Deutschland
 

Zero Trust

Nach Ransomware wieder Vertrauen in die IT gewinnen

Nach einem erfolgreichen Ransomware-Angriff ist das Vertrauen in die IT meist erschüttert. Wir zeigen, wie sie dieses mit Zero Trust wie Phoenix aus der Asche zurückgewinnen.
Von 
CSO | 16. Juni 2022 05:04 Uhr
Nach einem Ransomware-Angriff wie Phoenix aus der Asche zurück zur Normalität? Mit Zero Trust soll dies gelingen.
Nach einem Ransomware-Angriff wie Phoenix aus der Asche zurück zur Normalität? Mit Zero Trust soll dies gelingen.
Foto: Anil Murty - shutterstock.com

Erfolgreiche Ransomware-Angriffe beherrschen nach wie vor die Schlagzeilen und die Lage verschärft sich. Unternehmen verlieren dabei zunächst das Vertrauen in die komplette Netzwerkinfrastruktur. Sie wissen nicht, welche Systeme von den Erpressern verschlüsselt werden und auf welche Daten die Angreifer darüber hinaus Zugriff haben. Ebenso wenig lässt sich auf den ersten Blick feststellen, wie die Malware in das Netzwerk eingeschleust werden konnte, oder ob gar Daten vor der Verschlüsselung das Unternehmen verlassen haben. Falls ja, hätten die Erpresser durch "Double Extortion" ein doppeltes Druckmittel für die Lösegeldforderung in der Hand.

Ist ein solcher Angriff erfolgt, behelfen sich IT-Verantwortliche im ersten Schritt meist mit dem kompletten Abschalten aller Systeme im Netz. Da der Angriff bereits einige Systeme gelähmt hat, dient diese Reaktion dem Eindämmen einer weiteren Verschlüsselung von Daten und der lateralen Bewegung der Angreifer. Auch wenn dadurch gegebenenfalls das weitere Ausbreiten der Malware-Akteure im Netzwerk und die Kommunikation nach außen unterbunden werden kann - damit liegt auch der gesamte Geschäftsbetrieb brach.

Strategien nach einem Ransomware-Angriff

Es ist also eine Strategie gefragt, die für eine schnelle Wiederherstellung des Zugriffs auf die geschäftskritischen Anwendungen und die Wiederherstellung der Daten sorgt. So sollen die Mitarbeiter schnell ihre Arbeit wieder aufnehmen, gleichzeitig dürfen die Aufräumarbeiten im Netz nicht beeinträchtigt werden. Letztlich haben die Verantwortlichen die Wahl zwischen drei Optionen:

  1. Zahlung des Lösegelds, um die Situation schnell zu bewältigen.

  2. Ohne auf die Forderungen einzugehen, die vorhandene Infrastruktur bereinigen und die Daten mithilfe eines externen Backups wiederherstellen.

  3. Das Netz wieder aufbauen und mit einer Modernisierung des Sicherheitskonzepts verknüpfen.

Nach einem Ransomware-Angriff ist eine Strategie gefragt, die auf eine schnelle Wiederherstellung der geschäftskritischen Anwendungen abzielt.
Nach einem Ransomware-Angriff ist eine Strategie gefragt, die auf eine schnelle Wiederherstellung der geschäftskritischen Anwendungen abzielt.
Foto: Sashkin - shutterstock.com

Unternehmen, die sich gegen Lösegeldzahlungen entscheiden, sollten einen Plan vor Augen haben, wie sie das Vertrauen in die Integrität ihrer Netzwerkinfrastruktur zurückgewinnen können. Dabei stehen sie unter dem wirtschaftlichen Druck, schnell handeln zu müssen, denn mit jedem Tag, in dem das Netzwerk abgeschaltet bleibt, steigt der finanzielle Schaden. Auch wenn sich Datenbestände von einem externen Back-up-System - das nicht von der Verschlüsselung betroffen ist - wiederherstellen lassen, ist diese Vorgehensweise zeitaufwendig. Zudem muss sichergestellt werden, dass die Angreifer aus dem Netzwerk verbannt werden konnten, damit sie dort keinen weiteren Schaden anrichten.

Ein sicheres Overlay-Netz

Als Antwort auf die Ransomware-Bedrohungslage wurde das Konzept des "Least Privileged Access" durch Zero-Trust-Ansätze wiederbelebt. Durch den Begriff "Zero Trust" wird dabei zum Ausdruck gebracht, dass ausgehend von einem Startpunkt Null alle Zugriffsberechtigungen für jeden Mitarbeiter oder jedes System via Richtlinien definiert werden müssen. Bei Least Privilege wiederum wird nur demjenigen Zugriff zu Informationen und Ressourcen eingeräumt, wenn es dafür einen legitimen Grund gibt. Die dahinterliegende Idee ist, dass niemandem ein Grundvertrauen entgegengebracht werden kann und alles in Frage gestellt werden muss. Erst dann dürfen schrittweise Berechtigungen eingeräumt werden, die im Verlauf des Zugangs kontinuierlich validiert werden.

