Ransomware-Angriffe nehmen an Umfang und Auswirkungen zu, was vor allem auf die schwachen Sicherheitskontrollen von Unternehmen zurückzuführen ist. Mittelständische Unternehmen sind Ziel von Ransomware-Angriffen, da sie über eine beträchtliche Menge wertvoller Daten verfügen, aber nicht so gut geschützt sind wie größere Unternehmen und nicht über so viel Personal verfügen.
Laut einer aktuellen RSM-Umfrage glauben 62 % der mittelständischen Unternehmen, dass sie in den nächsten 12 Monaten von Ransomware bedroht sind. Die Stimmung der Cybersecurity-Führungskräfte bewegt sich irgendwo im Spektrum zwischen „top-of-mind“ und „das bereitet mir ernsthafte Migräne“.
Da Ransomware nach wie vor die bevorzugte Methode für Angreifer ist, um ihren Zugang zu Geld zu machen, besteht ein dringender Bedarf, den Vorbereitungsgrad von Unternehmen zu verstehen und Lücken zu identifizieren und zu beheben, bevor ein Angreifer sie ausnutzen kann.
Schlanke Cybersecurity-Teams können ihre Ransomware-Bereitschaft schnell einschätzen, indem sie dem NIST CSF-Framework folgen und sich für jede der Kernfunktionen die Frage stellen: „Haben wir so etwas schon?“: „Identifizieren“, „Schützen“, „Erkennen“, „Reagieren“ und „Wiederherstellen“:
Identifizieren
Bei der Verwaltung von Vermögenswerten geht es darum, zu wissen, was die kritischen Vermögenswerte Ihres Unternehmens sind, wo sie sich befinden, wer sie besitzt und wer Zugang zu ihnen hat. Die Daten müssen klassifiziert werden, damit der Zugriff geregelt werden kann, und das Unternehmen profitiert von der Gewährleistung der Integrität der Daten. Ein Unternehmen muss nur die Vertraulichkeit eines Teils seiner Daten auf der Grundlage ihrer Klassifizierung schützen. Kontrollen, die den Nutzen und die Authentizität der Daten sicherstellen, bringen einem Unternehmen echten Nutzen.
Schützen Sie
Die Identität ist eine Form von Daten, die die Beziehung zwischen einer Person und einer Organisation definiert. Sie wird durch Anmeldeinformationen (Benutzername und Kennwort) überprüft, und wenn sie kompromittiert wird, wird ein Sicherheitsereignis zu einem Vorfall. Beispielsweise können Bedrohungsakteure mithilfe von durchgesickerten Anmeldedaten Ransomware auf Ihren Computern installieren. Laut dem Microsoft Defender Report 2022 schützt die Befolgung von 98 % der grundlegenden Sicherheitshygiene wie Multi-Faktor-Authentifizierung (MFA), die Anwendung von Null-Vertrauens-Prinzipien, die Aktualisierung von Software und die Verwendung von erweiterter Erkennung und Reaktion von Anti-Malware immer noch vor 98 % der Angriffe.
Ein weiterer wichtiger Aspekt des Identitätsschutzes ist die Sensibilisierung der Mitarbeiter, damit sie bösartige Anhänge oder Links erkennen können. Bei Simulationen von Sicherheitsverletzungen ist es wichtig, die Mitarbeiter zu belohnen, die gut gearbeitet haben, anstatt diejenigen zu bestrafen, die nicht gut gearbeitet haben. Falsch durchgeführte Einbruchssimulationen können das Vertrauen der Mitarbeiter in ihr Unternehmen stark beeinträchtigen.
Eine gute Datensicherheit kann Ihre Daten vor Ransomware schützen und Ihnen ermöglichen, sich von einem Angriff zu erholen. Dies bedeutet, dass Zugriffsmanagement, Verschlüsselung und Backups vorhanden sein müssen. Obwohl dies einfach klingt, sind viele Unternehmen bei mindestens einem oder zwei der oben genannten Punkte unzureichend. Andere Kontrollen, die unter die Funktion „Schutz“ des NIST CSF fallen, sind Schwachstellenmanagement, URL-Filterung, E-Mail-Filterung und die Einschränkung der Nutzung von erhöhten Rechten.
Die Einschränkung von Software-Installationen ist von entscheidender Bedeutung – wenn man keine Software installieren kann, kann man auch keine Ransomware installieren. Einige Ransomware-Programme können jedoch bestehende Schwachstellen ausnutzen, die eine Erhöhung der Berechtigungen ermöglichen, um die eingeschränkte Installationskontrolle zu umgehen.
Damit kommen wir zur nächsten Kontrolle im Rahmen der Schutzfunktion des NIST CSF: der Richtlinienkontrolle. Software zur Durchsetzung von Richtlinien kann die Anzahl der Mitarbeiter reduzieren, die für die Implementierung von Kontrollen wie die Beschränkung der Nutzung und Installation auf nur autorisierte Software oder die Beschränkung der Nutzung erweiterter Berechtigungen erforderlich sind.
Erkennen
Technologien, die die Anforderungen an Kontrollen im Rahmen dieser Funktion erfüllen, können wirklich etwas bewirken, aber nur, wenn sie von einem menschlichen Element begleitet werden. Hier gibt es eine Menge Akronyme: User and Entity Behavior Analytics (UEBA), Centralized Log Management (CLM), Threat Intelligence (TI) und EDR/XDR/MDR.
Ransomware wird von einer guten UEBA leicht erkannt, weil sie Dinge tut, die keine gute Software tut. Diese Technologie kann Ransomware nur erkennen, aber nicht verhindern oder stoppen. Zur Vorbeugung ist andere Software erforderlich, z. B. Phishing-Schutz, kontinuierliche Sicherheitsüberwachung und EDR/XDR/MDR. Laut dem IBM-Bericht „Cost of a Breach 2022“ haben Unternehmen mit XDR-Technologien eine Sicherheitsverletzung 29 Tage schneller erkannt und eingedämmt als Unternehmen ohne XDR. Außerdem konnten Unternehmen mit XDR die Kosten einer Sicherheitsverletzung um 9,2 % senken. Das mag wie eine kleine Verbesserung klingen, aber bei durchschnittlichen Kosten einer Sicherheitsverletzung von 4,5 Mio. USD bedeutet dies fast eine halbe Million USD an Einsparungen.
Reagieren Sie
Unabhängig davon, wie gut die Kontrollen und Hilfsmittel eines Unternehmens auch sein mögen, es wird immer etwas geben, auf das ein Mensch reagieren muss. Das Vorhandensein eines Plans und das Testen dieses Plans reduziert die Kosten des Verstoßes drastisch – laut Bericht im Durchschnitt um 2,66 Millionen US-Dollar.
Zusätzliche Kontrollen können Ihre Ransomware-Bereitschaft maximieren: Kommunikationsvorlagen (um sicherzustellen, dass das Team weiß, was, wie und wen es während eines Vorfalls zu kontaktieren hat), die Durchführung einer obligatorischen Ereignisanalyse und der Einsatz von SOAR-Technologie (Security Orchestration, Automation and Response) entweder als separates Produkt oder als nativer Bestandteil einer XDR-Lösung.
Wiederherstellen
Ein Wiederherstellungsplan, unveränderliche Cloud-Backups und ein Kommunikationsplan für Vorfälle sind die drei wichtigsten Maßnahmen, um die Ransomware-Bereitschaft Ihres Unternehmens zu maximieren.
Ein Wiederherstellungsplan für Ransomware muss die Mittel zur Wiederherstellung verschlüsselter Daten, zur Wiederherstellung betrieblicher Systeme und zur Wiederherstellung des Kundenvertrauens im Falle einer Sicherheitsverletzung enthalten.
Ransomware funktioniert, indem sie den Zugriff auf Daten verhindert. Wenn diese Daten von einem Gerät wiederhergestellt werden können, das nicht von der Ransomware infiziert ist (unveränderliches Backup), kann der Weg zur Wiederherstellung schnell und relativ kostenlos sein. Laut dem Microsoft Defender 2022-Bericht verfügten 44 % der von Ransomware betroffenen Unternehmen nicht über unveränderbare Backups.
Ein Kommunikationsplan für einen Vorfall verbessert die Reaktionsfähigkeit des Unternehmens und minimiert Reputationsschäden, indem er Mechanismen zur schnellen Benachrichtigung und Koordinierung interner und externer Interessengruppen bereitstellt und gleichzeitig die Stimmung der Kunden beobachtet.
Um Cybersecurity-Führungskräfte beim Aufbau von Ransomware-Resilienz zu unterstützen, bietet Cynet eine schnelle, NIST-basierte Bewertung der Ransomware-Bereitschaft sowie einen tieferen Einblick in die Kernfunktionen.
Laden Sie die Ransomware-Bereitschaftsbewertung von Cynet herunter, um die Widerstandsfähigkeit Ihrer Sicherheitskontrollen zu überprüfen.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Telekom- und BPO-Unternehmen werden von SIM-Swapping-Hackern angegriffen