Die Erkenntnisse aus den 3 jüngsten Cyberangriffen deuten auf Zero-Trust-Segmentierung hin

Die jüngsten Cybersicherheitsvorfälle wie die von MITRE, der dänischen Energieinfrastruktur und der British Library erinnern daran, wie wichtig die Netzwerksegmentierung ist, um die Auswirkungen von Sicherheitsverletzungen und Ransomware-Angriffen zu reduzieren.  

Jeder dieser Angriffe zeigt, wie Zero Trust Segmentation (ZTS) dazu beitragen kann, sich proaktiv gegen laterale Bewegungen zu verteidigen und Angriffe reaktiv einzudämmen, wenn sie unvermeidlich sind. Dies spiegelt sich in den Vorfall- und Reaktionsberichten der drei Angriffe wider und stimmt mit den Leitlinien des neuesten Cybersecurity Information Sheet der NSA zur Netzwerksicherheit überein.  

Was wir aus den 3 jüngsten Cyberangriffen gelernt haben

Nachrichten über Sicherheitsverletzungen und Ransomware-Angriffe sollten keine Überraschung sein. Die komplexen, hypervernetzten Netzwerke von heute bedeuten, dass es immer neue Bedrohungen und unentdeckte Sicherheitslücken geben wird. Wichtig ist, dass Unternehmen darauf vorbereitet sind, die Auswirkungen von Angriffen zu begrenzen, wenn sie auftreten.

Diese drei berichtenswerten Sicherheitsverletzungen dienen als hervorragende Fallstudien für die Bedeutung der Segmentierung und ihre wesentliche Rolle bei der Vorbereitung und dem Überleben von Sicherheitsverletzungen.  

MITRE: Segmentierung stoppte laterale Bewegung

Eine Tatsache der heutigen Bedrohungslandschaft ist, dass Sicherheitsverletzungen unvermeidlich sind – und das gilt sogar für Unternehmen wie MITRE , die für ihre robuste Cybersicherheit bekannt sind. MITRE war jedoch im April 2024 auf diese Realität vorbereitet, als das Unternehmen bestätigte, dass es zu einer Sicherheitsverletzung in seinen Forschungs- und Prototyping-Netzwerken gekommen war.  

Laut dem Bericht von MITRE über den Vorfall führte der unbekannte Angreifer "eine Erkundung unserer Netzwerke durch, nutzte eines unserer Virtual Private Networks (VPNs) über zwei Ivanti Connect Secure Zero-Day-Schwachstellen aus und umging unsere Multi-Faktor-Authentifizierung durch Session-Hijacking". Die Identitätstechnologie von MITRE reichte nicht aus, um den Angriff zu verhindern.  

Stattdessen war die schnelle Eindämmung von Sicherheitsverletzungen, die sich aus Segmentierungsrichtlinien ergab, der Schlüssel, um die laterale Bewegung der Angreifer zu stoppen, die infizierten Bereiche zu isolieren und potenziellen Schaden zu begrenzen:  

"Wir haben betroffene Systeme und Segmente des Netzwerks isoliert, um eine weitere Ausbreitung des Angriffs zu verhindern. Die einfache Änderung der Edge-Firewall-Regeln war nicht ausreichend, da dieses Netzwerk über eine Konnektivität zu Laboren im gesamten Unternehmen verfügte und eine effektive Eindämmung das Herunterfahren der Zugriffsinfrastruktur und die Isolierung von Edge-Systemen in einer Vielzahl von Laboren erforderte. Eine genaue Netzwerkinventur war entscheidend, um dies rechtzeitig zu tun."

Es ist auch wichtig, die Feststellung zu beachten, dass Firewall-Regeln nicht ausreichten, um laterale Bewegungen zu stoppen und die Sicherheitsverletzung zu isolieren. Stattdessen war die Mikrosegmentierung als Teil der Zero-Trust-Architektur unerlässlich, um die Konnektivität und Kommunikation zwischen infizierten und nicht infizierten Systemen auf der Grundlage ihres Berichts vollständig abzuschalten.  

Obwohl MITRE einen Angriff erlitt, waren sie darauf vorbereitet, die Auswirkungen des Verstoßes schnell zu erkennen, einzudämmen und zu mildern. Eine Zero-Trust-Strategie, bei der die Netzwerksegmentierung im Mittelpunkt stand, war der Schlüssel zu ihrer Reaktion.

The British Library: Segmentierung hätte den Schaden für Sicherheitsverletzungen begrenzt

Im Oktober 2023 wurde die British Library Opfer eines Ransomware-Angriffs, bei dem fast 600 GB an Daten, einschließlich personenbezogener Daten ihrer Benutzer und Mitarbeiter, kopiert, exfiltriert und im Dark Web verkauft wurden. Nachdem die Bibliothek nicht bereit war, das Lösegeld zu zahlen, verschlüsselten die Angreifer auch Daten und Systeme und zerstörten einige Server, wodurch die Wiederherstellung und Wiederherstellung der Daten behindert wurde.

Der Angriff unterstreicht die wahllose Natur der heutigen Bedrohungsakteure – selbst gemeinnützige Wohltätigkeitsorganisationen wie die British Library können nicht davon ausgehen, dass sie immun gegen Angriffe sind.

In ihrem Bericht vom März 2024 über den Angriff räumte die Bibliothek ein, dass ihre Sicherheitsarchitektur, einschließlich einer Mischung aus modernen und älteren Systemen, keine Möglichkeit hatte, laterale Bewegungen sofort zu stoppen oder den Angriff einzudämmen.  

