ProSoft empfiehlt zwei Verteidigungsstrategien
Mit Whitelist-DNS-Filter und Remote-Browser gegen Ransomware
Zwölf Prozent aller Cyberangriffe erfolgen inzwischen durch Ransomware. Entsprechende Angriffe haben sich somit in den letzten Jahren vervierfacht. Die finanziellen Schäden, die so ein Angriff verursacht, steigen ebenfalls rasant. IT-Security-Experte ProSoft zeigt mit DNS-Filtering und ReCoBs (Remote Controlled Browser System) zwei wirkungsvolle, aber vom Ansatz her unterschiedliche Strategien gegen Ransomware-Angriffe.
DNS-Filter können schon bei untrüglichen Anzeichen einer Ransomware-Attacke schützen. Drive-by-Downloads aktiver Inhalte von gefährlichen Websites lassen sich häufig im Ansatz unterbinden. Das Nachladen von Malware-Komponenten von Command-and-Control-Servern sowie die typische Datenexfiltration vor der eigentlichen Datenverschlüsselung auf Server des Angreifers sind ebenfalls konkrete Anhaltspunkte für eine aktive Ransomware-Phase.
Traditionelle, nach dem Blacklisting-Prinzip arbeitende DNS-Filter müssen täglich über 200.000 neue Internetdomänen erfassen und klassifizieren. Für die Dauer ab der Erkennung bis zur Integration der IP-Adressen von gefährlichen Websites in die Blacklist ist die IT anfällig. Whitelisting bietet bei DNS-Filtern dagegen erhebliche Vorteile. Ein Whitelist-DNS-Filter, wie etwa Blue Shield Umbrella, eine Entwicklung des österreichischen Unternehmens Blue Shield Security, blockiert zunächst alle unbekannten Websites und analysiert nur jene, die man auch tatsächlich aufruft. Die eingesetzten Algorithmen und KI-gestützten Techniken des Cloud-basierten DNS-Schutzschilds analysieren, erkennen und blockieren Gefahren und Anomalien bei jedem Aufruf in Echtzeit. Erst bei entsprechender Qualifizierung gelangt die Domain auf die Whitelist. Dabei müssen sich die Domains permanent weiter qualifizieren, um auf der Whitelist zu bleiben. Zur Qualifikation nutzt Blue Shield Umbrella Machine Learning aus historischen Daten, eine eigens entwickelte Sandbox und weltweite Kooperationen mit anderen Herstellern und Organisationen.
Ein anderes Tool zur Abwehr von Ransomware-Angriffen stellt das vom Unternehmen M-privacy entwickelte ReCoBS TightGate-Pro dar. Die Lösung verfolgt einen anderen Ansatz und schützt vor Ransomware, die man versehentlich bereits heruntergeladen hat. TightGate Pro arbeitet dabei wie folgt: Der Web-Browser lässt sich nicht mehr auf dem Arbeitsplatzrechner ausführen. Stattdessen übernimmt der dedizierte, in der demilitarisierten Zone (DMZ) aufgestellte, TightGate-Server die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmausgabe des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos.
Wie jede andere Malware, gelangt Ransomware über die üblichen Kanäle wie Phishing, Spoofing, ungepatchte Sicherheitslücken, Drive-by-Downloads und Schadsoftware in aktiven Web-Inhalten in das Unternehmensnetzwerk. Technische Maßnahmen wie Antivirensoftware, Log-Management, Firewalls, Patch-Management, Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sind einige der Tools, die sich gegen Cyberangriffe bewährt haben. Sie schützen jedoch nur, wenn Daten aus unterschiedlichen Quellen korreliert sind. Organisatorische Maßnahmen wie Sicherheitsschulungen und Verhaltensregeln für die Belegschaft sind ebenfalls eine wirksame Maßnahme, weil eine gewisse Skepsis auch gegen Zero-Day Malware wirkungsvoll ist.
Lesen Sie mehr zum Thema
