Es hat mich ermutigt, als ich sah, wie unsere Partner bei Microsoft reagierten, als die russischen Cyberangriffe mit dem Einmarsch in der Ukraine begannen. Auch wenn bisher noch keine Angriffe auf die USA oder ihre Verbündeten gemeldet wurden, kann ich nicht umhin, über unsere kollektive Bereitschaft nachzudenken, insbesondere da die Sanktionen gegen Russland verschärft werden.
Die Agentur für Cybersecurity und Infrastruktursicherheit (CISA), eine Bundesbehörde des US-Ministeriums für Innere Sicherheit, hat den Konflikt genau beobachtet und in Zusammenarbeit mit dem Federal Bureau of Investigation (FBI) einige hervorragende Ressourcen zusammengestellt.
In diesem Blog werde ich einige der wichtigsten Empfehlungen der CISA hervorheben und einige Einblicke im Namen von Lookout geben.
Wir sind alle miteinander verbunden
Wir leben heutzutage in einer eng vernetzten Welt. Daher können die Cyber-Bedrohungen, die sich ursprünglich gegen ukrainische Regierungsstellen und Infrastrukturen richteten, leicht auf andere Länder übertragen werden, sei es durch Angriffe auf Lieferketten oder den Einsatz von Ransomware und anderer hochentwickelter Malware.
Vor fast fünf Jahren war eine Reihe von Ransomware mit russischem Hintergrund , die auf ukrainische Unternehmen abzielte, auf Bürger in mehr als 60 Ländern übergesprungen und hatte 49.000 Computer zerstört, wobei Organisationen aller Größenordnungen - von Schifffahrtsunternehmen bis zu Krankenhäusern - betroffen waren. Die von den Russen eingesetzte Waffe war NotPetya, eine Malware, die sich wie Ransomware verhält, deren eigentliches Ziel jedoch die Zerstörung von Systemen ist.
Cyber-Bereitschaft erfordert einen ganzheitlichen Ansatz
Damit Russland oder andere nationale Bedrohungsakteure Lieferketten gefährden oder Ransomware einsetzen können, müssen sie sich Zugang zu Ihrer Infrastruktur verschaffen und sich seitlich bewegen.
Diese Risiken können gemindert werden, indem diese Angriffe frühzeitig in der Angriffskette identifiziert und gestoppt werden. Dies bedeutet, dass der Zugriff von risikoreichen oder kompromittierten Endgeräten und Konten blockiert, seitliche Bewegungen gestoppt und eine kontinuierliche Überwachung durchgeführt wird, um Sie bei der Suche nach Bedrohungen zu unterstützen.
Nährboden für Phishing-Angriffe
Ähnlich wie die COVID-19-Pandemie ist auch der Krieg in der Ukraine ein Ereignis, das Angreifer für Social-Engineering-Angriffe nutzen werden. Ob Clickbait-Schlagzeilen, gefälschte humanitäre Bemühungen oder Konten, die sich als Medien ausgeben, Angreifer werden kreativ bei den Aufhänger, die sie verwenden, um Einzelpersonen und Unternehmensnutzer dazu zu bringen, Malware herunterzuladen oder Anmeldedaten zu übermitteln.
Jeder sollte vor Phishing-Kampagnen auf der Hut sein, die den Krieg als verlockendes Ereignis nutzen. Warnen Sie Ihre Mitarbeiter, klären Sie sie darüber auf, wie diese Angriffe aussehen könnten und wie sie ihre Geräte am besten schützen können. Wir empfehlen außerdem, auf jedem Gerät, das für die Verbindung von Anwendungen und Daten verwendet wird, ein Anti-Phishing-System einzurichten.
Segmentierung kann gegen Seitwärtsbewegungen helfen
Bevor Bedrohungsakteure Schaden anrichten können, müssen sie sich zunächst seitlich in Ihrer Infrastruktur bewegen, um weitere Schwachstellen zu finden, die sie ausnutzen können, oder um sensible Daten zu stehlen oder als Geiseln zu nehmen. Aus diesem Grund benötigen Sie eine Zero Trust Architektur, die granulare Zugangskontrollen einrichten kann.
Um eine Zero Trust Denkweise effektiv anzuwenden, automatisieren Sie die Risikobewertung Ihrer Benutzer und der von ihnen verwendeten Endgeräte und passen Sie den Zugriff auf Anwendungen und Daten entsprechend der Sensibilitätsstufe an. Unterm Strich sollten Sie keinen unnötigen Zugang gewähren. Wenn Sie beispielsweise einem Benutzer über ein virtuelles privates Netzwerk (VPN) Zugang gewähren, hat er Zugriff auf Ihr gesamtes Netzwerk, obwohl er vielleicht nur eine Verbindung zu einer einzigen Anwendung benötigt. Falls ein Benutzerkonto oder ein Endpunkt kompromittiert wird, können Sie die seitliche Bewegung durch Segmentierung des Zugangs einschränken. Dadurch wird sichergestellt, dass sich ein Bedrohungsakteur mit seinem Konto oder Gerät nicht in der restlichen Infrastruktur bewegen und auf weitere Anwendungen und sensible Daten zugreifen kann.
Kontinuierliche Überwachung kann die Bedrohungssuche erleichtern
Die kontinuierliche Überwachung aller bisher besprochenen Aktivitäten ist von entscheidender Bedeutung. Die Risikostufe eines Benutzers oder Geräts kann sich in einem Augenblick ändern. Durch kontinuierliche Protokollierung und Risikobewertung können Sie die Sicherheitsbereitschaft erhöhen, ohne die Produktivität einzuschränken.
Während viele Vorfälle schnell behoben werden können, erfordert das Aufspüren und Blockieren fortgeschrittener anhaltender Bedrohungen (Advanced Persistent Threats, APTs) oft eine proaktive Bedrohungssuche. Wie die CISA in ihrem Leitfaden betont, ist dies besonders wichtig für Unternehmen, die über ukrainische Verbindungen verfügen. Mit einer kontinuierlichen Protokollierung haben Sie auch die Möglichkeit, forensische Untersuchungen durchzuführen, wenn etwas passiert.
Cyber-Bedrohungen sind nicht auf Konfliktgebiete beschränkt
In einer vernetzten Welt können sich regionale Konflikte leicht anderswo ausbreiten, insbesondere im Cyberspace. Cyber-Bereitschaft sollte nicht etwas sein, das nur Organisationen tun. Auch Einzelpersonen müssen vorbereitet sein, zumal Angreifer diese Gelegenheit nutzen, um Phishing-Angriffe durchzuführen.