Vorbeugen, Eindämmen, Wiederherstellen:Ein Leitfaden zur Ransomware-Bereitschaft für Lieferketten

Ransomware ist für viele von uns in der Cybersicherheitsbranche von größter Bedeutung, da immer mehr Angriffe auf Krankenhausnetzwerke, lokale Regierungen und die gesamte Lieferkette wirken. Ein Ransomware-Angriff auf ein Unternehmen führt normalerweise dazu, dass der Zugriff auf Daten und Systeme für einige Zeit verloren geht und hat finanzielle Auswirkungen durch entgangene Einnahmen und Geldausgaben für Wiederherstellungsbemühungen. Wenn ein Ransomware-Angriff auf ein Unternehmen gerichtet ist, das Teil der Lieferkette ist, kann dies weitreichendere Auswirkungen haben, da nur ein Dienstanbieter Hunderte oder Tausende von Unternehmen direkt betreffen kann.

Es ist unerlässlich, die Bereitschaft Ihres Unternehmens für die Bedrohung durch Ransomware zu verstehen, und zu wissen, wie die Anbieter in Ihrer Lieferkette in Ihre Bereitschaftsbereitschaft einfließen, ist ein wichtiger Bestandteil Ihrer Gesamtstrategie.

Es kann überwältigend sein, sicherzustellen, dass alle Ihre Abwehrmaßnahmen abgedeckt sind und dass Sie alles in Ihrer Macht Stehende getan haben, um die Auswirkungen eines Ransomware-Angriffs zu verhindern oder zu verringern. Eine starke Strategie ist weitreichend und vielschichtig – sie umfasst Architektur, Endpunkte, Benutzer und vieles mehr.

Wo soll man also anfangen? Ein strukturierter, logischer Ansatz kann dazu beitragen, Ordnung in das Verständnis der Ransomware-Bereitschaft Ihres Unternehmens zu bringen. Schauen wir uns dazu drei Hauptkategorien an:Prävention, Eindämmung und Wiederherstellung.

Prävention

Unser Hauptziel ist es, Ransomware von unserer Umgebung fernzuhalten und zu verhindern, dass sie von vornherein eindringt. Aus dieser defensiven Haltung heraus müssen wir Ihre Infrastruktur von den Perimeterkontrollen bis hin zu den Endbenutzern betrachten. Obwohl wir dieses Thema ausführlich behandeln könnten, konzentrieren wir uns auf die Lücken, in denen Ransomware am häufigsten eingeführt wird.

• Remote-Desktop-Protokoll (RDP). Obwohl es sich nicht um eine neue Technologie oder einen neuen Angriffsvektor handelt, war RDP aufgrund von Schwachstellen, Fehlkonfigurationen oder Anfälligkeit für Brute-Force-Angriffe ein regelmäßiges Ziel. Mit dem jüngsten Anstieg der Remote-Arbeitskräfte und der entsprechenden Zunahme der RDP-Nutzung haben Angreifer einen großen Tag mit den neuen Zielen. Zu den Präventionsaktivitäten gehören hier die Begrenzung der Anzahl offener Ports, starke Authentifizierungskontrollen (einschließlich Multi-Faktor-Authentifizierung) und ein solides Schwachstellen-Management-Programm.
• Phishing. Phishing-E-Mails können besonders gefährlich sein, da sie viele Ihrer Sicherheitskontrollen umgehen können, sodass bösartige Inhalte direkt an Ihr schwächstes Sicherheitsglied gesendet werden können – den Endbenutzer. Phishing-E-Mails versuchen normalerweise, Benutzeranmeldeinformationen zu erlangen oder bösartige Anhänge oder Links zu enthalten, was Angreifern letztendlich einen direkten Weg in Ihre Umgebung bietet. Zu den Präventionsaktivitäten gehören hier die Verwendung einer E-Mail-Sicherheitslösung, Sicherheits- und Sensibilisierungsschulungen für Endbenutzer sowie Lösungen zur Erkennung und Reaktion von Endpunkten.

Letztlich sind die empfohlenen Präventionstechniken nicht neu. Dabei handelt es sich um dieselben Grundprinzipien, die die Informationssicherheits-Community seit einiger Zeit diskutiert – Beschränkung des Zugriffs aus dem Internet, Schwachstellen-Scanning, Patching und starke Authentifizierungskontrollen.

Eindämmung

Trotz aller Bemühungen dringt Ransomware in Ihre Umgebung ein. Wie können Sie die Ausbreitung stoppen? Betrachten Sie einen Brand in einem Gebäude:Die Eindämmungsstrategie kommt vor dem eigentlichen Brand durch den Einsatz von Firewalls, flammhemmenden Materialien usw. Das gleiche gilt für Angriffe wie Ransomware. Hier sind zwei wichtige Eindämmungsstrategien:

• Privilegierte Kontonutzung. Angreifer greifen gerne privilegierte Konten an, da sie einen hohen Zugriff auf Systeme und Daten sowie die erforderlichen Berechtigungen zum Ausführen von Schadcode bieten. Die Wiederverwendung von Passwörtern, im Klartext gespeicherte Passwörter für Dienstkonten, leicht zu erratende Passwörter usw. sind häufige Probleme, die zur Kompromittierung von Konten beitragen.

Ein ganzheitlicher Ansatz zur Verwaltung privilegierter Konten ist hier der Schlüssel. Dazu gehört auch, zu verstehen, welche privilegierten Konten Sie haben und worauf diese Zugriff haben; wie sie verwendet werden (z. B. Domänenadministrator vs. Dienstkonto); und wie auf diese Konten zugegriffen und diese verwaltet werden (z. B. die Verwendung einer privilegierten Kontoverwaltungslösung).

• Netzwerksegmentierung. Flache Netzwerke sind ein Traumszenario für einen Angreifer. Sobald die Anmeldeinformationen abgerufen wurden, können sie sich im gesamten Netzwerk eines Unternehmens frei bewegen und haben uneingeschränkten Zugriff auf Systeme und Daten. Zumindest sollten Sie die Segmentierung verwenden, um die seitliche Bewegung so weit wie möglich einzuschränken, damit es einem Angreifer viel schwerer fällt, Ihr Netzwerk zu durchqueren und Zugriff auf zusätzliche Systeme und Daten zu erhalten.

Wiederherstellung

Abgesehen von einem Plan zur Reaktion auf Vorfälle ist der wichtigste Plan zur Unterstützung Ihrer Wiederherstellungsbemühungen ein Plan für die Ausfallsicherheit des Unternehmens. Wie soll das Geschäft weiter funktionieren? Ein starker Ausfallsicherheitsplan hilft dabei, die Funktionalität Ihrer Kerngeschäftssysteme wiederherzustellen.

Zu den üblichen Angriffsvektoren für Unternehmen gehören Drittanbieter in der Lieferkette. Wie können wir also die Risiken unserer Anbieter erkennen und reduzieren? Beantworten Sie zunächst diese kritischen Fragen:

• Wer sind Ihre Lieferanten?
• Welche Dienstleistungen bietet jeder Anbieter Ihrer Organisation?

Die Identifizierung Ihrer Lieferanten ist keine einfache Aufgabe. Ist es möglich, dass Sie Anbieter haben, die Zugriff auf Ihr Netzwerk oder Ihre Daten haben und nichts davon wissen? Absolut. Die Realität ist, dass Sie direkt zu einer Cloud-basierten Lösung wechseln können und mit nur einer Kreditkarte und wenigen Mausklicks haben Sie jetzt einen Anbieter mit Zugriff auf Ihre Daten. Wenn Sie nicht wissen, wer sie sind, ist es unmöglich, ihr Risiko für Ihr Unternehmen einzuschätzen. Die Anbieter in Ihrer Lieferkette können alle möglichen Dienstleistungen erbringen. Einige stellen von Natur aus ein höheres Risiko für Ihr Unternehmen dar, basierend auf den Daten oder internen Systemen, auf die sie Zugriff haben.

Die Beantwortung dieser Fragen ist ein guter Ausgangspunkt, um angemessene Bewertungsaktivitäten gegenüber diesen Anbietern durchzuführen. Das Ziel besteht darin, genügend Komfort zu gewinnen, damit die Anbieter über die entsprechenden Kontrollen verfügen, um Ihre Systeme oder Daten basierend auf den von ihnen für Sie bereitgestellten Diensten zu schützen. Es gibt viele Bewertungsstrategien, die Sie nutzen können, einschließlich der Überprüfung von Zertifizierungen wie SOC oder ISO, Bewertungsfragebögen wie dem SIG, Penetrationstestergebnissen usw. Unabhängig davon, wie Sie es angehen, kann die Überprüfung, ob Ihre Anbieter diese Kontrollen eingeführt haben, das Risiko für Ihre Organisation wird im Falle eines Angriffs beeinträchtigt.

Da die Systeme immer vernetzter und komplexer werden, finden Angreifer möglicherweise immer noch einen Weg durch Ihre Abwehr. Wenn Sie jedoch auf einen Ransomware-Angriff vorbereitet sind, können die Auswirkungen und der Ausfall Ihres Unternehmens erheblich reduziert werden. Mit einer tiefgreifenden Verteidigungsstrategie sowie geeigneten Eindämmungs- und Ausfallsicherheitsplänen kann die Cyber-Stärke Ihres Unternehmens nur steigen.

Gary Brickhouse ist Chief Information Security Officer von GuidePoint Security.

Ransomware ist für viele von uns in der Cybersicherheitsbranche von größter Bedeutung, da immer mehr Angriffe auf Krankenhausnetzwerke, lokale Regierungen und die gesamte Lieferkette wirken. Ein Ransomware-Angriff auf ein Unternehmen führt normalerweise dazu, dass der Zugriff auf Daten und Systeme für einige Zeit verloren geht und hat finanzielle Auswirkungen durch entgangene Einnahmen und Geldausgaben für Wiederherstellungsbemühungen. Wenn ein Ransomware-Angriff auf ein Unternehmen gerichtet ist, das Teil der Lieferkette ist, kann dies weitreichendere Auswirkungen haben, da nur ein Dienstanbieter Hunderte oder Tausende von Unternehmen direkt betreffen kann.

Es ist unerlässlich, die Bereitschaft Ihres Unternehmens für die Bedrohung durch Ransomware zu verstehen, und zu wissen, wie die Anbieter in Ihrer Lieferkette in Ihre Bereitschaftsbereitschaft einfließen, ist ein wichtiger Bestandteil Ihrer Gesamtstrategie.

Es kann überwältigend sein, sicherzustellen, dass alle Ihre Abwehrmaßnahmen abgedeckt sind und dass Sie alles in Ihrer Macht Stehende getan haben, um die Auswirkungen eines Ransomware-Angriffs zu verhindern oder zu verringern. Eine starke Strategie ist weitreichend und vielschichtig – sie umfasst Architektur, Endpunkte, Benutzer und vieles mehr.

Wo soll man also anfangen? Ein strukturierter, logischer Ansatz kann dazu beitragen, Ordnung in das Verständnis der Ransomware-Bereitschaft Ihres Unternehmens zu bringen. Schauen wir uns dazu drei Hauptkategorien an:Prävention, Eindämmung und Wiederherstellung.

Prävention

Unser Hauptziel ist es, Ransomware von unserer Umgebung fernzuhalten und zu verhindern, dass sie von vornherein eindringt. Aus dieser defensiven Haltung heraus müssen wir Ihre Infrastruktur von den Perimeterkontrollen bis hin zu den Endbenutzern betrachten. Obwohl wir dieses Thema ausführlich behandeln könnten, konzentrieren wir uns auf die Lücken, in denen Ransomware am häufigsten eingeführt wird.

• Remote-Desktop-Protokoll (RDP). Obwohl es sich nicht um eine neue Technologie oder einen neuen Angriffsvektor handelt, war RDP aufgrund von Schwachstellen, Fehlkonfigurationen oder Anfälligkeit für Brute-Force-Angriffe ein regelmäßiges Ziel. Mit dem jüngsten Anstieg der Remote-Arbeitskräfte und der entsprechenden Zunahme der RDP-Nutzung haben Angreifer einen großen Tag mit den neuen Zielen. Zu den Präventionsaktivitäten gehören hier die Begrenzung der Anzahl offener Ports, starke Authentifizierungskontrollen (einschließlich Multi-Faktor-Authentifizierung) und ein solides Schwachstellen-Management-Programm.
• Phishing. Phishing-E-Mails können besonders gefährlich sein, da sie viele Ihrer Sicherheitskontrollen umgehen können, sodass bösartige Inhalte direkt an Ihr schwächstes Sicherheitsglied gesendet werden können – den Endbenutzer. Phishing-E-Mails versuchen normalerweise, Benutzeranmeldeinformationen zu erlangen oder bösartige Anhänge oder Links zu enthalten, was Angreifern letztendlich einen direkten Weg in Ihre Umgebung bietet. Zu den Präventionsaktivitäten gehören hier die Verwendung einer E-Mail-Sicherheitslösung, Sicherheits- und Sensibilisierungsschulungen für Endbenutzer sowie Lösungen zur Erkennung und Reaktion von Endpunkten.

Letztlich sind die empfohlenen Präventionstechniken nicht neu. Dabei handelt es sich um dieselben Grundprinzipien, die die Informationssicherheits-Community seit einiger Zeit diskutiert – Beschränkung des Zugriffs aus dem Internet, Schwachstellen-Scanning, Patching und starke Authentifizierungskontrollen.

Eindämmung

Trotz aller Bemühungen dringt Ransomware in Ihre Umgebung ein. Wie können Sie die Ausbreitung stoppen? Betrachten Sie einen Brand in einem Gebäude:Die Eindämmungsstrategie kommt vor dem eigentlichen Brand durch den Einsatz von Firewalls, flammhemmenden Materialien usw. Das gleiche gilt für Angriffe wie Ransomware. Hier sind zwei wichtige Eindämmungsstrategien:

• Privilegierte Kontonutzung. Angreifer greifen gerne privilegierte Konten an, da sie einen hohen Zugriff auf Systeme und Daten sowie die erforderlichen Berechtigungen zum Ausführen von Schadcode bieten. Die Wiederverwendung von Passwörtern, im Klartext gespeicherte Passwörter für Dienstkonten, leicht zu erratende Passwörter usw. sind häufige Probleme, die zur Kompromittierung von Konten beitragen.

