Aufrufe
vor 3 Monaten

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

Advertorial Ransomware:

Advertorial Ransomware: Backup als letzte Verteidigungslinie Die Anzahl der Cybervorfälle in der Schweiz steigt – und Angriffe werden immer zielgerichteter. Die TIM Storage Solutions AG unterstützt Partner zusammen mit Veritas Technologies dabei, umfassende Sicherheitsstrategien konsequent umzusetzen und so den Schaden im Ernstfall erheblich zu reduzieren. Unternehmen haben ihre Anwendungen in den vergangenen Monaten stärker in Richtung Cloud migriert, damit Mitarbeitende auch von zuhause auf Daten und Applikationen zugreifen können. Daten wurden in kurzer Zeit an viele neue Orte verlagert. Ihre Pflege wird dadurch aufwändiger, sie im Blick zu behalten schwieriger. Die Gefahr für Angriffe von aussen wächst. Ein Blick in die aktuellen Auswertungen des Nationalen Zentrums für Cybersicherheit (NCSC)* zeigt, dass es in den ersten Wochen des Jahres 2021 zu einem deutlichen Anstieg der Cybervorfälle in der Schweiz kam – eine besorgniserregende Entwicklung. Fortschritte in Sachen RaaS (Ransomware-as-a-Service) durch Hackergruppen werden das noch beschleunigen. Unternehmen brauchen daher flexible Tools, die automatisch einen Überblick über die gesamte Datenlandschaft von der Cloud bis zum lokalen Rechenzentrum schaffen. Dann können Firmen *https://de.statista.com/statistik/daten/studie/1218026/ umfrage/entwicklung-der-gemeldeten-cybervorfaellebeim-ncsc-in-der-schweiz jaydeep / pixabay.com Reaktionszeiten bei Angriffen verkürzen und «blinde Flecken» vermeiden, die von Hackern ausgenutzt werden könnten. Ein funktionierendes Backup ist das stärkste Mittel gegen jeden Ransomware-Erpressungsversuch. Selbst wenn alle technischen Abwehrmassnahmen gegen Schadcodes scheitern, lassen sich so die gekaperten Daten aus den Backups wiederherstellen. Das betroffene Unternehmen kann weiterarbeiten und sich darauf konzentrieren, den Eintrittsweg der Ransomware zu finden und zu sperren. So lässt sich der Schaden bei Ransomware-Attacken eingrenzen: Daten klassifizieren Firmen sollten die Architektur ihrer IT-Infrastruktur – ob On-Premises, Cloud oder Multi-Cloud – und alle dortigen Datenquellen und ihre Beziehung untereinander genau kennen. Nur wer weiss, wo Informationen gespeichert sind, wer auf sie zugreifen kann und wie lange sie vorgehalten werden, kann potenzielle Schwachstellen und damit Angriffsziele frühzeitig aufspüren. Regelmässig Backups anlegen Unternehmen, die kompromittierte Daten zuverlässig wiederherstellen können, sind in der Lage, trotz erfolgreichem Ransomware-Angriff Lösegeldforderungen abzuschmettern. Voraussetzung ist, dass sie ihre kritischen Daten auf einer hochskalierbaren Backup- Plattform sichern, die zudem automatisierte Recovery-Mechanismen bereithält. Damit ist ausgeschlossen, dass der Geschäftsbetrieb durch die Attacke vollständig lahmgelegt wird. Angriffe erkennen und richtig reagieren IT-Sicherheitslösungen können Angriffe von aussen identifizieren und sind daher unverzichtbar. Um schnell reagieren zu können, sollten IT-Verantwortliche auf typische Anzeichen einer Attacke achten – etwa einer plötzlich sinkenden Netzwerkleistung oder ein erhöhtes Spam-Aufkommen. Wer solche Signale erkennt, kann sofort Gegenmassnahmen ergreifen – etwa eine Zugriffssperre, das automatische Failover für kritische Dienste sowie Disaster-Recovery-Massnahmen. Beschädigte Daten identifizieren Durch die Replizierung von Backups und ihrer Aufbewahrung in einer Offline-Umgebung ist sichergestellt, dass frei zugängliche Dateien im System wiederhergestellt werden, nachdem die Attacke erkannt und abgewehrt wurde. Das Ausmass eines Angriffs zu erkennen, ist von grösster Bedeutung – sowohl für die Wiederherstellung der Daten als auch für künftige Audits. Mitarbeitende schulen Mit technischen Lösungen lässt sich der Status von Servern zwar effizient wiederherstellen. Doch ein Sicherheitsrisiko bleibt: mögliche Fehler von Mitarbeitenden. Aus diesem Grund sollten Unternehmen ihre Mitarbeitenden für das Thema IT-Sicherheit sensibilisieren und regelmässig Schulungen organisieren. Vollständig integrierter Schutz Veritas Technologies hat seine Enterprise Data Services Platform kürzlich mit einem Update erweitert, sodass Firmen ihre Daten nun in nahezu allen Bereichen vor Ransomware schützen können. Die neue Version unterstützt unter anderem Container-Umgebungen und warnt Verantwortliche dank künstlicher Intelligenz (KI) vor Anomalien bei Backup-Prozessen. Die NetBackup Flex-Appliance liefert zudem stärkeren Schutz vor Ransomware vom Edge, über die Cloud bis zum zentralen Rechenzentrum. So erhalten Kunden einen umfassenden Schutz von einer einzigen Plattform aus und das Risiko von Datenverlusten sowie möglichen Schäden durch Ransomware-Attacken sinkt erheblich. Für weitere Informationen kontaktieren Sie TIM Storage Solutions AG unter: www.tim-vad.com/ unternehmen/contact TIM Storage Solutions AG Oberneuhofstr. 3 CH-6340 Baar +41 41 521 7000 tim@tim-vad.ch www.tim-vad.com/

