{"id":257564,"date":"2021-09-12T00:35:00","date_gmt":"2021-09-11T22:35:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257564"},"modified":"2024-06-17T14:14:00","modified_gmt":"2024-06-17T12:14:00","slug":"ransomware-in-der-cloud-angreifer-erkennen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/12\/ransomware-in-der-cloud-angreifer-erkennen\/","title":{"rendered":"Ransomware in der Cloud: Angreifer erkennen"},"content":{"rendered":"

[English<\/a>]Laut Yahoo! Finance werden in diesem Jahr allein in den USA rund 65.000 Ransomware-Angriffe erwartet. Es scheint keine Rolle zu spielen, in welcher Region, in welchem Land oder in welcher Branche es passiert. Sicherheitsanbieter Vectra hat mir einige \u00dcberlegungen zur Verf\u00fcgung gestellt, wie man Ransomware und Angreifer in der Cloud erkennen kann.<\/p>\n

<\/p>\n

\"\"Es scheint schwierig, Angriffe per Ransomware zu stoppen. Denn die Cyberkriminellen haben in der Vergangenheit bewiesen, dass sie Ransomware-Angriffe auf jedes Unternehmen starten, von dem sie Geld erpressen oder etwas von Wert stehlen k\u00f6nnen. Bedeutet dies, dass es nur eine Frage der Zeit ist, bis ein Unternehmen in die Zwickm\u00fchle ger\u00e4t, entweder ein hohes L\u00f6segeld zu zahlen oder sich von wichtigen Assets und Daten zu verabschieden?<\/p>\n

Vectra fordert neue Denkweise<\/h2>\n

Die Bek\u00e4mpfung von Ransomware erfordert eine neue Denkweise, wie Hitesh Sheth, CEO von Vectra, es verdeutlicht. Diese Angriffe k\u00f6nnen mit vielen der aktuellen Sicherheitsstrategien, die Unternehmen einsetzen, nicht verhindert werden. Es sei jedoch m\u00f6glich, zu erkennen, ob in der IT-Umgebung etwas Ungew\u00f6hnliches passiert, meint der CEO von Vectra. Wird der Angreifer erkannt, kann das Sicherheitsteam gef\u00e4hrliche Ereignisse wie Ransomware-Angriffe eind\u00e4mmen.<\/p>\n

Der Vectra Spotlight Report Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365<\/em> zeigt, wie solche Erkennungen das Sicherheitsteam \u00fcber das Verhalten in der IT-Umgebung informieren k\u00f6nnen. Vectra ist in dem Bericht noch einen Schritt weitergegangen und hat die Erkenntnisse nach Branchen aufgeschl\u00fcsselt. Ziel war es, sowohl einen \u00dcberblick \u00fcber die Cloud-Sicherheitsprobleme bestimmter Branchen als auch \u00fcber die Zuordnung von Erkennungen zum Verhalten von Angreifern, z. B. bei Ransomware oder Angriffen auf die Lieferkette, zu geben.<\/p>\n

Dies beginnt mit der Sammlung der richtigen Daten und einer bedrohungsgesteuerten k\u00fcnstlichen Intelligenz (KI). Diese erm\u00f6glicht es, die Einzelheiten von Angriffen zu ermitteln und sich auf Bedrohungen zu konzentrieren, die gestoppt werden m\u00fcssen. Die folgenden Brancheneinblicke basieren alle auf realen, anonymisierten Kundendaten. Es sind die Hinweise, die Unternehmen erhalten, um Angriffe \u00fcber Office 365 und Azure AD zu erkennen. Vectra beschreibt vier zentrale Branchen:<\/p>\n

Gesundheitswesen<\/h3>\n

Wie der Angriff auf die irische Gesundheitsbeh\u00f6rde Health Service Executive (HSE) gezeigt hat, k\u00f6nnen Ransomware-Angriffe auf Einrichtungen des Gesundheitswesens den Diebstahl medizinischer Aufzeichnungen und Daten bedeuten. Sie k\u00f6nnen aber auch weit \u00fcber ein rein technisches Problem hinausgehen, da sie das Potenzial haben, die Lebensqualit\u00e4t und die Pflege, die Menschen zum \u00dcberleben ben\u00f6tigen, zu beeintr\u00e4chtigen.<\/p>\n

Die h\u00e4ufigste Erkennung bei den Kunden von Vectra im Gesundheitswesen war O365 Suspicious Power Automate Flow Creation<\/em>, was darauf hindeuten k\u00f6nnte, dass ein Angreifer einen Persistenzmechanismus konfiguriert. Microsoft Power Automate ist zweifellos ein hilfreiches Tool f\u00fcr die Automatisierung allt\u00e4glicher Aufgaben, aber das Risiko besteht darin, dass es in Office 365 standardm\u00e4\u00dfig aktiviert ist und Hunderte von Konnektoren enth\u00e4lt. Es ist f\u00fcr Angreifer attraktiv, da es selbst mit einfachem, nicht privilegiertem Zugriff als Kanal genutzt werden kann, um auf ihre Ziele hinzuarbeiten. Weitere Einblicke in das Gesundheitswesen zeigen, wie Vectra-Kunden im Gesundheitswesen Angriffe in ihren Umgebungen abwehren.<\/p>\n

Fertigung<\/h3>\n

Als Branche, in der die Betriebszeit h\u00f6chste Priorit\u00e4t hat, kann Ransomware den Betrieb in k\u00fcrzester Zeit zum Erliegen bringen, was Fertigungsunternehmen zu einem bevorzugten Ziel von Cyberangriffen macht. Ein Ransomware-Angriff, der sich auf den Betrieb auswirkt, w\u00fcrde ein Unternehmen unter Druck setzen, mit der Zahlung des L\u00f6segelds zu reagieren, um die Abschaltung von Anlagen zu verhindern. W\u00e4hrend viele Hersteller ein physisch verteiltes Netzwerk einsetzen, nutzen sie aus Gr\u00fcnden der Geschwindigkeit, Skalierbarkeit und Konnektivit\u00e4t wie andere Branchen auch die Cloud, was die Angriffsfl\u00e4che um eine weitere Ebene erweitert.<\/p>\n

Bei einem Blick auf die g\u00e4ngigen Entdeckungen, die Fertigungsbetriebe machen, waren zwei der drei h\u00e4ufigsten mit der Freigabe von Office 365 verbunden. Jede verd\u00e4chtige Freigabeaktivit\u00e4t sollte von Sicherheitsteams untersucht werden, um zu gew\u00e4hrleisten, dass die Aktionen von autorisierten Benutzern durchgef\u00fchrt werden und nicht von einem Angreifer. Dieser k\u00f6nnte versuchen, Daten zu exfiltrieren oder etwas zu tun, das Kriminellen helfen w\u00fcrde, in einem Angriffsprozess weiterzukommen. Weitere Informationen \u00fcber verd\u00e4chtige Aktivit\u00e4ten, die diese Unternehmen auf ihrem Radar haben sollten, finden sich in den vollst\u00e4ndigen Brancheneinblicken zur Fertigung.<\/p>\n

Finanzdienstleistungen<\/h3>\n

Es gibt kaum ein attraktiveres Ziel f\u00fcr Cyberkriminelle als Finanzdienstleister. Dies ist einer der Gr\u00fcnde, warum die Branche nach wie vor zu den am st\u00e4rksten regulierten Branchen geh\u00f6rt. Da die Cloud-Nutzung rasant zunimmt, haben Cyberkriminelle noch mehr Ansatzpunkte f\u00fcr Angriffe. Speziell bei Office 365 und Azure AD gaben die Kunden von Vectra aus dieser Branche einen hohen Prozentsatz an riskanten O365-Exchange-Vorg\u00e4ngen und der Erstellung redundanter Zug\u00e4nge zu Azure AD an. Unabh\u00e4ngig davon, ob die M\u00f6glichkeit besteht, dass ein Angreifer Exchange manipuliert, um Zugang zu erhalten, oder ob er versucht, ein Konto zu \u00fcbernehmen, sind diese Aktivit\u00e4ten besorgniserregend. Sicherheitsteams sollten daher derlei Aktivit\u00e4ten untersuchen, sobald sie entdeckt werden. Weitere Details \u00fcber die Bedeutung dieser Entdeckungen finden sich in den vollst\u00e4ndigen Brancheneinblicken zu Finanzdienstleistungen.<\/p>\n

Bildungswesen<\/h3>\n

Aufgrund der Pandemie suchten Bildungseinrichtungen h\u00e4nderingend nach L\u00f6sungen, um Sch\u00fcler und Lehrkr\u00e4fte sicher, vernetzt und produktiv zu halten, was in vielen F\u00e4llen bedeutete, auf die Cloud zur\u00fcckzugreifen. Ob Kommunikations- oder Produktivit\u00e4tstools, die Cloud erwies sich der Aufgabe gewachsen und erm\u00f6glichte in vielerlei Hinsicht das Lernen in dieser schwierigen Zeit. Doch wie in den anderen oben genannten Branchen ver\u00e4nderte die Cloud auch f\u00fcr Bildungseinrichtungen das, was man \u00fcber Sicherheit wusste. Vectra konnte feststellen, dass E-Mail- und Sharing-Aktivit\u00e4ten in Hochschuleinrichtungen Bedrohungsmeldungen ausl\u00f6sten. Dies war keine \u00dcberraschung, da E-Mails und Sharing das Lernen und die Zusammenarbeit erm\u00f6glicht, es aber auch schwieriger macht, b\u00f6sartige Datenlecks zu erkennen. Die Brancheneinblicke zum Bildungswesen zeigen, welche Erkennungen Kunden aus dem Bildungsbereichswesen verwenden, um Angriffe festzustellen.<\/p>\n

Das Verhalten der Cloud-Accounts verstehen<\/h3>\n

F\u00fcr Unternehmen ist es laut Vectra wichtig, eine klare Vorstellung davon zu haben, wie eine autorisierte Nutzung aussieht. Gleichzeitig sollten sie die M\u00f6glichkeit haben, Abweichungen von dieser Vorstellung zu \u00fcberwachen und zu messen. Ohne diese beiden Dinge wird die Erkennung von Bedrohungen zu einer schwierigen Herausforderung, da man nicht wei\u00df, ob die Aktivit\u00e4t, die man sieht, von einem autorisierten Benutzer oder von einem Angreifer ausgeht.<\/p>\n

Es sei unwahrscheinlich, glaubt der CEO von Vetra, einen Ransomware-Angriff mit herk\u00f6mmlichen Endpunkt-Sicherheitstools zu verhindern, da diese von Cyberkriminellen regelm\u00e4\u00dfig umgangen werden. Daher war es noch nie so wichtig wie heute, das Verhalten einzelner Accounts zu erkennen, zu analysieren und Schl\u00fcsse zu ziehen. (via)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Laut Yahoo! Finance werden in diesem Jahr allein in den USA rund 65.000 Ransomware-Angriffe erwartet. Es scheint keine Rolle zu spielen, in welcher Region, in welchem Land oder in welcher Branche es passiert. Sicherheitsanbieter Vectra hat mir einige \u00dcberlegungen zur … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-257564","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257564"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257564\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}