Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Konzentrieren Sie sich wieder auf Ransomware: 3 Wahrheiten für den Aufbau eines Ransomware-fähigen Netzwerks

Illumio Editorial
Illumio Editorial
7Oktober 2022
23 min. lesen

Mit dem Start des National Cybersecurity Awareness Month ist Ransomware das einzige Thema, von dem Sie mit Sicherheit hören werden.   

Dies ist nicht überraschend, da Ransomware die häufigste Art von Cyberangriffen ist, mit denen Unternehmen konfrontiert sind.  

Sie müssen auf den Moment vorbereitet sein, in dem Sie einen Anruf erhalten, dass etwas Verdächtiges in Ihrer Umgebung entdeckt wurde.  

Konzentrieren Sie sich in diesem Monat bei Ransomware auf drei wichtige "Wahrheiten", die alle Unternehmen akzeptieren und befolgen müssen, um eine solide Grundlage für den Schutz Ihres Netzwerks vor der Ausbreitung eines Ransomware-Angriffs zu schaffen.  

Erfahren Sie von Nathanael Iversen, Chief Evangelist von Illumio, wie Sie sicherstellen können, dass Ihr Unternehmen auf Ransomware vorbereitet ist:


Lesen Sie weiter, um mehr zu erfahren.

Wahrheit #1: Gestalten Sie Ihr Netzwerk proaktiv in Erwartung eines Ransomware-Angriffs 

Stellen Sie sich vor, Sie erhalten den Anruf. In diesem Moment hat das von Ihnen gewählte Netzwerk von Erkennungs- und Sensortechnologien seine Arbeit getan, und die Fähigkeiten zur Reaktion auf Vorfälle sind von entscheidender Bedeutung. Schließlich können Sie nur mit dem reagieren, was bereits bereitgestellt, aktiv und sorgfältig vorbereitet ist.   

Niemand hat Zeit, im Handumdrehen neue Fähigkeiten aufzubauen, wenn ein Angriff im Gange ist.    

Wenn Architekten Gebäude entwerfen, müssen sie Brandschutztüren in jedes Stockwerk, jedes Büro und jeden Treppenhauseingang entwerfen. Diese Türen werden oft offen gelassen oder funktionieren die meiste Zeit nur als normale Türen.  

Wenn jedoch ein Feuer ausbricht, dämmen diese Türen das Feuer und den Rauch ein und bieten den Menschen einen sicheren Ausgang, um das Gebäude zu verlassen.   

Drei Funktionen geben Ihnen diese "Brandschutztüren", um effektiv auf einen Ransomware-Angriff zu reagieren und dessen Auswirkungen zu minimieren: 

  1. Die Möglichkeit, Datenverkehrsflüsse und den Angriffsradius zu visualisieren. Es wird nicht hilfreich sein, einen Haufen NetFlow-Daten zu haben. Im Moment ist es wichtig, vollständige, automatisierte Anwendungsabhängigkeitskarten zu haben und die Aktivität an jedem Netzwerkport abfragen zu können. Zusammengenommen wird es möglich, genau zu sehen, wo sich ein Angriff befindet, stattgefunden hat und wohin er zu gehen versucht. 
  2. Als nächstes folgen voreingestellte Sicherheitsrichtlinien , die Teile des Netzwerks abriegeln und sichere Zonen überall dort schaffen können, wo der Angriff noch nicht eingegriffen hat. Dies verhindert die Ausbreitung von Ransomware und schafft die "sauberen Zonen", in die infizierte Computer nach der Desinfektion verschoben werden. 
  3. Schließlich müssen enge Grenzen um alle kompromittierten Computer gelegt werden , um Verbindungen zu Befehls- und Kontrollnetzwerken, Spread oder sogar Aufklärung zu unterbinden. Es ist unwahrscheinlich, dass Netzwerk-Firewalls über genügend Granularität verfügen, um dies zu tun. Eine vorinstallierte hostbasierte Segmentierungslösung stellt sicher, dass bei Bedarf die richtigen Funktionen verfügbar sind.   

Wenn aktive Malware erkannt wurde, wünscht sich jeder, dass er diese drei Funktionen hätte, daher ist es sinnvoll, sie zu implementieren, bevor sie benötigt werden. Eine effektive Eindämmung verschafft Zeit für den Abschluss von Sanierungsmaßnahmen. 

Wahrheit #2: Risiken zu eliminieren ist besser als sie zu managen 

Sobald ein Angriff im Gange ist, gibt es viele Tools, die versprechen, ihn zu erkennen und etwas dagegen zu unternehmen.   

Aber es gibt eine noch tiefere Wahrheit: Ein Angriff kann sich nur über offene Ports verbreiten . Wenn es keinen Pfad gibt, gibt es keinen Spread.   

Jeder unnötig offene Port, der geschlossen wird, reduziert das Risiko. Die Größe des operativen Netzwerks schrumpft, wodurch Risiken eliminiert und die Angriffsfläche verringert wird.   

Wie erreichen Sie das? 

