Wie stellen Sie sich einen Hackerangriff vor? Denken Sie an einen lachenden Totenkopf auf dem Bildschirm wie im Action Film? Denken Sie, dass nur die großen und bekannten Player werden Ziel von Hackern und Ransomware. Dann liegen Sie Falsch. Heutzutage gehen Hacker viel komplexer und graziler in 3 Phasen vor.
In Phase 1 werden via eMail-Anhang oder bösartiger URL einige wenige Rechner infiziert und es passiert erst einmal nichts. In den nächsten Tagen und Wochen werden eMails, Passwörter, Zugänge und Geschäftskommunikation ausgespäht. Das dient zur Vorbereitung der Phase 2.
In Phase 2 verteilt sich der Angreifer weiter und benutzt dazu die Informationen aus Phase 1. Die Mails mit bösartigen Anhängen werden genauer, es tauchen dort „echte“ Daten wie Namen der Kollegen, Auftragsnummer, Ansprechpartnern bei Kunden als vermeintliche sichere Absender auf. Und immer im Gepäck: Schadcode hinter einer URL oder im Anhang, verbunden mit der dringenden Bitte den Anhang oder Link zu öffnen. Darüber hinaus werden mit ausgespähten Zugangsdaten weitere Rechner gekapert. Das Ganze kann Tage, Wochen oder sogar Monate dauern…. Und keiner hat bis jetzt was bemerkt.
Sind ausreichend Rechner infiziert startet Phase 3. Jetzt kann der eigentliche Angriff starten.
Hier kommt es zu verschiedenen
Beispiele gefällig?
WannaCry verschlüsselt Ihre Daten, und zwar alle Daten wenn Phase 1 und 2 erfolgreich waren! Und erpresst dann Geld für die Entschlüsselung Ihrer Daten.
Emotet öffnet die Tür für viele andere Bedrohungen: Rechner werden für weiter Angriffe auf andere Ziele gekapert, Daten werden gestohlen usw. Für eine Eindämmung ist es meist zu spät, das hätte früher passieren müssen, um wirksam zu sein.
Die Konsequenzen sind nicht selten der Komplettausfall der IT und das Aufräumen. Der Lagebericht der IT-Sicherheit in Deutschland 2019[1] berichtet von einem norwegischen Aluminiumkonzern, bei dem ein Schaden von mehreren Millionen Dollar entstanden ist genauso wie von einem kleinen Dienstleister bei dem Daten gestohlen und der danach erpresst wurde.
Heise hat den eigenen Emotet-Befalls ausführlich in einem Artikel beschrieben. Eine interessante Lektüre wie wir finden.
Das beschriebene Szenario bringt uns im Wesentlichen zu zwei Schlussfolgerungen.
1. Eine Securitylösung die nur bekannte Definitionen vergleicht reicht bei weitem nicht aus! Der WatchGuard Internet Security Report Q2/202 [1] beziffert die Zahl der Zero Day Attacken, also Attacken mit unbekannter Maleware auf 67%.
2. Wir alle können ein Angriffsziel werden! Beispiele finden sich in der Presse, im erwähnten Lagebericht und meinen Erfahrungen als IT Consultant.
Ein Mehr an Sicherheit bietet nur ein umfängliches Konzept, die Endpoints über das Netzwerk bis hin zur Netzwerkkante einschließt, sich auf KI (Sandbox) unterstütze Scanmechanismen stützt und im optimalen Fall automatisch reagiert. Lassen Sie uns das etwas genauer Beleuchten. Folgende Möglichkeiten bieten sich, um Angriffe in Phase 1 zu verhindern.
Mit Office 365 Advanced Threat Protection werden Anhänge in eMails und Links gescannt, in einer Sandbox ausgeführt und durch KI -Techniken im Rechenzentrum von Microsoft analysiert. Eine Bedrohung wir so erkannt, bevor Sie beim Benutzer und damit im Unternehmen ankommt.
Kommt es trotzdem vor, dass ein Rechner befallen wird bieten Ihnen die Produkte von WatchGuard optimalen Schutz. Die WatchGuard Firebox schützt ihre Zugang zum Internet. Mit Funktionen wie IntelligentAV, Application Control, Intrusion Prevention Service, DNSWatch u.a. wacht die WatchGuard Firewall über den ein- und ausgehenden Netzwerkverkehr und bietet so ein Höchstmaß an Sicherheit und Kontrolle.
Mit der Panda Adaptive Defense 360 bietet Ihnen WatchGuard vollumfänglichen Schutz und bietet u.a. lokalen Antivirus-Service, Applikation Whitelisting und modernste EDR-Funktionen, Patchmanagement und mehr.
Korrelation ist König
Abgerundet wird das Konzept durch den Threat Detection and Response Dienst von WatchGuard. Hier wird eine Korrelation von Netzwerk- und Endpunktereignissen hergestellt.
Sicherheitsrelevante Events der WatchGuard-Security-Services auf dem Gateway (APT-Blocker, Gateway-Antivirus, Paket-Filter, Webblocker, Repuitation-Enabled Defense) werden mit Meldungen der Endpunkte zusammengeführt und über ein “scored ranking” bewertet. In das Ranking des Threat Detection and Response Cloud Services (ThreatSync) fließen zusätzlich die Information über neu auftauchende Bedrohungen aus einem ThreatFeed ein. Dies ermöglicht eine „Cloud-Intelligenz”, da in der Cloud die Angriffe aller teilnehmenden Sensoren (WatchGuard Firewalls und WatchGuard Host-Sensoren) sowie externer Informationsquellen zusammenlaufen und daraus die Bedrohungen für alle Systeme erkannt werden können. Das bietet die Möglichkeit unbekannte Maleware die sich ausbreitet frühzeitig zu erkennen und darauf zu reagieren.
Sie erinnern sich an Phase 2.
Nehmen Sie Kontakt auf und erfahren Sie wie wir ihr Unternehmen schützen können.