Blog
/
Eindämmung von Ransomware

Ransomware-Reduzierung 101: Seitliche Bewegung zwischen Endpunkten

Illumio Editorial
,
December 14, 2020
23 min. Lesedauer

Im schlimmsten Fall ist Ransomware eine größere Bedrohung als je zuvor. Sie zwingt den IT-Betrieb wieder zu Stift und Papier und bringt Unternehmen zum Erliegen, wenn wir es uns am wenigsten leisten können. Inmitten einer Pandemie haben wir den anhaltenden Anstieg von erlebt Ransomware für das Gesundheitswesen. Diejenigen von uns, deren Kinder aus der Ferne lernen, haben Ransomware als neuer Schneetag.

Warum gibt es immer noch so viele erfolgreiche Ransomware-Angriffe?

Was ist laterale Bewegung?

Laterale Bewegung ist, wenn ein Eindringling oder Angriff Ihren Perimeter durchbricht und sich dann seitlich durch eine Umgebung zu anderen Computern bewegt, was zu einer viel größeren und teureren Datenschutzverletzung. Dies könnte an einem Endpunkt oder sogar bei einer kompromittierten Arbeitslast im Rechenzentrum beginnen und Zehntausende von Endbenutzercomputern zum Erliegen bringen oder sogar strategisch auf Ihre wertvollsten Ressourcen im Rechenzentrum abzielen.

Das ATT&CK-Framework von MITRE drückt es klar aus: „Der Gegner versucht, sich in Ihrer Umgebung zu bewegen.“ Das bedeutet, dass wir uns nicht nur darauf konzentrieren müssen, Bedrohungen daran zu hindern, Fuß zu fassen, sondern auch diesen Angreifer zu stoppen seitliche Bewegung. Dies ist heute so grundlegend für die Arbeit eines Verteidigers, dass das MITRE ATT&CK die seitliche Bewegung als wichtige Technik zur Abwehr von Angreifern ansieht.

Warum verbreitet sich Malware so erfolgreich, indem sie sich von einem Endpunkt zum anderen bewegt? Um zu verstehen, warum das passiert, müssen wir zunächst untersuchen, wie traditionell Anwendungssicherheit schützt das Rechenzentrum — aber nicht immer den Endpunkt.

Seitliche Bewegung im Rechenzentrum

Die Sicherheit im Rechenzentrum konzentriert sich auf die Client-Server-Kommunikation von Endpunkten zum Server. In den meisten heutigen browserbasierten Geschäftsanwendungen öffnet der Browser, wenn ein Benutzer die URL der Anwendung in sein Browserfenster eingibt, eine Verbindung zu einem Webserver, der in einem Rechenzentrum oder einer öffentlichen Cloud läuft. Die Computer der Endbenutzer kommunizieren mit diesen Front-End-Servern über Standardports wie 80 und 443. Webserver hinter dem Unternehmensumfeld sind durch Firewalls, IPS, Erkennung und Reaktion sowie andere Sicherheitstechnologien für Rechenzentren gesichert. Front-End-Server sind mit Geschäftslogik, Datenbanken und anderen Servertypen verbunden, und das alles innerhalb der Grenzen des Rechenzentrums oder der Cloud-Umgebung.

Hier können seitliche Bewegungen ihren Schaden anrichten. Wenn ein nach außen gerichteter Server oder Workload durch eine Sicherheitslücke gefährdet ist, kann sich ein Angreifer von der betroffenen Arbeitslast seitlich zu einem Ort bewegen, an dem sich wertvolle Daten befinden, z. B. auf Datenbankservern. In einem flachen Netzwerk ohne Mikrosegmentierung ist dies überhaupt nicht schwierig.

Mit effektivem Segmentierung an Ort und Stelle sind all diese „internen“ Server vor Bedrohungen von außen geschützt. Die Mikrosegmentierung verhindert, dass sich Angreifer oder Bedrohungen ausbreiten oder seitwärts bewegen, oder „Ost-West“, in Rechenzentren, Clouds oder Campus-Netzwerken. Eine Bedrohung wird auf das Netzwerksegment oder Hostsegment beschränkt, das eingerichtet wurde, sodass Angreifer nicht in andere Teile der Umgebung gelangen können. Dadurch werden Unternehmen besser vor Sicherheitslücken geschützt, da deren Größe und Auswirkungen begrenzt werden.

Seitliche Bewegung von Endpunkt zu Endpunkt

Warum reicht das nicht aus, um Ransomware zu stoppen? Die Antwort lautet, dass Ransomware nicht mit dem Server kommunizieren muss, um sich zu verbreiten. Es kann sich innerhalb von Sekunden von Endpunkt zu Endpunkt auf Zehntausende von Computern ausbreiten.

Ransomware wird normalerweise vom Endpunkt aus gestartet und über RDP, SMB, SIP, Skype usw. direkt auf andere Endpunkte verteilt. Peer-to-Peer (P2P) -Anwendungen zwischen Endpunkten erzeugen diese laterale Bewegung oder Ost-West-Verbindung, bei der keine Kommunikation zwischen Endpunkten und Servern erforderlich ist. Während die meisten modernen Unternehmensanwendungen ausschließlich auf ausgehende Verbindungen angewiesen sind — also Endpunkte, die Verbindungen zum Server initiieren — nutzen P2P-Technologien eingehende Verbindungen von benachbarten Endpunkten. Diese Endpunkte kommunizieren, ohne den Datenverkehr über einen Server oder ein Rechenzentrum abzuwickeln. Das heißt, sie sind auf die Sicherheit angewiesen, die auf dem Endpunkt selbst vorhanden ist.

Verhinderung lateraler Bewegungen zwischen Endpunkten

Was sind die Herausforderungen bei der Sicherung der seitlichen Bewegung zwischen Endpunkten?

Sichtbarkeit — Seitliche Verbindungen zwischen Endpunkten im selben Subnetz sind beispielsweise für Firewalls und Gateways unsichtbar, sodass diese Sicherheitsgeräte die damit verbundenen Bedrohungen völlig unwirksam erkennen und verhindern können. Dies bedeutet auch, dass Mitarbeiter, die von zu Hause aus arbeiten, überhaupt nicht im Blick haben, was zu Hause vor sich geht.

Was ist mit Endpunktsicherheit? Die auf dem Endpunkt ausgeführten EDR- und EPP-Tools können zwar erkennen und reagieren, reagieren jedoch auf Bedrohungen. Mit anderen Worten, es funktioniert nur nach ein Verstoß passiert, anstatt seine Ausbreitung von Anfang an zu verhindern.

Zero Trust für den Endpunkt

Die beste Methode zur Verhinderung der Ausbreitung von Verstößen ist die Einführung einer Zero-Trust-Sicherheit politik. Das bedeutet, dass zugelassene Dienste, die zwischen Endpunkten ausgeführt werden sollen, in die Liste der zugelassenen Dienste aufgenommen werden müssen, wobei nur Berechtigungen für den Zugriff zu legitimen Geschäftszwecken erteilt werden.

Wenn Sie jemals bei einem neuen Job versucht haben, eine P2P-App wie Skype aus dem Internet auf Ihren Laptop herunterzuladen und zu installieren und dabei ein Nastygram von der IT erhalten haben, wissen Sie, wie das funktioniert. Zum Schutz aller dürfen Benutzer nur auf vom Unternehmen genehmigte Ressourcen zugreifen.

Da sich Sicherheitsbedrohungen weiterentwickeln und staatlich geförderte Hacker immer raffinierter werden, müssen Sicherheitslösungen Schritt halten, um relevant zu bleiben. Zero-Trust-Lösungen können mehrere Systeme proaktiv schützen und bieten einen Sicherheitsschutz, der auf der Grundlage erster Prinzipien und einer niedrigen Falsch-Positiv-Rate erfolgt. Softwaretools wie Illumio Edge sind wegweisend für skalierbares hostbasiertes Firewall-Management und bieten beispiellosen Sicherheitsschutz und Schutz vor böswilligen lateralen Bewegungen.

Erfahre mehr über Illumio Edge auf unserer Website oder melde dich für unseren 21. Dezember anst Webinar heute.

Verwandte Themen

Endpunktsicherheit

In Verbindung stehende Artikel

CCPA und Zero Trust Security for PII: Gesundheitswesen und Bildung
Eindämmung von Ransomware

CCPA und Zero Trust Security for PII: Gesundheitswesen und Bildung

Lesen Sie mehr
Ransomware verstehen: Das häufigste Angriffsmuster
Eindämmung von Ransomware

Ransomware verstehen: Das häufigste Angriffsmuster

Lesen Sie mehr
Wie man LockBit Ransomware mit Illumio eindämmt
Eindämmung von Ransomware

Wie man LockBit Ransomware mit Illumio eindämmt

Einblicke in einen realen Anwendungsfall eines LockBit-Ransomware-Angriffs, der von Illumio Zero Trust Segmentation eingedämmt wurde.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr