Schutz vor Ransomware: fünf gängige Schwachstellen in der Netzwerksicherheit beheben

Um sich angemessen vor Ransomware zu schützen, müssen Unternehmen Cyber-Resilienz und Bedrohungsabwehr priorisieren, ihre Netzwerke proaktiv absichern und Schwachstellen in der Netzwerksicherheit beheben, die es Angreifern ermöglichen, sich lateral zu bewegen und Berechtigungen zu erweitern. [...]

Obwohl die Investitionen in Sicherheit und Risikomanagement in den letzten Jahren stetig gestiegen sind, sind die heutigen Ransomware-Banden intelligenter und operieren heimlicher denn je. Mit derzeit mehr als 60 aktiven Gruppen haben einige der aktivsten Ransomware-Banden ihre Opferzahl im letzten Jahr um mehr als 200 Prozent erhöht. (c) stock.adobe.com/kaptn

Die Bedrohung durch Ransomware ist kein Geheimnis – sie zählt laut einer Verizon-Studie in 92 Prozent aller Branchen zu den größten Bedrohungen. Mehr als drei Viertel der Sicherheitsverantwortlichen geben an, dass Ransomware ihr größtes Problem im Bereich Cybersicherheit ist. Ransomware-Angriffe haben laut Cybernews.com in diesem Jahr bereits um mehr als 100 Prozent zugenommen. Auch im aktuellen Lagebild des BKA nimmt Ransomware im Bereich Cybercrime eine Spitzenposition ein. Obwohl Sicherheitsteams die Gefahren von Ransomware kennen, haben sie Schwierigkeiten, die immer raffinierteren Angreifer abzuwehren.

Um sich angemessen vor Ransomware zu schützen, müssen Unternehmen Cyberresilienz und Bedrohungsabwehr priorisieren, ihre Netzwerke proaktiv absichern und Schwachstellen in der Netzwerksicherheit beheben, die es Angreifern ermöglichen, sich lateral zu bewegen und Berechtigungen zu erweitern.

Ransomware-Angriffe verhindern

Die Best Practices zur Verhinderung von Ransomware entsprechen weitgehend den Strategien zum Schutz vor Angriffen jeglicher Art. Dazu gehören:

  • Netzwerksegmentierung: Ein ordnungsgemäß segmentiertes Netzwerk schneidet Angreifern den für die Verbreitung notwendigen Netzwerkzugang ab und macht sie damit handlungsunfähig.
  • MFA: Gestohlene oder missbräuchlich verwendete Anmeldedaten gehören zu den beliebtesten Werkzeugen von Angreifern. Der Schutz privilegierter Zugriffe durch MFA schränkt die Auswirkungen erheblich ein.
  • Zero Trust: Die Implementierung einer Zero-Trust-Architektur ist entscheidend, um unbefugten Zugriff zu verhindern und Ransomware-Risiken proaktiv zu minimieren.
  • Backup-Systeme: Regelmäßige verschlüsselte Backups in einer isolierten Umgebung, die vom Hauptnetzwerk getrennt ist, sorgen dafür, dass Unternehmen im Falle einer Verschlüsselung kritischer Daten durch Ransomware eine Wiederherstellung durchführen können.
  • Kontinuierliche Überwachung und Reaktion: Unternehmen müssen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten überwachen und darauf reagieren, um aufkommende Bedrohungen frühzeitig zu erkennen. Zu beachten ist, dass Endpoint Detection and Response (EDR)-Systeme allein laterale Bewegungen nicht blockieren können. Erkennung ist zwar wichtig, kommt aber oft zu spät.
  • Robuste Perimeter-Abwehr: Bedrohungen lassen sich minimieren, indem Unternehmen den Schutz des Nord-Süd-Datenverkehrs mit Lösungen wie Next-Generation Firewalls (NGFW) und granularen Zugriffskontrollen verstärken.
  • Deaktivieren unnötiger Ports und Dienste: Unternehmen sollten nicht verwendete Fernzugriffsprotokolle (wie RDP und SMB) deaktivieren und strenge Zugriffskontrollen durchsetzen, um die Angriffsfläche für Ransomware zu verringern.

Obwohl die Investitionen in Sicherheit und Risikomanagement in den letzten Jahren stetig gestiegen sind, sind die heutigen Ransomware-Banden intelligenter und operieren heimlicher denn je. Mit derzeit mehr als 60 aktiven Gruppen haben einige der aktivsten Ransomware-Banden ihre Opferzahl im letzten Jahr um mehr als 200 Prozent erhöht. Da Bedrohungen sich vermehren und weiterentwickeln, um traditionelle Sicherheitsstrategien zu überlisten, reicht ein präventionsorientierter Ansatz möglicherweise nicht aus, um sich wirksam vor Ransomware zu schützen.

