Angriffe mit Ransomware sind keine Seltenheit mehr – sie zählen laut einer Verizon-Studie in 92 Prozent aller Branchen zu den größten Bedrohungen. Mehr als drei Viertel der Sicherheitsverantwortlichen geben an, dass Ransomware ihr größtes Problem im Bereich Cybersicherheit ist. Ransomware-Angriffe haben laut Cybernews.com in diesem Jahr bereits um mehr als 100 Prozent zugenommen. Auch im aktuellen Lagebild des BKA nimmt Ransomware in Deutschland im Bereich Cybercrime eine Spitzenposition ein. Obwohl Sicherheitsteams die Gefahren von Ransomware kennen, haben sie Schwierigkeiten, die immer raffinierteren Angreifer abzuwehren.
Kay Ernst von Zero Networks, Experte für automatisierte Mikrosegmentierung, gibt Tipps für die Verhinderung bzw. Eindämmung von Ransomware-Attacken: Um sich angemessen vor Ransomware zu schützen, müssen Unternehmen Cyber-Resilienz und Bedrohungsabwehr priorisieren, ihre Netzwerke proaktiv absichern und Schwachstellen in der Netzwerksicherheit beheben, die es Angreifern ermöglichen, sich lateral zu bewegen und Berechtigungen zu erweitern.
Ransomware-Angriffe verhindern
Die Best Practices zur Verhinderung von Ransomware entsprechen bezeichnenderweise weitgehend den Strategien zum Schutz vor Angriffen jeglicher Art. Dazu gehören laut Zero Networks:
- Netzwerksegmentierung: Ein ordnungsgemäß segmentiertes Netzwerk schneidet Angreifern den für die Verbreitung notwendigen Netzwerkzugang ab und macht sie damit handlungsunfähig.
- MFA: Gestohlene oder missbräuchlich verwendete Anmeldedaten gehören zu den beliebtesten Werkzeugen von Angreifern. Der Schutz privilegierter Zugriffe durch MFA schränkt die Auswirkungen erheblich ein.
- Zero Trust: Die Implementierung einer Zero-Trust-Architektur ist entscheidend, um unbefugten Zugriff zu verhindern und Ransomware-Risiken proaktiv zu minimieren.
- Backup: Regelmäßige verschlüsselte Backups in einer isolierten Umgebung, die vom Hauptnetzwerk getrennt ist, sorgen dafür, dass Unternehmen im Falle einer Verschlüsselung kritischer Daten durch Ransomware eine Wiederherstellung durchführen können.
- Kontinuierliche Überwachung und Reaktion: Unternehmen müssen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten überwachen und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten ist, dass Endpoint Detection and Response (EDR)-Systeme allein laterale Bewegungen nicht blockieren können. Erkennung ist zwar wichtig, kommt aber oft zu spät.
- Robuste Perimeter-Abwehr: Bedrohungen lassen sich minimieren, indem Unternehmen den Schutz des Nord-Süd-Datenverkehrs mit Lösungen wie Next-Generation Firewalls (NGFW) und granularen Zugriffskontrollen verstärken.
- Deaktivieren unnötiger Ports und Dienste: Unternehmen sollten nicht verwendete Fernzugriffsprotokolle (wie RDP und SMB) deaktivieren und strenge Zugriffskontrollen durchsetzen, um die Angriffsfläche für Ransomware zu verringern.
Und wenn es doch passiert – Eindämmen von Sicherheitsverletzungen
Anstatt sich ausschließlich darauf zu konzentrieren, Ransomware daran zu hindern, in das Netzwerk einzudringen, ist ein anderer Weg effektiver. Um zu verhindern, dass ein Ransomware-Angriff zu einer Katastrophe wird, gilt es, die Cyber-Resilienz zu priorisieren und sicherzustellen, dass Angreifer nach dem Eindringen in das Netzwerk keine Angriffsfläche mehr haben.
Da das Ziel von Ransomware darin besteht, so viele Assets wie möglich zu verschlüsseln oder wertvolle Daten zu finden und zu exfiltrieren, um die Verhandlungsposition zu verbessern, ist die Eindämmung von Sicherheitsverletzungen von entscheidender Bedeutung. Die Verhinderung lateraler Bewegungen, um sicherzustellen, dass Angreifer niemals auf sensible Systeme oder Daten zugreifen können, ist einfacher als gedacht. Mit dynamischer Mikrosegmentierung und Identitäts-Overlay durch MFA ist Cyber-Resilienz in greifbarerer Nähe.
Die beste Strategie zum Schutz vor Ransomware umfasst proaktive Ansätze zur Blockierung von Angriffswegen und zur Verbesserung der allgemeinen Sicherheitslage. Unternehmen müssen jedoch zunächst die Sicherheitslücken verstehen, die Ransomware Raum zum Eindringen geben – und wissen, wie sie diese beheben können, z. B. Überprivilegierte Dienstkonten, (zu) flache, zu wenig segmentierte Netzwerkarchitekturen, Verbindungen zu Drittanbietern und Lieferanten, unsichere Remote-Verwaltungsprotokolle.
zero-networks.com