In dem Bericht heißt es, dass die Bibliothek in Zukunft bessere Strategien zur Cyber-Resilienz implementieren muss, einschließlich der Netzwerksegmentierung: "Kein Perimeter kann vollständig sicher gemacht werden. Die Netzwerksegmentierung ist daher unerlässlich, um den durch einen erfolgreichen Angriff verursachten Schaden zu begrenzen. Die veraltete Netzwerktopologie der Bibliothek bedeutete, dass der Angriff mehr Schaden anrichten konnte, als es in einem modernen Netzwerkdesign möglich gewesen wäre."

Dänische Energie: Mangelnde Transparenz und Segmentierung führten zu weitreichenden Störungen

Bei einem koordinierten, gut geplanten Angriff wurden im Mai 2023 22 Energiebetreiber kompromittiert, die für verschiedene Aspekte der dänischen Energieinfrastruktur verantwortlich sind.  

Basierend auf Informationen von SektorCERT, einer gemeinnützigen Organisation, die ein Sensornetzwerk zur Erkennung, Identifizierung und Erforschung von Bedrohungen für das kritische dänische Energiesystem betreibt, fehlte es vielen Mitgliedsbetreibern an vollständiger Transparenz und Segmentierung in ihren Netzwerken.  

Das SektorCERT war in der Lage, den Angriff erfolgreich zu erkennen, bevor er sich weiter ausbreitete, aber seine Untersuchungen ergaben, dass viele Mitgliedsbetreiber nichts von Schwachstellen in ihren einzelnen Netzwerken wussten – insbesondere zwischen IT- und OT-Systemen – oder dass ihre Netzwerke angegriffen wurden. Mit einer durchgängigen Transparenz der Anwendungsabhängigkeiten und des Workload-Traffics hätten die Betreiber Sicherheitslücken erkennen und schließen können, die es dem Angriff ermöglichten, sich über ihre einzelnen Netzwerke und die gesamte nationale Energieinfrastruktur auszubreiten.

Die Angreifer nutzten auch eine aus der Ferne ausnutzbare Schwachstelle in den Perimeter-Firewalls der Betreiber als Ausgangspunkt für ihre erste Sicherheitsverletzung. Während viele Betreiber Firewalls am Netzwerkrand installiert hatten, fehlte es ihnen an einer effektiven Segmentierung innerhalb des Netzwerkinneren. Dies ermöglichte es den Angreifern, sich nach dem ersten Verstoß schnell und leise über das Netzwerk zu verbreiten. Der Bericht nennt insbesondere die Segmentierung als Schlüssel, um sich proaktiv auf Sicherheitsverletzungen vorzubereiten und schnell auf aktive Angriffe zu reagieren.  

Zero-Trust-Segmentierung ist unerlässlich, um sich auf Angriffe vorzubereiten und darauf zu reagieren.

Inmitten der Ungewissheit der heutigen Bedrohungslandschaft machen diese drei Angriffe eine Lektion deutlich: die zentrale Rolle von Zero Trust Segmentation (ZTS) bei der Stärkung der Cyberabwehr. Das neue Informationsblatt zur Cybersicherheit der NSA, Advancing Zero Trust Maturity Across the Network and Environment Pillar, erkennt ZTS als wesentlichen und grundlegenden Bestandteil jeder Zero-Trust-Architektur an.

Bereiten Sie sich proaktiv auf potenzielle Angriffe vor

Herkömmliche Cybersicherheitsansätze, die sich auf perimeterbasierte Abwehrmaßnahmen konzentrieren, reichen nicht mehr aus, um die komplexen, miteinander verbundenen Netzwerke von heute zu sichern. Anstatt davon auszugehen, dass es möglich ist, alle Cyberangriffe zu verhindern, geht ZTS davon aus, dass Sicherheitsverletzungen unvermeidlich sind.

Durch die Segmentierung des Netzwerks in kleinere, isolierte Zonen und die Durchsetzung strenger Zugriffskontrollen können Unternehmen die Angriffsfläche minimieren und das Risiko einer lateralen Bewegung durch böswillige Akteure verringern. Dieser proaktive Ansatz stärkt nicht nur die Widerstandsfähigkeit gegen Cyberbedrohungen, sondern ermöglicht es Unternehmen auch, die Auswirkungen von Sicherheitsvorfällen einzudämmen, wenn sie auftreten.

Schnelle Reaktion auf aktive Angriffe

ZTS sorgt auch für Resilienz gegenüber aktiven Angriffen. Im Falle eines Sicherheitsvorfalls fungieren segmentierte Netzwerke als virtuelle Kompartimente, die den Schaden eindämmen und verhindern, dass er sich unkontrolliert ausbreitet. Dieser Eindämmungsmechanismus ist besonders wichtig in den heutigen vernetzten Unternehmen, in denen ein einziger Verstoß Kaskadeneffekte auf ein gesamtes Netzwerk oder sogar mehrere Organisationen haben kann.  

Durch die Begrenzung des Explosionsradius potenzieller Sicherheitsverletzungen und die Verhinderung von lateralen Bewegungen ermöglicht ZTS Unternehmen, die Auswirkungen von Sicherheitsvorfällen zu minimieren und die Betriebskontinuität aufrechtzuerhalten.  

Kontaktieren Sie uns , um zu erfahren, wie die Illumio Zero Trust Segmentation Platform Ihr Unternehmen darauf vorbereitet, sich proaktiv und reaktiv vor dem nächsten potenziellen Cyberangriff zu schützen.