Laut Chase Cunningham, alias „Dr. Zero Trust“, muss jeder, der noch hofft, Kompromittierungen vollständig vermeiden zu können, seine Denkweise ändern: „Einige Leute akzeptieren immer noch nicht, dass eine Sicherheitsverletzung unvermeidlich ist, und sie wenden keine Kontrollen an, um den Umfang der Verletzung zu begrenzen – und genau hier liegt ein Großteil des Problems.“ Mit anderen Worten: Die Eindämmung von Sicherheitsverletzungen durch granulare Zugriffskontrollen ist der Schlüssel.

Eindämmung von Sicherheitsverletzungen – Minimierung des Ausmaßes

Anstatt sich ausschließlich darauf zu konzentrieren, Ransomware daran zu hindern, in das Netzwerk einzudringen, ist ein anderer Weg effektiver. Um zu verhindern, dass ein Ransomware-Angriff zu einer Katastrophe wird, gilt es, die Cyberresilienz zu priorisieren und sicherzustellen, dass Angreifer nach dem Eindringen in das Netzwerk keine Angriffsfläche mehr haben.

Da das Ziel von Ransomware darin besteht, so viele Assets wie möglich zu verschlüsseln oder wertvolle Daten zu finden und zu exfiltrieren, um die Verhandlungsposition zu verbessern, ist die Eindämmung von Sicherheitsverletzungen von entscheidender Bedeutung. Die Verhinderung lateraler Bewegungen, um sicherzustellen, dass Angreifer niemals auf sensible Systeme oder Daten zugreifen können, ist einfacher als gedacht. Mit dynamischer Mikrosegmentierung und Identitäts-Overlay durch MFA ist Cyberresilienz in greifbarer Nähe.

Die beste Strategie zum Schutz vor Ransomware umfasst proaktive Ansätze zur Blockierung von Angriffswegen und zur Verbesserung der allgemeinen Sicherheitslage. Unternehmen müssen jedoch zunächst die Sicherheitslücken verstehen, die Ransomware Raum zum Eindringen geben – und wissen, wie sie diese beheben können.

Verbesserung des Ransomware-Schutzes: Die größten Schwachstellen in der Netzwerksicherheit beheben

Ransomware-Angriffe folgen einem einheitlichen Muster: Angreifer verschaffen sich zunächst Zugriff, bewegen sich dann lateral, um weitere Ressourcen zu kompromittieren, erweitern ihre Berechtigungen und verbreiten das Ransomware-Sample im Netzwerk. Obwohl moderne Abwehrmaßnahmen immer ausgefeilter werden, sind Angreifer oft erfolgreich, indem sie dieselben Schwachstellen ausnutzen, die in den meisten Umgebungen seit Jahren unentdeckt geblieben sind.

Von übermäßigen Berechtigungen und einer flachen Netzwerkarchitektur bis hin zu anfälligen Fernzugriffspfaden und darüber hinaus – diese blinden Flecken bieten Ransomware die Werkzeuge, um Chaos anzurichten. Es gibt fünf häufige – und vermeidbare – Schwachstellen, die Ransomware ermöglichen, und entsprechende Strategien, um diese Schwachstellen zu beseitigen und eine Sicherheitsverletzung schnell einzudämmen.

1. Überprivilegierte Dienstkonten

Dienstkonten werden oft im Hintergrund ausgeführt, sind nicht verwaltet und werden übersehen, da sie schwer zu überwachen und komplex zu sichern sind. Sie verfügen dennoch häufig über Domainadministratorrechte oder umfassende Berechtigungen in verschiedenen Umgebungen, was sie zu einer Fundgrube für Ransomware-Gruppen macht. Sobald sie kompromittiert sind, bieten Dienstkonten häufig alle erforderlichen Zugriffsrechte, um Berechtigungen zu erweitern und Ransomware im Netzwerk zu verbreiten.

So lässt sich das Problem beheben:

  • Überprüfung der Dienstkonten und Beschränkung des Zugriffs auf erforderliche Ressourcen und Anmeldetypen.
  • Verwendung identitätsbasierter Segmentierung, um übermäßige Berechtigungen zu verhindern.
  • Anwendung von MFA für privilegierte Anmeldungen und Schutz für jeden privilegierten Port.

2. Flache Netzwerkarchitektur

Flache Netzwerke ohne interne Kontrollen sind nach wie vor ein Problem für Unternehmen, die nur auf perimeterbasierte Abwehrmaßnahmen setzen – und sie sind der beste Freund von Ransomware. Wenn ein kompromittierter Asset mit allen anderen kommunizieren kann, ist das Netzwerk immer nur eine Sicherheitslücke von einer Katastrophe entfernt.

So lässt sich das Problem beheben:

  • Implementierung von Mikrosegmentierung, um alle Ressourcen zu isolieren und den Ost-West-Datenverkehr zu sichern.
  • Durchsetzung des Prinzips der geringsten Berechtigungen im gesamten Netzwerk.
  • Priorisierung einer mehrschichtigen Verteidigung, die NGFWs mit Netzwerksegmentierung kombiniert.

