Die Messlatte für Angreifer höher legen: Wie Mikrosegmentierung Unternehmen vor Kaseya-ähnlichen Angriffen schützen kann

Ein Grund, warum IT-Sicherheitsanbieter nie nachlassen dürfen, ist die ständige Innovation aus der Cybercrime-Community. Wissen verbreitet sich weit und breit in Untergrundforen mit einer Geschwindigkeit, die viele Organisationen überraschen kann. Als wir also einige der Techniken sahen, die in der berüchtigten SolarWinds-Kampagne verwendet wurden, die bei den jüngsten Kaseya-Ransomware-Angriffen angewendet wurden, sollten wir nicht überrascht gewesen sein.

Durch den Einsatz von Mikrosegmentierung an den richtigen Stellen hätten Unternehmen den Kriminellen jedoch das Leben erheblich erschweren können – sowohl bei der Minimierung des Risikos einer anfänglichen Zero-Day-Ausnutzung als auch bei der Blockierung nachfolgender Befehls- und Kontrollkommunikation.

Was geschah bei dem Angriff auf Kaseya?

Kaseya bietet Software in erster Linie für Managed Service Provider (MSPs) an, um wichtige IT-Aufgaben wie Patching und Fernüberwachung für kleinere und mittelständische Unternehmen zu rationalisieren. Wie bei der SolarWinds-Software erhält auch das Kaseya VSA-Produkt , das Ziel dieses Angriffs war, hochprivilegierten Zugriff, um seine Kernaufgaben wie die Fernüberwachung und -verwaltung von Netzwerken und Computergeräten auszuführen – was es zur idealen Wahl für die Verbreitung von Malware macht.

Ein zusätzlicher Vorteil für die REvil ransomware-Partner, die hinter dem Angriff stehen, ist die Art der Kunden von Kaseya. Als MSPs haben sie jeweils mehrere eigene Kunden, die die Angreifer infizieren und erpressen könnten. Das ist ein ziemlich guter ROI für Cyberkriminelle, die leicht Geld verdienen wollen.

Kaseya hat seine Reaktion auf den Angriff detailliert beschrieben. Der Anbieter wurde erstmals am 2. Juli, kurz vor dem Feiertagswochenende in den USA, über eine Sicherheitsverletzung informiert. Es scheint, dass die Bedrohungsakteure einen Zero-Day-Authentifizierungs-Bypass-Exploit in der Weboberfläche des lokalen Kaseya VSA verwendet haben. Dies half ihnen, eine authentifizierte Sitzung zu erhalten, ihre Nutzlast hochzuladen und dann Befehle per SQL-Injection auszuführen.

Mit Zugang zu den Kaseya VSA-Servern der MSPs waren sie in der Lage, ein gefälschtes Update an die Kunden dieser Unternehmen zu senden, das als "Kaseya VSA Agent Hot-fix" bezeichnet wurde und bei dem es sich in Wirklichkeit um REvil/Sodinokibi-Ransomware handelte.

Es wird angenommen, dass weniger als 60 MSPs von potenziell 40.000 Kunden betroffen sind. Die Auswirkungen führten jedoch dazu, dass nachgelagerte Kunden der MSPs mit Ransomware infiziert wurden, darunter insgesamt etwa 1.500 Organisationen auf der ganzen Welt, von Schulen bis hin zu Supermärkten.

Ein Patch für die ausgenutzte Zero-Day-Schwachstelle wurde veröffentlicht, aber für diese kompromittierten Unternehmen ist es zu spät.

Wie Mikrosegmentierung helfen kann: Eingehender Traffic

MSPs hätten den ursprünglichen Verstoß abschwächen können, indem sie den administrativen Zugriff auf die Kaseya VSA-Webschnittstelle eingeschränkt hätten. Auf diese Weise können nur bestimmte autorisierte Benutzer aus einer kleinen Gruppe von Bastion-Hosts auf Management-Ports auf die Kaseya-Software zugreifen.

In der Tat würden sie Mikrosegmentierung nutzen, um die Angriffsfläche zu reduzieren, was Cyberkriminellen zusätzliche Barrieren in den Weg legt, so dass sie viel härter arbeiten müssen, um einen Zero-Day-Exploit einzusetzen. Kombinieren Sie dies mit der Multi-Faktor-Authentifizierung für diese eingeschränkten autorisierten Benutzer, und Sie haben es Cyberkriminellen exponentiell erschwert, in Ihr Netzwerk einzudringen.

Indem Sie sie dazu zwingen, mehr Zeit zu verbringen und mehr "Lärm" zu machen, während sie in einem Netzwerk nach einer unverschlossenen Tür suchen, helfen Sie Ihren Tools zur Erkennung und Reaktion auf Bedrohungen, sie zu "hören", wenn sie im Dunkeln herumschleichen.

Wie Mikrosegmentierung helfen kann: Ausgehender Traffic

Die zweite Möglichkeit, wie Mikrosegmentierung hilft, ist die ausgehende Kommunikation von infizierten Endpunkten zum Internet.

Zu einem bestimmten Zeitpunkt müssen Cyberkriminelle in der Regel mit ihrem Command-and-Control-Server (C&C) kommunizieren, um Anweisungen bereitzustellen und bösartige Nutzlasten herunterzuladen. Indem Sie sicherstellen, dass Richtlinien ausgehende Verbindungen von der Kaseya-Infrastruktur auf bekannte und vorab genehmigte IP-Adressen beschränken, können Sie Angreifer auf ihrem Weg stoppen. Wenn die Kriminellen nicht mit ihren eigenen Servern kommunizieren können, können sie nicht zur nächsten Phase des Angriffs übergehen.

Zero Trust beginnt mit der Segmentierung

Um Ihr Unternehmen vor Ransomware-Angriffen wie Kaseya und SolarWinds zu schützen, müssen Unternehmen robuste und umfassende Zero-Trust-Richtlinien und -Praktiken für ihre gesamte IT-Infrastruktur entwickeln. Und Zero Trust beginnt mit der Segmentierung, da es zu Sicherheitsverletzungen kommt und Kriminelle irgendwo in Ihrem Netzwerk eine unverschlossene Tür finden. Das Wichtigste ist, sicherzustellen, dass sie nicht weiter gehen können.

Es gibt kein Patentrezept in Sachen Sicherheit. Aber durch die Anwendung einer solchen Mikrosegmentierung haben Sie eine große Chance, Ihren Angreifern das Leben erheblich zu erschweren, zumindest die Chancen auf Entdeckung zu verbessern und sie im Idealfall dazu zu zwingen, aufzugeben und weiterzumachen.