Blog
/
Eindämmung von Ransomware

Gehen Sie mit Zero Trust Endpoint Security von Sicherheitslücken aus

Michael Adjei
,
Leitender Systemingenieur
May 5, 2023
23 min. Lesedauer

„Wir hatten Sicherheitsvorkehrungen getroffen, also wie hat Ransomware durchkommen?“ — eine ergreifende Frage, die nach einer schweren Cyberverletzung oft zu Krisensitzungen in den Vorstandsetagen geführt hat. Zu einem für viele Unternehmen so entscheidenden Zeitpunkt steht viel auf dem Spiel — der Ruf der Marke, Bußgelder für die Einhaltung der Vorschriften, Verlust des Anlegervertrauens, Aktienkursschwankungen und sogar Überlegungen zur Lösegeldzahlung.

ransomware-attack-encryption

Und in Wirklichkeit ist diese Frage alles andere als fehl am Platz. Sicherheitslösungen für Endgeräte und Perimeter sind in Unternehmensnetzwerken allgegenwärtig. Das wirft dann die Frage auf: Wie kommt Ransomware immer noch durch und vor allem, warum kann sie sich immer noch schnell ausbreiten und mit so alarmierender Geschwindigkeit verheerende Schäden anrichten?

In diesem Artikel werden wir diese Fragen untersuchen. Wir werden auch die traditionellen Ansätze überdenken, die bisher dominiert haben Endpunktsicherheit Geschichte bis jetzt.

Die Geschichte: Gleiches Drehbuch, verschiedene Schauspieler

In vielen Fällen führt die Vorgehensweise der Bedrohungsakteure zu einer vertrauten Handlung mit einem unheimlich vorhersehbaren Ende, und sie sieht in der Regel ungefähr so aus:

  • Konzentrieren Sie sich auf einfache Ziele wie den Endpunkt eines Endbenutzers (Anmeldeinformationen) oder einen Web-Front-End-Server
  • Verwenden Sie eine Kombination aus direkter und indirekter Sondierung und Social Engineering für erste Kompromisse
  • Finden Sie heraus, worauf Sie sonst noch zugreifen können, und wechseln Sie von der infizierten Maschine aus
  • Rechte erweitern, um auf andere Computer wechseln zu können
  • Verbreiten Sie sich weiter auf die hochwertigen Systeme und schließen Sie dann bösartige Ziele ab
  • Spülen und wiederholen

In dieser Geschichte ist jeder ein Ziel.

Nehmen wir zum Beispiel den Vertragsentwickler, der aus der Ferne arbeitet, um eine wichtige Unternehmenssoftware für einen Kunden bereitzustellen. Sie arbeiten in der Regel nach sehr engen Fristen und stehen daher manchmal unter dem Druck, möglicherweise Abstriche zu machen, um Projekte vor ihren Terminen abzuschließen. Diese Art von Endpunktbenutzern ist ein idealer Kandidat für einen Supply-Chain-Angriff, denn wenn sie gefährdet sind, kann ihr Endpunkt dazu verwendet werden, die Quellcodekontroll-Pipeline (CI/CD) zu infiltrieren. Ein weiteres Beispiel für zielgerichtete Benutzer sind Vertriebs- und Marketingleiter, die am häufigsten unterwegs sind und an Besprechungen und Veranstaltungen teilnehmen. Sie sind auch dem Risiko von Social-Engineering- und Phishing-Angriffen ausgesetzt, da sie mit größerer Wahrscheinlichkeit auf öffentliche, ungeschützte Netzwerke zugreifen.

Solche Benutzer und ihre Endgeräte ermöglichen es dem Bedrohungsakteur, sobald er kompromittiert ist, einen Drehpunkt zu haben, an dem er seinen Angriff fortsetzen kann. Sie versuchen dann, auf Konten mit höheren Rechten zuzugreifen und auf andere Computer zu wechseln, bevor sie schließlich zu wichtigen Systemen wie Datenbanksystemen, Dokumentenverwaltungssystemen oder Kundenbeziehungsmanagementsystemen gelangen. Dabei handelt es sich häufig um wertvolle Ressourcen, die wertvolle geschäftliche und persönliche Informationen für das Unternehmen enthalten.

Der Status Quo: Müdigkeit bei der Cyberabwehr

Bedrohungsakteuren mangelt es nicht an Techniken — von dateiloser Malware, die ausgeklügelte Code-Injection und extrem ausweichende Ransomware-Payloads nutzt, bis hin zu uralten Sicherheitslücken, die immer noch wirksam sind, weil Unternehmen auf veraltete Systeme angewiesen sind, die sehr alten, aber wichtigen Geschäftscode hosten, der möglicherweise nicht leicht zu ersetzen ist. Manchmal sieht es so aus, als ob Angreifer im Vorteil sind.

Und vielleicht tun sie das, weil die Verteidiger einer Flut von Bedrohungsakteuren mit einem wachsenden Arsenal an bösartigen Fähigkeiten ausgesetzt sind. Wie das Sprichwort sagt, müssen Verteidiger es die ganze Zeit richtig machen, während die Angreifer es nur einmal richtig machen müssen. Aus diesem Grund sind die Verteidiger die meiste Zeit dem größten Druck ausgesetzt.

Ich will den Punkt nicht weiter vertiefen, aber hier ist ein Beispiel für die Brute Ratel-Nutzlast und die zugehörige MITRE TTP-Map, um zu zeigen, womit Verteidiger es mit nur einer Nutzlast zu tun haben. Und es gibt viele verschiedene Varianten von Schadsoftware mit solchen Fähigkeiten.

Auf dem Bild ist der kleine Punkt ganz links die Brute Ratel-Nutzlast. Auf der rechten Seite befinden sich die vielen verschiedenen Taktiken und Techniken, die diese einzelne Nutzlast einsetzen kann, um ein System zu infizieren, sich der Entdeckung zu entziehen und seine bösartigen Ziele zu verfolgen.

Dies ist ein Teil der Gründe, warum Sicherheitslücken und Ransomware-Fälle trotz einer beeindruckenden Weiterentwicklung der Endpunkt-Sicherheitstools — Antivirus (AV), Next Generation AV (NGAV), Endpoint Protection Platforms (EPP), Endpoint Detection and Response (EDR) usw. — weiter zunehmen. Diese Tools werden mit einer noch längeren Liste von Schutzfunktionen kombiniert — Signaturanalyse, Anwendungs-/Prozesssteuerung, Heuristik, Verhaltensanalyse, Exploit-Abwehr, Sandboxing, und so weiter auf — die das eigentliche Problem lösen sollen, das jetzt aufgetreten zu sein scheint verschärft. Die Verbreitung von Ransomware in den letzten Jahren hat die Ernsthaftigkeit des Problems bewiesen.

Warum ist Malware also immer noch in der Lage, durchzudringen?

Dafür kann es eine Reihe von Gründen geben. In einigen Fällen haben die bestehenden Sicherheitssysteme, bei denen in der Regel die Erkennung an erster Stelle stand, die Bedrohung völlig übersehen. Das könnte an einer Zero-Day-Sicherheitslücke oder an hochgradig ausweichenden Techniken liegen. Es könnte auch sein, dass ein erforderliches Sicherheitsmodul nicht richtig konfiguriert wurde oder das richtige Modul aufgrund von Budgetbeschränkungen oder Fehlalarmen, die alltägliche geschäftliche Anwendungsfälle blockieren, überhaupt nicht implementiert wurde.

Vor dem Hintergrund einer fast endlosen Liste von Angriffsmöglichkeiten wie der Bedrohung durch Sicherheitslücken auf Endbenutzer- und Anbieterseite und der ständig zunehmenden Komplexität moderner Netzwerke (Hybridumgebungen) kann etwas schief gehen. Und das ist der Grund, warum das in der Regel der Fall ist.

Cyber-Resilienz: Zero-Trust-Endpunktsicherheit

Also, was kommt als Nächstes? Treten Sie dem kooperativen Sicherheitsparadigma bei! Dies ist traditionelle Endpunktsicherheit bei der Erkennung, kombiniert mit dem neueren Zero-Trust-Ansatz für Endpunktsicherheit.

Es ist ein neues Sicherheitsparadigma, das auf proaktiver Sicherheit basiert und Zero Trust-Prinzipien Zusammenarbeit mit vorhandenen Sicherheitstools, ohne dass Netzwerk- und Systemänderungen erforderlich sind. Diese Funktion nutzt plattformübergreifende Endpunktdaten, die von einem intelligenten und skalierbaren Zentralgehirn zentral analysiert werden.

endpoint-visibility-illumio

Es beginnt mit einer unterbrechungsfreien Bereitstellung, die innerhalb von Minuten erfolgt. Anschließend erhalten Sie zusätzlich zur normalerweise überwachten Nord-Süd-Kommunikation einen Einblick in die Ost-West-Kommunikation. Dies ist notwendig, da Unternehmen in der Lage sein müssen, die Kommunikation über verschiedene Betriebssysteme, Plattformen und Standorte hinweg gleichzeitig zu verfolgen und zu verfolgen. Und all dies ist ohne zusätzliche System- und Netzwerkänderungen möglich. Hier sehen wir ein Beispiel für alle verschiedenen Endpunkte und Server-Workloads, einschließlich öffentlicher Cloud-Ressourcen, die logisch (ohne Netzwerkänderungen) nach ihren zugewiesenen Standortnamen gruppiert sind.

endpoint-server-workloads-location

Da Endpunkte nicht im luftleeren Raum existieren, kommunizieren sie mit vielen verschiedenen Systemen. Sie versuchen möglicherweise sogar, mit anderen Endpunkten zu kommunizieren, obwohl diese Kommunikation in einigen Fällen aufgrund eines hohen Risikos von seitliche Bewegung. Aus diesem Grund ist es sehr wichtig, einen Einblick in die Endpunktkommunikation zu haben.

