Maßnahmen zur Behebung von Lücken in Sachen Datensicherheit

Bei jedem Ransomware-Angriff oder Sicherheitsvorfall gibt es ein Davor, ein Während und ein Danach. Um zu verstehen, wie sich Unternehmen in jeder Phase schützen können, müssen sie wissen, wie ein Angriff abläuft.

Bevor es zu einem Angriff oder einer Sicherheitslücke kommt, passieren in der Regel ein paar Dinge: Die Angreifer kundschaften ihr Ziel aus. Sie werden herausfinden, ob das Unternehmen eine Cybersicherheitsversicherung hat und wie hoch die Versicherungssumme ist. Sie werden die kritischen Abläufe und die Lieferkette bewerten, um festzustellen, wo ein Angriff den größten Schaden anrichten kann. Dann starten die Angreifer eine Kampagne. Dies geschieht oft per E-Mail, wobei Benutzer dazu verleitet werden, eine Software zu installieren, die den Angreifern als Tür in die Zielumgebung dient. Ebenso ist es möglich, dass sich die Angreifer in der fremden Umgebung festsetzen und länger verweilen, um weitere Informationen zu sammeln. Dabei wird das Zielnetzwerk gescannt und kartiert und auf lokale und Cloud-Systeme, kartierte und nicht kartierte Systeme übertragen. Während dieses Prozesses erstellen Angreifer auf mehreren Systemen zusätzliche Hintertüren für den zukünftigen Zugriff, die entweder in einem zweiten, zukünftigen Angriff ausgenutzt oder an andere Angreifer verkauft werden. Die Angreifer bleiben möglicherweise unentdeckt und warten auf den für das Angriffsziel ungünstigsten Zeitpunkt, um ihre Ransomware-Nutzlast zu verteilen.

Anzeige

Was können Unternehmen tun, um Cyberangreifer abzuwehren und einen erfolgreichen Angriff zu verhindern? Diese fünf Maßnahmen sind nach Meinung von Pure Storage entscheidend, um die Verteidigung proaktiv zu verstärken und einen Angriff abzuwehren:

  1. Eine gute Datenhygiene für Ihre Systeme durch – Patch-Management ist der Schlüssel.

Nicht unterstützte Betriebssysteme und nicht gepatchte Software öffnen die Tür für Malware-Infektionen und andere Cyberangriffe. Sobald Angreifer Zugriff auf die Umgebung haben, suchen sie methodisch nach wichtigen Systemen und sensiblen Daten, die sie ausnutzen können.

Aus diesem Grund ist es von Vorteil, über ein gut definiertes Patch-Management-Programm zu verfügen, das die Implementierung von Patches und Updates kurz nach ihrer Veröffentlichung fördert. Für kritische Patches und Updates wird eine Frist von drei bis sieben Tagen und für andere Patches und Updates eine Frist von höchstens 30 Tagen angestrebt. In vielen Fällen sind Cyberkriminelle zu dem Zeitpunkt, an dem ein Hersteller einen Patch veröffentlicht, bereits über die Schwachstelle informiert und haben ein Tool entwickelt, um diese auszunutzen. Die Ransomware WannaCry war beispielsweise deshalb so weit verbreitet, weil die betroffenen Unternehmen es versäumt hatten, Systeme mit älteren Betriebssystemen zu aktualisieren, obwohl ein Patch bereits veröffentlicht worden war und ihnen seit einiger Zeit zur Verfügung stand.

Anzeige

Systemfehlkonfigurationen können ebenfalls zu Sicherheitsverletzungen führen. Offene Ports und nicht ordnungsgemäß konfigurierte Firewalls oder Router können Hackern Zugang zum Netzwerk verschaffen oder Informationen über das Netzwerk liefern, die zu einem Zugriff führen können.

Tipp: Unternehmen können es mit einem spielerischen Ansatz für Patch-Management-Programme versuchen. Dies kann veranschaulichen, wie die einzelnen Geschäftsbereiche im Vergleich zueinander abschneiden – kein Team möchte das langsamste sein. Dies kann Teams motivieren und Anreize schaffen, sich zu verbessern.

  1. Multi-Faktor-Authentifizierung und Vaulting der Admin-Zugangsdaten für alle Systeme.

Schlechte Kennwortverwaltungspraktiken und unsachgemäß gesicherte Endgeräte können Schwachstellen schaffen. Passwörter und Zugangsdaten mit privilegiertem Zugriff sind jedoch besonders wertvoll. Das Vaulting von Anmeldedaten und Admin-Zugangsdaten bietet zusätzlichen Schutz für Anmeldedaten gemeinsam genutzter Ressourcen im Netzwerk, indem es ein Repository Passwörtern bereitstellt, die nach jeder Anmeldung automatisch aktualisiert werden.

Tipp: Wenn ein Mitarbeiter dasselbe Passwort für mehrere persönliche und Firmenkonten verwendet und eines der Konten kompromittiert wird, können Angreifer mit den kompromittierten Anmeldedaten Zugang zu den anderen Konten erhalten. Die Multifaktor-Authentifizierung fügt zusätzliche Schritte und Sicherheit hinzu, indem ein persönliches Gerät oder biometrische Daten zum Nachweis der Identität benötigt werden.

