Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware

NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Raghu Nandakumara
,
Leitender Direktor, Marketing für Branchenlösungen
April 16, 2021
23 min. Lesedauer

Die Sammlung von NAME:WRECK Sicherheitslücken ermöglicht es Angreifern, kritische Server und IoT-Geräte aus der Ferne zu kompromittieren, auch solche, die sich hinter Perimeterfirewalls befinden, indem sie Fehler bei der Verarbeitung von DNS-Antworten (Domain Name System) ausnutzen. Hunderte Millionen Geräte weltweit — darunter Medizintechnik, intelligente Geräte und Industrieanlagen — könnten mithilfe von NAME:WRECK potenziell kompromittiert werden.

Kürzlich veröffentlichte Forschungsergebnisse von Forescout und JSOF beschreiben diese Sammlung von Sicherheitslücken, die das Analysieren von DNS-Antworten nutzen. Diese Fehler sind in den TCP/IP-Stacks einer Reihe von Betriebssystemen zu finden und können zur Remotecodeausführung oder Diensteverweigerung auf dem Zielsystem führen. Um diese Sicherheitsanfälligkeiten ausnutzen zu können, muss ein Angreifer in der Lage sein, auf eine gültige DNS-Anfrage zu antworten — indem er sich als Mann in der Mitte zwischen dem anfälligen Client und dem DNS-Server einfügt — und eine Antwort erhalten, deren Nutzlast so formatiert ist, dass sie die Schwachstelle auslöst. Zu den Plattformen, die sich als anfällig erwiesen haben, gehören FreeBSD, das in Rechenzentren weit verbreitet ist, sowie Nucleus und NetX, die beide häufig als Betriebssysteme im Internet der Dinge verwendet werden OT-Geräte. Den vollständigen Artikel auf NAME:WRECK finden Sie hier.

BLOG

Da die anfängliche Gefährdung davon abhängt, dass der Angreifer Netzwerkzugriff auf das Zielgerät hat, und eine laterale Bewegung nach der Gefährdung einen umfassenden Netzwerkzugriff erfordert, bieten Sichtbarkeit und Mikrosegmentierung Funktionen, die sowohl die Erkennung als auch die Abwehr eines möglichen Angriffs unterstützen könnten.

Der Ausgangspunkt für beide ist eine genaue Bestandsaufnahme der Geräte in der Umgebung, in der die betroffenen Plattformen ausgeführt werden. Dies mag für Server in einem Rechenzentrum einfach sein, für IoT- oder OT-Geräte, die über mehrere Standorte verteilt sind, eine größere Herausforderung: Wenn diese Informationen nicht perfekt sind, ist es ein guter Ausgangspunkt, zu wissen, wo im Netzwerk sie eingesetzt werden (auch auf Subnetzebene, wenn nicht sogar auf einer bestimmten IP).

Sichtbarkeit

Da ein Angreifer ein MITM (Man in the middle) ausführen müsste, um die bösartige DNS-Antwort einzuschleusen, kann es schwierig sein, die bösartige Verbindung zu identifizieren. Folgendes könnte jedoch einige Einblicke bieten:

  • Versuchte DNS-Verbindungen zu unbekannten oder unerwarteten DNS-Servern.
  • Ungewöhnlich hohe Aktivitäten auf einem bestimmten DNS-Server.
  • DNS-Antworten mit großen Nutzlasten.

Mögliche seitliche Bewegungen nach einer Kompromittierung könnten anhand der folgenden Merkmale erkannt werden:

  • Target Estate (FreeBSD, NetX, Nucleus) Konnektivität zu internen Geräten, zu denen sie normalerweise keine Verbindung herstellen.
  • Neue Internetverbindungsversuche von der Zielanlage aus.
  • Neue große Datenübertragungen von/zur Zielanlage.

Eindämmung

Unternehmen können die Mikrosegmentierung nutzen, um die potenzielle Angriffsfläche zu reduzieren und laterale Bewegungen zu verhindern:

  • Beschränken Sie Geräte so, dass sie nur auf autorisierte DNS-Server (sowohl intern als auch extern) zugreifen können.
  • Beschränken Sie den Zugriff auf/von Geräten, sodass Regeln nur Abläufe zulassen, die für den Geschäftsbetrieb erforderlich sind, und verhindern Sie so den uneingeschränkten Zugriff auf das Netzwerk.
  • Verhindern Sie den Zugriff von Geräten auf das Internet oder beschränken Sie den Zugriff nur auf bestimmte Domains.

Illumio-Kunden können die beispiellose Transparenz von Illumio Core nutzen, um diese Überwachung zu ermöglichen und angemessene Segmentierungsrichtlinien zu erstellen. Wenden Sie sich an Ihr Illumio Account-Team, um zu erfahren, wie das geht.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Mit Zero-Trust-Segmentierung Ransomware an der Quelle eindämmen
Eindämmung von Ransomware

Mit Zero-Trust-Segmentierung Ransomware an der Quelle eindämmen

Erfahren Sie, warum die Ransomware-Bedrohung so kritisch ist und wie Sie Ransomware mit Zero-Trust-Segmentierung eindämmen können.

Lesen Sie mehr
Ransomware stoppen: Erkennen Sie Ihre Bedrohungen mit Illumio
Eindämmung von Ransomware

Ransomware stoppen: Erkennen Sie Ihre Bedrohungen mit Illumio

Lesen Sie mehr
3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio
Eindämmung von Ransomware

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio

Erfahren Sie, wie das Ransomware-Schutz-Dashboard und die verbesserte Benutzeroberfläche (UI) von Illumio Ihnen wichtige Einblicke in das Ransomware-Risiko bieten.

Lesen Sie mehr
Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr