Jede Organisation ist ein Ziel von Ransomware. Bereiten Sie sich mit Breach Containment vor.

Stell dir vor, du bist angeln und suchst nach deinem Abendessen. Es ist dir egal, welchen Fisch du heute Abend fängst, nur dass du einen fängst.  

Du stehst am Rand eines riesigen Sees mit deiner Angelrute in der Hand. Es spielt keinen Unterschied, in welche Richtung du es wirfst. Links, rechts oder geradeaus erstreckt sich der See in alle Richtungen, und jeder Haken, der ins Wasser fällt, bringt Abendessen.

Das ist das Bild, das Jen Ellis, Gründerin von NextJenSecurity, in einer aktuellen Folge des The Segment Podcasts verwendet hat, um zu erklären, wie die meisten Ransomware-Gruppen ihre Ziele auswählen.  

Die Wahl ist selten das Ergebnis sorgfältiger Recherche darüber, welche Organisation die tiefsten Taschen oder die sensibelsten Daten besitzt. Meistens läuft es darauf hinaus, was erreichbar, ausnutzbar ist und innerhalb einer losen Grenze liegt, die den Angreifer vor Schwierigkeiten mit der eigenen Regierung schützen.

Jahrelang haben viele Unternehmen, insbesondere kleinere, aber auch mittelständische Unternehmen, das Fehlen eines offensichtlichen Motivs als Grund betrachtet, zu wenig in Sicherheit zu investieren. Wenn das Targeting tatsächlich so funktioniert, wie Jen es beschrieben hat, fällt diese Logik zusammen.  

Fast jeder, der mit dem Internet verbunden ist, steht irgendwo im See. Die wichtigste Frage ist, was passiert, nachdem Ransomware in deiner Nähe landet, unabhängig davon, wie wahrscheinlich ein Ziel du für dich gehalten hast.

Eine Zero-Trust-Sicherheitsstrategie, die auf Segmentierung basiert, liefert eine Antwort.

Wie Angreifer Ransomware ins Visier nehmen

Jen wies darauf hin, dass die meisten Ransomware-Gruppen aus Ländern operieren, die als sichere Zufluchtsorte für Böswillige fungieren. Das liegt entweder daran, dass die Aktivität zu viel der lokalen Wirtschaft ausmacht, um sie zu verfolgen, oder daran, dass das Gastland sie stillschweigend erlaubt, solange bestimmte Grenzen nicht überschritten werden.  

Diese Zeilen beziehen sich meist auf Geografie und Politik. Greifen Sie keine Organisationen im eigenen Land an und tun Sie nichts, was eine ernsthafte internationale Reaktion auslösen könnte.

Innerhalb dieser Grenzen ist der Rest der Welt Freiwild, und die Grenzen sind weit. Ein Angreifer, der exponierte Systeme in der entwickelten Welt ausnutzt, bleibt gut innerhalb der für sein Gastland wichtigen Regeln. Angreifer müssen einfach entscheiden, wo sie ausnutzen.

Das macht die Angel-Analogie so nützlich. Die Fische, die auf dem Teller des Angreifers landen, sind einfach die Fische, die gerade an dieser Stelle waren, als ihr Haken das Wasser berührte. Die Organisationen, die getroffen werden, sind diejenigen, die zum Zeitpunkt des Angriffs erreichbar waren.

KI bringt mehr Ransomware-Angriffe in mehr Hände

Mit heutigen KI-Tools sinkt die Hürde für den Einsatz von Ransomware immer mehr, und die Zahl der Menschen, die sie einsetzen können, wächst stetig.  

Jen wies darauf hin, dass KI wahrscheinlich als Leveler für ressourcenarme Angreifer fungieren wird. Dies gilt besonders für Länder, die hohen Zugang zu technischer Infrastruktur mit hoher Arbeitslosigkeit verbinden.  

Das bedeutet, dass das Volumen opportunistischer, reichweitengetriebener Angriffe weltweit zunehmen wird, da immer mehr Angreifer Zugang zu den KI-Tools erhalten.  

Die Mathematik hinter "wir sind wahrscheinlich in Ordnung, weil sich niemand um uns kümmern würde" wird jedes Jahr schlimmer, während dieser Trend anhält.

Warum "wir sind kein Ziel" der teuerste Satz in der Sicherheit ist

Jen erzählte eine Geschichte über eine familiengeführte Schuhfabrik, die unter Druck stand zu schließen. Es war die Art von Geschäft, das über Generationen weitergegeben wurde und einen bedeutenden Anteil der Menschen in seiner Stadt beschäftigt.  

Wenn ein Ransomware-Angriff ein solches Unternehmen trifft, stünde der Eigentümer unter enormem Druck, da die Zukunft des Unternehmens und die davon abhängenden Arbeitsplätze auf dem Spiel stehen. In diesem Moment wird die Versuchung, stillschweigend das Lösegeld zu zahlen und weiterzumachen, real, egal was die politische Debatte darüber sagt.

Was in dieser Geschichte besonders hervorsticht, ist, wie existenziell ein Ransomware-Vorfall für eine Organisation wirken kann, die niemand in irgendeinem sinnvollen Sinne als Ziel bezeichnen würde. Die Vorbereitung bestimmt, wie schwerwiegend sich ein Vorfall von innen anfühlt, weit mehr als Größe oder Sichtbarkeit.

