Globale Anwaltskanzlei stoppt Ransomware mit illumio Core

Niemand mag schlechte Nachrichten. Dann gibt es Neuigkeiten, die kein CIO jemals hören möchte.

Doch an einem Montagabend Ende September 2021 um 16:00 Uhr wurde der CIO einer globalen Anwaltskanzlei darüber informiert, dass das Unternehmen von Ransomware angegriffen wurde.

Bösartiger Code schlich sich über eine URL in einer Phishing-E-Mail in das Netzwerk ein, die ihren Weg auf eine Helpdesk-Workstation fand. Das Netzwerk der Anwaltskanzlei wurde verletzt. In nur wenigen Stunden hatte sich die Ransomware auf 12 Server ausgebreitet. Die Zeit lief ab.

Aber diese Anwaltskanzlei hatte etwas, mit dem die Cyberkriminellen nicht gerechnet hatten: Zero Trust Segmentierung von Illumio.

Keine Seitwärtsbewegungen mehr – oder überhaupt keine Bewegungen mehr

In Sekundenschnelle nutzte das Unternehmen Illumio, um den Ransomware-Angriff zu stoppen. Nachdem sie die 12 kompromittierten Server identifiziert hatten, richteten sie schnell eine Richtlinie ein, um die infizierten Computer abzugrenzen und zu isolieren, wodurch die Angreifer im Wesentlichen eine Box abwarfen, um ihre Bewegung durch das Netzwerk zu stoppen.

"Buchstäblich mit ein paar Drag-and-Drop-Klicks konnten wir alle betroffenen Systeme unter Quarantäne stellen", erklärt der IT-Manager, der das Vorfall-Response-Team der Anwaltskanzlei leitete. "Wir haben es so schnell gemacht, dass die Angreifer aus dem Netzwerk ausgesperrt waren, bevor sie wussten, was passiert war. Sie hatten keine Möglichkeit, irgendwo anders hinzuspringen, um uns auszuweichen und sich weiter auszubreiten. Der Spaß am Abend war vorbei."

Die Führungskraft sagt, dass die Geschwindigkeit, mit der sie Illumio nutzen konnten, um die kompromittierten Server unter Quarantäne zu stellen, den Unterschied ausmachte.

"Unsere Sicherheitsberater sagten, dass sie noch nie eine so schnelle – und effektive – Reaktion auf eine Ransomware-Sicherheitsverletzung gesehen haben", erklärt er. "In den meisten Fällen ist es zu spät, wenn ein Unternehmen erkennt, dass es angegriffen wird, und mit herkömmlichen Methoden Maßnahmen ergreift, um den Zugriff einzudämmen, und die Ransomware hat sich auf Hunderte von Systemen ausgebreitet."

Die Geschwindigkeit, mit der wir Illumio zur Quarantäne der Ransomware einsetzen konnten, machte den Unterschied. Globale Anwaltskanzlei fürIT-Führungskräfte

Unterstützung bei der Abwehr eines Ransomware-Angriffs

Während Illumio entscheidend dazu beitrug, die Ransomware schnell unter Quarantäne zu stellen, um zu verhindern, dass sie sich durch das Netzwerk bewegte, trug es in mehrfacher Hinsicht dazu bei, den Angriff erfolgreich abzuwehren, sagt der Manager.

• Verlangsamen Sie den Angriff: Vor dem Angriff hatte das Unternehmen bereits die offenen Pfade in seinem Netzwerk durch den Einsatz der Zero-Trust-Segmentierungs-Zugriffskontrollen von Illumio stark eingeschränkt.
• Verfolgen Sie die Eindringlinge: Durch die nahtlose Integration in sein Security Information and Event Management (SIEM)-Tool trug die Kommunikationstelemetrie von Illumio dazu bei, einen umfassenderen Überblick über die Ausbreitung der Ransomware zu erhalten.
• Visualisieren Sie die Aktivität: Die Echtzeit-Anwendungskommunikationskarte von Illumio in der gesamten Hybrid-Cloud-Umgebung der Anwaltskanzlei zeigte deutlich die ungewöhnliche Netzwerkaktivität durch Ransomware-Geschwätz.
• Kompromittierte Assets unter Quarantäne stellen: Die einfachen Funktionen zur Regelgenerierung von Illumio machten es einfach, in weniger als einer Minute eine Richtlinie zu erstellen, um die infizierten Server sowohl im Rechenzentrum als auch in einem Microsoft Azure-Cloud-Dienst zu isolieren.
• Unterstützen Sie die Ermittlungen: Illumio hat es sicher gemacht, auf kompromittierte Serverdaten zuzugreifen und sie zur Analyse sicher an eine Vorfall-Response-Agentur zu übertragen.

