Webinar verfügbar: Behalten Sie Ihre externe Angriffsfläche unter Kontrolle! Jetzt ansehen >>

Sweepatic Logo in weiß

Wie eine External Attack Surface Management-Lösung dazu beiträgt, das Risiko eines Ransomware-Angriffs zu senken

Ransomware-Angriffe nehmen zu. Die Methoden der Cyberkriminellen werden immer besser und gezielter, zudem werden immer höhere Lösegelder verlangt.

Die Attacken folgen dabei einem bestimmten Angriffsmuster. In der ersten Phase erfolgt der initiale Zugriff auf das IT-System. Je nach Variante der Ransomware werden dann verschiedene Aktivitäten ausgeführt. Dazu gehören die Verschlüsselung lokaler und/oder gemeinsam genutzter Dateisysteme, die tiefere Ausbreitung im Netzwerk, die Deaktivierung von Backups, der Diebstahl von Daten und schließlich die Forderung nach Geld zur Behebung des angerichteten Schadens.

Die wichtigsten Zugriffsvektoren, von dem US CISA Ransomware Guide aufgestellt, sind:

  1. Internetbezogene Schwachstellen und Fehlkonfigurationen
  2. Phishing
  3. Malware-Infektionen
  4. Drittanbieter und verwaltete Dienste

Wir wollen im Folgenden drei Gegenmaßnahmen vorstellen, die im Ransomware Guide erwähnt wurden. Diese werden von der Sweepatic-Plattform unterstützt und tragen dazu bei, das External Attack Surface von Unternehmen zu verringern.

  1. Scannen Sie regelmäßig Ihre mit dem Internet verbundenen Assets

Dem Ransomware Guide zufolge sollten Unternehmen regelmäßig Vulnerability- und Konfigurationsscans durchführen. Auf diese Weise können sie Schwachstellen identifizieren und beheben, um die Angriffsfläche zu verkleinern – insbesondere bei mit dem Internet verbundenen Geräten. So sollen bekannte Schwachstellen behoben werden – sowohl auf mit dem Internet verbundenen Servern als auch bei Webdaten verarbeitender Software. Dabei kann es sich etwa um Browser, Browser-Plugins oder Document Viewer handeln.

Die Sweepatic-Plattform ist darauf spezialisiert, alle mit dem Internet verbundenen Assets von Unternehmen zu erkennen. Dafür müssen keine technischen Daten wie IP-Adressen angegeben werden. Ziel ist es, alle bekannten und unbekannten IT-Assets zu finden und aufzulisten. Auf Grundlage dieser Bestandsaufnahme werden zusätzliche Security-Checks durchgeführt. Entdeckte Risiken werden über Anwendungskategorien in Sicherheitsdimensionen kategorisiert. Zu diesen zählen Verschlüsselung, Schwachstellen, unsichere Konfigurationen, Hygiene, exponierte (Admin-)Dienste und Reputation.

  1. Vermeiden Sie schwache oder schlecht konfigurierte Remote Access Services

Remote Access Services (RAS), die Angreifern sofortigen Zugriff auf ein System geben, sind beliebt. Beispiele für solche RAS sind etwa Remote Desktop Protocol (RDP), Virtual Network Computing (VNC), Secure Shell (SSH) und Teletype Network (Telnet).

Zahlreichen Berichten zufolge wird RDP gezielt angegriffen. Einige behaupten, dass es deshalb besser nicht öffentlich zugänglich sein sollte. Manche versehen RDP sogar mit Spitznamen wie „Ransomware Deployment Protocol“ oder „Do Really Path“. RDP wurde nicht mit Blick auf eine hohe Sicherheit entwickelt. Im Laufe der Jahre traten zudem große Sicherheitslücken auf, die Angreifern direkten administrativen Zugriff auf Systeme ermöglichten.

Idealerweise sollten Remote Access Services über VPN-Sicherheitslösungen zur Verfügung gestellt werden, wie im CISA Enterprise VPN Advice erläutert. Microsoft bietet zudem ein RDP Gateway mit besseren Security-Features an. Die Europol-Webseite nomoreransom.org empfiehlt ebenfalls, den RDP-Zugang zu deaktivieren oder stark einzuschränken.

Die EASM-Plattform von Sweepatic überprüft die mit dem Internet verbundene Infrastruktur von Kunden regelmäßig nach offenen RDP und anderen RAS. Wenn diese gefunden werden, wird das Sicherheitsteam alarmiert, um den Remote Access zu entfernen oder einzuschränken.

  1. Phishing: Verringern Sie die Wahrscheinlichkeit von gefälschten oder modifizierten E-Mails

Die Übermittlung bösartiger Nutzdaten via E-Mail ist nach wie vor einer der beliebtesten initialen Angriffsvektoren. Anti-Malware-Software in Kombination mit einer persönlichen Sensibilisierung zur Erkennung verdächtiger E-Mails ist ein Muss.

Darüber hinaus signieren und authentifizieren ordnungsgemäße Sicherheitskonfigurationen für E-Mails, wie in DMARC und DKIM DNS festgelegt, die Kommunikation. Dadurch kann diese während der Übertragung nicht verändert werden.

Sweepatic entdeckt und überprüft unsichere E-Mail-Konfigurationen für die E-Mail-Dienste seiner Kunden. Wenn Best Practices nicht eingehalten werden, warnt die Plattform und gibt Hinweise, was verbessert und behoben werden kann.

Über Sweepatic

Unsere Kunden nutzen die Erkennungsfunktion der Sweepatic-Plattform, um kontinuierlich bekannte und unbekannte IT-Assets zu finden. Des Weiteren verwenden sie unsere Plattform, um eine nach Prioritäten geordnete Liste der entdeckten Sicherheitsprobleme weiterzuverfolgen, den Behebungsprozess einzuleiten und so die Cyber-Resilienz ihres Unternehmens zu verbessern.

Zusätzlich zu unserer leistungsstarken Discovery-Engine untersuchen wir automatisch Sicherheitsprobleme. Dazu gehören etwa Schwachstellen, Fehlkonfigurationen in E-Mail, DNS oder Web, schwache Verschlüsselung, abgelaufene sowie schwache SSL-Zertifikate, ungeschützte Datenbanken sowie Dateifreigaben, ungeschützte administrative Zugänge und vieles mehr. Zudem erstellen wir dann dazu die entsprechenden Berichte.

Um Ihre personalisierte Demo-Version mit einem unserer Sweepatic-Experten zu vereinbaren, klicken Sie hier. Abonnieren Sie unseren Newsletter, um informiert zu bleiben. Wir versprechen Ihnen, dass wir Sie nicht zuspammen!