Verhindern Sie die automatisierte Verbreitung von Ransomware-Angriffen
Ransomware-Angriffe nehmen einen hohen Stellenwert unter den Cybersicherheitsbedenken von Unternehmen ein. Die heute gängige Praxis ist der Schutz vor der Lieferanten und Ausführung Stadien dieser Angriffe. Fast allen Unternehmen fehlt jedoch die Fähigkeit, dies proaktiv zu verhindern automatisierte Verbreitung of Ransomware Nutzlast, die es geschafft hat, den Zustellungs- und Ausführungsschutz zu umgehen. Da diese Ausbreitung den Unterschied zwischen einem einzelnen infizierten Endpunkt und einer Massensperrung eines Unternehmens ausmacht, stellt das Fehlen der Möglichkeit, dies zu verhindern, eine kritische Sicherheitslücke dar. SilverfortDie Unified Identity Protection-Plattform von bietet heute die einzige Lösung, die dies nutzen kann MFA um die automatisierte Verbreitung von Ransomware wirksam zu verhindern und zu verhindern, dass sich die bösartige Nutzlast über den ursprünglich infizierten Computer hinaus ausdehnt.
Inhaltsverzeichnis
Die automatisierte Verbreitung ist der X-Faktor bei Ransomware-Angriffen
Ransomware-Angriffe haben sich 2017 von einem Ärgernis zu einem kritischen Risiko entwickelt, als die WannaCry und NotPetya Angriffe richteten in Unternehmen auf der ganzen Welt verheerende Schäden an, mit geschätzten Gesamtschäden von fast 15 Milliarden US-Dollar. Diese Angriffe waren die ersten, die ein Paar waren Verschlüsselungsnutzlast mit automatisierte Verbreitung. Auf diese Weise führte das Social Engineering eines einzelnen Unternehmensmitarbeiters zum Öffnen einer waffenfähigen E-Mail zu einer Datenverschlüsselung nicht nur des Endpunkts dieses Mitarbeiters, sondern aller anderen Maschinen in der Unternehmensumgebung. Diese neue Realität erzwang Unternehmenssicherheit Entscheidungsträger, ihre Sicherheitsbedürfnisse neu zu priorisieren, drängen Ransomware-Schutz für Unternehmen ganz oben auf ihrer Liste.
Anatomie von Ransomware-Angriffen: Lieferung, Ausführung, Verbreitung
Ransomware-Angriffe umfassen die folgenden aufeinanderfolgenden Phasen:
Lieferschutz – aktiviert
Der Zweck der Bereitstellungsphase besteht darin, die Ransomware-Nutzdaten auf dem Computer des Ziels zu platzieren. Es gibt verschiedene Methoden für Angreifer, um dies zu erreichen, mit bewaffneten Phishing-E-Mails, kompromittiertem RDP-Zugriff und Wasserlöchern, die die Liste anführen. Die folgende Tabelle, entnommen aus Statista-Website, zeigt eine detailliertere Verteilung der Liefervektoren:
Der Schutz vor Ransomware-Zustellung erfolgt durch E-Mail-Sicherheits-Gateways, die E-Mails scannen, um riskante Inhalte vor der Benutzerinteraktion zu erkennen und zu entfernen, Endgeräteschutzplattformen, die das Herunterladen potenzieller Malware verhindern, und MFA auf RDP-Verbindungen, die verhindern, dass Angreifer eine Verbindung herstellen können kompromittierte Zugangsdaten.
Ausführungsschutz – aktiviert
In der Ausführungsphase beginnt die Ransomware-Nutzlast, die erfolgreich an die Arbeitsstation oder den Server übermittelt wurde, mit der Absicht, die Datendateien auf dem Computer zu verschlüsseln.
Dieser Tisch, zusammengebaut von Kaspersky Labs, zeigt die leistungsstärksten Ransomware-Familien:
Unternehmen schützen sich vor der Ausführungsphase, indem sie Endpoint Protection Platforms (EPP) auf ihren Workstations und Servern bereitstellen. Die EPP zielt darauf ab, die Ausführung aller Prozesse zu beenden, die als Ransomware erkannt werden, und die böswillige Verschlüsselung insgesamt zu verhindern.
Ausbreitungsschutz – Der blinde Fleck!
In der Ausbreitungsphase wird die Ransomware-Payload durch böswillige Authentifizierung auf viele andere Computer in der Unternehmensumgebung kopiert kompromittierte Zugangsdaten. Eine der anfälligsten Angriffsflächen sind freigegebene Ordner. In einer Unternehmensumgebung hat jeder Benutzer Zugriff auf zumindest einige davon, was den Weg für die Verbreitung von Ransomware ebnet.
Wie wir bereits erklärt haben, ist dies das Stadium, in dem der Massenschaden verursacht wird. Allerdings ist diese Phase heute ein blinder Fleck in der Sicherheitslage von Unternehmen. Heutzutage gibt es keine Sicherheitslösung, die in der Lage ist, die automatisierte Verbreitung von Ransomware in Echtzeit zu verhindern. In der Praxis bedeutet dies, dass, wenn es einer Ransomware-Variante gelingt, die Sicherheitsmaßnahmen für Lieferung und Ausführung zu umgehen – und ein bestimmter Prozentsatz, wenn diese Varianten dies immer tun –, sie sich innerhalb der Unternehmensumgebung ausbreiten und jeden erreichbaren Computer verschlüsseln kann. Und während EPPs beim Schutz vor neuen Malware-Stämmen immer besser werden, entwickeln Bedrohungsakteure immer ausweichendere und heimlichere Payloads – was eine solche Umgehung zu einem Szenario mit hoher Wahrscheinlichkeit macht.
Was ist die Herausforderung beim Schutz vor automatisierter Ransomware-Verbreitung?
Um die eigentliche Ursache dieser Sicherheitslücke besser zu verstehen, sehen wir uns an, wie die automatisierte Verbreitung von Ransomware funktioniert.
Wir haben den Patienten-Null-Endpunkt, an dem die Ransomware-Nutzdaten ursprünglich ausgeführt wurden. Um sich auf andere Computer in der Umgebung auszubreiten, verwendet die Malware kompromittierte Anmeldeinformationen und führt Folgendes aus: Standard-Authentifizierung – Geben Sie dem anderen Computer einen gültigen (noch kompromittierten) Benutzernamen und Anmeldeinformationen. Während diese Aktivität ist 100% bösartig innerhalb seiner Kontext, im Wesentlichen es ist identisch mit jeder legitimen Authentifizierung in der Umwelt. Für den Identitätsanbieter gibt es keine Möglichkeit – Active Directory in diesem Fall – um diesen bösartigen Kontext zu identifizieren und die Verbindung zu genehmigen.
Hier ist also der blinde Fleck beim Ransomware-Schutz – einerseits kann kein Sicherheitsprodukt Authentifizierungen in Echtzeit blockieren, und andererseits hat das einzige Produkt, das dies kann – der Identity Provider – keine Erkennungsfähigkeit zwischen legitimen Authentifizierungen und böswilligen.
Das ist wo Silverfort Einheitlicher Identitätsschutz Plattform kommt ins Spiel.
Die Lösung: Unified Identity Protection-Plattform
Silverfort hat den ersten speziell gebauten Pionierarbeit geleistet Einheitlicher Identitätsschutz Plattform, die proaktiv Angriffe verhindert, bei denen kompromittierte Anmeldeinformationen für den Zugriff auf Unternehmensressourcen genutzt werden. Silverfort nutzt innovative, agentenlose Technologie zur nativen Integration mit den Identitätsanbietern in der Unternehmensumgebung, um eine kontinuierliche Überwachung anzuwenden, Risikoanalyse und die Durchsetzung von Zugriffsrichtlinien bei jedem einzelnen Zugriffsversuch auf lokale und Cloud-Ressourcen. Auf diese Weise, Silverfort erweitert risikobasierte Authentifizierung und MFA auf Ressourcen und Zugriffsschnittstellen, die vorher nie geschützt werden konnten – einschließlich Active Directory Befehlszeilen-Fernzugriffsschnittstellen, auf denen die automatisierte Verbreitung von Ransomware basiert.
Also wie funktioniert Silverfort Echtzeitschutz vor automatisierter Ransomware-Verbreitung bieten?
Wie wir bereits erklärt haben, nutzt die automatisierte Verbreitung die Authentifizierung mit kompromittierten Anmeldeinformationen, um sich in der Zielumgebung mit einer besonderen Neigung zu freigegebenen Ordnern zu verbreiten. Lassen Sie uns verstehen, wie Silverfort adressiert dieses Risiko:
Kontinuierliche Überwachung
Silverfort analysiert kontinuierlich die Authentifizierungen und Zugriffsversuche von Benutzerkonten und erstellt ein hochpräzises Verhaltensprofil der normalen Aktivitäten von Benutzern und Maschinen.
Risikoanalyse
Im Falle einer automatisierten Verbreitung kommt es zu mehreren gleichzeitigen Anmeldeversuchen, die von einem einzigen Computer ausgehen Benutzerkonto. SilverfortDie Risiko-Engine von erkennt dieses anomale Verhalten sofort und erhöht sowohl die Risikobewertung des Benutzerkontos als auch der Maschine.
Durchsetzung von Zugriffsrichtlinien
Silverfort ermöglicht es Benutzern, Zugriffsrichtlinien zu erstellen, die ihren Echtzeit-Risiko-Score nutzen, um eine Schutzmaßnahme auszulösen – die Verstärkung Authentifizierung mit MFA oder den Zugang sogar ganz sperren. Die Richtlinie gegen die automatisierte Verbreitung von Ransomware würde MFA erfordern, wenn die Risikobewertung eines Benutzerkontos entweder „Hoch“ oder „Kritisch“ ist, und würde für alle Zugriffsschnittstellen gelten – Powershell, CMD und CIFS, das dedizierte Protokoll für die Bereitstellung gemeinsamer Zugriff zu Netzwerkordnern.
Wenn diese Richtlinie aktiviert ist und die Ransomware versucht, sich auf einen anderen Computer auszudehnen, wird die Verbindung ohne MFA-Überprüfung nicht zugelassen tatsächliche Benutzer, deren Anmeldeinformationen kompromittiert wurden. Effektiv bedeutet dies, dass die Ausbreitung verhindert und der Angriff auf den einzelnen Endpunkt „Patient Null“ begrenzt würde.
Fazit: Es bedarf eines dedizierten Identitätsschutzansatzes, um die automatisierte Weitergabe zu verhindern
Die automatisierte Verbreitung ist die tödlichste Komponente bei Ransomware-Angriffen und der entscheidende Wendepunkt in Bezug auf das Risiko, das sie heute für Unternehmen bedeuten. Mit Silverfort's Unified Identity Protection-Plattform können Sie diesen kritischen blinden Fleck endlich abdecken und überprüfen, wodurch die Widerstandsfähigkeit Ihres Unternehmens gegenüber versuchten Ransomware-Angriffen erheblich erhöht wird.