Nur eine Woche, nachdem die Colonial Pipeline durch einen massiven Anschlag stillgelegt wurde ransomware Angriffen lahmgelegt wurde, sind die Angreifer wieder am Werk. Nun wird berichtet, dass der irische Gesundheitsdienst am Freitag nach einem gezielten Angriff auf ransomware seine IT-Systeme abgeschaltet hat, während ein Chemieunternehmen in Deutschland am selben Tag ein Lösegeld in Höhe von 4,4 Millionen Dollar zahlen musste.
Wir sehen bereits die ersten Auswirkungen des Angriffs auf Colonial, da amerikanische Autofahrer in mehreren Bundesstaaten aufgrund von Treibstoffmangel ihre Tanks nicht füllen können, und wer weiß, wie sich dies in naher Zukunft auf Branchen wie den Reise- und Schiffsverkehr auswirken wird. Jetzt wird das Gesundheitssystem eines ganzen Landes von Cyberkriminellen in Mitleidenschaft gezogen - es handelt sich nicht mehr nur um ein technisches Problem, sondern um ein viel größeres.
Ransomware im Gesundheitswesen ist ein weiterer Beweis für die Konvergenz von physischem und digitalem Leben - eine Auswirkung, die das Potenzial hat, die Lebensqualität und die Pflege zu beeinträchtigen, die Menschen zum Leben brauchen. Doch bevor wir uns daran gewöhnen, bei jedem Hinweis auf eine Sicherheitsverletzung oder einen Angriff aus dem Bett zu springen und mit dem Finger auf die überforderten Security Operations Center (SOCs) zu zeigen, sollten wir die Schuldzuweisungen für einen Moment auf Eis legen.
Wenn es in einem Unternehmen eine Instanz gibt, die nicht möchte, dass so etwas passiert, dann ist es das SOC. Es ist auch sehr wahrscheinlich, dass die Unternehmensleitung davon überzeugt ist, dass Sicherheitsprävention und -warnungen Priorität haben, und zwar so sehr, dass SOCs eine Quote für Sicherheitswarnungen erfüllen und darüber berichten müssen. Eine verrückte Maßnahme, wenn man bedenkt, dass Alarme nicht gleichbedeutend mit Angriffen sind.
Ein großer Teil des Problems besteht darin, dass zu viele Sicherheitsanbieter den Raum mit heißer Luft füllen, indem sie darauf hinweisen, dass Warnmeldungen die Antwort sind. Das sind sie aber nicht.
Auf der Suche nach Antworten
Unser Director of Security Research, Nathan Einwechter, traf sich kürzlich mit Sicherheits-Boulevard über den Angriff auf die Colonial Pipeline gesprochen und erklärt, dass die Gruppe, die hinter dem Angriff steckt, zwar für ihren hohen Grad an Raffinesse und ihr absichtliches, langsames Vorgehen bekannt ist, dass aber nichts an den Werkzeugen oder Taktiken, die bei dem Angriff verwendet wurden, besonders neu oder neuartig war.
Und das ist es, was hier wirklich beunruhigend ist. Die verwendeten Taktiken sind nicht neu, doch von den Sicherheitsteams wird erwartet, dass sie dieselben Tools einsetzen, von denen wir wissen, dass sie nicht funktionieren, obwohl der Schwerpunkt eigentlich auf einer besseren SOC-Unterstützung liegen sollte. Mit der richtigen Unterstützung werden sie in der Lage sein, den Gesamtansatz zur Erkennung und Reaktion richtig anzupassen.
Um wirklich voranzukommen und von diesem Wahnsinn wegzukommen, müssen wir aus diesen Vorfällen lernen und einen anderen Ansatz wählen. Unternehmen sollten davon ausgehen, dass es zu einem Sicherheitsverstoß kommen wird, und wenn dies der Fall ist, ist dies einmal mehr der Beweis dafür, dass man sich nicht allein auf die Warnungen von endpoint verlassen kann, um ihn zu verhindern. Wie in dem Artikel des Security Boulevard erwähnt, ist die Gruppe, die hinter dem Colonial-Angriff steckt, für ihr langsames Vorgehen bekannt, bei dem es oft Wochen oder Monate dauert, bis es zu einer zerstörerischen Wirkung kommt.
Wir wissen nicht, wie lange die Hacker im System waren, aber wenn die Angreifer in Ihrer Umgebung sitzen und Ihre Endpunkte fernsteuern, sich seitlich bewegen, um den Zugriff zu erweitern, Informationen sammeln, Daten exfiltrieren oder auf ein beliebiges Ziel hinarbeiten, das sie erreichen wollen - wie können Sie das erkennen?
Es ist wichtig zu erkennen, dass Angreifer keine offensichtlichen Züge machen - sie müssen keine lauten Exploits über die Leitung schicken, wenn der Diebstahl von Anmeldeinformationen zur Nutzung vorhandener Verwaltungsdienste ausreicht. All dies führt zurück zur Unterstützung des SOC. Allzu oft sind sie personell unterbesetzt, haben keinen ausreichenden Einblick in ihre Umgebungen und verfügen im Allgemeinen nicht über die notwendigen Ressourcen, um der Flut von Ereignissen nachzugehen, die unweigerlich aus ihren vorhandenen Tools kommen.
SOCs scheitern nicht an mangelnder Intelligenz oder daran, dass sie sich nicht genug Mühe geben, sondern an ihren Unternehmen, die ihnen nicht die erforderlichen Ressourcen und die notwendige Unterstützung bieten. Dazu gehört auch die Unterstützung bei der Abkehr von der standardmäßigen, unzulänglichen Arbeitsweise, bei der von den SOCs erwartet wird, dass sie Tausende von Ereignissen pro Tag bewältigen und irgendwie diese ein oder zwei kritischen Probleme finden. Es geht darum, mit genügend Zeit und Ressourcen (Schulungen, Richtlinien und Tools) ausgestattet zu sein, um dringende Probleme zu lösen. Aber bedenken Sie: Je länger das größere Problem unbehandelt bleibt, desto häufiger werden wir diese warnenden Geschichten hören - hoffen wir, dass sie zum Handeln anspornen und nicht zu stumpfer Gleichgültigkeit.