Chirurgisch handeln, nicht wahllos: Präzise Reaktionen auf Verstöße

Es ist inzwischen allgemein bekannt, dass unabhängig von den technischen Sicherheitsvorkehrungen, die Unternehmen getroffen haben - Web-Sicherheit, Endpunktsicherheit, CASB, was auch immer - jeder für Sicherheitsverletzungen planen muss, nicht nur für die Prävention. Denken Sie bei Ihrer Planung daran: context is king. Sie müssen schnell verstehen, woher die Sicherheitslücke stammt, wie sie entstanden ist, welche Methoden sie genutzt hat und wer davon betroffen ist. Und warum? Weil Sie eine präzise Antwort brauchen, keinen Vorschlaghammer.

Die Erfahrung von Colonial Pipeline - und wie es anders hätte sein können

Das beste Beispiel ist vielleicht der berüchtigte Bruch der Colonial Pipeline im letzten Jahr. Wie Sie sich vielleicht erinnern, wurde dadurch die Benzin- und Flugzeugtreibstoffübertragung in weiten Teilen des Ostens der Vereinigten Staaten unterbrochen, was die US-Regierung dazu veranlasste, für 17 Bundesstaaten sowie Washington, D.C., den Notstand auszurufen.

Als die Systeme von Colonial Pipeline Opfer von Ransomware wurden, hatten die Eigentümer des Systems offensichtlich Schwierigkeiten, den Kontext des Angriffs zu verstehen. Auch wenn es den Anschein hatte, dass nur die Abrechnungssysteme betroffen waren, konnte das Management nicht sicher sein, dass die Kriminellen nicht auch in der Lage waren, die Pipeline physisch anzugreifen - was eine immense Gefahr für Leben und Eigentum bedeuten würde.

Angesichts des hohen Risikos, den Betrieb fortzusetzen, ohne genau zu wissen, was tatsächlich geschah, sah sich die Unternehmensleitung gezwungen, "den Schalter umzulegen" und alles abzuschalten. Die massiven Folgewirkungen reichten von Gaspreisspitzen bis hin zu Verspätungen im Flugverkehr. Und nach fast 50 Jahren zuverlässigen Betriebs ist Colonial Pipeline nun vor allem für sein Cybersecurity-Desaster bekannt.

Was könnte stattdessen geschehen sein?

Sobald ein Sicherheitssignal ausgelöst wurde oder Bedrohungsjäger eine potenzielle Gefährdung feststellten, hätte Colonial Pipeline das genaue Ausmaß des Angriffs kennen können. Mit diesen Informationen hätte Colonial Pipeline gezielt reagieren können, um unnötige Auswirkungen auf Systeme zu vermeiden, die eigentlich nicht gefährdet waren.

Einige Elemente der Reaktion hätten automatisch ausgelöst werden können, entweder auf der Ebene der API-Integration oder über Playbooks oder Runbooks. Wo dies nicht möglich war, wurden Analysten, die zu komplexeren manuellen Abhilfemaßnahmen wie Systemwiederherstellungen oder Wiederherstellungsaufgaben befugt waren, präzise Informationen zur Verfügung gestellt. Eine tiefgreifende Integration - ob man sie nun Mesh-Architektur oder anders nennt - würde dann die entsprechende Reaktion auslösen, wo immer sie benötigt wird.

All dies wäre schneller geschehen, was die Verweildauer verkürzt und den Schaden begrenzt hätte, der tatsächlich eingetreten ist. Viele der Auswirkungen der Abschaltung hätten vermieden werden können - ebenso wie ein Großteil der langfristigen Auswirkungen auf den Ruf.

Alle in Ihrer E-Mail versteckten Hinweise nutzen

Da sich über 90 % der eingehenden Angriffe zuerst über E-Mail manifestieren, ist es von entscheidender Bedeutung, schnell genaue Informationen aus E-Mails zu erfassen und auch schnell zu handeln, wenn Hinweise auf einen potenziellen Verstoß auftauchen. Eine einzige eingehende Nachricht nennt den beabsichtigten Empfänger, den angeblichen Absender, die Infrastruktur, über die sie gesendet wurde, die Art und Weise, wie sie das Netzwerk durchquert hat, und natürlich ihren Inhalt: Text, Anhänge, eingebettete Bilder, URLs. Dieser Kontext bietet wertvolle Anhaltspunkte, um die Angriffskette aufzudecken und die ursprüngliche E-Mail zu finden. Um die am besten geeigneten Reaktionen zu bestimmen, müssen Sie diese Informationen bestmöglich nutzen. Das beginnt mit der Aufnahme von E-Mail-Informationen in die zentralisierten Toolsets, die Sie verwenden - SIEM, SOAR, XDR, was auch immer das sein mag.

