Gastbeitrag
Sicherheitsautomatisierung – der Schlüssel zur Malware-Bekämpfung
Keiner ist sicher vor Ransomware
Im Mai diesen Jahres sorgte der Expressungstrojaner WannaCry für Aufsehen und richtete weltweit verheerende Schäden an: über 230.000 Rechner in 150 Ländern wurden infiziert und zahlreiche Lösegeldforderungen gestellt. Keine zwei Monate später folgt mit NotPetya bereits die nächste Ransomware-Welle.
Eines steht fest: Angriffe auf das firmeninterne Netzwerk sind heute praktisch unvermeidbar, und daran wird sich auch in nächster Zeit nichts ändern. Ob große Behörden mit millionenschwerem IT-Budget oder kleine Unternehmen, die scheinbar „unter dem Radar fliegen“ – alle sind potenzielle Ziele für aktive Cyber Security Bedrohungen: sei es die neueste Ransomware-Variante, die Firmendaten verschlüsseln kann, oder Malware, die für Finanzbetrug programmiert ist und die Bankdaten von Kunden stiehlt. Angesichts dieser ständigen Attacken auf unsere Netzwerke lautet die entscheidende Frage: Wie können wir verhindern, dass aus einem erfolgreichen Angriff eine gravierende Sicherheitspanne wird?
Der Verizon 2017 Data Breach Investigations Report zeigt: Wenn ein Gerät kompromittiert wurde, ist die Wahrscheinlichkeit, dass sensible Daten ausgeschleust, gelöscht oder verschlüsselt werden, in den ersten 12 Stunden am höchsten. Bloße Alarme reichen bei einem Angriff somit offensichtlich nicht aus, denn es können Stunden vergehen, bis die Attacke von einem der vorhandenen Sicherheitstools erkannt wird. Dem Sicherheitsteam bleibt in diesem Fall sehr wenig bis gar keine Zeit zum Handeln. Unter den Tausenden von Alarmen, die täglich generiert werden, müssen die Sicherheitsmitarbeiter den Vorfall identifizieren, Untersuchungen durchführen, um ihn zu bestätigen, und den betroffenen Rechner vom Netz nehmen, bevor Schaden entsteht.
Ein weiterer Punkt sind die Seitwärtsbewegungen von Malware – also die Fähigkeit von Angreifern, sich im gesamten Netzwerk zu bewegen und dabei weitere IT-Assets zu infizieren und zu kompromittieren. Beispielhaft hier: eine typische Ransomware-Variante. Sobald diese alle lokalen Daten auf dem Rechner verschlüsselt hat, wird sie sich auf sämtlichen freigegebenen Netzlaufwerken ausbreiten. Ein rechtzeitiges Stoppen des Angriffs macht hier den Unterschied aus zwischen einer lokalen Kompromittierung und massiven Datenverlusten.
Die einzige Antwort: Sicherheitsautomatisierung
Um einen Angriff aufhalten zu können, bevor es zu spät ist, müssen Unternehmen die Reaktion auf Sicherheitsereignisse verbessern. Endpunkt-Kompromittierungen müssen unverzüglich eingedämmt werden, sobald Malware gefunden wurde – und zwar, noch bevor Menschen in den Prozess eingebunden werden. Die Fähigkeit, Geräte, deren Systeme anscheinend infiziert sind, unter Quarantäne zu stellen, bietet einen erheblichen Vorteil: Der Angriff kann sich in diesem Fall nicht weiter ausbreiten und das Sicherheitsteam gewinnt wertvolle Zeit, um zu reagieren. Dies beschreibt das grundlegende Leitprinzip der Sicherheitsautomatisierung.
Wie aber lässt sich ein infiziertes Gerät im Unternehmensnetzwerk automatisch in Schach halten, wenn ein Alarm ausgelöst wurde? Es erscheint zunächst naheliegend, dies mit Hilfe von Endpunkt-Sicherheitslösungen zu regeln, zum Beispiel mit Anti-Viren-Software. Da aber in diesem Fall der Host infiziert ist, stellt sich die Frage: Kann man sich wirklich darauf verlassen, dass der Software-Agent hier seine Arbeit erledigt? Wohl eher nicht. Aus diesem Grund muss die Eindämmung vielmehr auf der Netzwerkebene erfolgen.
Eine weitere herkömmliche Methode besteht darin, die betreffende IP-Adresse in der Firewall zu blockieren, damit das kompromittierte Gerät auf keine anderen Netzwerke zugreifen kann. Jedoch könnte jeder Computer im selben lokalen Netzwerk ebenfalls kompromittiert sein – falls man also nicht vor hat, jedes Mal das gesamte LAN abzuschalten und zu ersetzen, wenn ein einzelnes Gerät mit Malware infiziert ist, macht diese Option keinen Sinn.
Neuer Ansatz mit der Plattform SCUDOS
IFASEC bietet dazu einen leistungsstarken neuen Ansatz mit der Plattform SCUDOS, die Transparenz und Schutz für Infrastrukturen gewährleistet. Die Plattform SCUDOS integriert sich problemlos mit allen vorhandenen Sicherheitstools, und wenn ein Alarm zu einer möglichen Infektion ausgelöst wird, reagiert SCUDOS unverzüglich und isoliert die Quelle des Anfriffs. Statt die IP-Adresse zu blockieren, interagiert SCUDOS direkt mit dem Netzwerk-Switch (d.h. auf Layer 2), um hieb- und stichfeste Sicherheitsmaßnahmen einzuleiten, die auch von hochentwickelter Malware nicht umgangen werden können.
Die Plattform SCUDOS ist ganz darauf ausgelegt, den Administratoren die nötige Flexibilität zu geben. Sie kann das betroffene Gerät von seinem Netzwerk-Port trennen oder es aus dem produktiven Netzwerk in eine Quarantänezone verschieben, damit das Sicherheitsteam die Infektion überprüfen kann. Nicht infizierte Benutzer im selben lokalen Netzwerk können weiterhin ohne Unterbrechung auf die Netzressourcen zugreifen.
SCUDOS optimiert die Angriffserkennung, die Reaktion und die Problembehebung. Damit maximiert SCUDOS den Wert der vorhandenen Tools und verwandelt diese von reinen Alarmgeneratoren in reale, proaktive Sicherheitsmaßnahmen. Das Ergebnis: ein automatisierter Prozess zur Reaktion auf Bedrohungen, der böswillige oder verdächtige Zugriffe auf das Firmennetzwerk schnell und effizient eindämmt.
