Gesponsert

Security-Insider Deep Dive zu Sophos Intercept X Advanced with EDR Ransomware-Attacken erkennen und abwehren

Haben sich Hacker früher noch daran erfreut, mit Viren ziellos möglichst viele Rechner lahmzulegen, so haben sie spätestens seit “Locky” Blut geleckt und Unternehmen als lukrative Ziele für Erpressungs-Attacken mit Ransomware ausgemacht. Die Liste der Opfer wird jeden Tag länger, denn zur Abwehr der zur Anwendung kommenden Hacks reichen klassische IT-Security Ansätze bei Weitem nicht mehr aus. Michael Veit, Technology Evangelist bei Sophos, zeigt uns im Deep Dive, wie eine solche Attacke aussieht und wie man sich davor schützen kann.

Gesponsert von

Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!
Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!
(Bild: Vogel IT-Medien / Sophos)

Laut BKA Cybercrime Bedrohungsbild stellt Ransomware derzeit die primäre existenzielle Bedrohung für Unternehmen dar. Mit einem guten Backup-Konzept kann man relativ schnell wieder online kommen und mit etwas Glück den Threat im forensischen Nachgang beseitigen. Aber die Hacker gehen natürlich weiter: Sie verschlüsseln die Daten nicht nur, sie stehlen sie auch und drohen mit Veröffentlichung. Ein Problem, das für Unternehmen in Zeiten der DSGVO neben dem Imageverlust zu exorbitanten Strafen führen kann. So besagt eine aktuelle Sophos-Studie, dass über die Hälfte der Unternehmen bereits Ransomware zum Opfer fielen und der finanzielle Schaden im Durchschnitt bei 0,5 Mio Euro lag.

Demo Attacke

Um zu zeigen, wie mit überschaubarem Aufwand eine solche Attacke aufgebaut werden kann, geht Michael Veit in den “Combat-Modus”. Er verwendet dafür einen Kali Linux Command & Control Server und das Metasploit-Framework. Das “Opfer” ist ein Standard Windows 10 Client mit Sophos Intercept X Advanced with EDR drauf, bei dem aber zunächst alle Features deaktiviert sind, damit wir die gewünschten Effekte auch gleich direkt nachvollziehen können. Die Attacke läuft dann so ab, dass sich das Ziel mit Klick auf eine “Safe Home Office” Phishing-Mail auf einer geklonten Mircrosoft-Seite das Malware-Script einfängt. Ein paar Powershell-Prozesse später steht der Rückkanal und der Hacker kann sich fast frei in der infizierten Umgebung bewegen, sich Adminrechte verschaffen, üble Software draufspielen, Passwörter und Dokumente klauen – was man als korrekter Hacker eben so macht und braucht, um den maximalen Schaden anrichten zu können. Beim nächsten Boot steht die persistente Verbindung und natürlich sind die anderen Rechner im Netz nur ein Klick entfernt. Entsprechende Kreativität des Hackers vorausgesetzt, kann der Schaden so ins Unermessliche gehen.

Was kann man dagegen tun?

Sind die Sophos-Tools inklusive EDR angeschaltet, sieht es hingegen ganz ander aus: Sobald die (in diesem Fall dateilose) Malware ausgeführt wird, schlägt der Security Client an, isoliert das Problem und stellt gegebenenfalls bereits verschlüsselte Dokumente wieder her, so dass der Client zu 100% schadensfrei bleibt. Die Firewall blockt den Zugriff auf externe und interne Dienste, bis der Rechner wieder als ungefährdet eingestuft wird. Dazu kann der Admin in Sophos Central, der Cloudsuite des Herstellers, alle Security-Services ausrollen und das gesamte Ökosystem – so auch den betroffenen Rechner – aus IT-Security-Sicht managen und überwachen.

In diesem Fall wird ein granularer Bedrohungsfall erstellt: Wie kam das Script rein und wie ist es aufgefallen? Mit welchen Schritten und Zwischenschritten hat sich der Angreifer bewegt. Oder es geht auf zum “Threat Hunt”: Angreifer finden, die noch nichts gemacht haben, aber die sich bereits persistent eingenistet haben, dazu zeigt uns eine KI Anomalien im Netzwerk. Klassische IDR-Systeme streichen hier die Segel, denn Bedrohungen können so nicht nur gleich erkannt, sondern betroffene Systeme auch gleich geschützt werden.

Fazit

Mit Endpoint Detection & Response (EDR) ist das Mitttel der Wahl gegen solche moderne Bedrohungen. Nicht umsonst stuft sie der Teletrust-Verband auch als “Stand der Technik” ein, an dem sich Cyber-Versicherungen orientieren. Die in diesem Deep Dive gezeigte Sophos-Lösung kann man dazu entweder selbst nutzen, sofern das entsprechende Personal vorhanden, oder man bezieht es als “Managed Detection Response Service” über Partner beim Hersteller. Unternehmen sollten auf jeden Fall in Betracht ziehen, die bisher eingesetzten Tools auf die hier gezeigten, beeindruckenden Features zu überprüfen, denn eventuell besteht noch erheblicher Nachholbedarf, der sehr teuer zu stehen kommen könnte. Weitere Infos zu Sophos Intercept X mit EDR und Sophos Central gibt es auf der Sophos Website oder bei jedem Sophos Partner.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:47087252)