Neue Ansätze zur Bekämpfung von Ransomware zeichnen sich ab

Immer mehr Unternehmen in Australien und Neuseeland werden von Ransomware heimgesucht - und die Wahrscheinlichkeit ist groß, dass auch Sie früher oder später davon betroffen sein werden.

Ransomware-Vorfälle haben im letzten Jahr um 15 Prozent zugenommen, wobei fast zwei Drittel der Unternehmen von Störungen betroffen waren.

Ransomware-Angriffe werden nicht nur immer häufiger, sondern auch immer schneller. Nur wenige Unternehmen sind in der Lage, eine Sicherheitsverletzung zu erkennen und schnell genug zu reagieren, um einen laufenden Angriff zu stoppen. Anstatt sich auf die Erkennung und Reaktion zu konzentrieren, sobald ein Angriff begonnen hat, können Sie bessere Ergebnisse erzielen, wenn Sie bei der Überwachung von Bedrohungen Prioritäten setzen. Indem Sie verhindern, dass Ihre Angreifer überhaupt auf Ihre Netzwerke zugreifen, können Sie Ransomware-Banden daran hindern, einen Fuß in die Tür zu bekommen.

Ransomware kann schnell, tödlich und kostspielig sein

Im Kampf gegen Ransomware gibt es positive Nachrichten: Vor kurzem wurden große Banden verhaftet, und die Regierungen werden immer aktiver im Kampf gegen die Bedrohung. Dennoch kommt es immer wieder zu Zwischenfällen, von denen Giganten wie JBS Foods und zahlreiche hochrangige Organisationen in den Bereichen Fertigung, Gesundheitswesen, Bildung und darüber hinaus betroffen sind. Die größte Ransomware-Forderung im Jahr 2021 belief sich auf 70 Millionen US-Dollar, und diese Summe stellt nur einen Teil des Schadens dar: Betroffene Unternehmen erleiden auch einen großen Reputationsschaden, haben hohe Wiederherstellungskosten zu tragen und erleiden Verluste durch erzwungene Ausfallzeiten.

Noch schlimmer ist, dass es zu dem Zeitpunkt, an dem Sie eine Sicherheitsverletzung bemerken, bereits zu spät sein kann, um den Angriff zu stoppen. Ransomware-Banden arbeiten schnell, verschaffen sich Zugang zu internen Netzwerken und nutzen eine Sicherheitslücke in der Regel innerhalb von 12 Stunden nach ihrer Entdeckung aus. Cyberkriminelle können sich über einen Phishing-Angriff, einen bösartigen Link oder aus dem Dark Web gestohlene Anmeldedaten Zugang verschaffen und weniger als sechs Stunden später Ransomware einsetzen.

Reaktionszeiten sind ein Problem, egal wie groß Sie sind

Große Organisationen haben zwar die Ressourcen, um innerhalb dieser sechs Stunden zu reagieren, können aber leicht durch Bürokratie ausgebremst werden. Die Verfahren müssen befolgt und die IT-Maßnahmen abgezeichnet werden, was die Reaktionszeit verlängert. Der Umgang mit einem gefährdeten Lieferanten oder Partner kann sogar noch mehr Zeit in Anspruch nehmen.

Kleine und mittlere Unternehmen sind in einer noch schwierigeren Lage. Einige wenige verfügen vielleicht über Endpunktschutz und SIEM-Technologie (Security Information and Event Management), um Bedrohungen zu überwachen und schnell zu reagieren. Die meisten verfügen jedoch nur über begrenzte Ressourcen für Patches, Antiviren-Firewalls und Ereignisprotokollierung, die für Notfallmaßnahmen ungeeignet sind.

Für einige Organisationen kann die Überwachung von Bedrohungen eine bessere Option sein

Die meisten Standardmaßnahmen zum Schutz vor Ransomware greifen erst, nachdem ein Angriffsversuch stattgefunden hat und erkannt wurde. Es gibt jedoch auch einen anderen Ansatz, der darauf abzielt, die Wahrscheinlichkeit eines Angriffs von vornherein zu minimieren. Die Überwachung von Bedrohungen kann Ihrem Unternehmen helfen, Bedrohungen zu bewältigen, bevor sie zu groß werden. Richtig gemacht, können Sie damit Zugangspunkte und Schwachstellen in der Lieferkette identifizieren, die durch Datendiebstahl und Malware gefährdet sind, und diese dann beheben, bevor ein Angriff überhaupt stattfindet. Klingt in der Theorie gut, aber wie sieht es in der Praxis aus? Eine gute Lösung zur Überwachung von Bedrohungen hat drei Hauptmerkmale:

1. es wird in großem Maßstab durchgeführt
2. er verwendet genau definierte Parameter
3. sie ist kontinuierlich

Der erste Schritt ist die Entscheidung, was überwacht werden soll. Gehen wir näher auf diese Bereiche ein und wie die Überwachung von Bedrohungen in der Praxis funktioniert.

Überwachung von Open-Source-Daten und des Dark Web

Ist Ihnen bewusst, wie viele Ihrer wichtigen Daten in der freien Natur sind? Sowohl Open-Source-Daten als auch das Dark Web werden von Kriminellen genutzt, um sensible Daten auszuspionieren, können aber auch ein wichtiges Instrument für Cybersicherheitsteams sein. Die Überwachung sollte speziell auf Ihre Organisation zugeschnitten sein und kann eine Kombination aus folgenden Elementen umfassen:

1. Menschliche Intelligenz und Analyse
2. Datensätze für Verstöße
3. Informationen über Ihre Marken und Mitarbeiter in sozialen Medien und Foren
4. Listen mit kompromittierten Zugangsdaten und anderen Daten über Sicherheitsverletzungen, insbesondere im Dark Web oder auf Github
5. Allgemeine Oberflächen-, Deep- und Dark-Web-Analyse in verschiedenen Sprachen
6. Beibehaltung verschiedener Bedrohungspersönlichkeiten

Die Zusammenführung von Daten aus diesen Quellen ist der Schlüssel zum Aufbau eines effektiven Programms und zur Erkennung potenzieller Risiken, bevor sie zu einem Problem werden.

Überwachung der externen Angriffsfläche

Der Name verrät es bereits: Anstatt die Bedrohungen außerhalb Ihres Unternehmens zu beobachten, erhalten Sie durch die Überwachung externer Angriffe einen Überblick über Ihre Schwachstellen. Er untersucht die Internet-Aktivitäten, ihre Beziehung zu Ihrem Unternehmen und die damit verbundenen Risiken. Auch dies ist ein Prozess, der kontinuierlich und in großem Umfang durchgeführt werden muss. Die wichtigsten Schritte bei dieser Art der Überwachung sind:

1. Bewertung der Schwachstellen und der Rolle bekannter Anlagen in Ihrer Organisation
2. Scannen, um unbekannte Werte zu entdecken - alte Anwendungen, Schatten-IT und Daten können eine ernsthafte Bedrohung darstellen
3. Abbildung von Vermögenswerten über verschiedene Standorte, Abteilungen und Partner hinweg und Sicherstellung einer einheitlichen und effektiven Verwaltung dieser Vermögenswerte
4. Verwenden Sie Fingerprinting, um die Aktualität von Patches für Dienste, Anwendungen und Software zu überprüfen.
5. Identifizierung bösartiger Infrastrukturen
6. Überwachung des Datenverkehrs auf Insider-Bedrohungen
7. Analyse technischer Daten, um Bedrohungen zu erkennen und Ihre Sicherheit entsprechend anzupassen
8. Prüfen Sie, ob Lieferanten und Partner Ihre Daten weitergeben

Die daraus resultierenden Daten können in Berichten zusammengefasst werden, die einen dynamischen, leicht verdaulichen Überblick über das Unternehmensrisiko geben.

Überwachung als Lösung

Die Überwachung von Angriffsflächen und digitalen Bedrohungen ist zwar äußerst nützlich, aber leider kein Allheilmittel gegen Ransomware. Damit es funktioniert, müssen Sie über die Ressourcen und die unternehmensweite Unterstützung verfügen, um die Ergebnisse umzusetzen. Die Überwachung von Bedrohungen funktioniert am besten, wenn sie durch traditionelle Maßnahmen wie Firewalls und Anti-Phishing-Schulungen unterstützt wird. Sie kann auch mit neuen Ansätzen wie Zero-Trust kombiniert werden. Unabhängig davon, ob Sie sich für die Überwachung von Bedrohungen oder für herkömmliche Sicherheitsmaßnahmen entscheiden, benötigen Sie in jedem Fall Backups und einen Wiederherstellungsplan für den Fall, dass die Hacker in Ihr System eindringen.

Die große Stärke der Überwachung des Dark Web, von Open-Source-Daten und externen Angriffen besteht jedoch darin, dass Sie mögliche Angriffswege begrenzen können, bevor Cyberkriminelle sie finden. Wenn man das mit der Erkennung und Reaktion vergleicht, die gegen flinke Ransomware-Banden oft zahnlos ist, wird klar, warum eine skalierte und kosteneffiziente Bedrohungsüberwachung immer mehr zur bevorzugten Ransomware-Abwehr wird.