Im Zuge der Ukraine-Russland-Krise

Fünf Schritte zur Stärkung der Cybersicherheitsabwehr

21. April 2022, 10:10 Uhr | Autor: Pascal Cronauer / Redaktion: Diana Künstler

Die Grenzen zwischen Hackern und Geheimdiensten sind bekanntermaßen nicht immer klar. Anfang März überraschte die berüchtigte Ransomware-Bande Conti jedoch mit der Aussage, der russischen Regierung Unterstützung zukommen zu lassen. Fünf Tipps, wie Unternehmen nun ihre Cyberabwehr optimieren können.

Angesichts der aktuellen Ereignisse in der Ukraine ist zu erwarten, dass die Art der Cyberangriffe aufgrund der Beteiligung staatlicher Akteure und der organisierten Kriminalität aggressiver, fortschrittlicher und hartnäckiger werden wird. Tatsächlich hat Conti, eine mit Russland verbundene Ransomware-Bande, öffentlich die Absicht geäußert, Vergeltungsmaßnahmen gegen Regierungen zu ergreifen, die Sanktionen gegen Russland verhängen. Diese Bedrohungen sollten nicht auf die leichte Schulter genommen werden, denn jeder kann Opfer dieser extrem bedrohlichen Cyberangriffe werden – sowohl direkt als auch indirekt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die Bedrohung scheint in der heutigen Situation vor allem auf Branchen zuzutreffen, die für die Regierung oder die Gesellschaft von Bedeutung sind – oder einfach auf große Unternehmen, die viel Aufmerksamkeit auf sich ziehen und somit wiederum die Aufmerksamkeit der Medien erwecken. In Anbetracht unseres Ökosystems und unserer Versorgungskette haben wir in der Vergangenheit gesehen, dass Unternehmen, auch wenn sie nicht direkt betroffen sind, dennoch indirekt von Cyberangriffen von Unternehmen betroffen sein können, mit denen sie interagieren oder die sie unter Vertrag nehmen.

Auch wenn es entmutigend klingt, gibt es Maßnahmen zur Stärkung der Cybersicherheitslage eines Unternehmens. Die folgenden fünf praktische Schritte tragen zur Verbesserung der Cybersicherheitslage von Unternehmen bei:

1. Analyse von Cybersicherheitsvorfällen

Bedrohungsdaten sind für die Analyse potenzieller Cyber-Bedrohungen von entscheidender Bedeutung. Sie ermöglichen es Unternehmen, die Gültigkeit und die Auswirkungen auf ihre Organisation zu bewerten. Unternehmen profitieren von qualitativ hochwertigen Threat-Intelligence-Feeds und Anbietern mit historischem Wissen und Erfahrung mit relevanten Bedrohungsdaten im Zusammenhang mit staatlichen Angriffen. Wenn ein Unternehmen nicht über einen Zugang zu Threat-Intelligence-Quellen verfügt, kann es auf kostenlose und öffentlich zugängliche Optionen zurückgreifen. So sind beispielsweise staatliche CERTs, branchenspezifische Veröffentlichungen und Herstellerberichte gute Quellen für Bedrohungsdaten und proaktive Maßnahmen.

Es ist wichtig, Bedrohungsdaten in andere Sicherheitslösungen innerhalb der Organisation zu integrieren, sei es über STIX/TAXII oder direkt.

2. Aufspüren der Kompromittierung

IT-Sicherheit erfordert einen wirksamen Detektivmechanismus, der auf dem grundlegenden Mechanismus von Sysmon basiert und die Erkennung einer Vielzahl von Angriffen ermöglicht. Einer davon ist Ransomware, ein Hauptbestandteil von Angreifern, die fortgeschrittene und anhaltende Cyberangriffe durchführen. Ein weiteres Beispiel sind PowerShell-Aktivitäten, die bereits bei fast allen Arten von Malware beobachtet werden.

Unternehmen sollten mit der hier bereitgestellten Sysmon-Konfigurationsvorlage beginnen. Sysmon kann von der speziellen Microsoft-Seite heruntergeladen und über Gruppenrichtlinien bereitgestellt werden. Es wird sowohl der Einsatz auf Endpunkten als auch auf Servern empfohlen, um einen ganzheitlichen Schutz zu gewährleisten.

3. Schutz vor Bedrohungen

Die Account-Kontrolle ist einer der wichtigsten Aspekte der Sicherheit einer Organisation. Ob Kleinkriminelle oder Regierungen, alle Organisationen nutzen die Strategie, die Kontrolle über gültige Anmeldedaten zu erlangen. Die meisten IT-Sicherheitslösungen sind für den Umgang mit Account Take Over ausgerüstet. Die Suche nach hochentwickelten Lösungen, die automatisch erkennen, untersuchen und reagieren, hilft einem Unternehmen von Beginn bis zum Ende des Cyberereignisses. Es ist jedoch nicht notwendig, eine ausgefeilte und automatisierte Lösung zu besitzen, um die Konten eines Unternehmens zu schützen. Die Einschränkung von Privilegien und die Einrichtung von Kennwortanforderungen in Active Directory ist der erste wichtige Schritt zur Account Security. Das ist auch mit Orchestrierungslösungen wie Puppet möglich, wenn eine Umgebung gemischt oder Linux-basiert ist, oder wenn sehr viele virtuelle Maschinen eingesetzt werden.

Die Account-Kontrolle bietet eine Gegenmaßnahme gegen einige der zerstörerischsten Malware-Arten, wie Ransomware, einschließlich der von Conti, wie oben beschrieben. Regelmäßige bewährte Sicherheitspraktiken sind ebenso wichtig, zum Beispiel regelmäßige Backups, MFA, und so weiter. In der Situation von Conti, in der die Akteure nicht nur finanzielle Vorteile, sondern auch böswillige Absichten ankündigten, sollten Unternehmen jedoch weniger explizite Kontrollen in Betracht ziehen – wie etwa die Segmentierung ihrer wertvollsten Infrastruktur, vor allem Daten, angesichts der Art des Angreifers sowie die Implementierung zumindest eines einfachen Honeypots. Letzteres wäre für eine schnelle Erkennung wichtig, da selbst ein einzelner Server, auf den die Benutzer nicht zugreifen, mit fast jeder Lösung leicht zu überwachen ist – und die meisten Ransomware-Taktiken beinhalten immer noch Entdeckungen und seitliche Bewegungen, die schließlich auch diesen Server berühren werden.

4. Response beziehungsweise Einleitung von Gegenmaßnahmen

In einer modernen Umgebung ist es entscheidend, einen zentralen Überblick zu haben. Das kann durch eine einfache Protokollverwaltungslösung oder durch fortschrittlichere Lösungen, wie ein SIEM, erreicht werden. Ein SIEM bietet die Möglichkeit, mehrere Sicherheitskontrollen zu kontextualisieren, zu bewerten, zu validieren und zu untersuchen. Dadurch erhalten die Betriebs- und Reaktionsteams einen dringend benötigten Überblick über den Zustand der IT-Infrastruktur eines Unternehmens, was eine schnellere Reaktion auf potenzielle Bedrohungen ermöglicht.

Sobald die Teams über ein SIEM oder eine andere Aggregations-/Organisationslösung verfügen, ist es einfach, eine viel engere Feedbackschleife in Bezug auf die Zeit bis zur Erkennung einer bestimmten Bedrohung zu konfigurieren. Ein SIEM kann beispielsweise Warnmeldungen implementieren, die so konfiguriert sind, dass sie umfassendere Muster als nur eine einzelne Nachricht erkennen.

5. Recovery und Business Continuity

Unter dem Gesichtspunkt der Ausfallsicherheit sollten Pläne zur Aufrechterhaltung des Geschäftsbetriebs eingeführt, getestet und eingeübt werden. Unternehmen müssen sich darauf einstellen, dass es zu Beeinträchtigungen kommt, und sicherstellen, dass die Mitarbeiter geschult sind. Weitere Maßnahmen betreffen die Wiederherstellung der Systeme und die Verfügbarkeit von notwendigen Werkzeugen für die Incident Response-Teams, um sich von einer Beeinträchtigung der IT-Infrastruktur zu erholen.

Eine allgemeine Fähigkeit in jeder Wiederherstellungssituation wäre es, über Wiederherstellungswerkzeuge wie Vorfallmanagement, Kommunikationskanäle, Wiederherstellungspunkte und so weiter zu verfügen. Wenn die IT-Infrastruktur aufgrund eines Angriffs nicht verfügbar ist, benötigt das Notfallteam Plattformen, um den Vorfall zu verwalten, zu kommunizieren, auf Wiederherstellungspläne zuzugreifen und Datenwiederherstellungspunkte zu erreichen.