.png)
3 Schritte, um die Ausbreitung von Ransomware zu verhindern
In einem vorheriger Beitrag, wir haben das Konzept der Sichtbarkeit untersucht und untersucht, wie es Ihnen helfen kann, potenzielle Wege zu erkennen Ransomware und andere Malware, die sich verbreiten soll. Weiter, haben wir skizziert, wie das Risiko von Sicherheitslücken visualisiert, quantifiziert und gemindert werden kann.
Wenn diese Elemente vorhanden sind, sind Sie jetzt gut positioniert, um aufzuhören Ransomware auf seinem Weg, indem sowohl proaktive als auch reaktive Maßnahmen ergriffen werden.
Warum ist Ransomware so effektiv?
EIN Analyse 2020 zeigt, dass Unternehmen aufgrund von Ausfallzeiten durch Ransomware-Angriffe 21 Milliarden Dollar verloren haben. Allein diese Zahl zeigt, wie effektiv Ransomware-Taktiken sind. Was macht Ransomware für Kriminelle so lukrativ? Menschliche Schwäche ist eine leicht ausnutzbare Sicherheitslücke, die durch das Bewusstsein für Sicherheitsbedrohungen noch verschärft werden kann. Veraltete Hard- und Software ist eine weitere Sicherheitslücke, von der Ransomware-Kriminelle profitieren.
Ein wichtiger Aspekt, der Ransomware so effektiv macht, ist der Mangel an technologischer Abwehr, mit dem viele Unternehmen konfrontiert sind. Zum Glück kann die Ausbreitung von Ransomware mit den richtigen Strategien und Technologien verhindert werden.
So geht's.
Bewährte Methoden zur Abwehr von Ransomware
Ransomware richtet bei großen und kleinen Unternehmen in allen wichtigen Branchen verheerende Schäden an. Aber es hat eine Achillesferse. Es bewegt sich typischerweise in einem sehr vorhersehbaren Muster.
Erstens gelangt Schadsoftware über einen anfälligen Pfad in die IT-Umgebung eines Unternehmens. Wenn sie dann nicht kontrolliert wird, verbreitet sie sich oft über Wochen oder Monate wie ein Spinnennetz über Netzwerke, Geräte und Server. Schließlich legt jemand den Schalter um, um ihn zu aktivieren, sobald er an seinem Platz ist, und die Ransomware scheint aus dem Nichts aufzutauchen.
Dieser Prozess kann passieren, weil es relativ einfach ist, die meisten Umgebungen seitlich zu durchlaufen, da Firewalls in der Regel auf Rechenzentren sitzen und nicht in der Nähe der Systeme, die sie schützen.
Das Stoppen der Ausbreitung von Ransomware, Malware und anderen Cyberangriffen umfasst einen dreistufigen Prozess:
1. Schließen Sie riskante Ports und Vektoren, über die sich Ransomware den ersten Zugang zu Ihren Systemen verschaffen kann.
2. Errichten Sie Barrieren, um zu verhindern, dass sich Malware seitlich durch Ihre Umgebung bewegt, falls sie doch einmal eindringt.
3. Verbessern Sie Ihre Reaktion nach einem Angriff, indem Sie sekundäre Richtlinien einrichten, die für die Reaktion auf Vorfälle aktiviert werden.
1. Beseitigen Sie unnötige Verbindungen
Alles beginnt mit isolierend kritische Ressourcen durch Eliminierung unnötiger Kommunikation.
Denken Sie zum Beispiel an Videokonferenzen. Normalerweise gibt es keinen guten Grund für den Laptop eines Konferenzleiters, über RDP- oder SMB-Ports direkt mit einem anderen Gerät zu sprechen, das bei der Konferenz angemeldet ist. Administratoren können also diese Anschlüsse an beiden Geräten jederzeit schließen, ohne dass sich dies auf andere Bereiche der Umgebung auswirkt. Ein weiteres Beispiel: In den meisten Fällen können Sie die älteren und sehr anfälligen FTP- und Telnet-Protokolle in Ihrer Umgebung herunterfahren.
Wenn Sie nur die notwendige Kommunikation zulassen und unnötige Pfade zwischen Geräten und Netzwerken eliminieren, können Sie Arbeitsabläufe und Maschinen auf Folgendes reduzieren Ransomware eindämmen.
Sie können dies tun, indem Sie die gesamte Kommunikation über einzelne Ports, wie in den obigen Beispielen, für eine einzelne Anwendung, innerhalb eines geografischen Standorts oder in einem gesamten Netzwerk blockieren.
Um optimale Ergebnisse zu erzielen, sollten Sie solche Kontrollen sowohl proaktiv als auch reaktiv implementieren:
- Proaktiv zu handeln bedeutet, alle ungenutzten Anschlüsse in Ihrem Rechenzentrum oder anderen Bereichen zu schließen, bevor ein Angriff stattfindet — genau wie das Abschließen der Eingangstür, wenn Sie nachts ins Bett gehen.
- Reaktiv zu handeln bedeutet, auf Vorfälle mit Richtlinien zu reagieren, die Sie aktivieren können, wenn Sie wissen oder sogar vermuten, dass irgendwo in Ihrer Umgebung Malware vorhanden ist.
Beginnen Sie damit, Ihre wertvollsten Anwendungen oder Vermögenswerte mit Schutzringen zu versehen. Auf diese Weise bleibt Malware, wenn sie in ein Gerät oder Netzwerk in Ihrer Umgebung eindringt, auf einen kleinen Bereich beschränkt, sodass der Rest unangetastet bleibt.
Wie wir in unserem erkundet haben vorheriger Beitrag, einige Häfen bergen ein höheres Risiko als andere und sollten daher mit höchster Priorität geschlossen werden. Dazu gehören stark vernetzte Ports, die vielleicht nur eine Handvoll Server für die Kommunikation mit anderen Systemen in einem Rechenzentrum verwenden.
In den meisten Fällen sollten Server, die keine Verwaltungsfunktionen haben, niemals anfällige Ports wie RDP- und SMB-Ports verwenden, die Peer-to-Peer-Kommunikation ermöglichen. Die gute Nachricht ist, dass solche Ports das wieder wettmachen am meisten der Angriffsvektoren für Malware. Mit anderen Worten, wenn Sie Zugangswege wie RDP, SMB und Win RM einschränken, können Sie den Großteil der Malware, die in den Nachrichten auftaucht, eliminieren.
Berücksichtigen Sie auch bekannte Ports, die von Datenbanken und Kerndiensten verwendet werden. Diese Liste umfasst Anwendungen und Dienste, die üblicherweise in Linux-Distributionen enthalten sind. Viele von ihnen sind im Kern sehr alt und weisen Sicherheitslücken auf, die sich über viele Jahre aufgebaut haben.
Zum Glück einfach, risikobasierte Kontrollen und Richtlinien, die auf der Eingangsseite aller Computer in einem Rechenzentrum gelten, können Ihnen helfen, diese bekannten Sicherheitslücken in den Griff zu bekommen und Malware abzuwehren.
Was ausgehende Ports betrifft, so haben die meisten Server im Rechenzentrum nichts damit zu tun, mit dem Internet zu kommunizieren, oder vielleicht nur auf bestimmte, klar definierte Weise.
Indem Sie die Kommunikation verschärfen, um zu verhindern, dass unbefugte Daten das Unternehmen verlassen, können Sie verhindern, dass die Befehls- und Kontrollfunktion von Ransomware zu Hause anruft und tödliche Verschlüsselungsbomben auslöst.
Natürlich können Sie dasselbe mit Cloud-Systemen und übermäßig breiten Benutzerzugriffsberechtigungen tun. Begrenzen Sie einfach den ausgehenden Datenverkehr und kontrollieren Sie, wann und wie Anwendungen, Geräte und Benutzer mit dem Internet kommunizieren. Auf diese Weise können Sie schnell Strategien zur Eindämmung von Ransomware implementieren.
Es geht darum, infizierte Ressourcen zu isolieren und den Rest Ihrer Umgebung zu schützen. Und eine gute Sichtbarkeit Ihrer Umgebung kann Sie sogar noch weiter bringen, da Muster im Laufe der Zeit aufgedeckt werden.
2. Nutzen Sie Sichtbarkeit zum Schutz vor Ransomware
In unserem vorheriger Beitrag, wir zeigen, wie Illumio Verbindungsdaten und Flussinformationen von Routern, Switches und anderen lokalen Infrastrukturen sowie von Clouds und Endbenutzersystemen aufnimmt.
Illumio verwendet diese Informationen, um Anwendungsabhängigkeitskarten für IT-Experten und API-Schnittstellen für die Sicherheitsautomatisierung zu erstellen.
Diese Informationen ermöglichen es Administratoren, qualitativ hochwertige Entscheidungen darüber zu treffen, welche Ressourcen mit welchen anderen Ressourcen kommunizieren sollen, ohne dass dies zu bereuen ist. Anschließend können sie proaktive Richtlinien entwickeln — die im Wesentlichen Barrieren schaffen und wichtige Ressourcen und Systeme eindämmen —, die zum Schutz vor Bedrohungen auf allen Computern, Cloud-nativen Firewalls, Netzwerk-Switches und mehr funktionieren.
Unterm Strich sollte eine Sicherheitslücke zwischen zwei Benutzern keine Auswirkungen auf andere Benutzer oder Ressourcen in der Cloud oder im Rechenzentrum haben, und eine gute Sichtbarkeit kann eine solche potenzielle Sicherheitslücke bereits vor einem Angriff hervorheben.
3. Verbessern Sie die Reaktion nach einem Angriff
Illumio hilft auch bei der Reaktion nach einem Eindringen.
Nehmen wir zum Beispiel an, Sie entdecken verdächtige Aktivitäten, die sich in Ihrer Umgebung bewegen. In diesem Fall möchten Sie vielleicht Barrieren errichten, um Ihre Kerndatenbanken zu schützen. PCI Zahlungssysteme, Krankenakten, Handelsinformationen und andere sensible Vermögenswerte.
In diesem Fall ist eine Eindämmungsfunktion erforderlich, die möglicherweise restriktiver ist, als Sie es im täglichen Betrieb verwenden möchten. Sie dient dazu, die Ausbreitung von Schadsoftware an der Quelle zu verhindern.
Vor jedem Angriff sollten IT-Administratoren möglicherweise sekundäre Richtlinien erstellen, die sie als Teil ihres Incident-Response-Runbooks aktivieren können. Die Idee besteht darin, Systeme zu isolieren und zu schützen, indem Verbindungen vermieden werden, die zu Beeinträchtigungen führen könnten. Stattdessen verhindert die Eindämmungspolitik die weitere Ausbreitung von Schadsoftware, indem beispielsweise die RDP-Kommunikation eingeschränkt wird, die nicht unbedingt erforderlich ist.
Illumio unterstützt dies, indem es Administratoren ermöglicht, unerwartete Verkehrsströme zu erkennen und schnell Richtlinien zu implementieren, die unerwünschte Verbindungen unterbinden.
Mehr als Firewalls
Mit Illumio können Sie Workloads sehen, die in Ihrer Umgebung ausgeführt werden, unabhängig davon, ob sie sich in einem Rechenzentrum, in der Cloud oder zwischen diesen Umgebungen befinden — zum Beispiel zwischen Web- und Datenbank-Workloads.
Mit dieser visuellen Karte können Sie schnell die Tür vor unsicherem Verkehr schließen. Wenn Sie RDP als Beispiel für eine gängige Methode verwenden, mit der sich Ransomware zwischen Workloads bewegt, können Sie eine Regel erstellen, die genau diesen Datenverkehr blockiert. Sie können auch Barrieren auf der Grundlage von Metadaten definieren, z. B. Bezeichnungen für verschiedene Arten von Workloads und physische Standorte.
Sie können sich diese Barrieren als eine Art umgekehrte Firewall vorstellen. Das liegt daran, dass Sie in Firewalls normalerweise Regeln erstellen, die den gewünschten Datenverkehr definieren, während alles andere standardmäßig verboten ist. Mit Illumio können Sie diesen Arbeitsablauf umkehren und zuerst den abgelehnten Traffic definieren. Dann machen Sie Ausnahmen, um die Kommunikation in Einzelfällen zu ermöglichen.
Und alles ist automatisiert, sodass Sie Notfallrichtlinien erstellen können, die Sie jederzeit starten können, um Ihre Umgebung mit nur wenigen Klicks vor Angriffen zu schützen.
Kurz gesagt, Illumio bietet die Transparenz, die Sie benötigen, um anfällige Workloads und Maschinen zu erkennen, nicht benötigte Ports vor einem Angriff abzuschalten und Malware-Infektionen zu isolieren, bevor sie sich ausbreiten können. Diese Kombination aus proaktiven und reaktiven Kontrollen hilft Ihnen, schnell zu verhindern, dass Angriffe zu Cyberkatastrophen werden.
Erfahren Sie mehr darüber, wie Illumio die Ausbreitung von Ransomware verhindert:
- Lesen Sie das E-Book, So stoppen Sie Ransomware-Angriffe.
- Sehen Sie es im Webinar in Aktion, Ransomware passiert. Wir verhindern, dass es sich ausbreitet: Ergreifen Sie Maßnahmen, um Ransomware einzudämmen.
