Neue Abwehrstrategien bieten mehr Schutz gegen Ransomware Wie Baseline und MDR helfen können, Ransomware zu bekämpfen

Autor / Redakteur: Daniel Clayton / Peter Schmitz

Der gelungene Ransomware-Angriff auf die Colonial Pipeline erinnerte alle Beteiligten daran, wie gefährlich Ransomware nach wie vor ist. Die kriminellen Gruppen hinter solchen Attacken, wie etwa die Darkside-Gruppe hinter dem Colonial-Hack, sind professionell organisiert, passen ihre kriminellen Taktiken kontinuierlich an und gehen immer gezielter vor.

Firmen zum Thema

Um nicht Opfer einer Ransomware-Attacke zu werden, müssen Unternehmen ihre IT-Sicherheit genauso weiterentwickeln wie es die Bedrohungen tun.
Um nicht Opfer einer Ransomware-Attacke zu werden, müssen Unternehmen ihre IT-Sicherheit genauso weiterentwickeln wie es die Bedrohungen tun.
(© valerybrozhinsky - stock.adobe.com)

Der Kreativität und kriminellen Professionalität der erpresserischen Angreifer haben Organisationen scheinbar wenig entgegenzusetzen, insbesondere da komplexe Social-Engineering-Attacken die Abwehr gegen Ransomware so schwierig machen. Außerdem liegt es in der Natur der Sache, dass das Entwickeln von Abwehrtechnologien den neuen Angriffsmethoden immer etwas hinterherhinkt. Schaut man sich etwa den derzeitigen Schutz gegen Ransomware an, so hat sich dieser in den letzten fünf Jahren nicht wesentlich weiterentwickelt. Vielerorts verlässt man sich lediglich auf einfache Backups, um wenigstens verschlüsselte Daten wiederherstellen zu können.

Doch das Problem zu ignorieren oder sich zu ergeben sind keine guten Optionen. Zwar ist eine hundertprozentige Sicherheit gegen Ransomware wohl nicht zu erreichen, mit neuen Abwehrtechnologien und Sicherheitsstrategien lässt sich die Gefahr jedoch stark eindämmen. Mit der Analyse von Anomalien im Netzwerk, um eine Unternehmens-Baseline zu erstellen, und Managed Detection and Response (MDR) können Organisationen beispielsweise schon heute sehr gut dagegenhalten.

Ausgelagerte Sicherheit: Managed Detection and Response

Eine Möglichkeit dafür ist MDR. MDR verbindet die besten Erkennungstechnologien und Sicherheitsexpertise in einem externen Dienst. Diese kombiniert fortschrittliche Sicherheitstechnologien wie Threat Intelligence, Threat Hunting, Security Monitoring, Incident Analysis und Incident Response mit menschlicher Erfahrung und Intuition. Ein entscheidender Unterschied zwischen herkömmlicher Ransomware-Abwehr und MDR besteht darin, dass MDR proaktiv vorgeht, um Angriffe aufzuspüren und zu beseitigen, bevor ein katastrophaler Schaden entsteht. Um dies zu erreichen, nutzt MDR Telemetriedaten von Endgeräten und überwacht das Nutzerverhalten. So erstellt MDR eine datengestützte Basislinie der „normalen“ Aktivitäten eines Unternehmens.

COVID-19 – der Alptraum der normalen Unternehmens-Baseline

Eine datengestützte Baseline eines Unternehmens, also seiner gesammelten Nutzer und Geräte zu erstellen, ist im Prinzip nichts neues und kommt beispielsweise beim modernem SIEM zum Einsatz. Diese kamen aufgrund der Pandemie jedoch schnell an ihre Grenzen, weil ihre Baseline über Nacht nutzlos geworden war. COVID-19 wurde in vieler Hinsicht ein Alptraum, insbesondere für die IT-Sicherheit. Kriminelle nutzten die Gunst der Stunde des Arbeitens von Zuhause, was die Angriffsfläche von Unternehmen vergrößerte. Der plötzliche Wechsel auf permanentes Arbeiten von zu Hause und die deshalb notwendige Installation von sicherem Cloud Computing ließ viele Sicherheitsteams verzweifeln.

MDR kann Unternehmen jedoch dabei helfen, sich dank eines effizienten, automatisierten und datengesteuerten Ansatzes für das Baselining schnell anzupassen. Traditionell bedeutete Baselining, dass Infosec-Teams ihre Technologie oder ihre Cybersecurity-Anbieter mit Daten fütterten - in der Absicht, Alarme zu potenziellen Problemen zu generieren. Mit MDR ändert sich dieser Ansatz.

MDR stellt nun die Bedrohung in den Vordergrund. Diese Vorgehensweise ermöglicht es Infosec-Teams, zunächst die Risiken zu definieren, auf die sie ihr Augenmerk konzentriert richten wollen, zu verstehen, wie diese im Kontext aussehen, und dann eine auf diese spezifischen Threads fokussierte Alarmfunktion aufzubauen. In der Folge können sich die Teams ein klareres Bild davon machen, welche Daten verwendet werden sollen, und erhalten so ein genaueres Ergebnis. Im Wesentlichen ermöglicht ein MDR-Ansatz den Teams, im Kampf gegen die komplexe Ransomware-Landschaft fokussiert zu bleiben.

Fazit: Ransomware mit MDR und Baselining aktiv bekämpfen

Ransomware ist für Kriminelle ein sehr profitables Geschäft. Entsprechend haben sie ihren Aufwand erhöht und ihre Taktiken weiter verfeinert. Außerdem ist der Wettbewerb unter den Ransomware-Betreibern hart. Jeden Monat tauchen bis zu 15 neue Ransomware-Familien auf. Entsprechend kann so gut wie jede Organisation Ziel einer Attacke werden und ein hundertprozentiger Schutz gegen Ransomware ist nicht möglich. Organisationen können jedoch nicht die Hände in den Schoss legen und sich ihrem Schicksal ergeben. Das aktuelle Vorgehen, eine Infrastruktur der Colonial Pipeline durch die Darkside-Gruppe zu verschlüsseln, zeigt einmal mehr, dass Schutz und Vorsorge Schlüsselfaktoren sind. Nicht nur für betroffene Unternehmen, sondern auch für die lokale oder globale Wirtschaft.

Um die Wahrscheinlichkeit einer erfolgreichen Ransomware-Attacke zu minimieren, müssen sich Organisationen und ihre IT-Sicherheit mit der gleichen Geschwindigkeit genauso weiterentwickeln wie die Bedrohungen selbst. MDR und die gekoppelte Analyse der Unternehmens-Baseline können für Unternehmen eine wichtige Abwehr gegen Ransomware bedeuten.

Über den Autor: Daniel Clayton ist Vice President of Global Services and Support bei Bitdefender. Zu seinen Aufgaben gehört die Verwaltung aller Aspekte der Sicherheitsumgebungen von Kunden vom Security Operation Center des Unternehmens aus. Clayton verfügt über mehr als 30 Jahre Erfahrung im technischen Betrieb und hat Sicherheitsteams für die National Security Agency und den britischen Geheimdienst geleitet.

(ID:47630447)