E-Mail-Spam und Ransomware
Sicherheit oder Komfort?
Fortsetzung des Artikels von Teil 2
Sophos Tipps zum Endpoint-Scanning
- Stellen Sie sicher, dass Ihre Endpoints regelmäßig aktualisiert werden.
- Überprüfen Sie, dass dies auch korrekt geschieht.
- Aktivieren Sie alle Live-Schutzfunktionen in Ihrem Produkt, um auch gegen die neuesten Bedrohungen gewappnet zu sein.
- Aktivieren Sie HIPS, Behaviour Monitoring und Memory Scanning, wenn Ihr Produkt diese Funktionen unterstützt.
- Aktivieren Sie Web Protection and Malicious Traffic Detection, um Downloader von ihrer Malwarequelle zu trennen.
- Prüfen Sie, ob die Verwendung von Wechseldatenträgen wie USB-Sticks begrenzt werden kann.
- Verwenden Sie Application Control um die Nutzung von ungenehmigter Software wie Torrent Clients, Keyloggern u.a. zu unterbinden.
Web Gateway-Schutz
Frank nutzt ein Unified Threat Management (UTM) Produkt, um Web-Richtlinien, Firewall, Netzwerk-Traffic und Serverschutz zu verwalten. Die bisherige Firewall-Regel, die den gesamten Datenverkehr in beide Richtungen erlaubte, hat er entfernt.
In den ersten Wochen seiner Tätigkeit erlaubte er den meisten Verkehr. Über einige Wochen hinweg prüfte er, was die Nutzer wirklich brauchten und schloss, was nicht benötigt wurde. Er aktiviert Intrusion Protection und nutzte die erweiterten Funktionen wie Port-Scanning um zu erkennen, wenn Kriminelle sein Netzwerk auf Schwachstellen hin testen würden. Er ermöglichte Traffic Flooding Protection um seine Server gegen einen DDoS-Angriff zu wappnen. Franks UTM-Lösung kommuniziert auch mit seinen Endpoints. Das hat den Vorteil, dass seine Policies einen Computer im Falle einer Infektion automatisch vom Internet oder internen Servern trennen können.
Im Falle einer Malware-Attacke könnten alle infizierten Computer schnell gestoppt und unter Quarantäne gestellt werden, um größeren Schaden vom Netzwerk abzuwenden.
Sicherheitsberechtigungen
Bei Frank gilt das Prinzip des geringsten Privilegs: wenn Benutzer nicht auf eine bestimmte Ressource oder Server im Netzwerk zugreifen müssen, dann erteilt er diese Erlaubnis auch nicht.
Wie viele andere hat auch Frank sich schon mit den Konsequenzen von Ransomware beschäftigen müssen. Die Vorgehensweise ist perfide:
- Ein Benutzer aktiviert eine infizierte Datei
- Diese holt und startet die Ransomware
- Diese kontaktiert einen Server und holt sich einen einzigartigen Encryption Schlüssel
- Dann beginnt sie, alles Vorhandene zu verschlüsseln: mobile und stationäre Festplatten, Netzwerkfreigaben und vieles mehr
- Der User bittet die IT um Hilfe
- Ein System-Admin verbringt dann viel Zeit damit, den Computer wieder herzustellen und die verlorenen Daten aus dem Backup zu holen
Verschlüsselt wird grundsätzlich alles: Bilder, Dokumente, Videos, die letzte Präsentation in der Stunden Arbeit stecken, die Bitcoin-Brieftasche und sogar die Minecraft-Kreationen.
Verantwortliche sollten darauf achten, mindestens eine Sicherung offline zu haben. Ist das Backup-Laufwerk angeschlossen, werden die hier befindlichen Daten ebenso verschlüsselt.
Hinweis:
Bei der Fehlersuche in Folge einer Ransomware-Infektion, bei der Server-Dateien verschlüsselten wurden, kann es schwierig sein, die infizierten User zu identifizieren, die den Schaden verursacht haben. Nutzen Sie den Windows-Explorer und stellen Sie auf die "Details"-Ansicht. Dann fügen Sie die Spalte "Owner" hinzu. Hier finden Sie häufig den Usernamen, der die Verschlüsselung verursachte.
Zusammenfassung
Kundige Anwender machen das Netzwerk für alle sicherer. Informationen über das "Wie" und mögliche Konsequenzen ihres Tuns helfen dabei, die Vorteile der Sicherheit verständlicher zu machen und zu verdeutlichen, welche Unannehmlichkeiten entstehen können.
Dies wird sich auch auf die Sicherheit in ihrem Heimnetzwerk auswirken. Niemand will seine Urlaubsbilder verschlüsselt sehen, nur weil er leichtsinnig auf den falschen Anhang geklickt hat.
Sascha Pfeiffer ist Principal Security Consultant bei Sophos
- Sicherheit oder Komfort?
- Die Verteidigung
- Sophos Tipps zum Endpoint-Scanning
Lesen Sie mehr zum Thema
