Start Empfohlen Wie das Stoppen der seitlichen Bewegung vor Ransomware schützen kann

Wie das Stoppen der seitlichen Bewegung vor Ransomware schützen kann [Q&A]

5
0


Ransomware

In den letzten Jahren ist die Zahl der Ransomware-Angriffe sprunghaft angestiegen. Während hochkarätige Angriffe Schlagzeilen machen, sind Unternehmen jeder Größe gefährdet.

Einer der Schlüssel zum Stoppen von Angriffen besteht darin, sie daran zu hindern, sich seitlich durch Netzwerke zu bewegen. Wir sprachen mit Amit Serper, Area VP of Security Research for North America beim Mikrosegmentierungsspezialisten Guardicore um seine Meinung darüber zu erfahren, wie sich Unternehmen schützen können.

BN: Wie funktioniert die seitliche Bewegung?

AS: Während IT-Sicherheitsteams viel in die Verhinderung von Netzwerkeinbrüchen investieren, erinnern uns tägliche Berichte über lähmende Angriffe daran, dass eine Gefährdung des Netzwerks unvermeidlich ist. Dies macht eine effektive Strategie zur Verhinderung des Voranschreitens erfolgreicher Eindringversuche und weiterer negativer Auswirkungen zu einem kritischen Aspekt moderner Sicherheitsabläufe.

Lateral Movement ist eine Reihe von Schritten, die Angreifer, die in einer vertrauenswürdigen Umgebung Fuß gefasst haben, unternehmen, um die anfälligsten und/oder wertvollsten Assets zu identifizieren, ihre Zugriffsebene zu erweitern und in Richtung hochwertiger Ziele vorzudringen. Es beginnt normalerweise mit einer Infektion oder einer auf Anmeldeinformationen basierenden Kompromittierung eines ersten Rechenzentrums oder Cloud-Knotens. Von dort aus wenden Angreifer verschiedene Erkennungstechniken an, um mehr über die Netzwerke, Knoten und Anwendungen zu erfahren, die die kompromittierte Ressource umgeben.

Wenn Angreifer mehr über die Umgebung erfahren, unternehmen sie oft parallele Anstrengungen, um Anmeldeinformationen zu stehlen, Softwareschwachstellen zu identifizieren oder Fehlkonfigurationen auszunutzen, die es ihnen ermöglichen, erfolgreich zu ihrem nächsten Ziel zu gelangen.

BN: Warum ist das Verhindern seitlicher Bewegungen so wichtig, um Ransomware zu besiegen?

AS: Ransomware ist die Angriffsmethode der Wahl für finanziell motivierte Cyberkriminelle. Tatsächlich wird vorhergesagt, dass a Ransomware-Angriff erfolgt alle 11 Sekunden im Jahr 2021.

Ransomware-Angriffe beginnen mit einer Sicherheitsverletzung, oft durch eine Phishing-E-Mail oder eine Sicherheitslücke im Netzwerkbereich. Die Malware beginnt sich von ihrem ursprünglichen Landepunkt durch ein Netzwerk zu bewegen und versucht, den Schaden zu maximieren. Angreifer versuchen in der Regel, die Kontrolle über einen Domänencontroller zu übernehmen, Anmeldeinformationen zu kompromittieren und vorhandene Backups zu lokalisieren und zu verschlüsseln, um zu verhindern, dass infizierte Dienste wiederhergestellt werden.

Da für einen erfolgreichen Ransomware-Angriff eine seitliche Bewegung erforderlich ist, sind Sicherheitsteams, die nicht autorisierte Aktivitäten frühzeitig in der Angriffskette erkennen und blockieren können, in einer besseren Position, um den Explosionsradius zu reduzieren.

BN: Was sind die wichtigsten Möglichkeiten, wie Bewegung verhindert werden kann?

AS: Die Unternehmensinfrastruktur besteht aus unzähligen unabhängigen Anwendungen und Diensten, die zusammen ein funktionales Netzwerk bilden. Man kann es sich wie ein Hotel vorstellen – nur weil eine Person Zugang zur Hauptlobby hat, bedeutet dies nicht, dass sie Zugang zum Penthouse, zum Tresor und zu jedem Gästezimmer im Gebäude haben sollte.

Der effektivste Weg, um seitliche Bewegungen zu verhindern, besteht darin, eine Sicherheitsschicht zwischen diesen Anwendungen einzufügen, um kritische Infrastrukturen zu isolieren und zu segmentieren. Im Weißen Haus aktuelles Memo Die Segmentierung von Netzwerken wurde als eine der wichtigsten Best Practices identifiziert und forderte die Führungskräfte von Unternehmen auf, sofortige Schritte gegen Ransomware-Angriffe zu unternehmen. In den vergangenen Jahren haben sich Unternehmen zur Segmentierung für Firewall-Technologie entschieden, aber mit zunehmender Komplexität von Cloud- und verteilten Umgebungen haben sich granulare Mikrosegmentierungskontrollen auf Workload- und Prozessebene als Lösung der Wahl herauskristallisiert.

Bevor diese Richtlinien erstellt werden können, müssen Organisationen zunächst den Ost-West-Datenverkehr in ihrer Umgebung visualisieren. Sobald eine klare Basislinie des sanktionierten Ost-West-Verkehrs erstellt und in Echtzeit und auf historischer Basis sichtbar ist, wird es viel einfacher, nicht sanktionierte Querbewegungsversuche zu identifizieren.

BN: Wie können Unternehmen sicherstellen, dass Angriffe frühzeitig erkannt werden?

AS: Obwohl es für die meisten Unternehmen eine Herausforderung darstellt, ist die Früherkennung der Schlüssel zur Verhinderung von seitlichen Bewegungen bei Ransomware-Angriffen. Es gibt vier Hauptpfeiler für den Erfolg:

  • Transparenz auf Workload- und Prozessebene: Starke Transparenz bietet einen Vorteil, da Sicherheitsteams potenzielle Angriffsvektoren auf kritische Anwendungen erkennen können, wenn sich Ransomware zu verbreiten versucht. Diese Transparenz muss auf Workload-/Prozessebene bereitgestellt werden, um hochwertige Ziele aus umfassenderen IT-Assets zu identifizieren.
  • Informierte Segmentierungsrichtlinien: Richtlinien sollten auf beobachteten „normalen“ Kommunikationsflüssen zwischen Umgebungsressourcen basieren. Wenn Sie Richtlinien konfigurieren, um Sie auf alles außerhalb von Routineaktivitäten aufmerksam zu machen, können Sie frühzeitig auf ungewöhnliche Aktivitäten hinweisen und eine Untersuchung veranlassen.
  • Täuschungstools: Eine effektive Möglichkeit, eine aktive Sicherheitsverletzung bei High-Fidelity-Vorfällen aufzudecken, besteht darin, Honeypots, Köder oder eine verteilte Täuschungsplattform einzurichten, die unbefugte seitliche Bewegungen erkennen können.
  • IDS-System- und Malware-Erkennungstools: Diese helfen, Verbreitungsversuche von Ransomware-Betreibern zu erkennen, sei es durch die Verwendung automatischer Anomalieerkennung oder vordefinierter Regeln und Signaturen für bekannte Exploits.

BN: Wie können Unternehmen der Vermeidung von Querbewegungen Priorität einräumen?

AS: Obwohl es eines der beliebtesten Schlagworte im modernen Vokabular der Cybersicherheit ist, priorisiert die Arbeit auf eine Zero-Trust-Architektur die Verhinderung von seitlichen Bewegungen. Zero Trust eliminiert die Idee eines vertrauenswürdigen Netzwerks innerhalb eines definierten Unternehmensbereichs und veranlasst Sicherheitsteams dazu, keinem Datenverkehr oder Benutzer zu vertrauen, bis er überprüft wurde.

Das Konzept von Zero Trust gibt es seit über einem Jahrzehnt und wird nun durch die Anwendung von Mikrosegmentierungstechnologien Realität. Unternehmen nutzen die Mikrosegmentierung, um alle Ressourcen unabhängig vom Standort zu sichern, die Zugriffskontrolle nach dem am wenigsten privilegierten Modell zu gewährleisten und sicherzustellen, dass der gesamte Datenverkehr protokolliert und überprüft wird.

Bildnachweis: LeoWolfert/Shutterstock



Vorheriger ArtikeliOS 14 Datenschutzlabels reichen nicht aus
Nächster ArtikelGoogle Pixel 4 ist so toll [Review]

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein