Abwehr von Ransomware-Attacken durch auf Prävention ausgerichtete Sicherheitsarchitektur

Palo Alto Networks empfiehlt Checkliste zur Umsetzung

[datensicherheit.de, 11.08.2016] Ransomware bedroht Geschäftsabläufe und kann unter Umständen sogar ein komplettes Unternehmen zum Stillstand bringen. In letzter Zeit gab es dafür zahlreiche Beispiele. Die Angreifer dringen dabei in das Unternehmens-Netzwerk ein und verschlüsseln geschäftskritische Daten. Dann erzwingen sie die Zahlung eines „Lösegeld“, um ggf. wieder Zugriff auf die Daten zu geben. Um sich vor Ransomware zu schützen, müssten Unternehmen laut Palo Alto Networks ihre Sicherheitsarchitektur neu ausrichten.

Wandel der IT-Sicherheitsansätze in Richtung Prävention

Martin Zeitler, „Senior Manager Systems Engineering“ von Palo Alto Networks, empfiehlt „einen grundlegenden Wandel der IT-Sicherheitsansätze in Richtung Prävention“. Herkömmliche Sicherheitstechnologie, die sich auf die Erfassung eines Sicherheitsvorfalls und die Sanierung nach der Infektion beschränke, sei nicht mehr effektiv genug gegen moderne Bedrohungen wie Ransomware, so Zeitler.

Checkliste zur Umsetzung einer präventionsbasierten Sicherheitsstrategie

Palo Alto Networks hat für die Umsetzung einer präventionsbasierten Sicherheitsstrategie eine Checkliste zusammengestellt:

1. Schritt: Reduzieren der Angriffsfläche
   • Gewinnen Sie einen vollständigen Überblick und identifizieren sie den gesamten Datenverkehr im Netzwerk. Blockieren Sie unbekannten, potenziell hochriskanten Verkehr.
   • Setzen Sie anwendungs- und benutzerbasierte Kontrollen durch. Beschränken Sie die Nutzung SaaS-basierter Anwendungen auf die Mitarbeiter, die diese für geschäftliche Zwecke benötigen.
   • Stoppen Sie alle gefährlichen Dateitypen. Nicht alle Dateitypen sind bösartig, aber diejenigen, die bekanntermaßen ein höheres Risiko darstellen oder bei den jüngsten Angriffen zum Einsatz kamen, sollten kontrolliert werden.
   • Etablieren Sie ein Regelwerk für die Nutzung von Endpunktgeräten. Beschränken Sie für Benutzer nicht-konformer Endpunkte die Verbindung zu kritischen Netzwerkressourcen.
2. Schritt: Vermeiden bekannter Bedrohungen
   • Stoppen Sie bekannte Exploits, Malware und Command-and-Control-Datenverkehr. Das Blockieren bekannter Bedrohungen erhöht die Kosten eines Angriffs für den Gegner und reduziert letztlich die Wahrscheinlichkeit eines Versuchs, ins Netzwerk einzudringen.
   • Blockieren Sie den Zugriff auf bösartige URLs und Phishing-URLs. Verhindern Sie so, dass Benutzer versehentlich eine bösartige Nutzlast herunterladen oder ihre Anmeldedaten gestohlen werden.
   • Scannen Sie SaaS-basierte Anwendungen nach bekannter Malware. SaaS-basierte Anwendungen stellen einen neuen Weg für die Malwareverbreitung dar und müssen sorgfältig geschützt werden.
   • Blockieren Sie bekannte Malware und Exploits auf den Endpunkten. Dadurch stellen Sie sicher, dass Ihre Endpunkte geschützt sind.
3. Schritt: Erkennen und vermeiden unbekannter Risiken
   • Erkennen und analysieren Sie unbekannte Bedrohungen in Dateien und URLs. Wenn neue Dateien eintreffen, analysieren und untersuchen Sie diese auf schädliches Verhalten.
   • Aktualisieren Sie die unternehmensweiten Schutzmaßnahmen und verhindern Sie bisher unbekannte Bedrohungen. Verteilen Sie automatisch Schutzmaßnahmen auf die verschiedenen Teile der Sicherheitsinfrastruktur des Unternehmens.
   • Fügen Sie Kontext zu Bedrohungen hinzu und sorgen Sie für proaktiven Schutz und Schadenreduzierung. Der Kontext notwendig, um die Angreifer, die Malware und die Indikatoren für eine Kompromittierung besser zu verstehen.
   • Blockieren Sie unbekannte Malware und Exploits auf dem Endpunkt. Sobald etwas auf unbekannte Bedrohungen hindeutet oder verdächtiges Verhalten identifiziert wurde, müssen die zuvor unbekannte Malware und Exploits auf dem Endpunkt sofort gestoppt werden.

Mehr gezielte Angriffe erwartet

Zeitler erwartet vor allem im Unternehmensumfeld eine „zunehmende Spezialisierung und Individualisierung von Ransomware-Attacken“.
Bisher seien die meisten Attacken „mit der Schrotflinte“ ausgeführt und fast wahllos Unternehmen aber auch Privatpersonen attackiert worden. Zukünftig würden wir mehr Attacken sehen, die sich gezielt gegen einzelne Unternehmen richteten, warnt Zeitler. Auch deshalb sei professionelle Prävention unverzichtbar.