endpoint-visibility-communication

Endpunkte kommunizieren auch mit Servern und Workloads. Einige davon unterliegen möglicherweise der Kontrolle der Organisation in ihren Rechenzentren, während es sich bei anderen um Cloud-SaaS-Dienste von Drittanbietern handeln kann. Es ist notwendig, einen Einblick in diese Kommunikation zu erhalten, um alle Risiken dieser Endgeräte und der Server, mit denen sie sich verbinden, zu verstehen.

endpoints-servers-connections

Sichtbarkeit ist, wie oben erläutert, eine notwendige Voraussetzung für eine durchgehend aktive Durchsetzung, die für die Eindämmung von Erkennungsfehlern durch herkömmliche Endpunktsicherheit und EDR sorgt. Zu den Durchsetzungsmöglichkeiten gehören identitäts- und domänenbasierte Richtlinien zur Abwehr von Malware-Rückrufen sowie prozessbasierte Regeln für Nanosegmentierungund Kommunikationskontrolle mit Richtlinien, die auf Firewalls und Sicherheitslücken basieren. Dieser Ansatz bedeutet auch, dass, ob Zero-Trust-Richtlinien oder Grenzen verweigern, Sicherheitsrichtlinien werden auf der Grundlage von Verkehrsinformationen definiert und bereitgestellt. Diese Informationen sollten sich darauf beziehen, welche Systeme wir haben, was sie tun, und darauf aufbauend, wie sie angemessen geschützt werden können. Die Kenntnis des Standorts verbessert auch die politische Flexibilität innerhalb und außerhalb des Unternehmensnetzwerks. All dies sollte einheitlich auf verschiedenen Plattformen angewendet werden — Windows, Linux, Mac, Unix, Cloud und Container.

Um diese Ziele aus der Sicht eines Verteidigers zu erreichen, sind Teams und Tools erforderlich, um effektiv zusammenzuarbeiten. Ein Unternehmen, das von Sicherheitsverletzungen ausgeht, konzentriert sich wahrscheinlich eher auf die Cyber-Resilienz als auf die bloße Erkennung. Sie messen Eindämmungsstrategien ebenso viel Bedeutung bei wie der Erkennung.

Illumio Endpoint ergänzt bestehende Erkennungstools

Im Rahmen der Illumio Zero Trust Segmentierungsplattform, Illumio Endpunkt wurde entwickelt, um bestehende Sicherheitstools zur Erkennung zu ergänzen und gleichzeitig die größten Lücken in Bezug auf Sichtbarkeit und Schutz vor seitlichen Bewegungen zu schließen.

Diese Art von Eindämmungsansatz wurde kürzlich auf die Probe gestellt von Bischof Fox. Durch mehrere Angriffsemulationen stellten sie fest, dass Sicherheitslücken mit Illumio bis zu viermal schneller erkannt wurden Zero-Trust-Segmentierung weil die Angreifer diese Eindämmungsmethoden umgehen mussten, was für mehr Lärm sorgte, den die Erkennungstools auffangen konnten.

Insgesamt führt die Segmentierung nach Endpunkten zu einem positiven Sicherheitslage das sorgt in Zusammenarbeit mit bestehenden Sicherheitsinvestitionen für eine großartige Endpoint-Story!

Sie möchten mehr über Illumio Endpoint erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Endpunktsicherheit
Endpunkt

In Verbindung stehende Artikel

Was bei einem Cybervorfall zu tun ist, Teil 2: Nichttechnische Reaktion
Eindämmung von Ransomware

Was bei einem Cybervorfall zu tun ist, Teil 2: Nichttechnische Reaktion

Lesen Sie mehr
Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann
Eindämmung von Ransomware

Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann

Wie die Mikrosegmentierung die Angriffsfläche hätte reduzieren und die Folgen des Kaseya-Angriffs abschwächen können.

Lesen Sie mehr
5 Schritte zur Eindämmung von Malware mit Zero-Trust-Segmentierung
Eindämmung von Ransomware

5 Schritte zur Eindämmung von Malware mit Zero-Trust-Segmentierung

Lesen Sie mehr
3 Best Practices für die Implementierung von Illumio Endpoint
Illumio Produkte

3 Best Practices für die Implementierung von Illumio Endpoint

Lernen Sie drei einfache, aber effektive Schritte kennen, um Ihre Endgeräte mit Illumio zu sichern.

Lesen Sie mehr
Illumio Endpoint-Demo: Schneller ROI für Endpunktsegmentierung
Illumio Produkte

Illumio Endpoint-Demo: Schneller ROI für Endpunktsegmentierung

Sehen Sie sich diese Illumio Endpoint-Demo an, um zu erfahren, wie die Endpunktsegmentierung mit Illumio einen schnellen ROI bietet.

Lesen Sie mehr
Warum Hacker Endgeräte lieben — und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können
Illumio Produkte

Warum Hacker Endgeräte lieben — und wie sie ihre Ausbreitung mit Illumio Endpoint stoppen können

Herkömmliche Sicherheitslösungen machen Endgeräte für Hacker völlig unzugänglich. Erfahren Sie, wie Sie sich mit Illumio Endpoint proaktiv auf Sicherheitslücken vorbereiten können.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr