Zurück zu den Grundlagen – Bedrohungsvektoren und Ransomware

Druckfreundlich, PDF & E-Mail

Wenn man über Cybersicherheit und den Schutz von Unternehmen vor Ransomware und anderen Bedrohungen nachdenkt, sollte man sich nicht auf eine bestimmte Angriffsmethode beschränken. Was wir über Cyberangriffe wissen und immer wieder beobachten, ist, dass sie sich schnell weiterentwickeln. Ransomware-Bedrohungsakteure hatten Jahrzehnte Zeit, ihre Fähigkeiten zu verbessern und ihre kriminellen Plattformen und Infrastrukturen aufzubauen. Viele Unternehmen und andere Organisationen versuchen immer noch, diesen Rückstand aufzuholen.

Wir können zwar nicht jedes mögliche Angriffsszenario vorhersehen, aber wir können uns auf eine Handvoll Annahmen stützen, die wir in den letzten Jahren weltweit beobachten konnten:

  1. Ein Angriff auf Ihr Unternehmen beginnt sehr wahrscheinlich mit einem E-Mail-Angriff, der möglicherweise bereits im Gange ist. Die E-Mail gilt immer noch als „Bedrohungsvektor Nummer eins“, weil es so gut funktioniert. Phishing-Angriffe kommen am häufigsten vor, aber auch Links und Anhänge mit Schadprogrammen sind häufig anzutreffen.  Diese Angriffe erfüllen im Allgemeinen zwei Zwecke:
    1. Das Stehlen autorisierter Benutzer-Zugangsdaten, die für Anmeldeversuche verwendet werden können.
    2. Das direkte Infizieren des Netzwerks mit Malware, die auf ein mit dem Netzwerk verbundenes Endgerät heruntergeladen wurde.
  2. Ihre Online-Formulare, E-Commerce-Websites und andere Webanwendungen werden mittlerweile regelmäßig von Bots gescannt. Bedrohungsakteure suchen nach Schwachstellen, offenen Ports und anderen Möglichkeiten, sich als Administrator Zugang zu Ihrer Anwendung zu verschaffen. Sie können versuchen, sich mit Zugangsdaten anzumelden, die entweder durch einen erfolgreichen Phishing-Angriff gestohlen oder im Rahmen eines Data Dump erworben wurden. Der Bedrohungsvektor für Anwendungen umfasst diese Angriffe sowie Angriffe auf API und mobile Anwendungen.
  3. Bots versuchen, in Ihr Netzwerk einzudringen, und sie hören nie auf, nach einer schlecht gesicherten Tür zu suchen. Der Bedrohungsvektor im Netzwerk ändert sich ständig und skaliert nach oben oder unten, wenn Unternehmen ihren Netzwerken intelligente Geräte hinzufügen oder ihre Domains und Ressourcen in die öffentliche Cloud verlagern. Eine sichere Netzstrategie berücksichtigt jeden Rand des Netzes, einschließlich Ressourcen wie das intelligente Thermostat, den Selbstbedienungskiosk und die Benutzer, die jetzt von zu Hause aus arbeiten. Selbst wenn der Bedrohungsakteur über eine E-Mail oder eine Webanwendung in Ihr Netzwerk eindringt, ist Ihre Netzwerksicherheit immer noch gefährdet:
    1. Die Segmentierung Ihres Netzwerks hindert Bedrohungsakteure daran, sich lateral durch das Netzwerk zu bewegen und sich Zugang zu allen Daten und Benutzerkonten zu verschaffen. Die Netzwerksegmentierung funktioniert wie eine wasserdichte Tür auf einem Schiff; sie begrenzt die Bedrohung auf einen kleineren Raum und minimiert den Schaden des Lecks.
    2. Systeme zur Erkennung und Verhinderung von Angriffen (Intrusion Detection and Prevention), Data Leak Prevention und andere Echtzeit-Securityfunktionen können vorkonfigurierte Muster, Anomalien zu erlernten Mustern und andere Aktivitäten erkennen, die auf eine aktive Bedrohung hinweisen. Administrative Warnmeldungen und Berichte ermöglichen es den IT-Teams, schnellstmöglich zu handeln.
  4. Es gibt Angriffe, die einfach darauf warten, dass Ihre Benutzer ins Visier geraten. Diese befinden sich im Web-Bedrohungsvektor und umfassen die folgenden Punkte:
    1. Drive-by-Downloads und Social-Media-Angriffe, d. h. Angriffe, die automatisch im Hintergrund heruntergeladen werden, wenn ein anfälliges Benutzersystem eine kompromittierte Website oder Social-Media-Plattform besucht. Die betroffenen Geräte haben in der Regel veraltete Browser oder andere nicht gepatchte Schwachstellen.
    2. Infizierte Anzeigen können ein Gerät angreifen, das zum Besuch einer legitimen Website verwendet wird. In diesem Szenario hat ein externes Werbeunternehmen eine infizierte Anzeige akzeptiert und auf einer legitimen Website platziert, die Werbung verkauft. Das Werbeunternehmen mag ein vertrauenswürdiger Partner der Website sein, aber es hat fälschlicherweise eine bösartige Anzeige akzeptiert.

Planung auf der Grundlage von Bedrohungsvektoren

Es ist einfach nicht möglich, alle Arten von Angriffen vorherzusehen, daher müssen die Sicherheitspläne auf Bedrohungsvektoren beruhen.  In dem hier besprochenen Kontext würde das folgendermaßen aussehen:

  1. Schützen Sie Ihre gesamte E-Mail-Bereitstellung. Ob in der Cloud oder vor Ort, das E-Mail-System ist dennoch anfällig für Phishing-Angriffe, bösartige Anhänge und URLs. Ihre Abwehr muss in der Lage sein, wahrscheinliche Phishing-Versuche zu erkennen, Advanced Threats und andere bösartige Anhänge zu stoppen und es den Administratoren zu ermöglichen, schnell auf Bedrohungen zu reagieren, welche die Abwehrmaßnahmen umgehen. Benutzer sollten fortlaufend geschult werden, damit ihr Sicherheitsbewusstsein aktiv ist.
  2. Anwendungen sind so vielen automatischen Angriffen ausgesetzt, dass ein robuster automatischer Schutz erforderlich ist. Dazu gehört der Schutz vor Angriffen wie DDoS, Brute-Force, Credential-Stuffing, OWASP und Zero-Day-Attacken und viele andere. Erweiterter Bot-Schutz schützt die Website außerdem vor Spambots und Scraping. Ihr Unternehmen kann nicht für jeden dieser Angriffe eine separate Verteidigung einrichten. Eine leistungsstarke und richtig konfigurierte Web Application Firewall schützt Ihre Anwendungen vor all diesen Bots und Angriffen.
  3. Eine Firewall ist eine gängige Technologie, und fast jede Workstation oder jedes Netzwerkgerät, das eine Verbindung mit dem Internet herstellt, bietet Firewall-Schutz. Es ist gut, diese Firewalls zur Verfügung zu haben, aber nur wenn Sie eine Netzwerk-weite Firewall-Lösung haben, bietet diese auch ausreichend Schutz. Die notwendige Netzwerk-Firewall schützt vor Advanced Threats, Bots, Intrusion, DDoS-Angriffen, Malware und mehr. Funktionen wie Netzwerksegmentierung, Application Control und sicherer Fernzugriff müssen ebenfalls berücksichtigt werden, und Ihre Firewall sollte in der Lage sein, On-Premises-, Multi-Cloud- und Hybrid-Implementierungen zu schützen.
  4. Web-Security- und Filterlösungen schützen Benutzer vor Bedrohungen aus dem Internet wie Drive-by-Downloads und infizierte Werbung. Diese Lösung sollte nicht nur die neuesten Bedrohungen abwehren, sondern auch Funktionen wie die Regulierung sozialer Netzwerke, Remote-Filterung und Einblick in den SSL-verschlüsselten Datenverkehr umfassen.

Da es in diesem Beitrag um Bedrohungsvektoren geht, gehen wir nicht auf die Bedeutung eines guten Backups ein. Es versteht sich von selbst, dass ein Daten-Backup vorhanden sein sollte, der nicht nur den Speicherort und den Wert Ihrer Daten berücksichtigt, sondern auch die Menge der Daten, die Sie im Falle einer Datenwiederherstellung wiederherzustellen bereit sind. (Stellen Sie sich dies in Form von Minuten, Stunden, Tagen vor.) Leider ist dies keine Selbstverständlichkeit, denn Backups werden oft nur einmal konfiguriert und dann nie wieder überprüft oder getestet, obwohl die Daten möglicherweise an neue Standorte verlagert werden oder einfach an Wert verlieren, während kritischere Daten ungeschützt bleiben. Am besten betrachten Sie Backups als Data Protection und als wichtigen Bestandteil Ihrer Cybersecurity und Geschäftskontinuität.

Barracuda bietet Lösungen zum Schutz dieser Bedrohungsvektoren und Ihrer Daten vor Advanced Threats wie Ransomware.  Unsere einfache Ransomware-1-2-3-Strategie bietet einen umfassenden Schutz vor Ransomware, und Barracuda Advanced Threat Protection stellt die erforderlichen Updates bereit, um zu gewährleisten, dass unsere Lösungen vor den neuesten Ransomware-Varianten ausreichenden Schutz bieten. Erfahren Sie auf unserer Website mehr darüber, wie wir Ihr Unternehmen vor diesen Angriffen schützen können.

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen