungs- und nutzerbasierte Richtlinien durchgesetzt werden. Solche Richtlinien lassen sich fein einstellen, sodass der Zugriff auf bestimmte Anwendungen auf bestimmte Nutzergruppen und für bestimmte Netzwerkbereiche beschränkt wird. Mit hoher Transparenz und den passenden Richtlinien unterbinden Sie bereits einen Großteil der Methoden, mit denen Malware in Netzwerke eingeschleust wird.

Um die Angriffsfläche noch weiter zu reduzieren, müssen Sie außerdem alle gefährlichen und potenziell gefährlichen Dateitypen blockieren. Dabei sollte man sich auf Dateitypen mit einer höheren Gefährlichkeitswahrscheinlichkeit konzentrieren. Anschließend müssen Richtlinien implementiert werden, die auf Ihre Risikotoleranz abgestimmt sind. Nutzern sollte eine Verbindung nicht richtlinienkonformer Endpunkte mit kritischen Netzwerkressourcen unterbunden werden.

 

  1. Abwehr bekannter Bedrohungen

Nachdem Sie Ihre Angriffsfläche verkleinert haben, ist der nächste Schritt die Abwehr bekannter Bedrohungen. Hierzu müssen Sie verhindern, dass bekannte Exploits, Malware und bekannter Command-and-Control-Verkehr in Ihr Netzwerk gelangt. Dadurch vergrößern Sie für Angreifer die Kosten eines Angriffs und senken dessen Wahrscheinlichkeit, indem Sie die Angreifer zwingen, neue Varianten von Malware zu erfinden und neue Exploits gegen weniger bekannte Schwachstellen zu starten.

Sie müssen außerdem Ihre Anwender am Besuch bekannt bösartiger URLs und Phishing-Seiten hindern, damit diese nicht versehentlich einen Schadcode herunterladen und damit ihnen die Zugangsdaten nicht gestohlen werden. Dadurch beseitigen Sie bereits eine gewisse Menge an Bedrohungen. Nachdem diese Bedrohungen blockiert sind, müssen Sie auch Ihre SaaS-basierten Anwendungen nach bekannter Malware scannen, da auch diese vermehrt missbraucht werden. Alle so identifizierten Exploits und Malware-Arten müssen blockiert werden. Dasselbe gilt für bekannte Malware und Exploits auf dem Endpunkt.

 

  1. Identifikation und Abwehr unbekannter Bedrohungen

Nachdem die bekannten Bedrohungen blockiert wurden, müssen zwingend auch unbekannte Bedrohungen identifiziert und blockiert werden, da Angreifer ständig neue Zero-Day-Exploits und Ransomware-Varianten entwickeln. Der erste Schritt hierbei ist die Erkennung und Analyse unbekannter Bedrohungen in Dateien und URLs. Sofort bei Vorliegen neuer Dateien müssen diese bisher unbekannten Strukturen genauestens seziert, analysiert und auf bösartiges Verhalten untersucht werden. Darüber hinaus muss der Schutz so schnell wie möglich automatisch auf einzelne Ebenen und Komponenten der Sicherheitsinfrastruktur angewendet werden, um Bedrohungen abzuwehren. Um den Angreifer, die Malware, die Kampagne und die typischen Muster des Angriffs zu verstehen, wird auch Kontext benötigt. Sobald unbekannte Bedrohungen oder neu entdeckte, verdächtige Verhaltensmuster identifiziert und blockiert wurden, muss dies auf dem Endpunkt wiederholt werden, damit alle Zugangspunkte gesichert sind.

Ziel dieser Vorgehensweise ist es, das Unbekannte bekannt zu machen und den Sicherheitsstatus schneller um neue Elemente zu ergänzen als die Angreifer ihre Malware und Exploits entwickeln können – in jeder Phase eines Angriffs.

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.


© 2018 Palo Alto Networks, Inc. All rights reserved.