Unsere Sicherheitsberater gaben an, dass sie noch nie eine so schnelle – und effektive – Reaktion auf eine Ransomware-Sicherheitsverletzung gesehen haben. Globale Anwaltskanzlei fürIT-Führungskräfte

Insbesondere sagt die Führungskraft, dass die Mikrosegmentierung , die sie bereits mit Illumio Core (dem Flaggschiffprodukt von Illumio) eingeführt hatten, einen tiefgreifenden Unterschied gemacht hat. Es schränkte proaktiv ein, wohin die Angreifer gehen und was sie tun konnten, und sperrte sie schließlich in einem Ringzaun ein.

Illumio Core ließ den Angreifern eine viel engere Auswahl an Optionen und verschaffte dem Unternehmen mehr Zeit, um sie aufzuspüren.

"Wenn wir Illumio Core nicht bereits mit Live-Durchsetzungsrichtlinien im Einsatz gehabt hätten, wäre der Angriff meiner Meinung nach viel schwieriger einzudämmen gewesen", sagt er. "Die böswilligen Akteure hätten mehr Wege von der Helpdesk-Workstation gehabt und sich viel weiter und schneller ausgebreitet, was unsere Aufgabe, sie zu stoppen, viel komplexer gemacht hätte."

Schutz von Kundendaten und der Reputation des Unternehmens

In der Lage zu sein, Ransomware zu stoppen, ist für Anwaltskanzleien doppelt wichtig, sagt der Manager. Sie müssen nicht nur ihre eigene Organisation schützen, sondern Anwaltskanzleien sind treuhänderisch verpflichtet, Informationen über ihre Mandanten und deren Rechtsfälle zu schützen.

"Keine Anwaltskanzlei kann es sich leisten, die Daten ihrer Mandanten bei einem Angriff zu verlieren, da dies zu einem Reputationsschaden führt, der in einigen Fällen sehr schwer zu beheben ist", sagt er.

Zum Beispiel weiß die Führungskraft von einer anderen Anwaltskanzlei, die einen großen Ransomware-Angriff erlitten hat, bei dem Kundendaten offengelegt wurden und sie gezwungen wurden, ihr Netzwerk für einen Monat abzuschalten, was ihr Geschäft und das Vertrauen der Kunden erheblich beeinträchtigte.

"Ihre Aufmerksamkeit war enorm. Es ist unklar, wie viele Kunden oder potenzielle Kunden sie durch den Vorfall verloren haben könnten", sagt der Manager. "Ich wollte nicht, dass uns etwas Ähnliches passiert."

Durch die schnelle Reaktion, um ihren Ransomware-Angriff mit Illumio zu stoppen, war die Anwaltskanzlei in der Lage:

• Verhindern, dass die Angreifer erhebliche Schäden an ihren IT-Systemen oder Daten anrichten
• Stoppen Sie den Diebstahl oder die Verschlüsselung von Daten, einschließlich Kundendatensätzen oder Rechtsakten
• Vermeiden Sie Unterbrechungen des Geschäftsbetriebs

Und da keine Kundendaten gestohlen wurden, behielt das Unternehmen sein wertvollstes Asset: seinen Ruf.

Wenn wir nicht bereits einen Teil unserer Illumio-Segmentierung installiert hätten, wäre der Angriff möglicherweise unmöglich einzudämmen gewesen. Globale Anwaltskanzlei fürIT-Führungskräfte

Auf der Suche nach Back-Office-Sicherheit

Der Geschäftsführer der Anwaltskanzlei sagt, er sei immer auf der Suche nach neuen Wegen, um die digitale Sicherheit des Unternehmens weiter zu verbessern und den immer ausgefeilteren Cyberangriffen einen Schritt voraus zu sein.

