Wannacry-Ransomware-Angriff: Branchenexperten geben ihre Tipps zur Prävention

WannaCry: Ist die Welt ein Jahr später bereit für einen weiteren großen Angriff? Danny Palmer von ZDNet untersucht die Folgen von WannaCry, Notpetya und Bad Rabbit.

Ich habe vor ein paar Jahren über den Wannacrypt-Ransomware-Angriff geschrieben. Dieser Angriff, der auch als Wannacry bezeichnet wird, war mit einer großen Windows-Sicherheitsanfälligkeit verbunden, die es Angreifern ermöglichte, auf Systeme zuzugreifen, Daten zu verschlüsseln, die sie nicht mehr zulassen, und eine Lösegeldzahlung zu verlangen, um diese Daten freizugeben.

TITELSTORY

Cyberwaffen sind jetzt im Spiel: Von der US-Sabotage eines nordkoreanischen Raketentests bis zu gehackten Notsirenen in Dallas

Cyberwarfare hat bereits begonnen. Im Gegensatz zu Atomwaffen können Cyberwaffen schneller vermehrt werden, und die Gefahr, sie versehentlich auszulösen, ist noch größer.

  • Weiterlesen

Leider bleibt Wannacry eine erhebliche Bedrohung.

Windows 10-Sicherheit: Ein Leitfaden für Führungskräfte (TechRepublic Premium)

Ich habe mit mehreren Sicherheitsexperten der Branche gesprochen, darunter: Andrew Morrison, Prinzip, Deloitte Cyber ​​Risk Services; Dylan Owen, Senior Manager, Cyber ​​Services, Raytheon; und Josh Mayfield, Direktor für Sicherheitsstrategie, Absolute, um den aktuellen Status von Wannacry zu ermitteln und Tipps zu erhalten, um sich dagegen zu schützen.

Warum ist Wannacry immer noch eine Bedrohung?

Scott Matteson: Ist Wannacry immer noch eine Bedrohung?

Andrew Morrison: WannaCry ist eindeutig immer noch eine Bedrohung für die große Anzahl nicht gepatchter Systeme. Schlechte Schauspieler können jetzt leicht ungepatchte Systeme erkennen und WannaCry anweisen, gezielte Angriffe durchzuführen.

Diese Erzählung ist nicht neu. Tatsächlich verwendete WannaCry dasselbe System wie NotPetya. Das tatsächliche Toolkit, das von der NSA verwendet und gestohlen wurde, ist wahrscheinlich immer noch eine Bedrohung für die Erstellung von Angriffsvarianten und die Umgehung von Angriffen. Während die Patches das Toolkit adressieren, ist die Verwendung zum Auffinden neuer Schwachstellen immer noch eine Bedrohung. Benutzer denken, dass sie sicher sind, weil sie das, was sie gesehen haben, gepatcht haben, aber die Bedrohung hat sich mit demselben Toolkit entwickelt, und sie können erneut getroffen werden.

Dylan Owen: Bis zu einem gewissen Grad ist es immer noch so. Nach Angaben von Shodan gibt es in den USA mehr als 400.000 Geräte, die immer noch anfällig für Wannacry sind. Fertigungssysteme können besonders gefährdet sein, da viele dieser Systeme unter älteren Windows-Versionen oder eingebetteten Windows-Versionen ausgeführt werden. Unternehmen sind vorsichtig, diese älteren Systeme zu patchen, da der Prozess dazu führen kann, dass die Produktionskapazitäten gestoppt werden.

Wie sich die Bedrohung entwickelt hat

Scott Matteson: Wie hat sich die Bedrohung entwickelt?

Andrew Morrison: Die Wannacry-Bedrohung hat sich auf die gesamte Maschine ausgewirkt. Was als nationalstaatlicher Angriff begann, entwickelte sich zu gezielten Strategien. Bedrohungsakteure handeln nicht mehr nur opportunistisch. Vielmehr können sie, wie WannaCry und NotPetya gezeigt haben, Toolkits mitnehmen und Aufklärung betreiben. Im Gegenzug wird es schwieriger sein, sich gegen diese nächsten Angriffe zu verteidigen, was eine Wiederherstellung nahezu unmöglich macht.

Dylan Owen: Von Malware über Crypto-Mining-Code bis hin zu DDoS-Angriffen (Distributed Denial of Service) können Hacker Varianten erstellen, um anfällige Systeme zu infizieren.

Josh Mayfield: Verschiedene Arten von Ransomware wachsen weiter, aber seien wir ehrlich, WannaCry war Beta-Test. Die wirkliche Bedrohung besteht in Form eines Lösegeldes, das nicht einmal nach Kryptowährung fragt, sondern nach tatsächlicher Eroberung: Geben Sie uns diese Ressource, oder wir werden sie zerstören.

Cyberkriminalität im Lösegeldstil wird zu einer viel profitableren Gelegenheit, wenn Sie die Kontrolle über Millionen von GPUs auf der ganzen Welt übernehmen, die zu Ihrer persönlichen Goldbarrengans werden können. Deshalb sehen wir, dass "Lösegeld" immer mehr nach Versklavung aussieht. Diese Slave-Raiding-Malware wird nur weiterentwickelt. Was ist lukrativer: Eine Bank ausrauben oder einen Geldautomaten vom Finanzministerium haben?

Internet- und E-Mail-Nutzungsrichtlinien (TechRepublic Premium)

Was getan werden muss

Scott Matteson: Was unternehmen Unternehmen dagegen?

Andrew Morrison: Auf hohem Niveau hat WannaCry die Notwendigkeit einer besseren Wachsamkeit und Hygiene hervorgehoben. Mit anderen Worten, es brachte Organisationen bei, was gepatcht werden muss und wie schnell dies getan werden muss. Um die Nase vorn zu haben, müssen Unternehmen Audits ihrer Patching-Prozesse durchführen und anschließend Tools und Richtlinien prüfen, um die Praxis effektiver zu gestalten. Ein gutes Beispiel hierfür ist die derzeitige Tendenz zu einer stärkeren Automatisierung beim Patchen.

Das zweite Stück ist die Genesung. Unternehmen versuchen, Systeme, Daten und Geschäftsprozesse so vorzubereiten, dass sie Angriffen durch Wiederherstellungslösungen mit Luftspalt standhalten, sodass es einen Einstiegspunkt gibt, der bereinigt und bereinigt wird. Von dort aus öffnet sich der nächste Eintrag und Assets können gespeichert werden. Dadurch wird sichergestellt, dass sich Schwachstellen und Malware dort nicht verbreiten können, da die Netzwerkverbindung entfernt wird. Darüber hinaus können auf diese Weise kritische Daten gespeichert und Systeme zurückgebracht werden.

Das Entfernen kritischer Assets in den Offline-Kühlraum ist etwas, was mehr Unternehmen tun, und Deloitte Cyber ​​empfiehlt, eine auf Immunität basierende Verteidigung gegen die Wiederherstellung einzurichten. Dieser Ansatz ist viel kostengünstiger als die Zahlung von Lösegeld, um Daten zurückzugewinnen, da das Unternehmen Eigentümer der Daten ist.

Dylan Owen: Es ist zu erwarten, dass gezielte Angriffe auf schwer zu reparierende Systeme wie Luftspalt- oder Industriesteuerungssysteme zunehmen. Wenn die Angriffe komplexer werden, sollten auch unsere Verteidigungssysteme komplexer werden.

Unternehmen müssen ihre anfälligen Systeme proaktiv patchen. Wenn ein System jedoch nicht gepatcht werden kann, sollten Unternehmen die Sicherheitsanfälligkeit hinter einer Firewall isolieren. Da Angriffe wie WannaCry Port 445 verwenden, um Schwachstellen zu identifizieren, sollten Unternehmen die Sichtbarkeit im Internet blockieren. Wenn der Port nicht routingfähig ist, fällt es böswilligen Akteuren schwer zu wissen, wen sie ansprechen sollen. Obwohl dies möglicherweise nicht für alle Unternehmen möglich ist, sollten sie versuchen, anfällige Windows-Systeme zu aktualisieren und durch neuere, geschützte Versionen zu ersetzen.

Josh Mayfield: Unternehmen folgen der Standarderzählung: Berater einstellen, einige Änderungen vornehmen, eine Reihe von Sicherheitstools kaufen und die Daumen drücken. Die IT-Komplexität ist so gravierend geworden, dass wir das dicht gedrängte Gewirr nicht erkennen können, um Schwachstellen zu lokalisieren. Und wenn wir Schwächen finden, verbinden wir oft "Lücke" mit "kein Sicherheitsprodukt". Wir gehen also einkaufen und stellen nie fest, dass Änderungen an unseren vorhandenen Tools (z. B. ihre Widerstandsfähigkeit) die Erfolgschancen kreativer und motivierter Krimineller verbessern würden.

Empfohlene Vorgehensweise

Scott Matteson: Welche Best Practices sollten IT-Abteilungen befolgen?

Dylan Owen: Seien Sie proaktiv. IT-Abteilungen sollten konsequent nach Schwachstellen suchen und ein Schwachstellenmanagementprogramm entwickeln, um einen klaren Prozess zur Bekämpfung von Bedrohungen zu etablieren. Insbesondere sollte das IT-Team veraltete Windows-Systeme ersetzen und kritische Systeme sichern, um sicherzustellen, dass gestohlene oder manipulierte Dateien wiederhergestellt werden können. Darüber hinaus muss das Team testen, ob Informationen im Falle eines Angriffs wiederhergestellt werden können. Das Testen von Backup-Systemen ist oft ein verpasster Schritt, aber entscheidend für die Bestimmung der Fähigkeit eines Unternehmens, sich nach einem Angriff zu erholen.

Josh Mayfield: Es ist ratsam, dass sich die IT-Abteilungen auf die Ausfallsicherheit konzentrieren. Laut Gartner werden die weltweiten Ausgaben für Informationssicherheit 2019 voraussichtlich mehr als 124 Milliarden US-Dollar betragen. Wir sehen jedoch immer noch erhebliche Verstöße gegen die heutige Sicherheitslandschaft - ein weiterer Beweis dafür, dass Komplexität ein klarer und gegenwärtiger Rivale der Cybersicherheit ist. Die meisten Unternehmen haben Risikoprofile und Verpflichtungen gegenüber ihren Anbietern, insbesondere diejenigen, die PHI als Drittanbieter behandeln. Wenn Sie jedoch die Anzahl der Verbindungen, Datenflüsse, EDIs und anderen Austausche multiplizieren, wird im gordischen Knoten etwas vernachlässigt.

Ohne zu wissen, wo man suchen muss, ist es unmöglich, die feineren Assoziationen (Datenschemata) zu identifizieren, und infolgedessen werden Beziehungen, die Zugriffskontrolle und Autorisierung / Authentifizierung beinhalten, zu jedermanns bester Vermutung. Sichtbarkeit ist der Schlüssel. Aber was dann? Sie werden wahrscheinlich - mit Ihrer neuen ungehinderten Sicht - einen Friedhof mit kaputten, behinderten und fehlerhaften Agenten und Kontrollen finden.

Wie bleibt man belastbar, wenn die Technologie nicht die geringste Störung auf dem Gerät aushält? Indem Sie die kritischen Kontrollen beibehalten, die für die Bereitstellung einer ausfallsicheren Umgebung erforderlich sind.

Um in Richtung Resilienz zu gelangen, müssen wir sicherstellen, dass jemand die Beobachter beobachtet. Wir müssen uns zu einem olympischen Standpunkt erheben, um die Wirksamkeit jeder Kontrolle und ihre Fähigkeit, am Leben zu bleiben, zu untersuchen. Sicherheit ist weit entfernt von einer Momentaufnahme korrekter Konfigurationen, sondern das wahnsinnige Streben nach Belastbarkeit, das Zurückprallen von Verletzungen und die Bewaffnung mit Kontrollen und Agenten, die sich ihrer Unsterblichkeit rühmen. Das bringt Beharrlichkeit, einen unverkennbaren Weg zur Resilienz.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com