Mit Zero Trust zur Normalität zurück

Ein Zero-Trust-basierter Ansatz kann dabei unterstützen, die Berechtigungen für den granularen Zugriff auf Applikationsebene für geschäftskritische Systeme auch in einem Worst-Case-Szenario einer Ransomware-Infektion schnell zu etablieren und damit die rasche Rückkehr der Mitarbeiter zum Geschäftsbetrieb gewährleisten - während im Hintergrund das infizierte Gesamtsystem bereinigt wird. Ein Software-definiertes Overlay über die kompromittierte Netzumgebung lässt identitäts- und kontextbasiert nur sichere Datenströme zu und agiert wie ein virtueller Perimeter, um das infizierte System.

Als Antwort auf die Ransomware-Bedrohungslage wurde das Konzept des „Least Privileged Access“ durch Zero-Trust-Ansätze wiederbelebt.
Als Antwort auf die Ransomware-Bedrohungslage wurde das Konzept des „Least Privileged Access“ durch Zero-Trust-Ansätze wiederbelebt.
Foto: Olivier Le Moal - shutterstock.com

Mit Hilfe des Least-Privilege-Ansatzes gilt es nicht mehr den Zugang zum Netzwerk abzusichern, sondern eine umfassende Grundlage für ein neues Connectivity- und Sicherheitskonzept zu schaffen. Hierbei werden die Zugriffsrechte granular auf der Ebene des einzelnen Anwenders und seiner benötigten Anwendung eingeräumt. Das geschieht durch das Zusammenspiel von Identifikationstechnologie und Kontrollmechanismen und funktioniert übergreifend für Anwender und Standorte im gesamten Konstrukt aus Multicloud- und internem Rechenzentrumsarchitekturen. Mit der Zuweisung granularer Zugangsrechte und dem Aufbau eines sicheren Tunnels zwischen dem Anwender und seiner Applikation geht ein weiterer Vorteil einher. Auf diese Weise entsteht eine Mikrosegmentierung, die zusätzlich das laterale Ausbreiten eines Angriffs im Netz verhindert.

Drei Schritte schaffen Sicherheit

Um auf diese Weise wieder handlungsfähig zu werden, sind einige Grundüberlegungen notwendig:

  1. Ein Zero-Trust-Overlay aufbauen,

  2. Einblick in die Datenströme und Kontext erhalten,

  3. Angriffsflächen erkennen und vermeiden.

Ein Zero-Trust-Overlay aufbauen

Um den Phoenix-Moment, also die Auferstehung des Netzwerks vorzubereiten, muss eine Priorisierung der Applikationen erfolgen, die für den Geschäftsbetrieb erforderlich sind. Welche Anwendungen werden im Ernstfall tatsächlich benötigt, um handlungsfähig zu sein? Diese Entscheidung kann je nach Unternehmen variieren. Mal handelt es sich um die Vertriebsdatenbank, mal um das Warenwirtschaftssystem oder eine Software für die Personalverwaltung. Die Zugriffsrechte auf diese kritischen Applikationen müssen rollenbasiert in einem Identifikationssystem festgelegt werden.

Mit Hilfe eines Software-definierten Lösungsansatzes erhält der einzelne Anwender Zugang zu diesen kritischen Applikationen über einen Mikrotunnel, durch den der Datenverkehr verschlüsselt stattfindet. Die Zugriffsrechte werden durch einen Cloud Service gebrokert, der die ausgehende Verbindung von der Anwendung mit dem User verknüpft. Das infizierte Netzwerk fungiert dabei lediglich als Transportebene für diese Art der Zugangsberechtigung.

Das Zero-Trust-Overlay sichert Anwender und Applikationen auf Basis des Prinzips "vertraue niemandem und verifiziere zuerst" und entzieht dem Netz den Angriffsvektor. Auf diese Art und Weise wird der Geschäftsbetrieb wieder ermöglicht, auch wenn einige der Applikationen und Anwendungen noch kompromittiert sind. So gewinnt das Unternehmen Zeit, die betroffene Netzwerkinfrastruktur zu bereinigen.

Einblick in die Datenströme und Kontext erhalten

Zusätzlich gilt es, die Angreifer im Netzwerk zu lokalisieren und eine weitere laterale Ausbreitung des Angriffs zu verhindern, beziehungsweise zu vermeiden, dass bereits bereinigte Systeme erneut infiltriert werden. Dabei sollte ein vielschichtiger Sicherheitsansatz zum Einsatz kommen, der die Bereinigung einzelner Clients unterstützt und beispielsweise die Endgeräte der Anwender auf versteckte Malware scannt. Ausschließlich gescannten Geräten sollte der Zugriff nach zuvor geklärten Zero-Trust-Prinzipien auf die benötigten Anwendungen gestattet werden.