Technology Fachbeitrag 51 Eine kleine Geschichte zu Threat Detection Digitalisierung und Vernetzung verändern Industrieanlagen enorm. Insbesondere die Integration digitaler Lösungen in alte Anlagen macht sie verwundbar und zu einem vermeintlich leichten Ziel für Cyberangriffe. Die Motivationen für Cyberattacken sind meist sehr unterschiedlich. Die Zahl pseudo-anonymer Angriffe, die ein politisches oder gar militärisches Statement abgeben wollen, steigt zunehmend. Steht eine staatliche Macht dahinter, verfügen die Angreifer über fast unerschöpfliche Ressourcen und die Frequenz und Qualität der Attacken nimmt zu. Die bisher bekannten Angriffe auf Industrieanlagen lassen sich in zwei Gruppen aufteilen: in die gezielten Angriffe vom Typ Stuxnet, Triton/Trisis oder Ekans sowie die opportunistischen Infektionen von Conficker bis xxxPetya. Nicht nur Angriffsmethoden und -werkzeuge haben sich weiterentwickelt. Betrachtet man die Evolution der Threat Detection, also das Erkennen von Bedrohungen und Angriffen, so bringt die zunehmende Nutzung von Methoden wie Machine Learning (ML) insbesondere für die Anomalie- Erkennung in OT-Netzen Vorteile. Unregelmässigkeiten lassen sich einfach erkennen, da die vorwiegende Machineto-Machine-Kommunikation dieser Netze strengen statischen Regeln folgt. Evolution der Schutzmassnahmen Wer lange genug im IT-Security-Umfeld tätig ist, erinnert sich noch an Intrusion Detection Systems (IDS) der ersten Generation, deren Angriffserkennung ausschliesslich auf statischen Signaturen basierte. Es war nahezu unmöglich, aus der Flut von detaillierten Alarmen sinnvolle Informationen für das Ergreifen von konkreten Gegenmassnahmen, also für die Incident Response, zu gewinnen. Da die rein signaturbasierte Erkennung derzeit nur noch geringe Erkennungsraten hätte, nutzen moderne IDS mittlerweile eine Vielfalt von Detection Engines, die unter anderem auch ML und Sandboxing beinhalten. Aufgrund der Probleme der ersten Generation entwickelte sich eine zweite Generation von Threat Detection – das Security Information and Event Management (SIEM). Die primäre Aufgabe hierbei ist die Korrelation zahlreicher Security Events aus unterschiedlichen Quellen und die Extraktion von Informationen, aus denen sich konkrete Handlungen ableiten lassen. Die Systeme arbeiten regelbasiert, wobei das Erstellen dieser Regeln Expertenwissen erfordert. Dabei hängt die Qualität der Informationen, die Security-Analysten aus dem System ziehen, stark von der Qualität der Regeln ab. SIEM-Systeme sind heute noch wichtige Bausteine in einer gemeinsamen IT- und OT-Verteidigungsstrategie, da sie die sicherheitsrelevanten Daten aus beiden Welten zusammenführen können. Verhaltensmuster erkennen Die dritte Generation von Threat Detection umfasst Verhaltensmusteranalysen mit Big Data und mathematischen Verfahren wie ML oder neuronalen Netzen. Hierbei beobachtet und lernt das System das gewöhnliche Verhalten der Anlage und erkennt Abweichungen von den Grundeinstellungen. Während SIEMs aufgrund der hohen Datenmenge die Rohdaten typischerweise für einen Zeitraum von 30 bis 90 Tagen speichern, erlauben die auf Verhaltensmuster basierenden Threat-Detection-Systeme vor allem im OT-Bereich (aufgrund der niedrigen Datenmenge in OT-Netzen) eine Langzeitbetrachtung. Diese kann sogar ein Jahr oder länger dauern, da detaillierte Rohdaten nur zu gewissen Anlässen gespeichert werden. Den OT-Prozess verstehen Die nächste Generation geht einen Schritt weiter und sorgt für OT Process Awareness. Dabei werten Algorithmen die Parameter nicht nur aus, sondern berücksichtigen auch die Zusammenhänge innerhalb der Produktionsabläufe – verfügen also über ein tiefes Verständnis der OT-Prozesse. Ein Beispiel: Ein Ventil fährt auf einen gültigen Wert, aber diese Einstellung ergibt zu diesem Zeitpunkt im Prozess keinen Sinn. Wie ausgereift aktuelle KI-Lösungen schon sind, wird sich jedoch erst in Zukunft zeigen. Bild: Rawpixel / Freepik.com DER AUTOR Daniel Nussbaumer leitet als Deputy Head der Portfolio Unit «Cyber Security Alpine» den Schweizer Geschäftsbereich Cyber Security bei T-Systems Den Beitrag finden Sie auch online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 09 / 2021

Archiv

Specials