Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Erkenntnisse aus MOVEit: Wie Unternehmen Resilienz aufbauen können

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
14Juni 2023
23 min. lesen

In der vergangenen Woche wurden die Nachrichten von Details der MOVEit-Datenschutzverletzung dominiert. Bei dem Massenangriff nutzten Cyberkriminelle eine Schwachstelle in der Dateiübertragungsanwendung MOVEit aus – einem Tool, das von Tausenden von Unternehmen auf der ganzen Welt verwendet wird, um Dateien sicher mit Kollegen oder externen Parteien zu teilen. Zumindest dachten sie das... Was ist also schief gelaufen?

Was wissen wir?

Der Angriff entstand, weil böswillige Akteure in der Lage waren, eine neue und bisher unbekannte Schwachstelle im Dateiübertragungstool MOVEit auszunutzen – einen sogenannten Zero-Day-Angriff. Dies führte dazu, dass eine Instanz von MOVEit, die von Zellis, einem Anbieter von IT-Dienstleistungen für Lohn- und Gehaltsabrechnungs- und Personalabteilungen, verwendet wurde, zusammen mit Daten seiner Kunden wie BBC, Boots, Aer Lingus und Ofcom, kompromittiert wurde. Und der Angriff ist nicht nur auf Großbritannien beschränkt – auch Organisationen in Kanada und den USA sind nachweislich betroffen.

Die Clop-Ransomware-Bande hat die Verantwortung für den Angriff übernommen und droht damit, alle gestohlenen Daten der betroffenen Organisationen bis zum 14. Juni zu veröffentlichen, wenn die Unternehmen kein Lösegeld zahlen. Aber abgesehen davon, dass sie von Strafverfolgungsbehörden auf der ganzen Welt abgeschreckt werden, führt die Zahlung von Lösegeldern nur zu mehr Angriffen. Was können und sollten Unternehmen also tun, um sich in Zukunft vor ähnlichen Angriffen zu schützen?

Was können wir daraus lernen?

Der Angriff ist eine gute Erinnerung an die Risiken, die sowohl von der Lieferkette als auch von der Software-Lieferkette ausgehen. Unternehmen setzen oft zu viel implizites Vertrauen in ihre Lieferanten, um sensible Daten zu schützen und zu speichern, wenn sie Systeme oder Funktionen wie die Gehaltsabrechnung auslagern. Wird der Zulieferer jedoch angegriffen, können Unternehmen schnell indirekt kompromittiert werden.

In diesem Fall hatte Zellis eindeutig eine Abhängigkeit von der MOVEit-Software entwickelt – einer Software, die aufgrund ihrer Verbindung zum Internet einem hohen Risiko ausgesetzt ist. Durch ein Software-Update können jedoch jederzeit Zero-Day-Angriffe eingeführt werden, die oft blind oder automatisch hingenommen werden.  

5 Schritte zum Aufbau von Resilienz gegen Angriffe wie MOVEit

Strenge Tests aller Updates werden niemals möglich sein, daher müssen Unternehmen Resilienz und Ausfallsicherheiten aufbauen, um sicherzustellen, dass Schwachstellen keinen erheblichen Schaden anrichten.  

Im Folgenden sind die wichtigsten Schritte aufgeführt, die Unternehmen unternehmen sollten, um die Ausfallsicherheit zu erhöhen:

1. Gehen Sie immer von einer Sicherheitsverletzung aus

Das erste, was man aus dem MOVEit-Angriff lernen kann, ist, dass kein Unternehmen vor Cyberangriffen gefeit ist. Ransomware ist heute die häufigste Art von Angriffen, daher müssen Sie eine "Assume Breach"-Mentalität annehmen, bei der der Schwerpunkt auf der Eindämmung von Sicherheitsverletzungen und nicht auf der Prävention liegt, um sicherzustellen, dass Ransomware am Eintrittspunkt isoliert wird.

2. Machen Sie die Grundlagen richtig

Zweitens: Vernachlässigen Sie nicht die Grundlagen. Die meisten Risiken entstehen durch schlechte Hygiene, schlechte Prozesse und menschliches Versagen. Denken Sie daran, dass Verteidiger in 100 Prozent der Fälle richtig liegen müssen, aber der Angreifer nur in 1 Prozent der Fälle richtig liegen muss, um erfolgreich zu sein, also gibt es keinen Raum für Fehler.

Zero-Day-Angriffe hat es schon immer gegeben – und wird es immer geben –, aber zu viele Unternehmen machen die Grundlagen immer noch nicht richtig. Der beste Weg, das Risiko zu reduzieren, besteht darin, eine gute Sicherheitshygiene und einen Defense-in-Depth-Ansatz zu verfolgen, was mindestens regelmäßiges Patchen, die Einschränkung des Zugriffs auf Systeme und Dienste mit bekannten Schwachstellen und die Einführung einer Strategie der geringsten Privilegien bedeutet. 

3. Sichtbarkeit ist das A und O

Ein entscheidender Schritt zum Aufbau von Resilienz ist die Verbesserung der Transparenz. Die Sichtbarkeit ermöglicht es Ihnen, zu verstehen, wie Ihr Normalzustand aussieht, so dass Sie im Falle einer unerwarteten Verbindung oder bei der Übergabe eines unerwartet hohen Datenvolumens mithilfe vorhandener SIEM-Technologien (Security Information and Event Management) erkennen und Maßnahmen ergreifen können.

Die Transparenz ermöglicht es Ihnen auch, die mit diesem System verbundenen Abhängigkeiten zu verstehen und sich ein Bild von "bekanntermaßen gut" zu machen. Jedes Unternehmen, das von der MOVEit-Sicherheitsverletzung betroffen ist, muss über alle ein- und ausgehenden Verbindungen verfügen, für die MOVEit installiert ist.

4. Implementieren Sie eine Strategie des Zugriffs mit den geringsten Rechten

In den Bereichen, in denen Sie weniger Kontrolle haben, wie z. B. in der Software-Lieferkette, sollten Sie eine gute Segmentierung vom Rest Ihrer Umgebung sicherstellen. Implementieren Sie sehr restriktive Richtlinien für Zulassungslisten , die sicherstellen, dass die Workload nur sehr wenig Zugriff auf den Rest Ihres Netzwerks hat, und die Anzahl der Angreifer einschränken, die das Netzwerk ermitteln und sich lateral bewegen können.

Wenden Sie im Fall von MOVEit eine Zulassungsliste vor der iMOVEit-Arbeitslast an, um den Zugriff auf die Anwendungs- und Aktivitätsebene einzuschränken.

5. Ringfence für hochwertige Anwendungen

Ergreifen Sie Maßnahmen, um hochwertige Anwendungen abzugrenzen, die mit geistigem Eigentum, nicht öffentlichen Finanzdaten, rechtlichen Dokumenten oder vertraulichen und persönlichen Informationen umgehen. Durch Ringfencing wird der Sicherheitsperimeter von einem Subnetz oder VLAN auf eine einzelne Anwendung verkleinert. Es bietet die größten Auswirkungen bei geringstem Arbeitsaufwand, da nur eine Zeile Sicherheitsrichtlinie pro Anwendung erforderlich ist, um 90 Prozent der potenziellen Angriffsfläche für Ost-West-Datenverkehr zu schließen.

Wie kann Illumio Zero Trust Segmentation (ZTS) helfen?

Illumio ZTS macht es schnell und einfach, Ihre Schwachstellen zu erkennen und einfache Schritte zu unternehmen, um Ihr Unternehmen zu schützen. Illumio ZTS kann zwar einen Angriff auf die Software-Lieferkette nicht verhindern, aber es kann Ihnen helfen, Transparenz über die Angriffsfläche zu gewinnen, verdächtiges Verhalten zu ermitteln und die Ausbreitung von Sicherheitsverletzungen einzudämmen .  

Mit Illumio ZTS können Sie:

  • Legen Sie fest, wie "normales" oder "erwartetes" Verhalten von und zu jeder Workload aussieht. 
  • Identifizieren Sie jede Abweichung von den akzeptablen Normen (z. B. eine Änderung des Verbindungsvolumens oder der übertragenen Daten oder neue und ungewöhnliche IPs oder Domänen, auf die zugegriffen wird).
  • Isolieren Sie Workloads schnell, bis Sie während eines aktiven Angriffs Vertrauen in ihren Status haben. 
  • Beschränken Sie proaktiv den Zugriff auf und von Workloads, um sicherzustellen, dass kein Zugriff außerhalb dessen möglich ist, was durch die Richtlinie autorisiert wurde.
Die Illumio Zero Trust Segmentierungsplattform

Aufbau von Resilienz gegen Software- und Supply-Chain-Angriffe

Hyperkonnektivität hat zu so reichhaltigen, dichten und kritischen Abhängigkeiten geführt, dass Angreifer wissen, dass sie die Effizienz und Rentabilität steigern können, indem sie die Software-Lieferkette kompromittieren. Infolgedessen müssen Unternehmen ihre Software-Lieferkette schnell in den Griff bekommen oder ähnliche Verstöße riskieren.

Auch heute noch werden 99 Prozent des Aufwands und des Budgets in der Cybersicherheit darauf verwendet, Schlimmes zu verhindern (Erkennung und Behebung). Dennoch könnten Unternehmen ihr Budget für Cybersicherheit verdreifachen und es kommt immer noch zu Sicherheitsverletzungen.  

Unternehmen müssen die Resilienz proaktiv stärken, indem sie stets von einer Sicherheitsverletzung ausgehen und Eindämmungsfunktionen einbauen, um die Ausbreitung eines Angriffs zu begrenzen. Das bedeutet, dass ein risikobasierter Ansatz verfolgt werden muss, der sich auf das Verständnis des Datenflusses über die erweiterte Angriffsfläche für Assets und die Trennung von Schlüsselfunktionen innerhalb des Netzwerks konzentriert, um zu verhindern, dass sich Sicherheitsverletzungen auf kritische Assets ausbreiten.

Möchten Sie mehr erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Demo und Beratung.

Verwandte Themen

No items found.

Verwandte Artikel

Begleiten Sie Illumio auf der HIMSS 2023 in Chicago
Cyber Resilience

Begleiten Sie Illumio auf der HIMSS 2023 in Chicago

Eine Einladung zu Illumio auf der HIMSS 2023 in Chicago, um sich während der Konferenz zu vernetzen, Kontakte zu knüpfen und Sicherheitsexperten für das Gesundheitswesen zu treffen.

Read more
Cyber-Resilienz: Die oberste Sicherheitspriorität des Bankensektors
Cyber Resilience

Cyber-Resilienz: Die oberste Sicherheitspriorität des Bankensektors

In dieser Rede im Dezember 2021 bekräftigte Bo Li, stellvertretender geschäftsführender Direktor des Internationalen Währungsfonds (IWF), wie die digitale Technologie alle Aspekte der Gesellschaft durchdringt und unsere Abhängigkeit von der Interkonnektivität und das Vertrauen in die Netzwerke, die sie unterstützen, erhöht.

Read more
Rechenzentrums- und Cloud-Sicherheit: Anwendungs-Mapping
Cyber Resilience

Rechenzentrums- und Cloud-Sicherheit: Anwendungs-Mapping

Wenn Sie auf einer Tech-Konferenz das Parkett betreten, kann ich Ihnen garantieren, dass Sichtbarkeit das erste Wort ist, das Sie auf Ihrer Buzzword-Bingokarte markieren. Es ist an fast jedem Stand zu finden. Aber nur weil eine Lösung transparent ist, bedeutet das nicht, dass Sie sehen, was Sie brauchen, um Ihre Ziele zu erreichen. Vor allem, wenn es um Sicherheit geht.

Read more
Illumio Zero-Trust-Segmentierung bietet nachweisbare Risikoreduzierung und ROI
Zero-Trust-Segmentierung

Illumio Zero-Trust-Segmentierung bietet nachweisbare Risikoreduzierung und ROI

Lesen Sie, wie Illumio Zero Trust Segmentation auf der Grundlage der neuen TEI-Studie von Forrester einen ROI von 111 % erzielt.

Read more
Zero-Trust-Segmentierung für Dummies: Ein einfacher Leitfaden zur Verhinderung der Ausbreitung von Sicherheitsverletzungen
Zero-Trust-Segmentierung

Zero-Trust-Segmentierung für Dummies: Ein einfacher Leitfaden zur Verhinderung der Ausbreitung von Sicherheitsverletzungen

Holen Sie sich Ihr kostenloses Exemplar von Zero Trust Segmentation for Dummies, um eine einfache Anleitung zum Stoppen der Ausbreitung von Ransomware und Sicherheitsverletzungen zu erhalten.

Read more
Wie eine globale Anwaltskanzlei einen Ransomware-Angriff mit Illumio stoppte
Ransomware Containment

Wie eine globale Anwaltskanzlei einen Ransomware-Angriff mit Illumio stoppte

Wie die Ransomware-Abwehr von Illumio einen Angriff auf eine globale Anwaltskanzlei schnell stoppte und gleichzeitig erhebliche Schäden für ihr System, ihren Ruf und ihre Kunden verhinderte.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more