3. Verbindungen zu Drittanbietern und Lieferanten

Ob über VPNs, Fernzugriffstools oder Cloud-Dienste – Verbindungen zu Drittanbietern und Remote-Mitarbeitern führen häufig zu inkonsistenten Sicherheitsrichtlinien. Aaron Steinke, Head of Infrastructure bei La Trobe Financial, merkt dazu an: „In der Vergangenheit haben wir festgestellt, dass es häufig zu Situationen kommt, in denen Mitarbeiter über das VPN mehr Netzwerkzugriff haben, weil man sie nicht ausreichend kategorisieren und klassifizieren kann.“

Da es schwierig ist, Remote-Verbindungen effektiv zu sichern, ohne den Betrieb zu stören, oder die Cyberhygiene von Anbietern zu überprüfen, nehmen Angreifer häufig Verbindungen von Drittanbietern mit schwacher Sicherheit als Einstiegspunkt in Netzwerke ins Visier.

So lässt sich das Problem beheben:

  • Anwendung granularer Kontrollen, um den Zugriff von Drittanbietern zu beschränken.
  • Konsolidierung des Zugriffs von Anbietern in einer einzigen Lösung, um die Sicherheit zu vereinfachen.
  • Erzwingung von MFA für jede Anmeldung von Drittanbietern.

4. Unsichere Remote-Verwaltungsprotokolle

Remote-Dienste sind häufige Ziele für Angreifer, die ihren Wirkungsradius vergrößern und ihre Berechtigungen erweitern möchten. Sie suchen häufig nach offenen RDP-, SSH- oder WinRM-Ports und verwenden gestohlene Anmeldedaten, um auf Systeme zuzugreifen und sich als angemeldeter Benutzer im Netzwerk zu bewegen. Wenn diese Protokolle nicht ordnungsgemäß gesichert sind, sind sie ein gefundenes Fressen für Ransomware.

So lässt sich das Problem beheben:

  • Standardmäßiges Schließen aller privilegierten Ports.
  • Anwendung von Just-in-Time-MFA, um den Zugriff dynamisch freizugeben.
  • Einschränkung von Bewegungen mittels Identitätszugriffskontrollen, die standardmäßig Zugriff verweigern.

5. Statische Regeln und manuelle Richtlinienverwaltung

Die meisten Firewalls und Segmentierungstools basieren auf statischen Regelsätzen und manueller Pflege. In dynamischen Umgebungen sind diese Regeln fast sofort nach ihrer Erstellung veraltet. Ransomware-Akteure nutzen diese Lücken, um sich frei zu bewegen.

So lässt sich das Problem beheben:

  • Durchsetzung adaptiver Richtlinien basierend auf kontinuierlichem Verhaltenslernen.
  • Implementierung einer ganzheitlichen Segmentierung, um eine Zero-Trust-Architektur mit integrierter widerstandsfähiger Sicherheit zu schaffen.

Ransomware in Echtzeit blockieren und Bedrohungen eindämmen

Alle Sicherheitslücken im Netzwerk, die Ransomware ausnutzt, lassen sich mit einer einzigen einheitlichen Plattform schließen. Dieser Ansatz unterscheidet sich von herkömmlichen Tools, die sich auf die Erkennung konzentrieren, sich zu sehr auf Perimeter-Abwehrmaßnahmen verlassen oder manuelle Konfiguration und Wartung erfordern. Echtzeit-Schutz vor Ransomware erfolgt durch die Orchestrierung nativer Firewalls zur Segmentierung aller Assets und Durchsetzung von Zugriffsrechten mit minimalen Berechtigungen. Die Bereitstellung identitätsbasierter Zugriffskontrollen dient zur Sperrung von Administrator- und Dienstkonten, während Just-in-Time-MFA auf der Netzwerkebene Anwendung findet, um privilegierten Zugriff zu sichern. Zudem werden Richtlinien dynamisch an die Entwicklung des Netzwerks anpasst, ohne zusätzlichen manuellen Aufwand. Auf diese Weise können Unternehmen ihre Netzwerksicherheit stärken und Ransomware proaktiv abwehren.

* Kay Ernst ist Experte für automatisierte Mikrosegmentierung bei Zero Networks.


Mehr Artikel

News

Predictive Maintenance für Netzwerke

Netzwerkstörungen oder -ausfälle sind in der Industrie keine Seltenheit. Diese Störungen kosten Unternehmen nicht nur Zeit, sondern vor allem Geld. Thomas Kruse, Produktmanager bei reichelt elektronik, erklärt, wie der Predictive-Maintenance-Ansatz auch in der Netzwerktechnologie vielversprechende Vorteile bieten kann. […]

News

KI macht in Österreich noch nicht Schule

Eine Studie von GoStudent zeigt: 88 Prozent der Lehrkräfte in Österreich erhalten keine Schulung zum Umgang mit künstlicher Intelligenz. Das ist der höchste Wert unter allen sechs untersuchten Ländern (Deutschland, Frankreich, Spanien, Italien, Vereinigtes Königreich, Österreich). Kein anderes Land schneidet schlechter ab. Gleichzeitig nutzen 86 Prozent der Schüler:innen bereits KI-Tools. Österreich droht den Anschluss zu verlieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*