Ransomware ist kein neuer Angriffsvektor. Tatsächlich erschien die erste Malware dieser Art vor mehr als 30 Jahren und wurde über 5,25-Zoll-Disketten verbreitet. Um das Lösegeld zu bezahlen, musste das Opfer Geld an ein Postfach in Panama schicken.
Heute sind erschwingliche Ransomware-as-a-Service (RaaS)-Kits im Dark Web für jedermann erhältlich, und Angreifer haben aufgrund der Abhängigkeit von Cloud- und Mobiltechnologien eine unendliche Anzahl von Kanälen zur Verfügung, um Unternehmen zu infiltrieren.
Bei einem Ransomware-Angriff geht es vor allem darum, sich unbemerkt Zugang zu verschaffen. Und da Mitarbeiter heute von überall aus auf Daten zugreifen können, haben Sie oft keinen Überblick mehr darüber, wie sie dies tun. Um sich vor diesen Angriffen zu schützen, müssen Sie nicht nur nach Malware suchen, sondern auch einen kontinuierlichen Einblick in Ihre Benutzer, die von ihnen verwendeten Endgeräte und die Anwendungen und Daten, auf die sie zugreifen, erhalten.
Wir haben eine interaktive Infografik veröffentlicht, die Ihnen hilft, die Anatomie eines Ransomware-Angriffs zu visualisieren und zu verstehen, wie Sie Ihre Daten schützen können. In diesem Blog werde ich 1) beschreiben, das im Jahr 2021 zu Lösegeldzahlungen in Höhe von 20 Milliarden Dollar führte, und 2) wie Sie Ihr Unternehmen vor diesen anhaltenden Bedrohungen schützen können.
Arbeiten von überall aus steigert sowohl die Produktivität als auch die Infiltration durch Angreifer
Die eigentliche Malware, mit der Ihre Daten als Geiseln genommen werden, heißt zwar "Ransomware", aber darauf sollten Sie sich nicht konzentrieren. Bevor etwas eingesetzt wird, benötigen die Angreifer Zugang zu Ihrer Infrastruktur.
Heutzutage greifen Benutzer über Netzwerke, die Sie nicht kontrollieren, und über Geräte, die Sie nicht verwalten, auf Daten zu, wodurch alle Sicherheitsmaßnahmen vor Ort obsolet werden.
Das bedeutet, dass Bedrohungsakteure Phishing-Angriffe starten können, um die Anmeldedaten von Benutzern zu kompromittieren oder eine anfällige Anwendung ohne größere Folgen auszunutzen. Und wenn sie erst einmal in Ihrer Infrastruktur sind, setzen sie schnell Malware ein, um dauerhafte Hintertüren zu schaffen, durch die sie nach Belieben kommen und gehen können. Wenn sie ihre Privilegien ausweiten, ist es fast unmöglich, sie daran zu hindern, sich seitlich zu bewegen und Ihre Daten als Geiseln zu nehmen.
Schritt für Schritt: So schützen Sie sich vor Ransomware
Zwischen dem Zugriff eines Angreifers auf Ihre Infrastruktur und der Forderung nach einem Lösegeld liegen mehrere Schritte. Diese Schritte sind in unserer Infografik zur Anatomie eines Ransomware-Angriffs skizziert. Im Folgenden finden Sie eine Übersicht über die Vorgänge und wie Sie Ihr Unternehmen schützen können.
1. Phishing-Angriffe blockieren und webfähige Anwendungen tarnen
Eine der einfachsten Möglichkeiten für Angreifer, sich Zugang zu verschaffen, ist die Übernahme eines Benutzerkontos, indem sie mit Phishing-Angriffen Anmeldedaten ausspähen. Es ist von entscheidender Bedeutung, dass der Webverkehr auf jedem Gerät überprüft werden kann, um diese Angriffe zu blockieren, die sowohl PC- als auch mobile Benutzer betreffen. So wird sichergestellt, dass Ransomware-Betreiber ihren Angriff nicht durch die Kompromittierung von Konten starten können.
Bedrohungsakteure durchforsten auch das Internet, um anfällige oder ungeschützte Internet-Infrastrukturen zu finden, die sie ausnutzen können. Viele Unternehmen haben Anwendungen oder Server, die dem Internet ausgesetzt sind, um den Fernzugriff zu ermöglichen, was jedoch bedeutet, dass Angreifer sie finden und nach Schwachstellen suchen können. Diese Anwendungen vor der Entdeckung zu verbergen, ist eine wichtige Verteidigungstaktik. Auf diese Weise können Sie sich vom ungehinderten Zugriff durch VPNs lösen und sicherstellen, dass nur autorisierte Benutzer auf die benötigten Daten zugreifen.
2. Erkennen und Reagieren auf anomales Verhalten
Wenn es Angreifern gelingt, in Ihre Infrastruktur einzudringen, werden sie beginnen, sich seitlich zu bewegen, um Erkundungen durchzuführen. Auf diese Weise sollen weitere Schwachstellen gefunden werden, mit dem Ziel, sensible Daten auszuspionieren. Einige der Schritte, die sie unternehmen könnten, sind die Änderung Ihrer Einstellungen, um die Sicherheitsberechtigungen herabzusetzen, das Exfiltrieren von Daten und das Hochladen von Malware.
Einige dieser Schritte sind zwar nicht unbedingt bösartig, können aber als anormales Verhalten betrachtet werden. In diesem Fall ist ein Verständnis des Benutzer- und Geräteverhaltens sowie eine Segmentierung des Zugriffs auf Anwendungsebene von entscheidender Bedeutung. Um Seitwärtsbewegungen zu stoppen, müssen Sie sicherstellen, dass sich keine Benutzer frei in Ihrer Infrastruktur bewegen können und dass sie nicht auf bösartige Weise handeln. Außerdem müssen Sie in der Lage sein, übermäßige oder falsch konfigurierte Berechtigungen zu erkennen, damit Sie Änderungen an Ihrer App- und Cloud-Struktur verhindern können.
3. Daten gegen Lösegeld mit proaktiver Verschlüsselung unbrauchbar machen
Der letzte Schritt eines Ransomware-Angriffs besteht darin, Ihre Daten als Geiseln zu nehmen. Der Angreifer verschlüsselt nicht nur die Daten und sperrt Ihre Administratoren aus, sondern könnte auch einige Daten exfiltrieren, um sie als Druckmittel zu verwenden, und dann die restlichen Daten in Ihrer Infrastruktur löschen oder verschlüsseln.
Exfiltration und Auswirkung sind in der Regel die Momente, in denen der Angreifer schließlich seine Anwesenheit offenbart. Die Änderungen, die er an den Daten vornimmt, unabhängig davon, ob sie in Ruhe oder in Bewegung sind, lassen die Alarmglocken läuten und er wird Zahlungen verlangen. Sie können jedoch alle ihre Bemühungen umsonst machen, wenn diese Daten von Ihrer Sicherheitsplattform proaktiv verschlüsselt werden und für den Angreifer absolut nutzlos sind. Die Verschlüsselung ist ein wichtiger Bestandteil jeder data loss prevention (DLP)-Strategie, und die Auslösung der Verschlüsselung über kontextbezogene Datenschutzrichtlinien kann Ihnen helfen, Ihre sensibelsten Daten vor einer Kompromittierung zu schützen.
Schutz vor Ransomware: Einzelprodukte versus eine einheitliche Plattform
Ein Ransomware-Angriff ist nicht nur ein einzelnes Ereignis, sondern eine anhaltende Bedrohung. Um Ihr Unternehmen zu schützen, benötigen Sie ein vollständiges Bild davon, was mit Ihren Endgeräten, Benutzern, Anwendungen und Daten geschieht. So können Sie Phishing-Angriffe abwehren, Webanwendungen tarnen, seitliche Bewegungen erkennen und darauf reagieren und Ihre Daten selbst dann schützen, wenn sie exfiltriert und als Lösegeld gefordert werden.
In der Vergangenheit haben Unternehmen neue Tools gekauft, um sich gegen neue Probleme zu wappnen. Diese Art von Ansatz funktioniert jedoch nicht bei Bedrohungen wie Ransomware. Zwar verfügen Sie über einige Telemetriedaten zu den Zugriffsaktivitäten Ihrer Benutzer, zum Zustand der unternehmenseigenen Geräte und zum Umgang mit Daten, aber Ihr Sicherheitsteam muss mehrere Konsolen verwalten, die nicht kompatibel zueinander sind.
Bei Lookout verstehen wir die Notwendigkeit eines Plattformansatzes und haben eine Security Service Edge (SSE) Plattform entwickelt, die DLP, User and Entity Behavior Analytics (UEBA) und Enterprise Digital Rights Management (EDRM) umfasst.
Mit einer Plattform, die integrierte Einblicke in alle Vorgänge in Ihrem Unternehmen bietet, ermöglichen wir Ihnen, sensible Daten zu schützen, ohne die Produktivität zu beeinträchtigen. Unsere SSE-Plattform wurde kürzlich im 2022 Gartner Magic Quadrant für SSE als "Visionär" genannt. Lookout wurde außerdem im 2022 Gartner Critical Capabilities für SSEbei allen SSE Use Cases in die Top 3 gewählt.
Wenn Sie mehr darüber erfahren möchten, was Sie aus den großen Ransomware-Angriffen im Jahr 2021 lernen können und wie Sie Ihre sensiblen Daten schützen können, laden Sie unseren aktuellen Leitfaden zu Ransomware herunter.