4 Schritte zur Vermeidung von Spear-Phishing

Ihre Benutzer sind im Fadenkreuz der gefährlichsten Angreifer, die es gibt. Befolgen Sie diese Schritte, um sie besser zu schützen. [...]

Stellen Sie sicher, dass alle E-Mails durch eine Art Filtersystem laufen (c) pixabay.com

Es scheint kein Tag zu vergehen, an dem nicht ein weiterer Ransomware-Angriff für Schlagzeilen sorgt. Und wo nehmen viele dieser Angriffe ihren Anfang? In den E-Mail-Postfächern Ihrer Benutzer.

Inzwischen wissen Sie, dass Ihre Benutzer sowohl Ihre erste Verteidigungslinie als auch Ihr schwächstes Glied sind. Sie müssen nicht nur alle E-Mails, die in Ihrem Büro eingehen, mit einem zusätzlichen Spam-Filter versehen, sondern auch Ihre Benutzer darin schulen, zu erkennen, wann sie Opfer eines Phishing-Angriffs werden. Zusätzlich sollten Sie das Betriebssystem abhärten, um widerstandsfähiger gegen Angriffe zu sein. Kürzlich wurden einige dieser Empfehlungen von Microsoft vorgeschlagen.

Hier sind einige wichtige Möglichkeiten, wie Sie Ihre Benutzer vor den jüngsten Spear-Phishing-Kampagnen schützen können:

Stellen Sie sicher, dass alle E-Mails durch eine Art Filtersystem laufen. Unabhängig davon, ob es sich um einen lokalen Mailserver oder einen Cloud-basierten E-Mail-Dienst handelt, müssen Sie ein Filtersystem haben, das nach Angriffsmustern sucht. Selbst wenn Sie noch lokale Mailserver haben, können Sie mit einem Dienst, der Informationen mit anderen Servern austauscht, Muster erkennen. Oftmals bieten diese E-Mail-Hygiene-Plattformen auch die Speicherung und Weiterleitung von E-Mails an, falls Ihrem lokalen E-Mail-Server etwas zustoßen sollte. Die Installation einer solchen Lösung ist eine Notwendigkeit für jeden, der E-Mail-Server nutzt.

Wenn das Budget ein Problem ist, sollten Sie Open-Source-, Community- oder kostenlose Lösungen untersuchen, um Ihr Unternehmen besser zu schützen. Lösungen wie Security Onion können als Linux-Distribution für die Bedrohungsjagd, die Überwachung der Unternehmenssicherheit und die Protokollverwaltung zu Ihrem Netzwerk hinzugefügt werden. Vor kurzem wurde die Version 2.3.50 für die Security Onion-Plattform zusammen mit Schulungsvideos veröffentlicht. Snort ist eine weitere Open-Source-Plattform, die zu Ihrem Netzwerk hinzugefügt werden kann, um zusätzliche Schutz- und Überwachungsfunktionen zu bieten.

Priorisieren Sie das Patching nach den möglichen Auswirkungen auf Ihr Netzwerk. In vielen Unternehmen werden Patches nicht sofort installiert, sondern erst nach einer vollständigen Prüfung bereitgestellt.  Das kann bedeuten, dass Wochen vergehen, ohne dass Updates bereitgestellt werden. Patches sollten vorrangig für diejenigen Benutzer installiert werden, die entweder in der Vergangenheit betroffen waren oder als potenzielles Ziel angesehen werden könnten.

Überprüfen Sie die gesamte auf dem System installierte Software, um sicherzustellen, dass sie alle von den Herstellern unterstützt und gewartet wird. Achten Sie besonders auf Patches für das Betriebssystem sowie auf alle browserbasierten Tools, die möglicherweise verwendet werden, wie z. B. Software zur Anzeige von PDF-Dateien.

Stellen Sie sicher, dass Ihr Patching-Team über alle Schwachstellen informiert ist, die aktiv angegriffen werden, um sicherzustellen, dass Ihr Unternehmen geschützt ist. Überprüfen Sie, ob die Arbeitsstationen in der Vergangenheit gepatcht wurden und ob es bei den Updates zu Nebenwirkungen gekommen ist. Wenn die Workstations in der Vergangenheit keine Probleme mit Patches hatten, können Sie die Bereitstellung beschleunigen.

Die Verwendung von Patching-Tools wie Config Manager, Batch Patch oder einer beliebigen Anzahl von Patch-Management-Tools sollte untersucht werden. Machen Sie es sich für den Rest des Jahres 2021 zum Ziel, Updates schneller auf den betroffenen Arbeitsstationen zu verteilen. Wenn Sie normalerweise einen Monat auf die Bereitstellung von Updates warten, sollten Sie versuchen, diese in drei Wochen durchzuführen. Forcieren Sie dann Ihre Testprozesse, um eine Bereitstellung in zwei Wochen zu erreichen. Verkürzen Sie das Zeitfenster zwischen der Veröffentlichung von Updates und der Bereitstellung von Updates.

Schränken Sie die Verwendung von Browsern und File-Sharing-Plattformen ein. Diese Einschränkung kann mühsam sein, aber sie kann notwendig sein, um Benutzer bestmöglich vor gezielten Angriffen zu schützen. Besprechen Sie diese Einschränkungen mit Ihren Mitarbeitern, um sicherzustellen, dass sie die Risiken der Filesharing-Plattformen verstehen. In meiner eigenen Firma haben wir kürzlich unsere Richtlinien angepasst, um restriktiver zu sein.

Zu viele der File-Sharing-Plattformen können gefälscht werden, wodurch es Angreifern leichter fällt, Ihre Benutzer zum Öffnen eines bösartigen Links zu verleiten. Standardisieren Sie auf eine bestimmte Plattform und kommunizieren Sie dies gegenüber Ihren Kunden, Partnern und Anwendern. Stellen Sie sicher, dass die Portale mit einem Branding versehen und die Prozesse erklärt und dokumentiert werden, und sorgen Sie dafür, dass Ihre Mitarbeiter wissen, dass sie den Prozess nicht umgehen dürfen.

Aktivieren Sie Regeln zur Reduzierung der Angriffsfläche für Ihre Windows 10-Implementierungen. Mit Microsoft 365 E5- und Enterprise-Lizenzen können Sie ASR-Regeln überwachen und durchsetzen, aber auch mit einem reinen Professional-Netzwerk können Sie den Schutz aktivieren, um Ihr Netzwerk besser zu schützen. Aktivieren Sie insbesondere die folgende Regel zur Reduzierung der Angriffsfläche, um Aktivitäten im Zusammenhang mit dieser Bedrohung zu blockieren oder zu überprüfen.

Aktivieren Sie die Regel JavaScript oder VBScript zum Starten heruntergeladener ausführbarer Inhalte blockieren. Wie Microsoft in seiner Konsole anmerkt, ist dies kein üblicher Anwendungsfall für Unternehmen, aber Unternehmensanwendungen verwenden manchmal Skripte, um Installationsprogramme herunterzuladen und zu starten. Diese Sicherheitssteuerung gilt nur für Rechner mit Windows 10, Version 1709 oder höher, und Windows Server 2019.  Wenn Sie über Microsoft 365 ATP-Zugang verfügen, können Sie die Konsole überprüfen, um zu sehen, welche Auswirkungen, wenn überhaupt, auf Ihr Netzwerk zu erwarten sind.

(c) Susan Bradley

Dieser Bericht über die Auswirkungen auf den Benutzer kann Sie sofort warnen, wenn Sie den empfohlenen Schutz mit geringen oder gar keinen Auswirkungen auf Ihre Umgebung einsetzen können. Wenn Sie keinen Zugriff auf diesen Bericht haben, setzen Sie die ASR-Regeln auf die Einstellung „Warnung“, um festzustellen, ob Sie davon betroffen sind.

Beachten Sie, dass der Warnmodus für die folgenden drei Regeln zur Reduzierung der Angriffsfläche nicht unterstützt wird, wenn Sie diese in Microsoft Endpoint Manager konfigurieren (wenn Sie die Regeln zur Reduzierung der Angriffsfläche mithilfe von Gruppenrichtlinien konfigurieren, wird der Warnmodus unterstützt):

  • Blockieren von JavaScript oder VBScript zum Starten von heruntergeladenen ausführbaren Inhalten (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
  • Blockieren der Persistenz durch WMI-Ereignisabonnement (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
  • Erweiterten Schutz vor Ransomware verwenden (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

Zum Aktivieren mithilfe der Gruppenrichtlinie öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken mit der rechten Maustaste auf das zu konfigurierende Gruppenrichtlinienobjekt und wählen „Bearbeiten“.  Gehen Sie im Gruppenrichtlinien-Verwaltungseditor zur Computerkonfiguration und wählen Sie „Administrative Vorlagen“. Erweitern Sie die Baumstruktur auf Windows-Komponenten, gehen Sie dann zu „Microsoft Defender Antivirus“, dann zu „Microsoft Defender Exploit Guard“ und dann zu „Angriffsflächenreduzierung“.

Wählen Sie „Regeln zur Angriffsflächenreduzierung konfigurieren“ und wählen Sie „Aktiviert“. Anschließend können Sie im Bereich „Optionen“ den individuellen Status für jede Regel festlegen. Geben Sie zunächst den Wert „d3e037e1-3eb8-44c8-a917-57927947596d“ und den Wert „6“ ein und dann „1“.

Ihre Benutzer befinden sich im Fadenkreuz der besten Angreifer, die es gibt. Stellen Sie auch ohne E5-Lizenz sicher, dass Sie diese ASR-Regeln zum Schutz Ihrer Arbeitsstationen verwenden.

*Susan Bradley schreibt unter anderem für CSO.com.


Mehr Artikel

News

Vertrauen in digitale Services schwindet

Der Thales 2025 Digital Trust Index zeigt, dass das Vertrauen der Verbraucher in den meisten Branchen im Vergleich zum Vorjahr zurückgegangen ist. Die Angst vor einer Datenschutzverletzung wird zu einem wichtigen Faktor bei der Entscheidung der Verbraucher, sich von Marken abzuwenden. 82 Prozent taten dies im vergangenen Jahr. […]

KI-Agenten stehen zurzeit noch am Anfang ihrer Entwicklung. Sie sind aber bereits einsetzbar und sie werden sich sehr schnell etablieren. (c) Pexels
News

Das neue SEO: Webseiten für die Kommunikation mit KI-Agenten vorbereiten

Unternehmen müssen das Thema KI-Agenten aus zwei unterschiedlichen Perspektiven betrachten. Einerseits geht es darum, welche Aufgaben Mitarbeitende bereits heute mit KI-Agenten wie ChatGPT Tasks oder Operator automatisieren können. Andererseits stellt sich die Frage, welche Anpassungen auf der Unternehmenswebsite notwendig sind, um die Interaktion mit KI-Agenten entweder zu optimieren oder gezielt zu unterbinden. […]

News

Oracle Red Bull Racing setzt verstärkt auf Oracle Cloud und KI

Für die Formel-1-Saison 2025 wird Oracle Red Bull Racing die neuen OCI Compute A2 und OCI Compute A4 Flex Shapes nutzen, um die Simulationsgeschwindigkeit um 10 Prozent zu erhöhen. Dadurch kann das Team jede Woche noch mehr Simulationen durchführen, um eine größere Vielfalt an Szenarien zu testen und die Entscheidungen am Renntag zu verbessern. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*