Attivo Networks hat seine Sicherheitslösung Endpoint Detection Net erweitert. Sie bietet nun Schutz von Dateien vor Ransomware-Angriffen, indem sie den Zugriff auf produktiv zugeordnete Freigaben, Cloud-Speicher und ausgewählte Dateien oder Ordner verbirgt oder verweigert. [...]
Ransomware ist nach wie vor eine der größten Herausforderungen von Organisationen und Regierungsbehörden aller Größenordnungen. Im Jahr 2020 ist die Zahl und die Aggressivität der Angriffe stark angestiegen. Der Bericht von Attivo Networks „2019 Top Threat Detection Trends Survey“ kam zum Ergebnis, dass Ransomware für 66 Prozent der Befragten nach wie vor ein zentrales Sicherheitsproblem darstellt und ihre Zerstörungskraft und Kosten weiter steigen. Angreifer lassen sich bei diesen Angriffen Zeit. Jüngsten Untersuchungen von Mandiant Threat Intelligence Research zufolge vergingen in den meisten Fällen (75 Prozent) mindestens drei Tage zwischen den ersten Anzeichen böswilliger Aktivitäten und dem Absetzen von Lösegeldforderungen. Dies deutet eher auf ein gezielteres Verhalten als auf wahllose Angriffsmuster hin. Der Crypsis 2020 Incident Response & Data Breach Report befasst sich mit den Kosten von Sicherheitsverletzungen und stellt fest, dass die Lösegeldzahlungen seit dem ersten Quartal 2018 im Mittel um 300 Prozent gestiegen sind, wobei die Auszahlungen einzelner Unternehmen bis zu 5 Millionen US-Dollar betrugen.
Attivo Networks hat seine Sicherheitslösung Endpoint Detection Net (EDN) erweitert. Sie bietet nun Schutz von Dateien vor Ransomware-Angriffen, indem sie den Zugriff auf produktiv zugeordnete Freigaben, Cloud-Speicher und ausgewählte Dateien oder Ordner verbirgt oder verweigert. Durch das Verbergen dieser Informationen schränkt EDN die Möglichkeiten der Malware ein sich im Netzwerk zu bewegen; sie kann nur auf die von Attivo erstellte Täuschungsumgebung zugreifen. Auf diese Weise wird das Risiko einer erfolgreichen Daten-Kompromittierung drastisch verringert. Unternehmen, die mit den Kosten und Auswirkungen der weit verbreiteten Ransomware-Angriffe zu kämpfen haben, können Angreifer dadurch frühzeitig scheitern lassen.
Herkömmliche Endpoint-Lösungen wie Endpoint Protection Platforms (EPP) und Endpoint Detection and Response (EDR) verwenden einen Signaturabgleich oder die Erkennung von Verhaltensanomalien, um bösartige Binärdateien zu identifizieren und die Ausführung von Lösegeldforderungen zu blockieren und die Infektion zu stoppen. Leider sind menschliche Angreifer, die fortschrittliche Methoden anwenden, in der Lage, diesen Lösungen auszuweichen.
Ransomware-Angriffe heute
Fortschrittliche, von Menschen ausgeführte Angriffe oder das, was heute allgemein als Ransomware 2.0 bezeichnet wird, verwenden APT-ähnliche Taktiken, die darauf ausgelegt sind, traditionelle Sicherheits-Mechanismen zu umgehen. Diese Bedrohungsakteure verschlüsseln oft keine Daten und fordern Lösegeld für das erste System, das sie kompromittieren. Stattdessen nutzen sie es als Einfallstor in das Netzwerk um eine Netzwerkerkennung durchzuführen, die Active Directory auszulesen, sich lateral zu bewegen und hochwertige Objekte zu identifizieren. Erst nachdem die Angreifer die wesentlichsten Unternehmens-Assets gefunden, die kritischen Daten verschlüsselt oder die Kontrolle über die Assets übernommen haben, wird eine Lösegeldforderung gestellt.
„Der erweiterte Schutz durch die EDN-Lösung unterbricht die Fähigkeit der Ransomware sich im Netzwerk auszubreiten, und verhindert den unbefugten Zugriff auf Daten indem Produktionsdateien, Ordner, Wechseldatenträger, Netzwerkfreigaben und Cloud-Storage verborgen werden“, erklärt Thomas Drews, Solutions Engineer DACH bei Attivo Networks.
Wie Endpoint Detection Net Ransomware 2.0 zum Scheitern bringt
Die Attivo Networks ThreatDefend-Plattform bietet fünf primäre Techniken, um das Risiko zu reduzieren und die Ausbreitung eines Ransomware-Angriffs zu verhindern. Diese Techniken fungieren gemeinsam, um Infektionen zu stoppen und Bedrohungen innerhalb des Netzwerks sowie andere Aktivitäten, die Kriminelle zur Eskalation ihres Angriffs einsetzen würden, genau zu erkennen:
- Endpoint Detection Net verhindert, dass Angreifer Produktionsdateien, Ordner, Wechseldatenträger, Netzwerkfreigaben und Cloud-Storage sehen oder ausnutzen.
- Es erkennt die versuchte Kompromittierung und Verschlüsselung von Täuschungs-File-Shares (bei Verwendung in Verbindung mit BOTsink-Deception-Servern).
- EDN verlangsamt einen Angriff, indem es ihn mit interaktionsreichen Täuschungstechniken ablenkt.
- Es erkennt den Diebstahl von Zugangsdaten und die versuchte Enumeration von lokalen Administrator-Konten und der Active Directory zur Ausnutzung von Privilegien.
- EDN bietet native Technologie-Integrationen, die eine automatisierte Isolierung ermöglichen und die Reaktionszeit verkürzen.
„Herkömmliche Sicherheitssysteme verhindern nur die anfängliche Kompromittierung eines Systems das Gefährdungspotenzial bleibt weiterhin vorhanden, wenn fortgeschrittene Angreifer die Sicherheit eines Systems umgehen und im Stillen daran arbeiten, ihren Angriff auszuweiten“, erklärt Drews. „Die Bekämpfung ausgeklügelter Ransomware erfordert einen neuen Ansatz mit neuen Methoden zur Störung dieser Angreifer. Attivo Networks bietet eine umfassende und einzigartige Lösung an, die das Machtverhältnis zugunsten der Verteidiger verlagert. Das EDN verhindert nicht nur erfolgreiche Angriffe, sondern sie bringt jeden Angreifer schnell und effizient zu Fall der versucht, sich unentdeckt durch lokale oder Cloud-Netzwerke zu bewegen.“
Um den potenziellen Return on Investment eines frühen Stoppens der Lösegeldforderung zu demonstrieren, modellierte Attivo die potenziellen Kosten eines Ransomware-Angriffs und verglich sie mit dem Betrag, den ein Unternehmen durch den Einsatz des EDN einsparen könnte. Mit EDN kann der ROI im Vergleich zur Zahlung einer durchschnittlichen Lösegeldforderung bis zu 93 Prozent betragen.
Be the first to comment