Wenn nach dem Neustart der Systeme der gesamte ausgehende Datenverkehr von Clients und Servern überwacht wird, kann unter Umständen der Command&Control-Datenverkehr der Angreifer aufgespürt werden. Ist der Ausgangspunkt der Kommunikation der Angreifer im Netz ausgemacht, lassen sich die betroffenen Server bereinigen. Dabei gibt Herkunft und Zielort der Kommunikation einen Anhaltspunkt dafür, ob es sich um verdächtigen Traffic handelt.

In einem Zero-Trust-Modell wird darüber hinaus der Kontext mit in die Sicherheitsüberlegungen und den Aufbau der Richtlinien einbezogen. Neue Technologien werden durch kontextuelles Vertrauen eingebunden. Hierbei werden Informationen über das Gerät des Anwenders, seinen Standort, aber auch zur letzten erfolgten Autorisierung einbezogen. All diese Daten können als Basis für den Aufbau von Regeln herangezogen werden, wer sich mit was verbinden darf. Dabei ist entscheidend, dass sie per Zero Trust vorab validiert werden, bevor die Verbindung hergestellt wird. Dadurch wird ein fundamentaler Wandel zur traditionellen Vorgehensweise eingeleitet, bei der zuerst die Anbindung ans Netzwerk erfolgt und dann die nachgelagerte Autorisierung stattfindet.

Angriffsflächen erkennen und vermeiden

Durch die wachsende Anzahl an IT-Systemen, die dem Internet exponiert sind, vergrößert sich die Angriffsfläche von Unternehmen stetig. Häufig fehlt der IT-Abteilung der Einblick in das Gefahrenpotenzial, das mit dem Internet ausgesetzten Systemen einhergeht. Eine Studie verdeutlicht dieses Problem: Bei 1.500 Unternehmen wurden mehr als 202.000 kritische potenzielle Schwachstellen und Gefährdungen (CVE, Common Vulnerabilities and Exposures) gefunden. Mehr als 400.000 Server ließen sich offen über das Internet ansteuern. Fast die Hälfte der untersuchten Unternehmen verwendete veraltete Protokolle, was die Möglichkeit sie anzugreifen und die Kontrolle über die IT-Systeme zu übernehmen vergrößerte.

Nicht nur der Weg in die Cloud ist dabei ein Risikofaktor, wenn bei dem Errichten von Cloud-Umgebungen unsauber gearbeitet wird. In der Untersuchung fanden sich über 60.500 exponierte Instanzen bei Amazon Web Services, Microsoft Azure Cloud und Google Cloud Plattform. Auch veraltete Infrastrukturkomponenten, die nicht mehr gewartet werden, stellen Schlupflöcher für Angreifer dar. Die sogenannten "technischen Altlasten" gehören ebenso auf den Radarschirm der Sicherheitsteams, wie die Überprüfung von Multicloud-Konfigurationen und Workloads. Solche gefährlichen Angriffsflächen müssen eingegrenzt werden. Ferner ist die laterale Bewegung zwischen Usern und Workloads und diesen untereinander auf autorisierte Kommunikation zu begrenzen. Ziel jedes Unternehmens sollte es sein, die exponierte Angriffsfläche nicht nur zu kennen, sondern auch auf ein Minimum zu reduzieren.

Wiederaufbau als Chance begreifen

Eine Überlegung ist in der Situation des Ransomware-Angriffs für Unternehmen entscheidend: Wollen sie lediglich ihre kompromittierte Infrastruktur bereinigen und dann zur gleichen Ausgangslage zurückkehren - mit einer Sicherheitsarchitektur, die sich bereits einmal als überwindbar herausgestellt hat? Alternativ können die Unternehmen aus einem Angriff ihre Lehren ziehen und zu einem neuen Schutzkonzept wechseln. Anstelle des Castle&Moat-Ansatzes sollte die Überlegung treten, ob ein Schutzposten vor jeder Anwendung, der Zugangsberechtigungen individuell überprüft, im Vergleich dazu nicht ein "Mehr" an Sicherheit verspricht.

Statt auf Cybersicherheitspolicen von Versicherungen zu setzen oder Bitcoins für den Ernstfall anzuhäufen, sind Unternehmen gut beraten, ihre Sicherheitsinfrastruktur zu evaluieren, bevor es zu einem Angriff kommt. Das Budget ist auch dort gut investiert. Das Aufräumen nach einem Sicherheitsvorfall kostet viel mehr Geld durch Umsatzverlust und Experten für den Wiederaufbau, Zeit, Energie und gegebenenfalls auch Reputationsverlust. (hi)

Tony Fergusson ist Director Transformation Strategy bei Zscaler.
Folgen: