ADMIN
2021
10
2021-10-01T12:00:00
Endpoint Security
AKTUELL
010
Sicherheit
Editorial
Interview
Interview
»Bei einer Infektion ist die zeitnahe Verhinderung der darauffolgenden Schritte von elementarer Bedeutung«
Redaktion IT-Administrator
Veröffentlicht in Ausgabe 10/2021 - AKTUELL
Firmen sehen sich nie dagewesenen Cyberangriffen ausgesetzt – in Quantität wie auch in Sachen Qualität. Dabei öffnen im Home Office angebundene Mitarbeiter ebenso wie die zunehmende Vernetzung von Industrieanlagen Angreifern oft Tür und Tor. Für Markus Knorr, Manager System Engineering bei Palo Alto Networks, ist deshalb der Zero-Trust-Ansatz ein wesentlicher Baustein in Sachen IT-Sicherheit.
IT-Administrator: Zunehmende Supply-Chain-Angriffe gefährden Unternehmen und sind im Vorfeld durch die IT-Abteilung nicht zu vermeiden. Wie lassen sich diese Attacken zumindest rechtzeitig erkennen und eindämmen?
Markus Knorr: Nachdem sich die initiale Infektion der betroffenen Systeme nicht vermeiden lässt, ist die zeitnahe Verhinderung der darauffolgenden Schritte von elementarer Bedeutung. Hierzu sind verhaltensbasierte Erkennungstechniken auf dem Endpunkt die schärfste Waffe. Diese erkennen nachfolgende Attacken wie die Erlangung von privilegierten Rechten und die Vorbereitung von weiteren Attacken zuverlässig. Um sich im Netzwerk weiter bewegen zu können, werden häufig zusätzliche Werkzeuge und Malware nachgeladen. Ist dies der Fall, bietet sich die Gelegenheit, zusätzlich auf Netzwerkebene weiteren Schaden zu verhindern. Wird insbesondere das Zero-Trust-Konzept entsprechend umgesetzt und alles nicht explizit erlaubte auf Applikations-, Benutzer- und Inhaltsebene verboten, ist die frühe Eindämmung von Supply-Chain-Attacken möglich. Ich empfehle zudem das umfassende Logging aller erlaubten Verbindungen als weiteren Baustein für Threat Hunting und die Erkennung von APTs.
Kaum eine Woche vergeht, in der nicht ein erfolgreicher Ransomware-Angriff auf ein Unternehmen oder eine Organisation bekannt wird. Die Kriminellen rüsten dabei ständig auf. Warum sind die Attacken so erfolgreich?
IT-Administrator: Zunehmende Supply-Chain-Angriffe gefährden Unternehmen und sind im Vorfeld durch die IT-Abteilung nicht zu vermeiden. Wie lassen sich diese Attacken zumindest rechtzeitig erkennen und eindämmen?
Markus Knorr: Nachdem sich die initiale Infektion der betroffenen Systeme nicht vermeiden lässt, ist die zeitnahe Verhinderung der darauffolgenden Schritte von elementarer Bedeutung. Hierzu sind verhaltensbasierte Erkennungstechniken auf dem Endpunkt die schärfste Waffe. Diese erkennen nachfolgende Attacken wie die Erlangung von privilegierten Rechten und die Vorbereitung von weiteren Attacken zuverlässig. Um sich im Netzwerk weiter bewegen zu können, werden häufig zusätzliche Werkzeuge und Malware nachgeladen. Ist dies der Fall, bietet sich die Gelegenheit, zusätzlich auf Netzwerkebene weiteren Schaden zu verhindern. Wird insbesondere das Zero-Trust-Konzept entsprechend umgesetzt und alles nicht explizit erlaubte auf Applikations-, Benutzer- und Inhaltsebene verboten, ist die frühe Eindämmung von Supply-Chain-Attacken möglich. Ich empfehle zudem das umfassende Logging aller erlaubten Verbindungen als weiteren Baustein für Threat Hunting und die Erkennung von APTs.
Kaum eine Woche vergeht, in der nicht ein erfolgreicher Ransomware-Angriff auf ein Unternehmen oder eine Organisation bekannt wird. Die Kriminellen rüsten dabei ständig auf. Warum sind die Attacken so erfolgreich?
Wir sehen schon seit längerem die Entwicklung von Business-Modellen als Ransomware-as-a-Service. Dabei überlassen die Ransomware-Gruppen die Kompromittierung angegliederten Spezialisten, die bei einer erfolgreichen Erpressung einen prozentualen Anteil an der Beute erhalten. Nach unseren Informationen sind dies im Schnitt 30 bis 40 Prozent des Betrags. Im Gegenzug stellen Gruppen wie REvil adaptierbare Ver- und Entschlüsselung, Infrastruktur, Plattformen für die Verhandlungskommunikation und Leak-Sites zum Veröffentlichen von Inhalten zur Verfügung. Dieser Ansatz führt die Besten beider Lager zusammen, die sich dann auf besonders attraktive Ziele fokussieren. Andererseits überlassen die Gruppen ihren Erfolg aber auch dem Zufall und scannen permanent weite Teile des Internets nach offenen Systemen. Nach Analysen von Cortex Expanse lässt sich das gesamte Internet nach dem bei Angreifern beliebten Eintrittspunkt über Port 3389 des Remote Desktop Protocols innerhalb von 45 Minuten scannen.
»Unternehmen stellen immer wieder fest, dass ein Backupkonzept nicht ausreicht«
Welche Abwehrmaßnahmen sollten Firmen besonders in Betracht ziehen?
Bieten Sie kein leichtes Ziel durch die Umsetzung strikter Cyberhygiene und Reduktion der Angriffsoberfläche. Ersetzen Sie altgediente AV-Systeme durch moderne Lösungen, die verhaltensbasiert arbeiten und maschinell gestützt auch Netzwerkdaten zur Analyse heranziehen. Setzen Sie außerdem Zero-Trust-Networking um. Nicht nur im Unternehmensnetzwerk, sondern auch im Modern Workplace und Work-from-Home. Dabei spielt es keine Rolle, ob ein Client mit dem Internet oder Unternehmensressourcen verbunden ist. Automatisieren Sie nicht zuletzt Ihren Incident-Response-Prozess. Die Erfahrung zeigt, dass die zeitnahe Reaktion Schlimmeres verhindern kann und maßgeblich zur Eindämmung beiträgt.
Die meisten Firmen besitzen Backups ihrer Daten. Weshalb sind sie dennoch von Ransomware unmittelbar bedroht?
Leider müssen Unternehmen immer wieder feststellen, dass ein Backupkonzept nicht ausreicht. Die Gegenseite befindet sich meist über längere Zeiträume bis hin zu einigen Wochen im Netzwerk. Zudem sehen wir in unseren Analysen immer häufiger die sogenannte "Double Extortion". Dabei werden neben Verschlüsselung sensitive Unternehmensdaten exfiltriert und bei Weigerung zur Zahlung veröffentlicht oder meistbietend in Untergrund-Auktionen versteigert.
Der Fokus in vielen Organisationen liegt nach wie vor auf der Absicherung der Devices – Server und Clients. Wie ist hier ein übergreifender Ansatz möglich, vor allen Dingen, wenn auch schlecht zu schützende IoT-Devices eine Rolle spielen?
IoT-Geräte, aber auch Industrial IoT und Operational Technology sind nicht erst seit dem Colonial-Pipeline-Ransomware-Angriff ins Licht gerückt. Zur Vermeidung von Schatten-IT und Lücken in der Sicherheit sind auch hier spezielle Techniken zum Auffinden und Umsetzung eines Zero-Trust-Ansatzes notwendig. Das Augenmerk liegt einerseits in der automatisierten Erkennung und Klassifizierung von IoT-Geräten, da es sich dabei um hochvolatile Umgebungen handeln kann. Andererseits sind meist eine Vielzahl gleicher System-Typen im Einsatz, die es für die Umsetzung von Zero Trust eindeutig zu unterscheiden gilt. Hierfür sind spezielle Lösungen notwendig. Security muss nichtsdestotrotz über Extended Detection and Response am Endpunkt sowie durch Zero Trust im Netzwerk umgesetzt werden.
Vielen Dank für das Gespräch.