Eine schnelle, schnörkellose Lösung für ransomware innerhalb des Unternehmens
Ransomware ist eindeutig die Geißel des Jahres 2016. Jede Woche gibt es einen neuen und bemerkenswerten Ausbruch dieser heimtückischen Klasse von malwareauf Unternehmensebene, die eine immer breitere Palette von Organisationen lahmlegt und erpresst.
Für eine Bedrohung, die überwiegend nicht zielgerichtet ist, scheint sie große und kleine Unternehmen mit großem Erfolg zu treffen.
Die Infektion von malware kann durch die Vordertür einer fehlgeschlagenen "Defense-in-Depth"-Strategie oder durch die Seitentür eines mobilen Geräts kommen, das an einem Montagmorgen mit dem Unternehmensnetzwerk verbunden wird.
Trotzdem versuchen viele Sicherheitsteams und Netzwerkadministratoren, die schnelle Verschlüsselung von Dokumenten, die über Netzwerkfreigaben zugänglich sind, zu stoppen.
Unternehmen stehen mehrere neue Technologien zur Verfügung, um das Vorhandensein von ransomware im Netzwerk zu erkennen und das Sicherheitspersonal vor einem Ausbruch zu warnen (dies ist nur ein Beispiel für die Möglichkeiten, die das Produkt Vectra bietet). Es ist jedoch oft eine wesentlich schwierigere Aufgabe, einen Ausbruch automatisch zu stoppen, wenn er bereits begonnen hat.
Ich werde oft gefragt, was die "beste" Methode ist, um diese Bedrohung abzuschwächen (d. h. wie kann ein Unternehmen ransomware auf die billigste und robusteste Weise daran hindern, sein Geschäft lahmzulegen?)
Der schnellste und einfachste Weg, die Netzwerkverschlüsselung von ransomware zu entschärfen, ist eigentlich ziemlich einfach und folgt dem Prinzip des Kanarienvogels in der Kohlemine.
Ransomware versucht, Dateien über Netzwerkfreigaben innerhalb des Unternehmens aufzulisten und zu verschlüsseln. Eine einfache Schutzmethode besteht darin, sicherzustellen, dass jeder Computer über einige überwachte verbundene Freigaben verfügt.
Versucht ein Benutzer oder Computer, eine Datei auf diesen Freigaben zu schreiben oder zu löschen, werden die Zugangsdaten des betroffenen Benutzers sofort gesperrt. Und wenn das Unternehmen eine Form der Netzwerkzugriffskontrolle (NAC) verwendet, wird der Host-Computer auf ähnliche Weise sofort vom Netzwerk getrennt.
Da die aktuelle Generation von ransomware dazu neigt, gemountete Freigaben in alphabetischer oder umgekehrt-alphabetischer Reihenfolge zu durchlaufen, ist es wahrscheinlich ausreichend, sicherzustellen, dass die erste und die letzte gemountete Freigabe - z. B. Laufwerk A: oder D: und Laufwerk Z: oder Y: - überwachte Canary-Freigaben sind.
Es kann auch nützlich sein, dafür zu sorgen, dass die Canary-Freigaben eine große Anzahl von Wegwerfdateien enthalten, da ransomware Zeit braucht, um diese Dateien zu verschlüsseln. Dadurch entsteht eine Zeitspanne, in der die Informationen über den Entzug von Anmeldeinformationen und Netzwerkzugriff an den Rest des Netzwerks weitergegeben werden können.
Diese Technik ähnelt derjenigen, die ich in der Vergangenheit zur Bekämpfung von Spam-Versand malware und automatisierten Angriffen zum Erzwingen von Zugangsdaten eingesetzt habe. Durch Hinzufügen von Benutzerkonten, die als erste und letzte Position in einem Benutzerverzeichnis erscheinen - z. B. Active Directory und E-Mail-Kontakte - und die Überwachung jeglicher Verwendung dieser Namen ist es möglich, die Bedrohung schnell und automatisch zu erkennen und zu entschärfen.
Wenn zum Beispiel jemand versucht, eine E-Mail an den fiktiven Vornamen im Adressbuch zu senden, blockiert der Mailserver automatisch alle E-Mail-Anfragen des Benutzers, bis das IT-Team die Angelegenheit untersucht hat.
Die Verwendung von ransomware canary-Dateifreigaben, wie canary-Konten in Active Directory und E-Mail, kann ein kostengünstiger und effektiver Ansatz zur Eindämmung von Bedrohungen sein. Manchmal können die einfachsten Methoden die effektivsten sein.