Blog
/
Eindämmung von Ransomware

So erfüllen Sie die Phobos-Ransomware-Richtlinien von CISA mit Illumio

Melody Scheidler
,
Leitender Produktmarketing-Manager
April 24, 2024
23 min. Lesedauer

Vor Kurzem haben das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und das Multi-State Information Sharing and Analysis Center (MS-ISAC) ein neues veröffentlicht Beratung zur Cybersicherheit zielt darauf ab, Behörden und Organisationen mit kritischer Infrastruktur darüber zu informieren, wie sie sich vor Phobos-Ransomware schützen können.

In diesem Blogbeitrag erfahren Sie, was Phobos-Ransomware ist, wie Regierungsbeamte empfehlen, sich auf Phobos vorzubereiten, und wie das Ransomware-Schutz-Dashboard von Illumio dazu beitragen kann, diese Empfehlungen umzusetzen.

Was ist Phobos Ransomware?

Phobos Ransomware ist mit mehreren Ransomware-Varianten verwandt, darunter Elking, Eight, Devos, Backmydata und Faust Ransomware. Die Backmydata-Variante wurde bei einem Angriff im Februar 2024 in Rumänien verwendet, der dazu führte, dass Systeme um etwa 100 Gesundheitseinrichtungen.

In dem Gutachten werden bekannte Taktiken, Techniken und Verfahren (TTPs) sowie Kompromissindikatoren (IOCs) im Zusammenhang mit den Phobos-Ransomware-Varianten beschrieben, die erst im Februar 2024 beobachtet wurden. Phobos arbeitet als Ransomware-as-a-Service (RaaS) -Modell und zielt seit Mai 2019 auf verschiedene Sektoren ab, darunter Behörden, Rettungsdienste, Gesundheitswesen und Bildung.

So schützen Sie sich vor Phobos-Ransomware

Die Empfehlung enthält drei wichtige Hinweise zur Eindämmung der Phobos-Ransomware-Aktivitäten:

  1. Sichere RDP-Ports, um zu verhindern, dass Bedrohungsakteure RDP-Tools missbrauchen und nutzen.
  1. Priorisieren Sie die Behebung bekannter ausgenutzter Sicherheitslücken.
  1. Implementieren Sie EDR-Lösungen, um die Speicherzuweisungstechniken für Bedrohungsakteure zu unterbrechen.

Das Illumio Zero Trust Segmentierungsplattform kann Ihnen helfen, alle drei dieser Empfehlungen umzusetzen.

1. Verwenden Sie das Ransomware Protection Dashboard von Illumio, um RDP-Ports zu sichern

Mit nur wenigen schnellen Schritten kann Ihr Unternehmen wichtige Verbesserungen erzielen, um böswillige Akteure zu vereiteln und Querbewegungen innerhalb Ihrer Umgebung zu verhindern. Wenn Sie laterale Bewegungen verhindern können, stellen Sie sicher, dass Angreifer, selbst wenn sie eindringen, nicht sehr weit vordringen oder auf unternehmenskritische Anwendungen zugreifen.

Lassen Sie uns die drei Schritte zur Sicherung von RDP-Ports mit dem Dashboard zum Schutz vor Ransomware:

  1. Identifizieren Sie, wo es gibt RDP-Verkehr in deiner Umgebung
  1. Folgen Sie den empfohlenen Maßnahmen auf dem Ransomware-Schutz-Dashboard von Illumio
  1. Messen Sie die Verbesserung des Ransomware-Schutzwerts
Illumios Ransomware Das Protection Dashboard bietet Ihnen wichtige Einblicke in die Risiken, sodass Sie die Ransomware-Bedrohung priorisieren und bekämpfen können.
Identifizieren Sie den RDP-Verkehr in Ihrer Umgebung

Das Ransomware Protection Dashboard von Illumio verfolgt auf einfache Weise die Dienste mit dem höchsten Risiko in Ihrer Umgebung. Einer dieser Dienste ist RDP. Wenn es in Ihrer Umgebung offengelegt wird, ohne dass es durch Richtlinien kontrolliert wird, wird es möglicherweise in Ihrem Bericht über die 5 riskantesten Dienste angezeigt. Alternativ können Sie auch auf der Karte gezielt nach RDP-Verkehr suchen.

A screenshot of a computerDescription automatically generated
Das Ransomware-Schutz-Dashboard bietet eine leicht verständliche Liste Ihrer fünf riskantesten Dienste.

In der Abbildung oben können Sie sehen, dass RDP zu den fünf riskantesten Diensten gehört, aber es gibt auch keine Richtlinie, die diesen Dienst steuert.

Hier können Sie Geschäftsanalysen durchführen, um die Auswirkungen zu verstehen. Beispielsweise gibt es bestimmte Personen in der Organisation, die die Fähigkeit benötigen, RDP zu verwenden. Dies ist sehr nützlich für die IT-Abteilung, die möglicherweise Mitarbeitern hilft, die nicht vor Ort sind, ein Problem zu beheben. Es ist jedoch nicht etwas, was die durchschnittliche Arbeitslast zur Verfügung haben muss.

Hier kommen die vom Dashboard empfohlenen Aktionen ins Spiel.

Folgen Sie den Handlungsempfehlungen des Ransomware-Schutz-Dashboards

Eine der empfohlenen Aktionen auf dem Dashboard ist das Erstellen einer Ablehnungsregel. Dies ist eine einfache Methode, um schnell Schutz aufzubauen, während Sie sich auf eine möglicherweise größere Ebene begeben Zero-Trust-Reise.

A screenshot of a computer programDescription automatically generated
Das Dashboard enthält empfohlene Maßnahmen zur Implementierung dieser Maßnahmen zur Risikominderung.

Da CISA in diesem Fall empfiehlt, RDP-Ports zu sichern, besteht der nächste Schritt darin, eine Ablehnungsregel zu erstellen, um diesen Verkehr zu blockieren. Ausnahmen können nach Bedarf hinzugefügt werden, aber im Allgemeinen wird dies gesperrt. Dies bietet proaktiven Schutz vor allen Phobos-Ransomware-Angriffen.

Wenn Sie mit Illumio Ablehnungsregeln anwenden, wird Ihre neue Richtlinie in wenigen Minuten in Ihrem gesamten Unternehmen eingeführt, unabhängig vom Umfang.

Messen Sie die Sicherheitsverbesserung im Ransomware Protection Score

Eine gute Möglichkeit, Ihre Fortschritte beim Schutz Ihrer Umgebung zu messen, ist der Ransomware Protection Score des Dashboards. Wenn Sie Richtlinien implementieren und wichtige Änderungen vornehmen, z. B. den RDP-Verkehr blockieren, können Sie sehen, dass dieser Wert steigt.

Illumio liefert nicht nur Ihre aktuelle Punktzahl, sondern auch diese Punktzahl im Laufe der Zeit. Dies ist eine hervorragende Methode, um zu messen, wie Sie Ihr Unternehmen vor sich ständig weiterentwickelnden Bedrohungen schützen.

A graph on a screenDescription automatically generated
Der Ransomware Protection Score zeigt visuell, wie sich die Sicherheit im Laufe der Zeit verbessert hat.

2. Beheben Sie bekannte ausgenutzte Sicherheitslücken mit Zero-Trust-Segmentierung

Die Zero-Trust-Segmentierung (ZTS) kann Ihnen helfen, die Auswirkungen von Ransomware-Angriffen wie Phobos zu reduzieren, indem Sie sehen und beheben, wo Sicherheitslücken in Ihrem Netzwerk wurden ausgenutzt.

Sicherheitslücken erkennen und beheben

Das Illumio Karte hilft dabei, Systeme oder Anwendungen mit übermäßiger, unnötiger oder nicht richtlinienkonformer Kommunikation aufzudecken. Es kann diese Informationen sogar mit Daten von Schwachstellenscannern kombinieren.

Anhand dieser Erkenntnisse können Sicherheitsteams detaillierte, flexible Segmentierungsrichtlinien festlegen, um das Risiko von Sicherheitslücken zu reduzieren und die Ausbreitung unvermeidlicher Sicherheitslücken zu verhindern. Wenn Sie den Kontext und das Risiko verstehen, können Workloads schnell gesichert werden, bevor ein Patch veröffentlicht wird.

Die Echtzeitkarte von Illumio bietet Einblick in das Anwendungsverhalten und die Verkehrsflüsse in jedem Rechenzentrum und jeder Cloud.
Quantifizieren Sie Risiken mit datengestützten Einblicken in Sicherheitslücken

Angesichts von Bedrohungen wie der Phobos-Ransomware ist es wichtig, potenzielle Sicherheitslücken in Ihrem Netzwerk nicht nur zu identifizieren, sondern auch zu quantifizieren. Illumio zeigt Netzwerkschwachstellen auf, sodass Teams proaktive Maßnahmen genau dort umsetzen können, wo sie am dringendsten benötigt werden.

Diese Erkenntnisse bieten funktionsübergreifenden Teams umsetzbare Erkenntnisse, um Sicherheitslücken zu schließen, datengestützte Entscheidungen zu fördern und Strategien zur Risikominderung in der gesamten Umgebung zu verbessern.

