Bei einer typischen Ransomware-Attacke nutzen Cyberkriminelle üblicherweise eine Sicherheitslücke oder die Unachtsamkeit eines Anwenders aus, um einen Rechner zu kompromittieren. Von dort breiten sie sich vorsichtig innerhalb der Infrastruktur aus, bis sie die wirklich wichtigen Systeme erreicht haben und verschlüsseln können.
Oft fällt der Angriff erst dann auf. Allerdings gibt es durchaus Möglichkeiten, das initiale Eindringen zu verhindern oder den Handlungsspielraum der Cyberkriminellen im Netzwerk erheblich einzuschränken. Der Schlüssel dafür ist Zero Trust – also der Ansatz, allen Nutzern, Daten, Anwendungen und Geräten nicht zu vertrauen, da sich hinter sämtlichen Aktivitäten eine Bedrohung verbergen kann.
Forcepoint stellt die wichtigsten Technologien vor, die Ransomware durch Zero-Trust-Prinzipien stoppen:
- Content Disarm and Reconstruction (CDR)
Cyberkriminelle sind ziemlich geschickt darin, schädlichen Code in vermeintlich harmlosen Dateien zu verstecken. Nicht immer vermögen klassische, auf Erkennung ausgerichtete Sicherheitslösungen diesen Code zu entdecken. Besser ist es deshalb, potenziell gefährliche Dateien gar nicht erst via Mail oder Download ins Unternehmen kommen zu lassen.
CDR extrahiert daher die eindeutig sicheren Informationen aus PDFs, Office-Dateien und anderen Dokumenten und baut daraus komplett neue Dateien auf – alle potentiell schädlichen Bestandteile wie ausführbarer Code, aktive Inhalte und versteckte Elemente bleiben auf der Strecke. Anwender erhalten eine neue, garantiert saubere Datei im Ursprungsformat, mit der sie ganz normal arbeiten können.
- Remote Browser Isolation (RBI)
Ein weiteres Einfallstor für Schadcode sind Websites. Das müssen nicht unbedingt von Cyberkriminellen erstelle Fake-Sites sein – bisweilen reicht schon ein gehackter Ad-Server oder ein manipuliertes Web-Framework, damit auch seriöse Seiten unbemerkt schädliche Funktionen ausführen. RBI ruft daher alle Websites in einem Browser auf, der in einer sicheren Cloud-Umgebung läuft.
Dort wird ein Abbild der Website erstellt, das an den lokalen Browser übertragen wird und die Interaktionen des Anwenders an den Remote-Browser zurückmeldet. Dadurch stehen alle Funktionen der Original-Website weiterhin bereit, sodass der Anwender sie wie gewohnt nutzen kann. Schädlicher Code wird lediglich in der Cloud-Umgebung ausgeführt, wo er keine Gefahr darstellt.
- Zero Trust Network Access (ZTNA)
Sollten es Cyberkriminelle dennoch schaffen, in die Unternehmensinfrastruktur einzudringen, etwa mit entwendeten Zugangsdaten, lässt sich das Risiko, dass sie dort größeren Schaden anrichten, mit ZTNA deutlich reduzieren. ZTNA kontrolliert und verifiziert jeden Zugriff von Mitarbeitern, Geräten und Anwendungen auf Ressourcen des Unternehmens.
Die einzelnen Benutzer erhalten nur jeweils die Berechtigungen, die sie tatsächlich benötigen (Least Privilege), und können nur Daten und Anwendungen nutzen, für die sie eine ausdrückliche Berechtigung besitzen. Auch mit entwendeten Zugangsdaten können Cyberkriminelle dann nicht einfach weitere Systeme infiltrieren und tiefer in die Infrastruktur vordringen.
„Moderne Lösungen für die Erkennung von Ransomware und anderen Bedrohungen sind fraglos ein wichtiger Bestandteil einer resilienten Unternehmensinfrastruktur. Doch die Erkennungsmechanismen schlagen häufig erst spät oder bei unbekannten Bedrohungen auch gar nicht an“, warnt Fabian Glöser, Team Leader Sales Engineering bei Forcepoint.
„Unternehmen müssen daher stärker auf Prävention setzen und dürfen Zugriffen und Daten nicht mehr implizit vertrauen, selbst wenn sie einen vermeintlich vertrauenswürdigen Ursprung haben. Ansätze mit Zero Trust und explizitem Vertrauen bieten einen wirkungsvollen Schutz, indem sie Bedrohungen aus der Infrastruktur heraushalten oder sie nur sehr eingeschränkt zur Entfaltung kommen lassen.“