WannaCry, Petya, NotPetya und Co – Wie können Sie sich dagegen absichern?

Die vergangenen Wochen haben gezeigt, dass Malware wie WannaCry und Petya für den Ausfall von gesamten IT-Infrastrukturen sorgen können. Einige bekannte Unternehmen kursierten durch die Nachrichtenwelt und sorgten hierdurch für erhöhte Aufmerksamkeit. Die automatisierte Verbreitung im Unternehmensnetzwerk, welche immer intelligenter und dadurch auch gefährlicher wird, stellt neue Anforderungen an die IT-Sicherheit dar.

Netzwerksegmentierung

Für die Absicherung von Office- und Produktionsnetzwerken gibt es gleich mehrere empfehlenswerte Maßnahmen. Einzelne Maßnahmen an sich werden jedoch nicht ausreichend sein. Es ist das Zusammenspiel mehrerer Methoden, das für ausreichend Schutz vor Angriffen sorgen kann. In diesem Blog möchten wir Ihnen einen kleinen Einblick geben, auf welche Technologien wir neben Firewalls oder mehrstufigen Anti-Virus-Scan zurückgreifen und wie Sie ihr Netzwerk damit absichern können.

Die Segmentierung des Netzwerkes sollte grundlegender Bestandteil jeder IT-Sicherheitsstrategie sein. Hierbei geht es darum Bereiche wie Vertrieb, Einkauf oder die Produktion von einander abzutrennen und nur die notwendigen Zugriffe zwischen den Segmenten zu erlauben. Beispielsweise muss ein Marketing-Mitarbeiter im Normalfall nicht auf eine Produktionsanlage zugreifen. Oder ein Produktionsplaner nicht auf den PC des Vertriebsleiters. Zwischen den Segmenten sollte mittels einer Firewall der Traffic überwacht und ggf. blockiert werden. Bestenfalls handelt es sich um eine Firewall, die den Inhalt der Pakete analysieren und bewerten kann. Im Falle einer Infektion mit Schadsoftware kann diese sich lediglich in einem Netzwerksegment ausbreiten, sodass der potentielle Schaden minimiert wird.

Application Control

Der Grundgedanke bei Application Control liegt darin, dass auf den Endgeräten nur Programme und Prozesse ausgeführt werden, die explizit von einem Administrator freigegeben wurden (White-Listing-Ansatz). Gerade im Produktionsumfeld, in dem die Systeme minimale/keinerlei Änderungen erfahren, Anti-Viren-Lösungen vom Hersteller oft nicht unterstützt werden oder keine Updates von Herstellern mehr verfügbar sind, trägt diese Methode zu einer Stärkung der Sicherheit der Systeme bei. Selbstverständlich funktioniert diese Strategie auch im Office-Bereich, jedoch ist mit einem erhöhten Konfigurationsaufwand zu rechnen, da die Änderungsrate bei diesen Systemen höher ist.

Patchmanagement

WannaCry und Petya nutzten u.a. die ETERNALBLUE-Schwachstelle um sich im Netzwerk auszubreiten. Microsoft veröffentlichte bereits im März 2017 Security-Updates für verschiedene Betriebssystem-Versionen, die diese Schwachstellen schließen. Trotzdem wurden zwei bis drei Monate nach der Veröffentlichung der Updates mehrere Unternehmen weltweit infiziert, da die Systeme nicht mit diesen Patches versorgt wurden. Dies zeigt, dass die bestehenden Patching-Prozesse nicht ausreichend sind. Ein umfangreiches Patch-Management sollte sowohl im Office- als auch im Produktionsumfeld vorhanden sein.

Benutzer-Sensibilisierung

In den meisten Fällen ist der Benutzer selbst das Einfallstor in das Unternehmensnetzwerk. Daher ist es nach wie vor unumgänglich, dass die Benutzer über die aktuellsten Vorgehensweisen der Angreifer informiert und geschult werden. Die Schulungen sollten regelmäßig stattfinden, um eine ständige Verbesserung und höhere Wachsamkeit zu erzielen.

Verhaltensanalysen

Die Verhaltensanalyse von Netzwerkverkehr hat zum Ziel, ein abnormales Verhaltensmuster von Benutzern oder Endgeräten festzustellen. Ein abnormales Verhalten zeigt sich beispielsweise…

  • … durch einen Benutzer, der sein Passwort zu oft falsch eingibt
  • … durch ein Endgerät, das sich plötzlich das erste Mal auf einen Server verbindet
  • … durch nicht-autorisierte Portscans
  • … durch die Verwendung von „unüblichen“ Ports für standardisierte Kommunikation

Da es im Produktionsumfeld häufig Systeme gibt, die nicht zeitnah mit aktuellen Sicherheitsupdates versorgt werden können, bietet eine Verhaltensanalyse eine sehr gute Möglichkeit, die Sicherheit der Produktionsumgebung zu erhöhen.

Sandbox

Gezielte Angriffe verwenden oft Schadcode in E-Mail-Anhängen oder Downloads, der von patternbasierten Anti-Virus-Lösungen nicht erkannt wird (sog. Zero-Day-Angriffe). Um dem entgegenzuwirken, empfiehlt es sich eine Sandbox einzusetzen. Verdächte Dateitypen können auf verschiedenen Betriebssystemen in einer abgeschotteten Umgebung automatisiert ausgeführt werden. Die Sandbox beobachtet, welche Prozesse gestartet, Registry-Einträge verändert oder Verbindungen durch die Datei geöffnet werden. Erst nach Freigabe der Datei durch die Sandbox, wird dem Benutzer die Datei zugestellt. Da der Schadcode ausgeführt wird, ist die Erkennungsrate sehr hoch.

Network-Access-Control (NAC)

Mittels NAC kann kontrolliert werden wer in das Unternehmensnetzwerk darf und wer nicht. Die Grundvoraussetzung hierfür ist eine granulare und detaillierte Übersicht aller Endgeräte, die eine IP-Adresse besitzen. Diese Übersicht ergibt sich durch das NAC-System. Endgeräte von eigenen Mitarbeitern oder auch Gästen können anschließend anhand von Compliance-Regeln beispielsweise auf Windows-Patch-Stand oder Anti-Virus geprüft werden. Entspricht ein Endgerät nicht den Compliance-Regeln, so kann ihm der Zugang zum Netzwerk verwehrt werden.

Die beschriebenen Gegenmaßnahmen stellen lediglich eine Auswahl an Technologien dar, die WannaCry, Petya und zukünftigen Risiken entgegenwirken. Selbstverständlich gibt es noch weitaus mehr Möglichkeiten, wie wir eine IT-Infrastruktur gegen derartige Angriffe absichern können.

Sie haben Fragen?

Oder möchten noch weitere Möglichkeiten zur Absicherung von Office- und Produktionsumgebungen kennenlernen? Dann kontaktieren Sie uns, damit wir gemeinsam die beste IT-Sicherheitsstrategie für Ihr Unternehmensnetzwerk ausarbeiten können.