Lassen Sie uns ein einfaches Beispiel betrachten. Irgendwie schafft es eine E-Mail durch die primären Schutzmechanismen, aber eine integrierte Backup-Überprüfung erkennt eine potenzielle Bedrohung. Diese Erkennung veranlasst den Secure Email Gateway Service von Mimecast, dieselbe E-Mail sofort aus allen Postfächern zu entfernen, die sie erreicht hat - noch bevor die meisten Empfänger versucht haben, sie zu öffnen. Da ich weiß, dass die Nachricht nur einige wenige Postfächer erreicht hat, und ich genau feststellen kann, wer mit der Nachricht interagiert hat und wer nicht, muss ich keine Abhilfemaßnahmen ergreifen, wo sie nicht nötig sind.

Betrachten wir nun einen modernen Phishing-Angriff, der von einer bösartigen Office 365-Umgebung ausgeht, die vor kurzem zur Unterstützung dieses Angriffs eingerichtet wurde. Die E-Mail verrät uns, als welcher Absender sie sich ausgibt, und wir sehen, dass sie den Benutzer auf dieselbe bösartige Office 365-Infrastruktur umleitet. Beim Scannen der Ziel-URL finden wir ein nicht übereinstimmendes SSL-Zertifikat, das signalisiert, dass es sich um eine legitime Website handelt. Wir erkennen in der Seite eingebettete Phishing-Kits, die mit dem gefundenen bösartigen Anhang verknüpft sind.

Wir können den Angriff nun rückwärts verfolgen, um zu sehen, welchen Weg er genommen hat. Wir sehen, dass sechs unserer Endpunkte versucht haben, sich anzumelden, und alle auf dieselbe URL in derselben E-Mail geklickt haben. Wir können die E-Mail bis zu ihrem Ursprung zurückverfolgen und sehen, woher der Absender kam, welche Domäne er verwendet hat und sogar welche Infrastruktur genutzt wurde, um die E-Mail durchzuleiten.

Konzentrieren Sie sich auf das eigentliche Problem und lassen Sie den Rest in Ruhe

Als Team können wir nun schnell ableiten, wie weit sich die Bedrohung verbreitet hat und wie groß die Auswirkungen in unserem Unternehmen sind. Wir können feststellen, ob die Personen, die die E-Mail erhalten haben, sich böswillig angemeldet haben oder nicht. Mit diesem Wissen können wir intelligent handeln, sei es durch Automatisierung, Orchestrierung oder manuell. Wir können die gefährliche URL auf all unseren E-Mail-Plattformen blockieren und verhindern, dass dieser Absender einen unserer Empfänger erreicht. Wie bereits erwähnt, können wir auch alle bösartigen E-Mails entfernen, die es bereits geschafft haben, und die Bedrohung über alle E-Mail-Plattformen hinweg schnell beseitigen.

Genauso wichtig ist, dass wir wissen, was wir nicht tun müssen. Wir müssen die Computer der Benutzer nicht auf Malware scannen; wir haben festgestellt, dass es sich nur um eine Phishing-Site handelt. Ich habe festgestellt, dass die Anmeldedaten der Benutzer gefährdet waren, aber sonst nichts.

Wir sind auch in der Lage, proaktiver zu handeln. Wir verfügen zum Beispiel über die Werkzeuge und Integrationen, um Übungen durchzuführen, um herauszufinden, was in einer Drucksituation wirklich passieren könnte, und um unsere Systeme so anzupassen, dass wir effektiver reagieren können, möglicherweise mit einer stärkeren Automatisierung.

Die Quintessenz

Indem Sie die richtigen Informationen erfassen und die richtigen Integrationen einrichten, können Sie eine Reaktion auf Verstöße planen, die mit dem Skalpell und nicht mit dem Vorschlaghammer arbeitet - und das Problem schnell behebt, ohne den Patienten zu töten.

Erfahren Sie mehr über Mimecasts Alliance & API-Ökosystem.