  1. Schließen Sie risikoreiche, hochwertige und häufig missbrauchte Ports. Die meisten kommerziellen Ransomware-Angriffe verwenden eine Handvoll bekannter Protokolle zur Verbreitung – wie RDP und SMB, die oft nicht global offen sein müssen. Die meisten Penetrationsspezialisten verwenden Standard-Toolkits, um eine Umgebung zu untersuchen und nach häufigen Schwachstellen in bekannten Ports zu suchen.  In fast allen Fällen müssen diese bekannten Ports nicht global geöffnet sein. Sie zu schließen, verringert das Risiko nicht; Es eliminiert tatsächlich all diese Vektoren. Warum sollten Sie verwalten, was Sie eliminieren können?   
  2. Ringfence für hochwertige Anwendungen. In dem unglücklichen Fall, dass etwas Schlimmes in Ihrer Umgebung entdeckt wird, ist der allererste Gedanke die Anwendungen und Daten mit dem höchsten Wert. Die Wahrscheinlichkeit ist groß, dass die Kompromittierung am Rand oder Endpunkt erkannt wird, aber die Sorge liegt bei den "wichtigsten Dingen". In diesem Moment wird sich jeder wünschen, dass er vollständig abgeschirmt wäre und eine strenge Zero-Trust-Segmentierungsrichtlinie hätte. Erstellen Sie diese Richtlinie jetzt – dann wird sie in Kraft sein, und diese kritischen Ressourcen haben bereits den größten Teil des Risikos eines Netzwerkangriffs beseitigt. 
  3. Kontrollieren Sie den administrativen Zugriff. Die meisten Organisationen verwenden Jump-Hosts. Stellen Sie sicher, dass alle Formen des administrativen Zugriffs für die Benutzer und Jump-Hosts streng kontrolliert werden, die für die Umgebung geeignet sind. Keine Anwendung oder kein Port sollte auf zufälligen administrativen Zugriff reagieren, insbesondere nicht aus der Benutzerumgebung. Durch die radikale Einschränkung aller administrativen Protokolle werden viele Klassen von Angriffen eliminiert. 

Risiken, die nicht existieren, müssen nicht gemanagt werden. Und obwohl keine einzelne Technologie den Bedarf an komplementären Technologien beseitigt, bleibt es wahr, dass eine solide Basis für gezielte Segmentierung ein enormes Risiko der Ausbreitung von Sicherheitsverletzungen eliminiert. 

Wahrheit #3: Sie benötigen sowohl Zero Trust Segmentation als auch EDR, um die Ausbreitung von Ransomware zu stoppen 

Das Beste, was Sie tun können, um die Ausbreitung von Sicherheitsverletzungen zu verhindern, ist die Bereitstellung von Zero Trust Segmentation zusätzlich zu einem bestehenden Endpoint Detection and Response (EDR)-Produkt.   

Bishop Fox führte kürzlich eine Reihe von emulierten Ransomware-Angriffen durch, bei denen Angreifer versuchten, ein nur mit EDR geschütztes Netzwerk und ein mit EDR und Zero Trust Segmentation geschütztes Netzwerk zu kompromittieren.  

Sie fanden heraus, dass EDR zwar sehr effektiv war, um viele Angriffe zu erkennen und letztendlich zu beheben, aber Netzwerke, die auch durch Zero-Trust-Segmentierung geschützt waren, Angriffe viermal schneller eindämmten und radikal weniger Hosts kompromittieren mussten.   

Je besser Ihre Segmentierungsrichtlinie ist, desto effektiver kann Ihre EDR sein. Verleihen Sie Ihrer EDR Superkräfte, indem Sie Ihrer Bereitstellung Zero-Trust-Segmentierung hinzufügen, um maximale Reaktionsfähigkeit zu erzielen.   

Seien Sie auf unvermeidliche Ransomware-Angriffe vorbereitet 

Ransomware ist eine Geißel der modernen Benutzer- und Rechenumgebung. Es können jedoch wirksame Vorbereitungen getroffen werden, um sicherzustellen, dass es sich bei einer Sicherheitsverletzung um ein Ereignis und nicht um eine Katastrophe handelt.   

Die Investition in ein qualitativ hochwertiges Set an proaktiven und reaktiven Segmentierungsrichtlinien für die Reaktion auf Vorfälle gibt Ihrem Sicherheitsteam in den kritischen ersten Minuten einer Reaktion wertvolle Kontrollen.   

Die Teams, die Risiken vor einem Ereignis eliminieren, haben immer weniger zu tun als diejenigen, die kritische Anwendungen weithin offengelegt und risikoreiche Ports und Verwaltungsprotokolle weit offen gelassen haben. Und wer würde sich nicht wünschen, dass sein EDR viermal schneller arbeitet und eine geringere Anzahl kompromittierter Hosts aufweist?   

Die Illumio Zero Trust Segmentation Platform bietet diese grundlegenden Funktionen, die Risiken eliminieren und die Reaktionsfähigkeiten verbessern. Das ist genau die Art von Bewusstsein, um die es in diesem Monat geht!   

Seien Sie nächste Woche dabei, wenn wir Ihnen neue Erkenntnisse darüber liefern, warum Sie sich in diesem Monat des Cybersicherheitsbewusstseins auf die Zero-Trust-Segmentierung konzentrieren sollten. 

Verwandte Themen

No items found.

Verwandte Artikel

Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .Net-Assemblies: 5 Haupttechniken

Erfahren Sie mehr über 5 Ransomware-Techniken mit dem .Net-Software-Framework.

Read more
AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion
Ransomware Containment

AWS und Illumio: Unterstützung des Gesundheitswesens bei der Modernisierung seiner Ransomware-Reaktion

Nehmen Sie am 21. September um 9 Uhr PST an einem kostenlosen Webinar von Illumio mit Amazon Web Services (AWS) teil.

Read more
Warum die Fertigung IIoT-Ressourcen gegen Ransomware sichern muss
Ransomware Containment

Warum die Fertigung IIoT-Ressourcen gegen Ransomware sichern muss

Erhalten Sie Einblicke in das Ransomware-Risiko für IIoT-Ressourcen im Fertigungssektor.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more