  1. Newsletter
    Newsletter Box

    Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

    Konsistente Protokollierung in der gesamten Umgebung

Sicherheits- und Zugriffsprotokolle sind von entscheidender Bedeutung, um die Quelle eines Angriffs – oder „Patient Zero“ – zu identifizieren. Je eher dies erfolgen kann, desto eher lassen sich die notwendigen Patches anwenden und ein sauberes Backup wiederherstellen. Nach einem Angriff können Unternehmen mit diesen Protokollen auch den Behörden die Einhaltung der Vorschriften nachweisen, indem sie die Vorgänge beschreiben und zeigen, dass sie tatsächlich die erforderlichen Vorsichtsmaßnahmen getroffen haben.

Tipp: Es reicht nicht aus, Sicherheitsprotokolle zu führen. Diese müssen auch vor Hackern geschützt werden, die es auf die Löschung oder Änderung dieser Protokolle abgesehen haben, um ihre Spuren zu verwischen.

  1. Implementierung einer schnellen Analyseplattform, um Anzeichen von Bedrohungsakteuren in der Umgebung zu erkennen. „Bedrohungsjäger“ können aktiv nach Anzeichen für eine Gefährdung suchen und diese beseitigen.

Schnelle Echtzeit-Analysen können dabei helfen, verdächtiges Verhalten, Anomalien und mehr zu erkennen, um vor einem möglichen Angriff zu warnen. Wenn in der Umgebung ungewöhnliche Aktivitäten stattfinden, sind Analyseplattformen in der Lage, diese zu erkennen, bevor es zu spät ist. Bedrohungsjäger können die Bedrohungen identifizieren und beseitigen, bevor die Daten in großem Umfang gefährdet sind.

Tipp: Bei der Entwicklung Ihrer Architektur sollten Unternehmen auf Ausfallsicherheit und Langlebigkeit achten. So kann beispielsweise die Implementierung von SafeMode-Snapshots wichtige Sicherungsdaten vor dem Löschen schützen.

  1. Regelmäßig Schulungen zum Sicherheitsbewusstsein und Tabletops mit dem Schwerpunkt Ransomware

Mitarbeiter können das schwächste Glied in einem Unternehmen sein, insbesondere was Cyberbedrohungen betrifft. Mitarbeiter werden häufig Opfer von E-Mail-Phishing-Betrügereien, einem der häufigsten Angriffsvektoren für Ransomware. Phishing-E-Mails verleiten Benutzer dazu, Malware-Anhänge herunterzuladen oder auf Links zu klicken, die zu kompromittierten Inhalten mit verstecktem bösartigem Code leiten. Unzureichende Passwortsicherheitsrichtlinien können zu Identitätsdiebstahl oder unbefugtem Zugriff auf hochrangige Informationen führen.

Remote-Geräte im Unternehmensnetzwerk, die veraltete Software oder Betriebssysteme verwenden, können ebenfalls die Tür für Cyberangriffe öffnen. Ohne klare Internet- und E-Mail-Richtlinien wissen die Mitarbeiter nicht, wie sie sicher auf sensible Daten zugreifen, sie nutzen und weitergeben können oder welche Informationen per E-Mail weitergegeben werden sollten und welche nicht. Richtlinien für den Datenzugriff stellen sicher, dass jeder Mitarbeiter nur auf die Systeme und Daten zugreifen kann, die er für seine Arbeit benötigt.

Tipp: Schulungen zur Sensibilisierung der Endbenutzer und Messung deren Wirksamkeit. Auf diese Weise können Sie Schwachstellen erkennen, an denen es nachzubessern gilt. Auf Vorstands- und Führungsebene sollten mindestens einmal jährlich Übungen durchgeführt werden, um sicherzustellen, dass jeder den Plan für den Fall eines Angriffs kennt.

Weitere zu beachtende Schwachstellen

Der Trend zu Fernarbeit und BYOD-Richtlinien (Bring Your Own Device) hat eine Zunahme von Angriffen auf mobile Endgeräte begünstigt. Ungesicherte Remote-Desktop-Protokolle (RDP) sowie virtuelle Desktop-Endpunkte und falsche Netzwerkkonfigurationen schaffen Schwachstellen, die zu Ransomware-Angriffen führen können. Unzureichend gesicherte Endgeräte können für WLAN-Hacking und Man-in-the-Middle-Angriffe anfällig sein, wodurch die Offenlegung des Unternehmensnetzwerks und sensibler Daten droht.

RDP ist der zweithäufigste Angriffsvektor für Ransomware und wird häufig von Angreifern genutzt, um sich unbemerkt Zugang zu Unternehmensnetzwerken zu verschaffen. Die Sicherheit für RDP-Verbindungen kann explizit eingestellt werden, aber in vielen Fällen sind die Verbindungen durch schwache Passwörter geschützt und verwenden einen bekannten Standard-Port, der ebenfalls schlecht gesichert ist. RDP-Zugangsdaten können auch im Dark Web gekauft werden, und sobald die Zugangsdaten vorliegen, können Hacker die Endpunktsicherheit umgehen, um Zugang zu den Systemen eines Unternehmens zu erhalten.

Datensicherung und Data Management in einer Umgebung

Obwohl es nicht möglich ist, sich gegen jede bekannte Sicherheitsbedrohung zu schützen, kann die Kenntnis der häufigsten Schwachstellen, die Ransomware-Angriffe verursachen, Unternehmen helfen, den richtigen Plan zu erstellen, um ihre Risiken zu minimieren, bevor ein Angriff erfolgt. Eine zeitgemäße Umgebung für Data Management kann in der Vorher-Phase helfen durch den Zugriff auf einen großen Pool von Analysedaten und die schnellste analytische Verarbeitung zur Identifizierung von Bedrohungen sowie durch den Schutz vor internen Managementfehlern.

www.purestorage.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.