Globale Anwaltskanzlei stoppt Ransomware mit Illumio

Niemand mag schlechte Nachrichten. Dann gibt es Nachrichten, die kein CIO jemals hören möchte.

Doch um 16 Uhr an einem Montagabend Ende September 2021 wurde der CIO einer weltweit tätigen Anwaltskanzlei benachrichtigt, dass das Unternehmen von einer Ransomware angegriffen wurde.

Über eine URL in einer Phishing-E-Mail, die auf einen Helpdesk-Arbeitsplatz gelangte, wurde bösartiger Code in das Netzwerk eingeschleust. Das Netzwerk der Anwaltskanzlei wurde angegriffen. In nur wenigen Stunden hatte sich die Ransomware auf 12 Server ausgebreitet. Die Zeit wurde knapp.

Aber diese Anwaltskanzlei hatte etwas, das die Cyberkriminellen nicht erwartet hatten: Zero-Trust-Segmentierung von Illumio.

Keine seitlichen Bewegungen mehr - oder irgendwelche Bewegungen

Mit Illumio konnte das Unternehmen den Ransomware-Angriff in Sekundenschnelle abwehren. Nachdem die 12 kompromittierten Server identifiziert worden waren, wurde schnell eine Richtlinie zum "Ring-Fence" und zur Isolierung der infizierten Rechner eingerichtet, die den Angreifern im Wesentlichen einen Riegel vorschob, um ihre Bewegung durch das Netzwerk zu stoppen.

"Mit ein paar Mausklicks konnten wir alle betroffenen Systeme unter Quarantäne stellen", erklärt der IT-Leiter, der das Reaktionsteam der Anwaltskanzlei leitete. "Wir haben es so schnell geschafft, dass die Angreifer aus dem Netzwerk ausgesperrt waren, bevor sie wussten, was passiert war. Sie hatten keine Möglichkeit, irgendwo anders hinzuspringen, um uns zu entkommen und sich weiter auszubreiten. Ihr Spaß war für diesen Abend vorbei.

Der Geschäftsführer sagt, dass die Geschwindigkeit, mit der Illumio die kompromittierten Server unter Quarantäne stellen konnte, den entscheidenden Unterschied ausmachte.

"Unsere Sicherheitsberater sagten, sie hätten noch nie eine so schnelle - und effektive - Reaktion auf einen Ransomware-Angriff gesehen", erklärt er. "In den meisten Fällen ist es zu spät, wenn ein Unternehmen merkt, dass es angegriffen wird, und mit herkömmlichen Methoden Maßnahmen ergreift, um den Zugriff einzudämmen, und die Ransomware hat sich bereits auf Hunderte von Systemen ausgebreitet."

Die Geschwindigkeit, mit der wir mit Illumio die Ransomware unter Quarantäne stellen konnten, hat den Unterschied ausgemacht. IT-Leiter einerglobalen Anwaltskanzlei

Hilfe bei der Abwehr eines Ransomware-Angriffs

Während Illumio entscheidend dazu beigetragen hat, die Ransomware schnell unter Quarantäne zu stellen, um zu verhindern, dass sie sich im Netzwerk ausbreitet, trug es in mehrfacher Hinsicht zur erfolgreichen Abwehr des Angriffs bei, sagt der Geschäftsführer.

• Verlangsamen Sie den Angriff: Vor dem Angriff hatte das Unternehmen die offenen Pfade in seinem Netzwerk bereits stark eingeschränkt, indem es die Zugriffskontrollen von Illumio Zero-Trust-Segmentierung einsetzte.
• Verfolgen Sie die Eindringlinge: Durch die nahtlose Integration mit dem SIEM-Tool (Security Information and Event Management) ermöglichte die Kommunikationstelemetrie von Illumio einen umfassenderen Überblick über die Verbreitung der Ransomware.
• Visualisieren Sie die Aktivität: Die Echtzeit-Anwendungskommunikationskarte von Illumio in der hybriden Umgebung der Anwaltskanzlei Cloud zeigte deutlich die ungewöhnliche Netzwerkaktivität durch Ransomware-Chatter.
• Quarantäne kompromittierter Ressourcen: Dank der einfachen Funktionen von Illumio zur Regelerstellung war es ein Leichtes, in weniger als einer Minute eine Richtlinie zu erstellen, um die infizierten Server sowohl im Rechenzentrum als auch in einem Microsoft Azure-Dienst Cloud zu isolieren.
• Unterstützung der Untersuchung: Illumio ermöglichte den sicheren Zugriff auf kompromittierte Serverdaten und deren sichere Übermittlung an eine Incident Response Agency zur Analyse.