"Es geht darum, die losen Enden in Ihrem Netzwerk zu schließen, die Angreifern eine Schwachstelle bieten, die sie ausnutzen können", sagt er.

In der Vergangenheit hat die Anwaltskanzlei mehrere Technologien zur Sicherung ihrer Daten und Systeme eingesetzt, wie z. B. EDR-Tools (Endpoint Detection and Response), Antivirensoftware für Mitarbeiter-Laptops und Ransomware-Erkennung für Dateisysteme.

Vor Illumio fehlten jedoch starke Methoden zum Schutz des "Backoffice" – aller Anwendungen und Daten, die den Geschäftsbetrieb betreiben – das sich jetzt sowohl in Rechenzentren als auch auf Cloud-Plattformen befindet.

Die Exekutive erkannte, dass Mikrosegmentierung ein wichtiger Weg wäre, um den Schutz dieser Systeme zu verbessern.

Durch die einfache Kontrolle und Blockade von Reisepfaden bis hinunter zur Anwendungsebene könnte das Unternehmen die "unverschlossenen Türen" stark einschränken, die es Cyberkriminellen so oft leicht machen, sich in Netzwerken zu bewegen, um Daten zu stehlen und Unternehmen als Geiseln zu nehmen, erklärt er.

Als er mit der Suche nach einer Mikrosegmentierungsplattform begann, stellte er fest, dass herkömmliche Ansätze zur Segmentierung einfach nicht so funktionierten, wie sie sollten.

"Ich wollte eine bessere Kontrolle über unsere Netzwerkkommunikation erlangen, aber ich wusste, dass ich dies nicht mit Methoden wie der manuellen Einschränkung von Zugriffskontrolllisten auf physischen Netzwerk-Switches erreichen konnte", sagt er. "Es braucht einfach zu viel Arbeitskraft, um diese zu programmieren, und wie bildet man das alles hinterher ab?"

Illumio bietet Ihnen die Transparenz und Kontrolle über die Kommunikationsflüsse von Anwendungen, wie Sie es mit keiner anderen Sicherheitslösung haben. Globale Anwaltskanzlei fürIT-Führungskräfte

Illumio löst diese Herausforderungen, sagt der Manager.

Basierend auf umfangreichen Überprüfungen und Beratungen durch führende Analystenhäuser entschied sich der Manager für Illumio, um eine einfache, skalierbare Zero-Trust-Segmentierung in sein Unternehmen zu bringen.

"Illumio bietet Ihnen die Transparenz und Kontrolle über die Kommunikationsabläufe von Anwendungen, wie Sie es bei keiner anderen Sicherheitslösung haben", sagt er. "Mit Illumio können Sie ganz einfach Ihre Richtlinien durchgehen und bei Bedarf Aktualisierungen und Änderungen vornehmen."

Der Manager sagt, dass die Fähigkeit von Illumio, nahtlos die gleichen Segmentierungsfunktionen für Cloud-Workloads wie für lokale Rechenzentren bereitzustellen, auch ein großes Verkaufsargument war.

"Man kann nicht nur über die Grenzen des eigenen Rechenzentrums nachdenken", sagt er. "Hybrid Cloud Computing ist heute Realität. Anstatt an eine Netzwerkhardwarelösung oder eine Virtualisierungsplattform gebunden zu sein, wollten wir uns für eine erstklassige SaaS-Plattform entscheiden, die uns die Flexibilität bietet, die wir brauchen. Ich würde sagen, Illumio ist genau das."

Sicherlich ist die Anwaltskanzlei mehr als glücklich, dass Illumio vor Ort war, um ihr zu helfen, Ransomware zu besiegen und Schäden für ihren Betrieb, ihre Kunden und ihren Ruf zu vermeiden. Das Unternehmen konzentriert sich nun auf die Erweiterung von Illumio, um Richtlinien in einem viel breiteren Bereich seines IT-Bestands durchzusetzen.

"In der heutigen Zeit ist es unerlässlich, Mikrosegmentierung zu implementieren, um die laterale Bewegung von Angreifern oder Malware zu begrenzen, die in Ihr Netzwerk eindringen", sagt er. "Es ist nur eine Frage der Zeit, bis Sie Ihre eigene Sicherheitsverletzung haben. Du musst also vorbereitet sein."