Ein ganzheitlicher Ansatz zur Verwaltung privilegierter Konten ist hier der Schlüssel. Dazu gehört auch, zu verstehen, welche privilegierten Konten Sie haben und worauf diese Zugriff haben; wie sie verwendet werden (z. B. Domänenadministrator vs. Dienstkonto); und wie auf diese Konten zugegriffen und diese verwaltet werden (z. B. die Verwendung einer privilegierten Kontoverwaltungslösung).

• Netzwerksegmentierung. Flache Netzwerke sind ein Traumszenario für einen Angreifer. Sobald die Anmeldeinformationen abgerufen wurden, können sie sich im gesamten Netzwerk eines Unternehmens frei bewegen und haben uneingeschränkten Zugriff auf Systeme und Daten. Zumindest sollten Sie die Segmentierung verwenden, um die seitliche Bewegung so weit wie möglich einzuschränken, damit es einem Angreifer viel schwerer fällt, Ihr Netzwerk zu durchqueren und Zugriff auf zusätzliche Systeme und Daten zu erhalten.

Wiederherstellung

Abgesehen von einem Plan zur Reaktion auf Vorfälle ist der wichtigste Plan zur Unterstützung Ihrer Wiederherstellungsbemühungen ein Plan für die Ausfallsicherheit des Unternehmens. Wie soll das Geschäft weiter funktionieren? Ein starker Ausfallsicherheitsplan hilft dabei, die Funktionalität Ihrer Kerngeschäftssysteme wiederherzustellen.

Zu den üblichen Angriffsvektoren für Unternehmen gehören Drittanbieter in der Lieferkette. Wie können wir also die Risiken unserer Anbieter erkennen und reduzieren? Beantworten Sie zunächst diese kritischen Fragen:

• Wer sind Ihre Lieferanten?
• Welche Dienstleistungen bietet jeder Anbieter Ihrer Organisation?

Die Identifizierung Ihrer Lieferanten ist keine einfache Aufgabe. Ist es möglich, dass Sie Anbieter haben, die Zugriff auf Ihr Netzwerk oder Ihre Daten haben und nichts davon wissen? Absolut. Die Realität ist, dass Sie direkt zu einer Cloud-basierten Lösung wechseln können und mit nur einer Kreditkarte und wenigen Mausklicks haben Sie jetzt einen Anbieter mit Zugriff auf Ihre Daten. Wenn Sie nicht wissen, wer sie sind, ist es unmöglich, ihr Risiko für Ihr Unternehmen einzuschätzen. Die Anbieter in Ihrer Lieferkette können alle möglichen Dienstleistungen erbringen. Einige stellen von Natur aus ein höheres Risiko für Ihr Unternehmen dar, basierend auf den Daten oder internen Systemen, auf die sie Zugriff haben.

Die Beantwortung dieser Fragen ist ein guter Ausgangspunkt, um angemessene Bewertungsaktivitäten gegenüber diesen Anbietern durchzuführen. Das Ziel besteht darin, genügend Komfort zu gewinnen, damit die Anbieter über die entsprechenden Kontrollen verfügen, um Ihre Systeme oder Daten basierend auf den von ihnen für Sie bereitgestellten Diensten zu schützen. Es gibt viele Bewertungsstrategien, die Sie nutzen können, einschließlich der Überprüfung von Zertifizierungen wie SOC oder ISO, Bewertungsfragebögen wie dem SIG, Penetrationstestergebnissen usw. Unabhängig davon, wie Sie es angehen, kann die Überprüfung, ob Ihre Anbieter diese Kontrollen eingeführt haben, das Risiko für Ihre Organisation wird im Falle eines Angriffs beeinträchtigt.

Da die Systeme immer vernetzter und komplexer werden, finden Angreifer möglicherweise immer noch einen Weg durch Ihre Abwehr. Wenn Sie jedoch auf einen Ransomware-Angriff vorbereitet sind, können die Auswirkungen und der Ausfall Ihres Unternehmens erheblich reduziert werden. Mit einer tiefgreifenden Verteidigungsstrategie sowie geeigneten Eindämmungs- und Ausfallsicherheitsplänen kann die Cyber-Stärke Ihres Unternehmens nur steigen.

Gary Brickhouse ist Chief Information Security Officer von GuidePoint Security.