Entwickeln Sie proaktiv Schutzmaßnahmen gegen Sicherheitslücken

Modellieren, testen und implementieren Sie eine granulare Segmentierung von Anlagen mit hohem Risiko als Vergütungskontrolle, um kritische Systeme abzuschirmen, wenn Patches nicht durchführbar sind oder zu einer inakzeptablen betrieblichen Komplexität führen.

Bewusstsein ist der Schlüssel. Wenn der Datenverkehr über einen Port mit einer bekannten Sicherheitslücke verbunden wird, wird das Security Operations Center (SOC) anhand der von Illumio bereitgestellten Daten über die Sicherheitslücke und den Schweregrad des Verstoßes informiert.

3. Kombinieren Sie EDR und Zero-Trust-Segmentierung, um laterale Bewegungen zu erkennen und automatisch davor zu schützen

Illumio ergänzt EDR indem die Angriffsfläche mit Zero-Trust-Segmentierungsrichtlinien reduziert wird, die den Angreifern wenig Spielraum lassen. Illumio füllt unabhängig vom Angriffsmuster die Lücke zwischen Vorfall und Erkennung.

Laut der Cybersicherheitsempfehlung ist EDR ein wichtiger Bestandteil des Schutzes vor Ransomware-Angriffen wie Phobos. Wenn ein Angriff jedoch irgendwann einen Endpunkt durchbricht, kann EDR nicht verhindern, dass sich dieser Angriff weiterhin lateral durch das Netzwerk Ihres Unternehmens ausbreitet. Deshalb ist es wichtig, EDR mit ZTS zu kombinieren. Wenn das EDR-System eine Sicherheitsverletzung feststellt, kann ZTS alle infizierten Workloads automatisch herunterfahren und unter Quarantäne stellen.

Illumio Endpoint bringt Zero-Trust-Segmentierung auf Ihre Endgeräte, um die Ausbreitung unvermeidlicher Cyberangriffe zu verhindern.

Die Kombination von proaktiver Technologie wie ZTS mit reaktiver Technologie wie EDR an jedem Endpunkt verringert die Schwäche der Verweilzeit und erhöht gleichzeitig die Reaktionsfähigkeit erheblich. Tatsächlich, laut Tests von Bischof FoxDurch die Kombination von EDR mit Illumio konnte ein Angreifer seine Ausbreitung radikal reduzieren und gleichzeitig viermal schneller erkennen.

Nehmen Sie Kontakt mit uns auf um zu erfahren, wie Zero-Trust-Segmentierung Ihnen helfen kann, die Richtlinien von CISA zu erfüllen und Ransomware-Angriffe wie Phobos noch heute zu stoppen.

Verwandte Themen

Eindämmung von Ransomware

In Verbindung stehende Artikel

Hive-Ransomware: So begrenzen Sie ihren Schaden und schützen Ihr Unternehmen
Eindämmung von Ransomware

Hive-Ransomware: So begrenzen Sie ihren Schaden und schützen Ihr Unternehmen

Lesen Sie mehr
Kubernetes ist nicht immun gegen Ransomware — und wie Illumio helfen kann
Eindämmung von Ransomware

Kubernetes ist nicht immun gegen Ransomware — und wie Illumio helfen kann

Erfahren Sie, warum Ransomware in Kubernetes ein sehr reales Cybersicherheitsrisiko darstellt, das sich DevSecOps-Architekten nicht leisten können, zu ignorieren.

Lesen Sie mehr
9 Gründe, Illumio zur Bekämpfung von Ransomware zu verwenden
Eindämmung von Ransomware

9 Gründe, Illumio zur Bekämpfung von Ransomware zu verwenden

Wie die Echtzeittransparenz und die einfachen Kontrollen von Illumio Ihre größten Quellen für Ransomware-Risiken wie ungenutzte RDP- und SMB-Ports schnell reduzieren können.

Lesen Sie mehr
3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio
Eindämmung von Ransomware

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio

Erfahren Sie, wie das Ransomware-Schutz-Dashboard und die verbesserte Benutzeroberfläche (UI) von Illumio Ihnen wichtige Einblicke in das Ransomware-Risiko bieten.

Lesen Sie mehr
Mit Zero-Trust-Segmentierung Ransomware an der Quelle eindämmen
Eindämmung von Ransomware

Mit Zero-Trust-Segmentierung Ransomware an der Quelle eindämmen

Erfahren Sie, warum die Ransomware-Bedrohung so kritisch ist und wie Sie Ransomware mit Zero-Trust-Segmentierung eindämmen können.

Lesen Sie mehr
Wie man LockBit Ransomware mit Illumio eindämmt
Eindämmung von Ransomware

Wie man LockBit Ransomware mit Illumio eindämmt

Einblicke in einen realen Anwendungsfall eines LockBit-Ransomware-Angriffs, der von Illumio Zero Trust Segmentation eingedämmt wurde.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr