Supply Chain Ransomware-Angriffen vorbeugenDie Trumpfkarte lautet: „Zero Trust“

31. August 2021

Ransomware und Supply Chain-Attacken werden ohne Frage zunehmen. Cybersecurity Ventures schätzt, dass Unternehmen im Jahr 2021 durch Cybercrime ein Schaden von sechs Billionen Dollar und im Jahr 2025 bis zu 10,5 Billionen Dollar entstehen wird. Durch die Einführung von Zero Trust-basierter Security können IT-Sicherheitsabteilungen die Wahrscheinlichkeit minimieren, dass Unternehmen Opfer dieser Angriffe werden und die potenziellen Schäden durch Angreifer abfedern.

Noch immer wird über die Auswirkungen des Supply Chain-Angriffs auf die Kaseya VSA-Software diskutiert. Nach dem Vorfall wurde bekannt, dass auch in Deutschland mindestens drei Service Provider betroffen waren, die wiederum Tausende von Unternehmen mit ihren Services wie Patch-Management, Backup, Client Monitoring etc. betreuen.

Die Angreifer nutzten eine Zero Day-Schwachstelle in der VSA-Server Software aus, um die Ransomware REvil weltweit an 40 bis 60 Managed Service Provider (MSP) und in der Folge an deren Kunden zu verbreiten – insgesamt wird von über 1.000 Unternehmen gesprochen, die von dem Angriff betroffen sein sollen. Eine solche Art der Verbreitung von Malware wird als „Supply Chain“-Attacke bezeichnet. Dabei wird der vertrauenswürdige Zugriff eines IT-Tools genutzt, um Zugang zu den Netzwerken vieler Unternehmen zu erhalten um die Auswirkungen um ein Vielfaches zu potenzieren. Die jüngsten Angriffe auf Kaseya und Solarwinds belegen, dass jeder IT-Partner mit Zugang zur IT-Umgebung eines dritten Unternehmens schnell zu einer Schwachstelle werden kann.

Um das Geschäftsrisiko von Unternehmen durch diese Art von Angriffen zu mindern können Zero Trust-Strategien zum Einsatz kommen. Zero Trust unterbindet dabei das Grundvertrauen, das Partnern oder auch Mitarbeitern von vorneherein beim Zugriff auf Unternehmensumgebungen eingeräumt wird. Der Zugriff auf Ressourcen erfolgt dabei nach dem Prinzip eines dynamisch kontrollierten Least-Privilege-Ansatzes. Demnach wird Partnern oder Tools lediglich Zugriff auf die unbedingt notwendigen Netzressourcen eingeräumt.

Dieser Zugriff wird darüber hinaus durch Kontrollmechanismen abgesichert. Auf Basis von Richtlinien und Identitäten wird der Zugang direkt zu Anwendungen eingeräumt und erfolgt nicht zum gesamten Netzwerk. Auf der Grundlage der Least Privilege-Zugriffsrechte gelingt durch einen Zero Trust-Ansatz die Reduktion der Angriffsfläche. Unternehmensressourcen werden durch den direkten richtliniengesteuerten Zugriff für Angreifer unsichtbar und dadurch weniger angreifbar gemacht.

Da jeder Malware-Angriff nach einer Reihe von Schritten aufgebaut ist, kann dieser Angriffszyklus auch an verschiedensten Stellen unterbrochen werden. Im Folgenden werden die Schritte eines typischen Revil-Ransomware-Angriffs aufgeschlüsselt und gezeigt, wie ein Zero Trust-Modell die Kill Chain unterbrechen kann.

Kompromittierung verhindern

Angreifer kompromittieren zunächst ein Netzwerk, um daraufhin Payloads mit Schadcode nachzuladen und auszuführen. Es ist bekannt, dass sich Angreifer über Phishing-E-Mails, Exploit-Kits und kompromittierte RDP-Konten Zugang verschaffen und dabei auch häufig Schwachstellen in Oracle WebLogic ausnutzen.

zscaler typische ransomware infektionskette
Typische Ransomware-Infektionskette; Quelle: Zscaler 2021

Viele Angreifer schleichen sich über verschlüsselte Kanäle ein, wie es wahrscheinlich auch bei dem Angriff auf Kaseya der Fall war. ThreatLabz hat in seinem jüngsten Bericht „State of Encrypted Attacks“ einen Anstieg von SSL-Malware um 500 Prozent im Vergleich zum Vorjahr festgestellt. Um diese Art der Kompromittierung mit dem Zero Trust-Ansatz zu verhindern, sollten Unternehmen die folgenden Punkte berücksichtigen:

