.png)
Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann
Ein Grund, warum IT-Sicherheitsanbieter niemals unachtsam sein können, ist die ständige Innovation, die von der Cyberkriminalität ausgeht. Wissen verbreitet sich weit und breit in Untergrundforen mit einer Geschwindigkeit, die viele Unternehmen überraschen kann. Als wir also einige der Techniken sahen, die in den berüchtigten SolarWinds-Kampagne Da es bei den jüngsten Kaseya-Ransomware-Angriffen angewendet wurde, hätten wir uns nicht wundern sollen.
Durch den Einsatz von Mikrosegmentierung an den richtigen Stellen hätten Unternehmen den Bösewichten das Leben jedoch erheblich erschweren können — sowohl im Hinblick auf die Minimierung des anfänglichen Risikos Zero-Day-Ausnutzung und Blockierung der nachfolgenden Befehls- und Steuerkommunikation.
Was ist beim Kaseya-Angriff passiert?
Kaseya stellt Software in erster Linie Managed Service Providers (MSPs) zur Verfügung, um wichtige IT-Aufgaben wie Patches und Fernüberwachung für kleinere und mittlere Unternehmen zu optimieren. Wie es bei der SolarWinds-Software der Fall war, Kaseya VSA Ein Produkt, das Ziel dieses Angriffs war, erhält hochprivilegierten Zugriff, um seine Kernaufgaben wie die Fernüberwachung und -verwaltung von Netzwerken und Computergeräten zu erfüllen — was es zur idealen Wahl für die weite Verbreitung von Malware macht.
Ein zusätzlicher Vorteil für die REvil Ransomware-Partner Hinter dem Angriff steckt die Natur der Kunden von Kaseya. Als MSPs haben sie jeweils mehrere eigene Kunden, die die Angreifer infizieren und erpressen könnten. Das ist ein ziemlich guter ROI für Cyberkriminelle, die einfach Geld verdienen wollen.
Kaseya hat detailliert seine Reaktion auf den Angriff. Der Anbieter wurde erstmals am 2. Juli, kurz vor dem Feiertagswochenende in den USA, über einen Verstoß informiert. Offenbar nutzten die Bedrohungsakteure eine Exploit zur Umgehung der Zero-Day-Authentifizierung in der Weboberfläche der lokalen Kaseya VSA. Dies half ihnen, eine authentifizierte Sitzung zu erhalten, ihre Nutzdaten hochzuladen und dann Befehle per SQL-Injection auszuführen.
Durch den Zugriff auf die Kaseya VSA-Server der MSPs waren sie in der Lage, den Kunden dieser Organisationen ein gefälschtes Update namens „Kaseya VSA Agent Hot-Fix“ zu schicken, bei dem es sich in Wirklichkeit um REVIL/Sodinokibi handelte Ransomware.
Es wird angenommen, dass weniger als 60 MSPs von potenziellen 40.000 Kunden betroffen waren. Die Folgewirkung führte jedoch dazu, dass die nachgelagerten Kunden der MSPs mit Ransomware infiziert wurden. Insgesamt waren es rund 1.500 Organisationen auf der ganzen Welt, von Schulen bis hin zu Supermärkten.
Ein Patch für die ausgenutzte Zero-Day-Sicherheitslücke wurde veröffentlicht, aber für diese gefährdeten Unternehmen ist es zu spät.
Wie Mikrosegmentierung helfen kann: Eingehender Verkehr
MSPs hätten die anfängliche Sicherheitslücke abwehren können, indem sie den administrativen Zugriff auf die Kaseya VSA-Weboberfläche eingeschränkt hätten. Auf diese Weise werden nur bestimmte autorisierte Benutzer aus einer kleinen Gruppe von Gastgeber der Bastion könnte über Management-Ports auf die Kaseya-Software zugreifen.
Tatsächlich würden sie Mikrosegmentierung verwenden, um die Angriffsfläche zu reduzieren und Cyberkriminellen zusätzliche Barrieren in den Weg zu legen, sodass sie viel härter arbeiten müssten, um einen Zero-Day-Exploit einzusetzen. Kombinieren Sie dies mit der Multifaktor-Authentifizierung für diese begrenzten autorisierten Benutzer, und Sie haben es für Cyberkriminelle exponentiell schwieriger gemacht, in Ihr Netzwerk einzudringen.
Indem Sie sie zwingen, mehr Zeit zu verbringen und mehr „Lärm“ zu machen, während sie in einem Netzwerk nach einer unverschlossenen Tür suchen, helfen Sie auch Ihren Tools zur Bedrohungserkennung und -abwehr, sie zu „hören“, wenn sie sich im Dunkeln herumschleichen.
Wie Mikrosegmentierung helfen kann: Ausgehender Verkehr
Die zweite Möglichkeit, wie die Mikrosegmentierung hilft, ist die ausgehende Kommunikation von infizierten Endpunkten zum Internet.
Irgendwann müssen Cyberkriminelle in der Regel mit ihrem Command and Control (C&C) -Server kommunizieren, um Anweisungen bereitzustellen und herunterzuladen bösartige Nutzlasten. Indem Sie sicherstellen, dass die Richtlinien die ausgehende Konnektivität von der Kaseya-Infrastruktur auf nur bekannte und vorab genehmigte IP-Adressen beschränken, können Sie Angreifer bereits im Keim ersticken. Wenn die Kriminellen nicht mit ihren eigenen Servern kommunizieren können, können sie nicht zur nächsten Stufe des Angriffs übergehen.
Zero Trust beginnt mit Segmentierung
Um Ihr Unternehmen vor Ransomware-Angriffen wie Kaseya und SolarWinds zu schützen, müssen Unternehmen robuste und umfassende Null Vertrauen Richtlinien und Praktiken für ihre gesamte IT-Infrastruktur. Und Zero Trust beginnt mit der Segmentierung, da Sicherheitslücken passieren und Kriminelle irgendwo in Ihrem Netzwerk eine unverschlossene Tür finden. Der Schlüssel liegt darin, sicherzustellen, dass sie nicht weiter gehen können.
In Sachen Sicherheit gibt es keine Wunderwaffe. Aber wenn Sie eine solche Mikrosegmentierung anwenden, haben Sie eine große Chance, Ihren Angreifern das Leben erheblich zu erschweren, zumindest die Erkennungschancen zu verbessern und sie im Idealfall zu zwingen, aufzugeben und weiterzumachen.
