Thought Leadership
Hendrik Schless, Senior ManagercSecurity Solutions bei Lookout, erläutert das Phänomen der Cyber Readiness vor dem Hintergrund der aktuellen Geschehnisse im Ukraine-Konflikt.
Es war ermutigen zu sehen, wie Microsoft eingriff, als mit dem Einmarsch in der Ukraine auch die russischen Cyberangriffe begannen. Spätestens jetzt war an der Zeit, über die kollektive Bereitschaft, Cyberangriffe abzuwehren, nachzudenken, insbesondere da die Sanktionen gegen Russland täglich verschärft werden. Die CISA (Cybersecurity and Infrastructure Security Agency), eine Bundesbehörde des US-Ministeriums für Innere Sicherheit, hat den Konflikt genau beobachtet und in Zusammenarbeit mit dem FBI einige hervorragende Ressourcen zusammengestellt. In diesem Beitrag werde ich einige der wichtigsten Empfehlungen der CISA beschrieben, zusammen mit einigen Einblicken von Lookout.
Wir sind alle miteinander verbunden
Wir leben heute in einer eng vernetzten Welt, in der kein Land weniger vernetzt ist als ein anderes. Daher können die Cyberbedrohungen, die sich ursprünglich gegen ukrainische Regierungsstellen und Infrastrukturen richteten, leicht auf andere Länder übertragen werden, sei es durch Angriffe auf Lieferketten oder den Einsatz von Ransomware und anderer hochentwickelter Malware.
Vor fast fünf Jahren war eine Reihe von Ransomware mit russischem Hintergrund, die auf ukrainische Unternehmen abzielte, auf Bürger in mehr als 60 Ländern übergesprungen und hatte 49.000 Computer zerstört, wobei Organisationen aller Größenordnungen – von Schifffahrtsunternehmen bis zu Krankenhäusern – betroffen waren. Die von den Russen eingesetzte Waffe war NotPetya, eine Malware, die sich wie Ransomware verhält, deren eigentliches Ziel jedoch die Zerstörung von Systemen ist.
Cyber Readiness erfordert einen ganzheitlichen Ansatz
Damit Russland oder andere nationale Angreifer Lieferketten gefährden oder Ransomware einsetzen können, müssen sie sich Zugang zu fremder Infrastruktur verschaffen und sich seitlich bewegen. Diese Risiken können gemindert werden, indem diese Angriffe frühzeitig in der Angriffskette identifiziert und gestoppt werden. Dies bedeutet, dass der Zugriff von risikoreichen oder kompromittierten Endpunkten und Konten blockiert, seitliche Bewegungen gestoppt und eine kontinuierliche Überwachung durchgeführt wird, um potenzielle Angriffsziele bei der Suche nach Bedrohungen zu unterstützen.
Fruchtbarer Boden für Phishing-Angriffe
Ähnlich wie die COVID-19-Pandemie ist auch der Krieg in der Ukraine ein Ereignis, das Angreifer für Social-Engineering-Angriffe nutzen werden. Ob Clickbait-Schlagzeilen, gefälschte humanitäre Aktionen oder Konten, die sich als Medien ausgeben: Angreifer werden kreativ bei den Aufhängern, die sie verwenden, um Einzelpersonen und Unternehmensnutzer dazu zu bringen, Malware herunterzuladen oder Zugangsdaten zu übermitteln.
Jeder sollte vor Phishing-Kampagnen auf der Hut sein, die den Krieg als Lockthema nutzen. Es gilt jetzt Mitarbeiter zu warnen, sie darüber aufzuklären, wie diese Angriffe aussehen könnten und wie sie ihre Geräte am besten schützen können. Es empfiehlt sich außerdem, auf jedem Gerät, das für die Verbindung von Anwendungen und Daten verwendet wird, ein Anti-Phishing-System einzurichten.
Segmentierung schützt vor Seitwärtsbewegungen
Bevor Angreifer Schaden anrichten können, müssen sie sich zunächst seitlich in der fremden Infrastruktur bewegen, um weitere Schwachstellen zu finden, die sie ausnutzen können, oder um sensible Daten zu stehlen oder zu verschlüsseln. Aus diesem Grund benötigen Unternehmen eine Zero-Trust-Architektur, um granulare Zugangskontrollen einzurichten.
Um eine Zero-Trust-Denkweise effektiv anzuwenden, gilt es die Risikobewertung der Benutzer und der von ihnen verwendeten Endgeräte zu automatisieren und den Zugriff auf Anwendungen und Daten entsprechend der Sensibilitätsstufe anzupassen. Unterm Strich sollte ein Unternehmen keinen unnötigen Zugang gewähren. Wenn es beispielsweise einem Benutzer über ein virtuelles privates Netzwerk (VPN) Zugang gewährt, hat er Zugriff auf das gesamte Netzwerk, obwohl er vielleicht nur eine Verbindung zu einer einzigen Anwendung benötigt. Falls ein Benutzerkonto oder ein Endpunkt kompromittiert wird, lässt sich die seitliche Bewegung durch Segmentierung des Zugangs einschränken. Dadurch wird sichergestellt, dass ein Bedrohungsakteur mit seinem Konto oder Gerät sich nicht in der restlichen Infrastruktur bewegen und auf weitere Anwendungen und sensible Daten zugreifen kann.
Kontinuierliche Überwachung kann die Bedrohungsjagd verbessern
Die kontinuierliche Überwachung aller angesprochenen Aktivitäten ist von entscheidender Bedeutung. Die Risikostufe eines Benutzers oder Geräts kann sich in einem Augenblick ändern. Durch kontinuierliche Protokollierung und Risikobewertung können Unternehmen die Sicherheitsbereitschaft erhöhen, ohne die Produktivität einzuschränken.
Während viele Vorfälle schnell behoben werden können, erfordert das Aufspüren und Blockieren fortgeschrittener anhaltender Bedrohungen (Advanced Persistent Threats, APTs) oft eine proaktive Bedrohungsjagd. Wie die CISA in ihrem Leitfaden betont, ist dies besonders wichtig für Unternehmen, die über Verbindungen in die Ukraine verfügen. Mit einer kontinuierlichen Protokollierung haben sie auch die Möglichkeit, forensische Untersuchungen durchzuführen, wenn etwas passiert.
Cyberbedrohungen sind nicht auf Konfliktgebiete beschränkt
In einer vernetzten Welt können sich regionale Konflikte leicht anderswo ausbreiten, insbesondere im Cyberspace. Cyber Readiness sollte daher nicht nur auf Unternehmen und Institutionen begrenzt sein. Auch Einzelpersonen müssen vorbereitet sein, zumal Angreifer diese Gelegenheit nutzen, um Phishing-Angriffe durchzuführen.