  • SSL-Datenverkehr durchleuchten: Volle Sichtbarkeit mit vollständiger Inspektion des gesamten Datenverkehrs ist entscheidend, um Malware aufzuspüren, die sich hinter Verschlüsselung verbirgt. Zum Stoppen von Downloads mit schädlicher Payload müssen alle Kanäle, wie Emails oder Webseiten berücksichtigt werden und auch alle Unternehmensstandorte.
  • Angriffsflächen im Internet minimieren: Wo nicht unbedingt notwendig, sollten Anwendungen oder Services nicht im Internet veröffentlicht werden, damit sie nicht mit Brute Force-Methoden gehackt oder ausgenutzt werden können; stattdessen sollten sie nur nach ordnungsgemäßer Authentifizierung von berechtigten Personen zugänglich sein.
  • Kriminelle Aktivitäten erkennen und stoppen: Sicherheits-Tools sollten auf dem aktuellsten Stand gehalten und KI-gestützte Erkennung genutzt werden, um nie zuvor gesehene Ransomware-Varianten zu entdecken und Verhaltensweisen zu analysieren. Inline-Sandboxing und Browser Isolation-Funktionen helfen dabei, fortschrittliche und bislang unbekannte Bedrohungen zu erkennen und zu stoppen.
  • Kontrolle des Zugriffs mit strengen Least Privilege-Richtlinien: Diese müssen überwacht und kontinuierlich auf Lücken bei Berechtigungen, Richtlinien, Compliance und Konfigurationen überprüft werden.

Laterale Bewegungen verhindern

zscaler laterale bewegung der ransomware
Laterale Bewegung der Ransomware; Quelle: Zscaler 2021

Obwohl dies bei der Kaseya Supply Chain Ransomware-Attacke nicht der Fall gewesen zu sein scheint, bewegen sich Angreifer nach dem Eindringen in das Netzwerk oft lateral voran. Dabei wird die komplette Unternehmensumgebung gescannt, um wertvolle Daten zu finden, die erst exfiltriert und daraufhin verschlüsselt werden, um Lösegeld zu erpressen. Um dies zu verhindern, sollten Unternehmen:

  • Anwendungen segmentieren: Mikrosegmentierung ist ein wichtiger Eckpfeiler von Zero Trust, bei dem der Zugriff auf weitere Ressourcen zur Schadensbegrenzung limitiert wird. Unternehmen sollten eine Proxy-Architektur verwenden, um Benutzer und Workloads direkt mit der Anwendung oder Ressource zu verbinden, die sie benötigen – niemals mit dem gesamten Netzwerk. Sollte ein Angreifer in eine einzelne Anwendung eindringen, kann der möglicherweise verursachte Schaden auf diese Art und Weise auch darauf begrenzt werden.
  • Aktive Verteidigung: Eine weniger verbreitete, aber äußerst effektive Sicherheitstaktik ist der Einsatz aktiver Verteidigungs- oder Täuschungs-Technologien, um laterale Bewegungsversuche zu identifizieren und zu stoppen. Entsprechende Tools setzen Täuschungs-Apps und Köder ein, die als Stolperdrähte für Angreifer fungieren und sie von den eigentlichen Zielen ablenken, während die IT-Sicherheitsabteilung mit hoher Zuverlässigkeit darauf aufmerksam gemacht wird, dass ein Angriff im Gange ist.

Datendiebstahl verhindern

Bei etwa 50 Prozent der durch die Gruppe REvil Ransomware-Familien verursachten Angriffe werden Daten gestohlen und damit gedroht, sie zu veröffentlichen. Diese Methode der doppelten Erpressung – auch als „Double Extortion“ bezeichnet – gibt den Angreifern einen großen Hebel zur Durchsetzung ihrer Forderungen, da sich Unternehmen um mehr als nur die Wiederherstellung ihrer Daten kümmern müssen. Für den Schutz der Daten sehen Zero Trust Best Practices die folgenden Schritte vor:

  • Data Loss Prevention beugt Datenverlust vor: Sensible Daten sollten mit Hilfe von granularen DLP-Kontrollen geschützt werden, die Datenlecks oder Datendiebstahl über den gesamten Inline- und SSL-Verkehr in Echtzeit identifizieren und blockieren.
  • Richtlinien für die Destination von Daten: Darüber hinaus lassen sich Richtlinien festlegen, die nur die Kommunikation mit bekannten und vertrauenswürdigen Zielen zulassen. Im Fall von Solarwinds nutzten die Angreifer laxe Richtlinien aus, die es der Software erlaubten, mit unbekannten Zielen zu kommunizieren, zu denen schließlich auch die DarkSide Command-and-Control-Server gehörten. Zero Trust-Konzepte lassen aufbauend auf definierten Richtlinien nur die Kommunikation zu, die für die ordnungsgemäße Funktion des Tools erforderlich ist.
  • Cloud-Apps vor Angriffen abschirmen: Technologien wie Cloud Access Security Broker (CASB) lassen sich einsetzen, um granulare Kontrollen von sanktionierten und nicht sanktionierten Cloud-Apps durchzusetzen sowie gleichzeitig sensible „Data at Rest“ vor Diebstahl oder versehentlicher Offenlegung zu schützen.
  • Cloud-Fehlkonfigurationen vermeiden: Cloud-Schutzlücken und Datenverluste können verhindert werden, wenn gefährliche Fehlkonfigurationen in SaaS und Public Clouds identifiziert und dadurch entstehende Lücken geschlossen werden.

Mark Brozek, Senior Product Marketing Manager bei Zscaler

Zscaler

Lesen Sie auch