Blog
/
Eindämmung von Ransomware

So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio

Ron Isaacson
,
Leitender Direktor, Field CTO
January 7, 2022
23 min. Lesedauer

Laut Angaben sind über 90 Prozent der Ransomware-Angriffe vermeidbar Gartner. Sie sind bis zu einem gewissen Grad auch ziemlich vorhersehbar, da Angreifer dazu neigen, einem von nur einer Handvoll Bedrohungsvektoren zu folgen. Am beliebtesten ist die Ausnutzung des Remote Desktop Protocol (RDP), auf die laut Angaben im dritten Quartal 2021 fast die Hälfte der Angriffe entfielen eine Schätzung. 

Fazit: Wenn Ihr Unternehmen besser darin werden kann, Stillstand zu halten Ransomware-Angriffe Über RDP hat es eine große Chance, das Cyberrisiko auf ganzer Linie zu minimieren.

Die gute Nachricht ist, dass Illumio Transparenz und Kontrolle dort bietet, wo Unternehmen sie am dringendsten benötigen: um zu verstehen, wo sie am stärksten gefährdet sind, und dann skalierbare Richtlinien zur Einschränkung der RDP-Kommunikation einzuführen.

Was ist RDP?

RDP ist ein Microsoft-Protokoll, mit dem Computerbenutzer eine Remoteverbindung zu PCs und Servern herstellen können. Es läuft auf jedem Windows-Server — allgegenwärtig, was es auch zu einem Hauptziel für Angriffe macht.

RDP-Angriffe nahmen während der Pandemie stark zu, als auch die Nutzung von Fernzugriffslösungen durch Heimarbeiter zunahm. Laut eine Studie, das Volumen der Geräte, die RDP über Standardports mit dem öffentlichen Internet verbinden, stieg in einem einzigen Monat um über 40 Prozent.

Wie wird RDP missbraucht?

Es gibt mehrere Faktoren, die erklären, warum RDP Ransomware-Angriffe sind so erfolgreich.

Viele Unternehmen haben einen schlechten Einblick in ihre IT-Netzwerkinfrastruktur. Dies bedeutet, dass sie möglicherweise nicht wissen, wie viele RDP-Pfade offen sind. Angriffe nutzen auch die allgemeinen Sicherheitsherausforderungen von Unternehmen aus, einschließlich eines effektiven Patch- und Passwortmanagements.

So funktioniert das:

  1. Ein Angreifer scannt nach Windows-Server mit öffentlichen IP-Adressen und einem offenen Port 3389 (häufig für RDP verwendet).
  2. Sobald diese gefunden wurden, versucht der Bedrohungsakteur, die gefährdeten Server zu kompromittieren, und zwar über:
  3. Ausnutzen von Microsoft-Sicherheitslücken, die es ihnen ermöglichen könnten, die RDP-Authentifizierung zu umgehen oder Malware direkt über eine Verbindung auszuführen.
  4. Brute-Force-RDP-Konten, die nur mit schwachen Anmeldeinformationen geschützt sind. Manchmal diese automatisierten Versuche, Passwörter zu erraten wird durchgeführt über mehrere Tage, um ein Auslösen des Alarms zu vermeiden.
  7. Sobald der erste Zugriff erfolgt ist, könnte der Angreifer RDP oder andere Techniken verwenden, um seitwärts bewegen zu anderen Vermögenswerten und Daten. Irgendwann wird es im Netzwerk des Opfers ausreichend Fuß gefasst haben, um weit verbreitete Ransomware einzusetzen und/oder sensible Daten zu erpressenden Zwecken zu stehlen.

Stoppen von RDP-Ransomware-Angriffen

Bei der Verhinderung von RDP-Ransomware-Angriffen geht es zum Teil darum, sicherzustellen, dass die Systeme mit aktuellen Patches geschützt sind, und die Multifaktor-Authentifizierung einzuschalten, um Passwort-Cracking-Versuche zu verhindern.

Aber noch grundlegender geht es darum, zunächst zu verstehen, wo RDP in Ihrem Unternehmen läuft und wo Sie Verbindungen unterbrechen können, ohne die Geschäftsprozesse oder die Produktivität zu beeinträchtigen. Das Blockieren von Port 3389 auf diesen Servern reicht aus.

Eine solche Reduzierung der Angriffsfläche kann dazu beitragen, die Anzahl potenzieller Eindringpunkte zu minimieren. Dadurch wird auch die Möglichkeit für Angreifer verringert, RDP zu nutzen, um sich durch ein Netzwerk zu bewegen. Dadurch bleibt nur noch eine kleinere Anzahl von Servern übrig, die mit bewährten Authentifizierungsrichtlinien überwacht und gesichert werden müssen.

Wie Illumio helfen kann

Illumio wird bereits von einigen der weltweit größten und anspruchsvollsten Unternehmen verwendet Organisationen um die Bedrohung durch Ransomware abzuwehren — darunter mehr als 10 Prozent der Fortune-100-Unternehmen. Wir bieten das Granular Sichtbarkeit Sie müssen wissen, wo die RDP-Kommunikation stattfindet und wie Sie sie bei Bedarf blockieren können.

Der einfache dreistufige Ansatz von Illumio zur Minimierung des RDP-Ransomware-Risikos lautet wie folgt:

  1. Ordnen Sie alle RDP-Server und Verbindungen zu
  2. Identifizieren Sie wichtige und nicht wesentliche RDP-Kommunikation
  3. Ergreifen Sie Maßnahmen mit einer einfachen, schnellen Implementierung von Richtlinien, um unwichtige Kommunikationsvorgänge in großem Umfang einzuschränken

Weitere Best-Practice-Ratschläge zur Minderung des Ransomware-Risikos und wie Illumio dabei helfen kann, Bedrohungen abzuwehren, finden Sie in unserem neuen E-Book So stoppen Sie Ransomware-Angriffe.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Was bei einem Cybervorfall zu tun ist: Technische Reaktion
Eindämmung von Ransomware

Was bei einem Cybervorfall zu tun ist: Technische Reaktion

Lesen Sie mehr
Warum Firewalls nicht ausreichen, um Ransomware zu bekämpfen
Eindämmung von Ransomware

Warum Firewalls nicht ausreichen, um Ransomware zu bekämpfen

Lesen Sie mehr
Bewertung von Sicherheitslücken zur Abwehr von Ransomware
Eindämmung von Ransomware

Bewertung von Sicherheitslücken zur Abwehr von Ransomware

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr