Verhaltensanalysen, Anomalieerkennung und Sichtbarkeit: Zusatzschutz vor Ransomware

26. Juli, 2021

Die Digitalisierung treibt nicht nur neue Geschäftsmodelle und Prozesse voran, sie bietet leider auch Cyberkriminellen neue Angriffsflächen. Die Bedrohung durch Ransomware betrifft mittlerweile nicht nur die IT-Systeme von Unternehmen, sondern auch die industrielle Sicherheit. Die Angriffe steigen. Das ICO (Information Commissioner Office) aus Großbritannien meldete auf seiner Konferenz im Mai 2021 einen Anstieg um monatlich 13 Ransomware-Vorfälle auf nunmehr 42 im UK.

Ein bemerkenswerter Vorfall war der Ausfall der Treibstoffversorgung an der gesamten Ostküste der USA. Auslöser war der zentrale Betreiber der Pipeline-Infrastruktur in mehreren Staaten. Der Angriff führte zu großflächigen Treibstoffengpässen an nahezu allen Tankstellen. Die Auswirkungen waren so weitreichend, dass der nationale Notstand ausgerufen wurde.[1]

Ein anderer weitreichende Vorfall hat im Juni 2021 stattgefunden, als über 1.500 Unternehmen weltweit von der sogenannten „Kaseya-Ransomware“ betroffen waren. Bemerkenswert war der indirekte Angriffsvektor, bei dem die als sicher erachtete Management-Software von unterstützenden Zuliefer- und Dienstleistungsunternehmen als Infiltrationskanal gedient hat. Die Herangehensweise erinnert an die Ausnutzung der Sicherheitslücke der Management-Software „Solarwinds“ im Dezember 2020.[2]

Zielgerichtete Attacken auf aussichtsreiche Ziele

Als Drahtzieher der Attacken stehen gut organisierte, global agierende Gruppen aus verschiedenen Nationalstaaten unter Verdacht. Die Akteure sind flexibel und einfallsreich, um immer neue Schwachstellen auszunutzen.[3] Haben die Angreifer erst Zugriff auf ein internes System bekommen um von dort aus zu agieren, besteht die beste Chance darin, sie so schnell als möglich zu entdecken.

Besonders weiterentwickelte Formen der Schadsoftware sind inzwischen darauf ausgerichtet, möglichst lange unentdeckt zu bleiben. Auch mehrere Sicherheitsebenen innerhalb der Unternehmen können mit dieser Strategie überwunden werden, um dann besonders wertvolle und somit schützenswerte Bereiche des Unternehmens zu erreichen. Die Einfallstore für Ransomware-Angriffe sind dabei in der Regel leicht erreichbare Endpunkte im Unternehmen. Meist werden vom Nutzer unbemerkt Sicherheitslücken in gängigen Anwendungen ausgenutzt. Neben äußeren Verteidigungslinien gilt es daher auch das Verhalten der Endgeräte zu überwachen und Abweichungen zu erfassen.

Früherkennung, Schwachstellenreports und Verhaltensanalyse

Die IKARUS scan.engine erkennt und analysiert Malware in mehrstufigen Verfahren anhand von Signaturen, schädlichen Merkmalen und Verhaltensweisen. Auch FireEye Endpoint Detection and Response, die IKARUS für lokale Unternehmen auch im eigenen Scan Center in Wien als gehostete Variante anbietet, arbeitet mit der Früherkennung von Anomalien. Die EDR-Lösung (Endpoint Detection & Response) beinhaltet neben der Verhaltensanalyse die Erkennung über die einzigartige Threat Intelligence (powered by Mandiant), um auch auf bekannte „Indicators of Compromise“ zu reagieren. Schnelle Erkennung und Reaktion auf eine Bedrohung kann den Schaden im Fall des Falles effizient begrenzen.

Nozomi GuardianTM powered by IKARUS bringt diese notwendige Transparenz über sämtliche Endpunkte, Schwachstellen und Anomalien auch in die industriellen Netzwerke der OT (Operational Technology). Protokolle aus IT, OT und IoT können damit sichtbar gemacht, überwacht und kontrolliert werden. Die Kommunikation im OT-Netz wird analysiert und sicherheitsrelevante Vorfälle werden zu gezielten Alarmen und Empfehlungen gebündelt.

Sie wünschen sich mehr Sichtbarkeit und Schutz für Ihre IT-, OT- oder IoT-Netzwerke?

Wir beraten Sie gerne und freuen uns auf Ihre Nachricht unter sales@ikarus.at oder Tel. +43 1 58995-500!

Unsere Empfehlungen:

IKARUS scan.engine: Leistungsstarker Algorithmus zur komplexen Malware-Erkennung

FireEye Endpoint Security: Effektive Verteidigung durch kombinierte Abwehrmechanismen

Nozomi GuardianTM powered by IKARUS: Umfassende Cyber-Security für OT-Umgebungen

Quellen:

[1] https://www.technologylawdispatch.com/2021/07/data-cyber-security/ransomware-is-on-the-rise-what-to-do-if-you-are-faced-with-a-cyber-attack

[2] https://www.zdnet.de/88395639/kaseya-ransomware-angriff-rund-1500-unternehmen-betroffen

[3] https://computerwelt.at/news/topmeldung/verdoppelung-der-cyber-angriffe-durch-staaten-in-den-letzten-drei-jahren

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download