:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gesponsert
Security-Insider Deep Dive zu Sophos Intercept X Advanced with EDR Ransomware-Attacken erkennen und abwehren
Haben sich Hacker früher noch daran erfreut, mit Viren ziellos möglichst viele Rechner lahmzulegen, so haben sie spätestens seit “Locky” Blut geleckt und Unternehmen als lukrative Ziele für Erpressungs-Attacken mit Ransomware ausgemacht. Die Liste der Opfer wird jeden Tag länger, denn zur Abwehr der zur Anwendung kommenden Hacks reichen klassische IT-Security Ansätze bei Weitem nicht mehr aus. Michael Veit, Technology Evangelist bei Sophos, zeigt uns im Deep Dive, wie eine solche Attacke aussieht und wie man sich davor schützen kann.
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
Laut BKA Cybercrime Bedrohungsbild stellt Ransomware derzeit die primäre existenzielle Bedrohung für Unternehmen dar. Mit einem guten Backup-Konzept kann man relativ schnell wieder online kommen und mit etwas Glück den Threat im forensischen Nachgang beseitigen. Aber die Hacker gehen natürlich weiter: Sie verschlüsseln die Daten nicht nur, sie stehlen sie auch und drohen mit Veröffentlichung. Ein Problem, das für Unternehmen in Zeiten der DSGVO neben dem Imageverlust zu exorbitanten Strafen führen kann. So besagt eine aktuelle Sophos-Studie, dass über die Hälfte der Unternehmen bereits Ransomware zum Opfer fielen und der finanzielle Schaden im Durchschnitt bei 0,5 Mio Euro lag.
Demo Attacke
Um zu zeigen, wie mit überschaubarem Aufwand eine solche Attacke aufgebaut werden kann, geht Michael Veit in den “Combat-Modus”. Er verwendet dafür einen Kali Linux Command & Control Server und das Metasploit-Framework. Das “Opfer” ist ein Standard Windows 10 Client mit Sophos Intercept X Advanced with EDR drauf, bei dem aber zunächst alle Features deaktiviert sind, damit wir die gewünschten Effekte auch gleich direkt nachvollziehen können. Die Attacke läuft dann so ab, dass sich das Ziel mit Klick auf eine “Safe Home Office” Phishing-Mail auf einer geklonten Mircrosoft-Seite das Malware-Script einfängt. Ein paar Powershell-Prozesse später steht der Rückkanal und der Hacker kann sich fast frei in der infizierten Umgebung bewegen, sich Adminrechte verschaffen, üble Software draufspielen, Passwörter und Dokumente klauen – was man als korrekter Hacker eben so macht und braucht, um den maximalen Schaden anrichten zu können. Beim nächsten Boot steht die persistente Verbindung und natürlich sind die anderen Rechner im Netz nur ein Klick entfernt. Entsprechende Kreativität des Hackers vorausgesetzt, kann der Schaden so ins Unermessliche gehen.
Was kann man dagegen tun?
Sind die Sophos-Tools inklusive EDR angeschaltet, sieht es hingegen ganz ander aus: Sobald die (in diesem Fall dateilose) Malware ausgeführt wird, schlägt der Security Client an, isoliert das Problem und stellt gegebenenfalls bereits verschlüsselte Dokumente wieder her, so dass der Client zu 100% schadensfrei bleibt. Die Firewall blockt den Zugriff auf externe und interne Dienste, bis der Rechner wieder als ungefährdet eingestuft wird. Dazu kann der Admin in Sophos Central, der Cloudsuite des Herstellers, alle Security-Services ausrollen und das gesamte Ökosystem – so auch den betroffenen Rechner – aus IT-Security-Sicht managen und überwachen.
In diesem Fall wird ein granularer Bedrohungsfall erstellt: Wie kam das Script rein und wie ist es aufgefallen? Mit welchen Schritten und Zwischenschritten hat sich der Angreifer bewegt. Oder es geht auf zum “Threat Hunt”: Angreifer finden, die noch nichts gemacht haben, aber die sich bereits persistent eingenistet haben, dazu zeigt uns eine KI Anomalien im Netzwerk. Klassische IDR-Systeme streichen hier die Segel, denn Bedrohungen können so nicht nur gleich erkannt, sondern betroffene Systeme auch gleich geschützt werden.
Fazit
Mit Endpoint Detection & Response (EDR) ist das Mitttel der Wahl gegen solche moderne Bedrohungen. Nicht umsonst stuft sie der Teletrust-Verband auch als “Stand der Technik” ein, an dem sich Cyber-Versicherungen orientieren. Die in diesem Deep Dive gezeigte Sophos-Lösung kann man dazu entweder selbst nutzen, sofern das entsprechende Personal vorhanden, oder man bezieht es als “Managed Detection Response Service” über Partner beim Hersteller. Unternehmen sollten auf jeden Fall in Betracht ziehen, die bisher eingesetzten Tools auf die hier gezeigten, beeindruckenden Features zu überprüfen, denn eventuell besteht noch erheblicher Nachholbedarf, der sehr teuer zu stehen kommen könnte. Weitere Infos zu Sophos Intercept X mit EDR und Sophos Central gibt es auf der Sophos Website oder bei jedem Sophos Partner.
(ID:47087252)
:quality(80)/images.vogel.de/vogelonline/bdb/1929600/1929690/original.jpg "ZTNA unterteilt das Netzwerk in Mikrosegmente. Um Zugriff auf ein Segment zu erhalten, müssen Nutzer sich erfolgreich authentifizieren. (alex - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923707/original.jpg "Cyberkriminalität wird auch 2022 für Unternehmen und Behörden ein zentrales Thema bleiben, weshalb sie ihre Anstrengungen im Bereich IT-Security weiter intensivieren müssen. (©Ar_TH - stock.adobe.com)")