Erkenntnisse aus 3 aktuellen Cyberangriffen deuten auf eine Zero-Trust-Segmentierung hin
Jüngste Cybersicherheitsvorfälle wie die, die sich auf MITRE, die dänische Energieinfrastruktur und die British Library auswirken, erinnern daran, wie wichtig die Netzwerksegmentierung ist, um die Auswirkungen von Sicherheitslücken und Ransomware-Angriffen zu reduzieren.
Jeder dieser Angriffe zeigt, wie Zero-Trust-Segmentierung (ZTS) kann helfen, sich proaktiv gegen seitliche Bewegungen zu verteidigen und Angriffe reaktiv einzudämmen, wenn sie unweigerlich passieren. Dies spiegelt sich in den Vorfall- und Reaktionsberichten der drei Angriffe wider und entspricht den Leitlinien des neuesten Cybersicherheitsinformationsblatts der NSA zur Netzwerksicherheit.
Was wir aus den letzten 3 Cyberangriffen gelernt haben
Nachrichten über Sicherheitslücken und Ransomware-Angriffe sollten keine Überraschung sein. Die heutigen komplexen, stark vernetzten Netzwerke bedeuten, dass es immer wieder neue Bedrohungen und unentdeckte Sicherheitslücken geben wird. Was wichtig ist, ist, dass Unternehmen darauf vorbereitet sind, die Auswirkungen von Angriffen zu begrenzen, wenn sie stattfinden.
Diese drei berichtenswerten Sicherheitslücken dienen als hervorragende Fallstudien für die Bedeutung der Segmentierung und ihre entscheidende Rolle für die Vorbereitung und das Überleben von Sicherheitsverletzungen.
MITRE: Die Segmentierung stoppte die laterale Bewegung
Eine Tatsache der heutigen Bedrohungslandschaft ist, dass Sicherheitslücken unvermeidlich sind — und das gilt selbst für Organisationen wie MITRA die für ihre robuste Cybersicherheit bekannt sind. MITRE war jedoch im April 2024 auf diese Realität vorbereitet, als das Unternehmen bestätigte, dass es in seinen Forschungs- und Prototyping-Netzwerken zu einer Sicherheitslücke gekommen war.
Laut dem Bericht von MITRE über den Vorfall hat der unbekannte Gegner „unsere Netzwerke ausspioniert, eines unserer Virtual Private Networks (VPNs) über zwei Zero-Day-Schwachstellen von Ivanti Connect Secure ausgenutzt und unsere Multifaktor-Authentifizierung mithilfe von Session Hijacking umgangen“. Die Identitätstechnologie von MITRE reichte nicht aus, um den Angriff zu verhindern.
Stattdessen war die schnelle Eindämmung von Sicherheitsverletzungen aufgrund von Segmentierungsrichtlinien entscheidend, um die laterale Bewegung der Angreifer zu stoppen, die infizierten Bereiche zu isolieren und den potenziellen Schaden zu begrenzen:
„Wir haben die betroffenen Systeme und Teile des Netzwerks isoliert, um eine weitere Ausbreitung des Angriffs zu verhindern. Eine einfache Änderung der Edge-Firewall-Regeln reichte nicht aus, da dieses Netzwerk über Konnektivität zu Laboren im gesamten Unternehmen verfügte. Eine effektive Eindämmung erforderte die Abschaltung der Zugangsinfrastruktur und die Isolierung der Edge-Systeme in einer Vielzahl von Labors. Ein genaues Netzwerkinventar war entscheidend, um dies rechtzeitig tun zu können.“
Es ist auch wichtig, darauf hinzuweisen, dass ihre Feststellung, dass Firewall-Regeln nicht ausreichten, um laterale Bewegungen zu verhindern und den Verstoß zu isolieren. Stattdessen war die Mikrosegmentierung als Teil ihrer Zero-Trust-Architektur unerlässlich, um die Konnektivität und Kommunikation zwischen infizierten und nicht infizierten Systemen auf der Grundlage ihres Berichts vollständig abzuschalten.
MITRE erlitt zwar einen Angriff, war aber bereit, die Auswirkungen des Verstoßes schnell zu erkennen, einzudämmen und abzumildern. Eine Zero-Trust-Strategie, bei der die Netzwerksegmentierung im Mittelpunkt stand, war der Schlüssel zu ihrer Reaktion.
The British Library: Eine Segmentierung hätte den Schaden durch Sicherheitsverletzungen begrenzt
Im Oktober 2023 wurde der Britische Bibliothek erlitt einen Ransomware-Angriff, bei dem fast 600 GB an Daten, einschließlich persönlicher Daten seiner Benutzer und Mitarbeiter, kopiert, exfiltriert und im Dark Web verkauft wurden. Sobald die Bibliothek nicht bereit war, das Lösegeld zu zahlen, verschlüsselten die Angreifer auch Daten und Systeme und zerstörten einige Server, was die Wiederherstellung und Wiederherstellung von Daten verhinderte.
Der Angriff verdeutlicht, wie unterschiedslos die heutigen Bedrohungsakteure agieren — selbst gemeinnützige Wohltätigkeitsorganisationen wie die British Library können nicht davon ausgehen, dass sie vor Angriffen gefeit sind.
In ihrem Bericht vom März 2024 Nach dem Angriff räumte die Bibliothek ein, dass ihre Sicherheitsarchitektur, einschließlich einer Mischung aus modernen und älteren Systemen, keine Möglichkeit bot, seitliche Bewegungen sofort zu stoppen oder den Angriff einzudämmen.
In dem Bericht heißt es, dass die Bibliothek in Zukunft bessere Strategien zur Cyberresistenz umsetzen muss, einschließlich der Netzwerksegmentierung: „Kein Perimeter kann vollständig gesichert werden. Die Netzwerksegmentierung ist daher unerlässlich, um den Schaden zu begrenzen, der durch einen erfolgreichen Angriff verursacht wird. Aufgrund der alten Netzwerktopologie der Bibliothek konnte der Angriff mehr Schaden anrichten, als es bei einem modernen Netzwerkdesign möglich gewesen wäre.“
Dänischer Energiesektor: Mangelnde Sichtbarkeit und Segmentierung führten zu weitreichenden Störungen
Ein koordinierter, gut geplanter Angriff kompromittierte 22 Energieversorger, die für verschiedene Aspekte des Dänische Energieinfrastruktur im Mai 2023.
Basierend auf Informationen von SektorCert, einer gemeinnützigen Organisation, die ein Sensornetzwerk zur Erkennung, Identifizierung und Erforschung von Bedrohungen für das dänische kritische Energiesystem betreibt, fehlte es vielen Mitgliedsbetreibern an vollständiger Transparenz und Segmentierung in ihren Netzwerken.
SektorCert konnte den Angriff erfolgreich erkennen, bevor er sich weiter ausbreitete. Ihre Untersuchungen ergaben jedoch, dass viele Mitgliedsbetreiber nichts von Sicherheitslücken in ihren individuellen Netzwerken — insbesondere zwischen IT- und OT-Systemen — wussten oder dass ihre Netzwerke angegriffen wurden. Mit einem umfassenden Einblick in die Anwendungsabhängigkeiten und den Workload-Traffic hätten die Betreiber Sicherheitslücken erkennen und schließen können, durch die sich der Angriff auf ihre individuellen Netzwerke und die gesamte nationale Energieinfrastruktur ausbreiten konnte.
Die Angreifer nutzten auch eine aus der Ferne ausnutzbare Sicherheitslücke in den Perimeterfirewalls der Betreiber als Ausgangspunkt für ihren ersten Angriff. Zwar verfügten viele Betreiber über Firewalls im Netzwerk Umfang, ihnen fehlte eine effektive Segmentierung innerhalb des Netzwerks Innere. Dadurch konnten sich die Angreifer nach dem ersten Verstoß schnell und leise im Netzwerk ausbreiten. In dem Bericht wird ausdrücklich die Segmentierung als Schlüssel bezeichnet, um sich proaktiv auf Sicherheitsverletzungen vorzubereiten und schnell auf aktive Angriffe zu reagieren.
Zero-Trust-Segmentierung ist unerlässlich, um Angriffe vorzubereiten und darauf zu reagieren
Inmitten der Ungewissheit der heutigen Bedrohungslandschaft machen diese drei Angriffe eine Lektion deutlich: die zentrale Rolle der Zero-Trust-Segmentierung (ZTS) bei der Stärkung der Cyberabwehr. In der Tat, das neue Informationsblatt der NSA zur Cybersicherheit, Förderung der Zero-Trust-Reife im gesamten Bereich Netzwerk und Umgebung, erkennt ZTS als wesentlichen und grundlegenden Bestandteil jeder Zero-Trust-Architektur an.
Bereite dich proaktiv auf potenzielle Angriffe vor
Herkömmliche Cybersicherheitsansätze, die sich auf perimetergestützte Abwehr konzentrieren, reichen nicht mehr aus, um die komplexen, miteinander verbundenen Netzwerke von heute zu schützen. Anstatt davon auszugehen, dass alle Cyberangriffe verhindert werden können, geht ZTS davon aus, dass Sicherheitslücken unvermeidlich sind.
von Segmentierung des Netzwerks Unternehmen können in kleinere, isolierte Zonen vordringen und strenge Zugriffskontrollen durchsetzen, so dass sie die Angriffsfläche minimieren und das Risiko einer seitlichen Bewegung durch böswillige Akteure mindern können. Dieser proaktive Ansatz stärkt nicht nur die Widerstandsfähigkeit gegenüber Cyberbedrohungen, sondern ermöglicht es Unternehmen auch, die Auswirkungen von Sicherheitsvorfällen einzudämmen, wenn sie auftreten.
Reagieren Sie schnell auf aktive Angriffe
ZTS sorgt auch dafür Widerstandsfähigkeit angesichts aktiver Angriffe. Im Falle eines Sicherheitsvorfalls dienen segmentierte Netzwerke als virtuelle Bereiche, die den Schaden eindämmen und verhindern, dass er sich unkontrolliert ausbreitet. Dieser Eindämmungsmechanismus ist besonders wichtig in vernetzten Unternehmen von heute, in denen eine einzelne Sicherheitsverletzung kaskadierende Auswirkungen auf ein ganzes Netzwerk oder sogar mehrere Organisationen haben kann.
Durch die Begrenzung des Explosionsradius potenzieller Sicherheitslücken und die Verhinderung seitlicher Bewegungen ermöglicht ZTS Unternehmen, die Auswirkungen von Sicherheitsvorfällen zu minimieren und die Betriebskontinuität aufrechtzuerhalten.
Kontaktiere uns um zu erfahren, wie die Illumio Zero Trust Segmentation Platform Ihr Unternehmen darauf vorbereitet, sich proaktiv und reaktiv vor dem nächsten potenziellen Cyberangriff zu schützen.