Malware-Bekämpfung
Mit verbesserter Sicherheitshygiene gegen Ransomware
Aktuelle Emotet-Nachfolger, wie Ryuk, Revil oder Egregor, stehen in den Startlöchern und es ist abzusehen, dass sich diese Liste an Malware-Akteuren in den nächsten Monaten fortsetzen lassen wird. Unternehmen sollten sich daher nicht in falscher Sicherheit wähnen.
Wer glaubt, die Bedrohungslage habe sich durch die Zerschlagung einer einzelnen Ransomware-Gruppierung entspannt, irrt. IT-Abteilungen sollten sich deshalb Gedanken machen, wie sie ihre Sicherheitsstrategie verbessern können, um mit der sich stetig verändernden Bedrohungslandschaft Schritt zu halten. Sie sollten dazu nicht nur in regelmäßigen Kontrollen feststellen, ob ihre Infrastruktur noch eine angemessene Verteidigung gegen sich stetig wandelnde Angriffsmethoden gewährleistet. Oberste Priorität gilt dem Patchen und Schwachstellenmanagement, das permanent auf dem neuesten Stand gehalten werden muss. Weitere Best Practices sind neben der Berücksichtigung des Least-Privilege-Prinzips die regelmäßige Überprüfung der Zugriffsberechtigungen. IT-Abteilungen müssen überwachen, dass Mitarbeiter nur zu den von ihnen benötigten Anwendungen Zugang haben, ohne das gesamte Netzwerk für den Zugriff zu öffnen. Eine solche Strategie ist gefordert, um laterale Bewegungen durch das Firmennetz zu verhindern, sollte sich ein Mitarbeiter tatsächlich einmal als das schwächste Glied gegen einen Angriff herausstellen und von Malware infiziert werden.
Heute veröffentlichen Unternehmen mehr Informationen über ihre Infrastruktur im Internet, als aus Sicherheitsgründen geboten ist und sie sind sich der davon ausgehenden Gefahr oftmals gar nicht bewusst. So kann ein falsch konfigurierter Server ein Datenleck darstellen oder eine oberflächlich eingerichtete Entwicklungsumgebung fungiert als Einfallstor für Angreifer. Einen solchen Zugang können diese ausnutzen, um auf kritische Daten zuzugreifen. Ein weiterer Angriffsvektor kann ein offener Port darstellen. Die State of Public Cloud Security-Analyse zeigt, dass Fehlkonfigurationen eine der Hauptursachen für erfolgreiche Angriffe auf Public Cloud-Infrastrukturen sind. Online sichtbare Remote-Desktop-Protokoll Ports wurden 2020 ein besonders attraktives Ziel für Angreifer. Da laut der Analyse 20 Prozent aller Systeme ihre RDP-Ports in der Cloud offenlegen, haben professionelle Ransomware-Gruppen wie SamSam und Dharma leichtes Spiel, die nach solchen offenen Ports für ihre Brute-Force-Angriffe suchen.
Das Internet lädt Angreifer dazu ein, die Infrastruktur eines Unternehmens auszuspähen, um darauf aufbauend gezielte Angriffe an der schwächsten Stelle durchzuführen. Eine Firewall zum Beispiel kann Angreifern unbeabsichtigte Einblicke in die Struktur eines Unternehmens geben. Sie kann Informationen über Netzwerknamen und Domänen in internen Umgebungen liefern, die wiederum dazu genutzt werden können, potenzielle Angriffsbereiche zu identifizieren. Daher empfiehlt es sich für Unternehmen, ihre Infrastruktur regelmäßig mit Online-Tools auf OSINT (Open Source Intelligence) zu überprüfen und anschließend mögliche Einfallstore für Angriffe zu schließen. Nicht alles, was online zugänglich ist, muss auch ungesichert und für jedermann sichtbar offenliegen. Das Verständnis, wie sich Angreifer Zugang zu Netzwerkinfrastrukturen verschaffen, ist für eine Organisation heute unabdingbar. Darauf aufbauend können geeignete Maßnahmen implementiert werden, die nur autorisierten Benutzern Zugang zu den notwendigen Anwendungen erlauben.
Upgrade für die Sicherheit
Sicherheitsstrategien brauchen dringend ein Upgrade mit modernen Authentifizierungsmechanismen. Schwache Passwörter halten Brute-Force-Angriffen nicht lange stand. Allzu oft wählen Homeoffice-Anwender den unkomplizierten Weg und entscheiden sich für die einfachsten Passwörter, die ein System zulässt. Doch angesichts der zunehmenden Ransomware-Angriffe sollte die Einführung einer Multi-Faktor-Authentifizierung eine hohe Priorität haben. Es reicht nicht aus, die Unternehmenszentrale mit modernsten Sicherheitssystemen auszustatten und die Filialen verwundbar zu lassen.
Viele Unternehmen wähnen sich darüber hinaus in trügerischer Sicherheit, weil sie zu viel Vertrauen in TLS-verschlüsselten Datenverkehr setzen und diesen nicht auf darin verborgene Malware untersuchen. Mehr als 86 Prozent des Internetverkehrs ist bereits HTTPS-verschlüsselt, wie die Zscaler-Cloud zeigt und Google geht von noch höheren Werten von bis zu 90 Prozent aus. Diese verschlüsselten Datenströme werden auch von Malware-Angreifern genutzt, um schädlichen Code an den Sicherheitstechnologien vorbei zu schleusen. Wenn Unternehmen diese Art von Datenverkehr nicht auf Schadcode scannen, kann er von den Cyberkriminellen missbraucht werden. Im vergangenen Jahr haben sich Cloud-basierte File-Sharing-Dienste zu einem bevorzugten Ziel von Cyberkriminellen entwickelt. Google Drive, OneDrive, AWS und Dropbox werden zunehmend als Plattform für den Transport von Malware genutzt, weil die Anwender diesen Programmen zu viel Vertrauen entgegenbringen. Es bedarf nur eines schnellen, unbedachten Klicks eines Anwenders, um den Infektionskreislauf in Gang zu setzen.
Angesichts der heutigen Bedrohungslage tun IT-Sicherheitsabteilungen gut daran, ihre Sicherheitsinfrastruktur überdenken und grundlegende Hygiene-Maßnahmen, wie automatische Updates, starke Passwörter, Überprüfung der Zugangsberechtigungen zu überdenken, aber auch ihre Angriffsflächen zu reduzieren. Darauf aufbauend sorgen moderne Sicherheitstechnologien auf Basis von Zero Trust für höhere Sicherheit.
Lesen Sie mehr zum Thema
