Neuausrichtung auf Ransomware: Drei Fakten zum Aufbau eines Ransomware-fähigen Netzwerks

Mit Nationaler Monat des Cybersicherheitsbewusstseins Zum Auftakt ist das eine Thema, von dem Sie mit Sicherheit hören werden, Ransomware.

Dies ist nicht überraschend, da Ransomware die häufigste Art von Cyberangriffen Organisationen sehen sich gegenüber.

Sie müssen auf den Moment vorbereitet sein, in dem Sie einen Anruf erhalten, in dem anscheinend etwas Verdächtiges in Ihrer Umgebung entdeckt wurde.

Stellen Sie diesen Monat Ihre Ransomware Konzentrieren Sie sich auf drei wichtige „Wahrheiten“, die alle Unternehmen akzeptieren und entsprechend handeln müssen, um eine solide Grundlage für den Schutz Ihres Netzwerks vor der Ausbreitung eines Ransomware-Angriffs zu schaffen.

Erfahren Sie von Nathanael Iversen, Chief Evangelist von Illumio, wie Sie sicherstellen können, dass Ihr Unternehmen bereit für Ransomware ist:

Lesen Sie weiter, um mehr zu erfahren.

Wahrheit #1: Entwerfen Sie Ihr Netzwerk proaktiv in Erwartung eines Ransomware-Angriffs

Stell dir vor, du bekommst der Anruf. In diesem Moment hat jedes Netzwerk von Erkennungs- und Sensortechnologien, das Sie ausgewählt haben, seine Aufgabe erfüllt, und die Reaktionsfähigkeit bei Vorfällen wird von entscheidender Bedeutung sein. Schließlich können Sie nur mit dem reagieren, was bereits eingesetzt, aktiv und sorgfältig vorbereitet ist.

Niemand hat Zeit, spontan neue Fähigkeiten aufzubauen, wenn ein Angriff im Gange ist.

Wenn Architekten Gebäude entwerfen, müssen sie Brandschutztüren für jedes Stockwerk, jedes Büro und jeden Treppenhauseingang entwerfen. Diese Türen werden oft offen gelassen oder funktionieren die meiste Zeit einfach wie normale Türen.

Wenn jedoch ein Feuer ausbricht, fangen diese Türen das Feuer und den Rauch ein und bieten den Menschen einen sicheren Ausgang, um das Gebäude zu verlassen.

Drei Funktionen bieten Ihnen diese „Brandschutztüren“, mit denen Sie effektiv auf einen Ransomware-Angriff reagieren und dessen Auswirkungen minimieren können:

1. Die Fähigkeit zu Verkehrsflüsse visualisieren und der Angriffsradius. Eine Reihe von NetFlow-Daten zu haben, wird nicht hilfreich sein. Im Moment ist es wichtig, vollständige, automatisierte Karten der Anwendungsabhängigkeiten zu haben und die Fähigkeit, die Aktivität an einem beliebigen Netzwerkport abzufragen. Zusammengenommen wird es möglich, genau zu sehen, wo sich ein Angriff befindet, war und wo er versucht wird, hinzugehen.
2. Der nächste ist voreingestellt Sicherheitsrichtlinien das kann Teile des Netzwerks absperren und überall dort sichere Zonen einrichten, auf die der Angriff noch nicht zugegriffen hat. Dadurch wird die Ausbreitung von Ransomware verhindert und es entstehen „saubere Zonen“, in die infizierte Computer nach der Desinfektion verschoben werden.
3. Endlich eng Grenzen muss in der Nähe von kompromittierten Maschinen platziert werden um Verbindungen zu Kommando- und Kontrollnetzwerken, zur Verbreitung oder sogar zur Aufklärung zu eliminieren. Es ist unwahrscheinlich, dass Netzwerk-Firewalls dafür über eine ausreichende Granularität verfügen. Eine vorinstallierte hostbasierte Segmentierungslösung stellt sicher, dass bei Bedarf die richtigen Funktionen verfügbar sind.

Wenn aktive Malware erkannt wird, wünscht sich jeder, er hätte diese drei Funktionen. Daher ist es sinnvoll, sie zu implementieren, bevor sie benötigt werden. Eine effektive Eindämmung verschafft Zeit für den Abschluss der Schadensbehebungsmaßnahmen.

Wahrheit #2: Risiken zu eliminieren ist besser als sie zu managen

Sobald ein Angriff im Gange ist, gibt es viele Tools, die versprechen, ihn zu erkennen und etwas dagegen zu unternehmen.

Aber es gibt eine noch tiefere Wahrheit: Ein Angriff kann nur Verbreitung über offene Ports. Wenn es keinen Pfad gibt, gibt es keine Ausbreitung.

Jeder unnötig offene Port, der geschlossen wird, reduziert das Risiko. Die Größe des Betriebsnetzwerks schrumpft, wodurch Risiken ausgeschlossen und die Angriffsfläche reduziert wird.

Wie erreicht man das?

1. Schließen Sie Häfen mit hohem Risiko, hohem Wert und häufig missbräuchlicher Nutzung. Die meisten kommerziellen Ransomware verbreitet sich mit einer Handvoll bekannter Protokolle — wie RDP und SMB —, die oft nicht global geöffnet sein müssen. Die meisten Penetrationsspezialisten verwenden Standard-Toolkits, um eine Umgebung zu erkunden und an bekannten Ports nach häufigen Sicherheitslücken zu suchen. In fast allen Fällen müssen diese bekannten Ports nicht global geöffnet sein. Wenn Sie sie schließen, wird das Risiko nicht reduziert. Tatsächlich werden all diese Vektoren eliminiert. Warum sollten Sie das verwalten, was Sie eliminieren können?
2. Hochwertige Ringfence-Anwendungen. Für den unglücklichen Fall, dass in Ihrer Umgebung etwas Schlimmes entdeckt wird, denken Sie zuerst an die wertvollsten Anwendungen und Daten. Die Wahrscheinlichkeit ist groß, dass die Sicherheitslücke am Rand oder am Endpunkt erkannt wird, aber das Problem ist das „Wichtigste“. In diesem Moment wird sich jeder wünschen, er wäre vollständig eingezäunt und hätte eine strenge Zero-Trust-Segmentierungsrichtlinie eingeführt. Entwickeln Sie diese Richtlinie jetzt — dann ist sie in Kraft und diese kritischen Ressourcen haben bereits den größten Teil des Risikos eines Netzwerkangriffs eliminiert.
3. Kontrollieren Sie den Administratorzugriff. Die meisten Organisationen verwenden Jump-Hosts. Stellen Sie sicher, dass alle Formen des administrativen Zugriffs auf die Benutzer und die für die Umgebung geeigneten Jump-Hosts streng kontrolliert werden. Keine Anwendung oder kein Port sollte auf zufällige Administratorzugriffe reagieren, insbesondere nicht von der Benutzerumgebung aus. Durch eine radikale Einschränkung aller Verwaltungsprotokolle werden viele Arten von Angriffen vermieden.

Risiken, die nicht existieren, müssen nicht gemanagt werden. Und obwohl keine Technologie die Notwendigkeit ergänzender Technologien überflüssig macht, ist es wahr, dass eine solide Basis gezielter Segmentierung das enorme Risiko einer Ausbreitung von Sicherheitsverletzungen ausschließt.

Wahrheit #3: Du brauchst beides Zero-Trust-Segmentierung und EDR zur Eindämmung der Ausbreitung von Ransomware

Das Beste, was Sie tun können, um die Ausbreitung von Sicherheitsverletzungen zu verhindern, ist die Bereitstellung Zero-Trust-Segmentierung zusätzlich zu einem bestehenden Endpoint Detection and Response (EDR) -Produkt.

Bischof Fox hat kürzlich eine Reihe von emulierten durchgeführt Ransomware-Angriffe in dem Angreifer versuchten, ein nur mit EDR geschütztes Netzwerk und ein Netzwerk, das mit geschützt ist, zu kompromittieren EDR- und Zero-Trust-Segmentierung.

Sie stellten fest, dass EDR zwar viele Angriffe sehr effektiv erkannte und letztlich abwehrte, Netzwerke, die ebenfalls durch Zero-Trust-Segmentierung geschützt waren, Angriffe jedoch viermal schneller abwehrten und deutlich weniger Hosts betroffen waren.

Je besser Ihre Segmentierungsrichtlinie ist, desto effektiver kann Ihr EDR sein. Verleihen Sie Ihrer EDR Superkräfte, indem Sie Ihrer Bereitstellung eine Zero-Trust-Segmentierung hinzufügen, um maximale Reaktionsfähigkeit zu erzielen.

Seien Sie auf unvermeidliche Ransomware-Angriffe vorbereitet

Ransomware ist eine Geißel der modernen Benutzer- und Computerumgebung. Es können jedoch wirksame Vorkehrungen getroffen werden, um sicherzustellen, dass es sich bei einer Sicherheitsverletzung um ein Ereignis und nicht um eine Katastrophe handelt.

Wenn Sie in hochwertige Segmentierungsrichtlinien für die proaktive und reaktive Reaktion auf Vorfälle investieren, erhält Ihr Sicherheitsteam in den kritischen ersten Minuten einer Reaktion wertvolle Kontrollmöglichkeiten.

Die Teams, die Risiken vor einem Ereignis eliminieren, haben immer weniger zu tun als diejenigen, die kritische Anwendungen stark gefährdet und risikoreiche Ports und Verwaltungsprotokolle weit geöffnet haben. Und wer möchte nicht, dass sein EDR funktioniert viermal schneller mit einer geringeren Anzahl kompromittierter Hosts?

Das Illumio Zero Trust Segmentierungsplattform bietet diese grundlegenden Funktionen, die Risiken eliminieren und die Reaktionsfähigkeit verbessern. Genau um diese Art von Bewusstsein geht es in diesem Monat!

Besuchen Sie uns nächste Woche, wenn wir Ihnen neue Erkenntnisse darüber geben, warum Sie sich in diesem Monat des Cybersicherheitsbewusstseins auf die Zero-Trust-Segmentierung konzentrieren sollten.