Unsere Sicherheitsberater sagten, sie hätten noch nie eine so schnelle - und effektive - Reaktion auf einen Ransomware-Angriff gesehen. IT-Leiter einerglobalen Anwaltskanzlei

Insbesondere die Mikrosegmentierung, die sie bereits mit Illumio Core (dem Flaggschiffprodukt von Illumio) eingeführt hatten, machte einen großen Unterschied, so der Geschäftsführer. Es schränkte proaktiv ein, wohin die Angreifer gehen und was sie tun konnten, und fing sie schließlich in einem Ringzaun ein.

Illumio Core ließ den Angreifern eine viel geringere Auswahl an Möglichkeiten und verschaffte dem Unternehmen mehr Zeit, sie aufzuspüren.

"Hätten wir nicht bereits Illumio Core mit Live-Durchsetzungsrichtlinien im Einsatz gehabt, wäre es meiner Meinung nach viel schwieriger gewesen, den Angriff einzudämmen", sagt er. "Die Angreifer hätten von der Helpdesk-Workstation aus mehr Wege gehabt und sich viel weiter und schneller ausgebreitet, was unsere Aufgabe, sie zu stoppen, viel komplexer gemacht hätte.

Schutz von Kundendaten und des Rufs des Unternehmens

Die Fähigkeit, Ransomware zu stoppen, ist für Anwaltskanzleien doppelt wichtig, sagt der Geschäftsführer. Sie müssen nicht nur ihr eigenes Unternehmen schützen, sondern sind auch treuhänderisch dazu verpflichtet, Informationen über ihre Mandanten und deren Rechtsfälle zu schützen.

"Keine Anwaltskanzlei kann es sich leisten, die Daten ihrer Mandanten bei einem Angriff zu verlieren, da dies einen Imageschaden verursacht, der in einigen Fällen nur sehr schwer wieder gutzumachen ist", sagt er.

Die Führungskraft weiß beispielsweise von einer anderen Anwaltskanzlei, die von einem großen Ransomware-Angriff betroffen war, der Kundendaten preisgab und sie zwang, ihr Netzwerk für einen Monat abzuschalten, was ihr Geschäft und das Vertrauen ihrer Kunden erheblich beeinträchtigte.

"Ihr Risiko war enorm. Es ist unklar, wie viele Kunden oder potenzielle Kunden sie durch den Vorfall verloren haben", sagt der Geschäftsführer. "Ich wollte nicht, dass uns auch nur annähernd etwas Ähnliches passiert.

Die Anwaltskanzlei war in der Lage, mit Illumio so schnell zu reagieren und den Ransomware-Angriff zu stoppen:

• Verhindern, dass die Angreifer erheblichen Schaden an den IT-Systemen oder Daten des Unternehmens anrichten
• Verhinderung des Diebstahls oder der Verschlüsselung von Daten, einschließlich Kundenunterlagen und Gerichtsakten
• Unterbrechungen des Geschäftsbetriebs zu vermeiden

Und da keine Kundendaten gestohlen wurden, konnte die Firma ihr wertvollstes Gut bewahren: ihren Ruf.

Hätten wir nicht bereits einen Teil unserer Illumio-Segmentierung eingesetzt, wäre es unmöglich gewesen, den Angriff einzudämmen. IT-Leiter einerglobalen Anwaltskanzlei

Auf der Suche nach Back-Office-Sicherheit

Der Geschäftsführer der Anwaltskanzlei sagt, dass er immer nach neuen Möglichkeiten sucht, um die digitale Sicherheit des Unternehmens weiter zu verbessern und den immer raffinierteren Cyberangriffen einen Schritt voraus zu sein.

"Es geht darum, die losen Enden in Ihrem Netzwerk zu schließen, die Angreifern eine Schwachstelle bieten, die sie ausnutzen können", sagt er.

In der Vergangenheit hat die Anwaltskanzlei mehrere Technologien zur Sicherung ihrer Daten und Systeme eingesetzt, z. B. EDR-Tools (Endpoint Detection and Response), Antiviren-Software für die Laptops der Mitarbeiter und Ransomware-Erkennung für Dateisysteme.

Vor Illumio fehlte es dem Unternehmen jedoch an wirksamen Methoden zum Schutz des "Back Office", d. h. aller Anwendungen und Daten, die für die Geschäftsabläufe benötigt werden. Diese befinden sich jetzt sowohl in Rechenzentren als auch auf der Plattform Cloud .

Die Geschäftsleitung erkannte, dass die Mikrosegmentierung ein wichtiger Weg ist, um den Schutz dieser Systeme zu verbessern.

Indem das Unternehmen in der Lage ist, die Übertragungswege bis hinunter zur Anwendungsebene zu kontrollieren und zu blockieren, kann es die "unverschlossenen Türen", die es Cyberkriminellen so oft leicht machen, sich in Netzwerken zu bewegen, um Daten zu stehlen und Unternehmen als Geiseln zu nehmen, erheblich einschränken, erklärt er.

Als er sich auf die Suche nach einer Mikrosegmentierungsplattform machte, stellte er fest, dass herkömmliche Segmentierungsansätze einfach nicht so funktionierten, wie sie sollten.

"Ich wollte eine bessere Kontrolle über unsere Netzwerkkommunikation, aber ich wusste, dass ich das nicht mit Methoden wie der manuellen Einschränkung von Zugriffskontrolllisten auf physischen Netzwerk-Switches erreichen konnte", sagt er. "Es erfordert einfach zu viel Arbeitskraft, diese zu programmieren, und wie soll man das dann alles abbilden?"

Illumio bietet Ihnen eine Transparenz und Kontrolle über den Kommunikationsfluss von Anwendungen, die Sie mit keiner anderen Sicherheitslösung erreichen können. IT-Leiter einerglobalen Anwaltskanzlei

Illumio löst diese Herausforderungen, sagt der Geschäftsführer.

Nach eingehender Prüfung und Beratung durch führende Analystenfirmen entschied sich die Führungskraft für Illumio, um seinem Unternehmen eine einfache, skalierbare Zero-Trust-Segmentierung zur Verfügung zu stellen.

"Illumio gibt Ihnen die Sichtbarkeit und Kontrolle über die Kommunikationsflüsse von Anwendungen auf eine Art und Weise, die Sie mit keiner anderen Sicherheitslösung haben", sagt er. "Mit Illumio können Sie Ihre Richtlinien einfach durchgehen und bei Bedarf Aktualisierungen und Änderungen vornehmen".

Der Geschäftsführer sagt, dass die Fähigkeit von Illumio, nahtlos dieselben Segmentierungsfunktionen für Cloud workloads wie für Rechenzentren vor Ort bereitzustellen, ebenfalls ein wichtiges Verkaufsargument war.

"Man kann nicht nur an die Grenzen des eigenen Rechenzentrums denken", sagt er. "Hybrides Cloud Computing ist heute eine Realität. Anstatt an eine Netzwerk-Hardware-Lösung oder eine Virtualisierungsplattform gebunden zu sein, wollten wir uns für eine erstklassige SaaS-Plattform entscheiden, die uns die Flexibilität bietet, die wir brauchen. Ich würde sagen, Illumio ist genau das."

Die Anwaltskanzlei ist mehr als froh, dass Illumio zur Verfügung stand, um Ransomware zu bekämpfen und Schäden für ihre Abläufe, ihre Kunden und ihren Ruf zu vermeiden. Sie konzentriert sich nun darauf, Illumio zu erweitern, um die Richtlinien in einem viel breiteren Bereich ihres IT-Bestands durchzusetzen.

"In der heutigen Zeit ist es unerlässlich, Mikrosegmentierung zu implementieren, um seitliche Bewegungen von Angreifern oder Malware, die in Ihr Netzwerk eindringen, einzuschränken", sagt er. "Es ist nur eine Frage der Zeit, bis Sie selbst einen Einbruch erleben. Sie müssen also vorbereitet sein."