Ein großes, bekanntes Unternehmen mit einem bewährten Incident-Response-Plan und einer segmentierten Umgebung kann ein Ransomware-Ereignis als schwierige Woche abfangen. Ein kleines Unternehmen mit einem flachen Netzwerk und ohne Plan kann dasselbe Ereignis das Unternehmen beenden.  

Dieser Unterschied wird lange vor dem Angriff entschieden, durch die Entscheidungen der Organisation bezüglich ihrer eigenen Umwelt.

Die Sicherheitsarmutsgrenze verschlimmert die falsche Wette

Dieses Problem ist größer als jedes einzelne Unternehmen.  

Jen wies darauf hin, dass die britische Wirtschaft wie die meisten entwickelten Volkswirtschaften überwiegend aus kleinen und mittelständischen Unternehmen besteht. Die Organisationen, die am wenigsten glauben, sie seien Ziele, und am wenigsten Budget für laufende Sicherheitsinvestitionen haben, machen den Großteil der Wirtschaft aus.

Jen beschrieb dieses Problem als die Sicherheitsarmutsgrenze.  

Und was es noch schwieriger macht, ist, dass Sicherheitsausgaben nicht wie andere Sicherheitsinvestitionen funktionieren. Die Installation eines Zauns oder einer Rampe ist ein einmaliges Projekt, für das Sie ein Budget einplanen und abschließen. Die Investitionen in Sicherheit wachsen Jahr für Jahr weiter, da sich Bedrohungen entwickeln und die Infrastruktur altert. Das kann es deutlich schwieriger machen, an eine ohnehin schon überlastete Führung zu verkaufen.

Kombiniert man all diese Faktoren mit der Leichtigkeit KI-generierter Angriffe, wird das Bild unangenehm.

Eindämmung ist der Hebel, den jede Organisation kontrolliert

Jen brachte ein altes Sprichwort aus der Sicherheit zurück: Ein Verteidiger muss jede Minute des Tages Recht haben, während ein Angreifer nur einmal Glück haben muss.  

Diese Asymmetrie verschwindet nicht. Und KI ändert das in keiner grundlegenden Weise, da beide Seiten Zugang zu besseren Werkzeugen haben.

Was die Eindämmung des Bruchs verändert, ist das, was es für den Angreifer bedeutet, einmal Glück zu haben.  

Wenn ein Exploit auf einem flachen Netzwerk landet, kann sich dieser eine glückliche Moment zu einem Zugriff über die gesamte Umgebung verwandeln. Aber wenn es in einer Umgebung aufgebaut ist, die auf Zero-Trust-Kontrollen basiert, einschließlich Segmentierung, kommunizieren Workloads, Anwendungen und Systeme nur mit dem, was sie brauchen.  

Das bedeutet, dass ein glücklicher Moment für den Angreifer zu einem begrenzten Vorfall in nur einem Teil des Unternehmens wird.

Eine Zero-Trust-Sicherheitsstrategie, die auf Segmentierung basiert, ist ein Hebel, den jede Organisation hat, unabhängig von Größe, Sichtbarkeit oder wie interessant ein Angreifer sie findet.  

Die Debatte um Lösegeldzahlungen löst die falsche Ebene

Jen sprach über die Debatte über das Verbot von Lösegeldzahlungen und machte einen Punkt, der im Hin und Her leicht zu übersehen ist.  

Das Verbot von Zahlungen ändert erst, was eine Organisation tun darf, wenn bereits ein Angriff stattfindet. Das ändert nichts daran, wie Angreifer entscheiden, wen sie treffen.

Jen nutzte diesen Vergleich. Stellen Sie sich vor, Sie sagen jemandem, dass es gesetzeswidrig ist, während eines Überfalls seine Geldbörse abzugeben. Der Überfall findet immer noch statt, und ein Opfer, das die Brieftasche trotzdem übergibt, hat nun neben dem Raub das Gesetz gebrochen.

Containment liegt früher in der Zeitlinie als jede Zahlungsentscheidung. Ein Team, das bereits begrenzt hat, wie weit ein Angreifer seitlich bewegen kann, steht nicht vor der gleichen Druckkochtopfer-Wahl zwischen Lösegeld zahlen oder die Operation einstellen lassen.  

Die Zahlungsdebatte entscheidet, was eine Organisation nach einer Sicherheitslücke tun kann. Die Eindämmung entscheidet, wie viel von der Organisation der Durchbruch berührt wird. Das ist die Schicht, die tatsächlich das Ergebnis bestimmt.

Das Ransomware-Risiko wird nur wachsen

Jede Organisation, die mit dem Internet verbunden ist, ist für Ransomware erreichbar, und die Zahl der Angreifer, die darauf reagieren können, wächst stetig, da KI-Tools immer zugänglicher werden.

Nichts davon ändert sich je nachdem, wie interessant Ihre Organisation auf dem Papier für Angreifer wirkt.

Eindämmung ist die eine Variable in diesem Bild, die jede Organisation tatsächlich kontrolliert. Die Organisationen, die jetzt eine Zero-Trust-Strategie mit Segmentierung als Kerninfrastruktur entwickeln, sind diejenigen, die verhindern werden, dass ein Ransomware-Angriff den gesamten Betrieb lahmlegt.

Sicherheitsverletzungen sind unvermeidlich, und das war schon immer für Organisationen jeder Größe der Fall. Diese Sicherheitslücken klein zu halten, hängt davon ab, Breach Containment in deine Architektur einzubauen.

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.