22/1/2021

Wie Varonis vor Ransomware wie Emotet, Netwalker und Co. schützt

Nachdem wir ausgiebig darüber berichtet haben, was Netwalker ist, beleuchten wir nun die Prävention vor solchen und ähnlichen Attacken.
Von
Michael Döhmen
IT-Security Enthusiast
und

Die Zahl der Vorfälle steigt stetig

Bereits im letzten Beitrag zum Thema Netwalker schon erwähnt, spielt die Sensibilisierung der Mitarbeiter bei der Abwehr von Malware im Allgemeinen und Netwalker im Besonderen eine Schlüsselrolle. Phishing stellt nach wie vor ein gefährliches Problem dar, worauf auch der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland des BSI hinweist. Und leider ist davor niemand wirklich sicher. Stimmen Inhalt und Timing, kann wirklich jeder zum Opfer werden. Deshalb sind Unternehmen gut beraten, auf zusätzliche Maßnahmen zu setzen, etwa durch proaktive Bedrohungserkennung und intelligente Nutzeranalyse.

Schutz durch verhaltensbasierte Bedrohungserkennung

Varonis kann Sie mit verhaltensbasierten Bedrohungsmodellen für jede Phase der Kill-Chain auf frühe Anzeichen einer Kompromittierung durch Ransomware-Angreifer aufmerksam machen. Das Tool erstellt plattformübergreifende Benutzerprofile und kombiniert subtile Abweichungen im E-Mail-Verhalten mit verdächtigen Anmeldeereignissen, Netzwerkverbindungen und Datenzugriffen. Durch diese Korrelation ist es möglich, Bedrohungen zu identifizieren, die von anderen Sicherheitslösungen übersehen werden – bei gleichzeitig deutlich weniger Fehlalarmen.

So erkennt Varonis Phishing-Versuche durch die Überwachung von Microsoft Exchange und Exchange Online-Postfächern auf bösartige Dateianhänge, die bekannten, oftmals als Vorlage verwendeten Mustern entsprechen. Und mit den Proxy-basierten Erkennungsfunktionen von Varonis Edge können Sicherheitsverantwortliche erkennen, dass ein Benutzer einen Anhang herunterlädt oder auf einen Link im Textkörper einer E-Mail klickt, der zu einem bösartigen Netwalker-Download führt.

Sobald ein kompromittiertes Benutzerkonto beginnt, auf sensible Daten zuzugreifen, greift die verhaltensbasierte Bedrohungserkennung. Durch verschiedene Verhaltensmodelle erlernt die Software das „normale Verhalten“, also wie bestimmte Benutzer regelmäßig auf Daten zugreifen. Treten dann merkliche Veränderungen auf, etwa der Zugriff auf eine ungewöhnlich hohe Datenmenge, kann das System eine entsprechende Warnung ausgeben. Zudem unterscheidet es zwischen manuellen und automatisierten Aktionen, sollte ein Benutzer beginnen, Dateien auf anormale Weise zu exfiltrieren und zu verschlüsseln. Auf diese Weise können Ransomware-Angriffe frühzeitig gestoppt werden. Den Sicherheitsverantwortlichen ist es dabei sogar möglich die Reaktionen auf bestimmtes Nutzerverhalten zu automatisieren, das Konto zu deaktivieren sowie aktive Verbindungen zu trennen.

Durch die Beobachtung der Dateisystemaktivitäten erkennt Varonis schnell, ob Ransomware bekannte Penetrationstools auf der Festplatte speichert (dies ist eine gängige Netwalker-Taktik) oder wenn ein Benutzer Dateifreigaben nach Dateien durchsucht, die Kennwörter oder andere sensible Daten enthalten.

Mit dem Least Privilege-Modell die Angriffsfläche verkleinern

Diese Suchvorgänge sind aus Angreifersicht vor allem deswegen „erfolgreich“, da in aller Regel jeder Mitarbeiter (mit seinem Benutzerkonto) Zugriff auf weitaus mehr Dateien hat, als er tatsächlich benötigt. So zeigt der letzte Datenrisiko-Report, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich und in jedem zweiten Unternehmen alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können.

Neben einer effektiven Erkennung eines Angriffs spielt entsprechend auch die Reduzierung der Zugriffsrechte eine wesentliche Rolle. Denn die möglichen Auswirkungen einer Kompromittierung sollten so gering wie möglich gehalten werden. Durch das Least Privilege-Modell wird sichergestellt, dass jeder nur den Zugriff erhält, den er für seine Arbeit benötigt. Die Plattform erkennt zu weitgefasste Zugriffsrechte und ermöglicht automatisierte Prozesse zu deren Reduzierung. Auf diese Weise wird nicht nur die Angriffsfläche signifikant reduziert, sondern auch der Schaden, den ein Ransomware-Angriff verursachen kann.

Schnelligkeit ist entscheidend

Hat man den Verdacht, Opfer der Netwalker-Ransomware geworden zu sein, sollte man schnell handeln. Varonis ermöglicht die Abfrage für alle Dateizugriffe und Änderungen, die von einem bestimmten Benutzer über einen definierten Zeitraum hinweg vorgenommen wurden, um betroffene Dateien zu lokalisieren und die korrekten Versionen wiederherzustellen.

Die eigene Abwehrbereitschaft erkennen – jetzt Ransomware Risk Assessment buchen

Ransomware entwickelt sich stetig weiter und wird immer schwieriger zu entdecken. Unternehmen müssen ihre Angriffsfläche proaktiv begrenzen und wirksame Erkennungsmethoden einführen, um diese Bedrohungen erfolgreich zu bekämpfen. Neben geschulten Mitarbeitern kommt es dabei auch auf die richtigen Technologien und Partner an. Der datenzentrierten Varonis-Plattform kann in diesem Zusammenhang eine Schlüsselrolle zugeschrieben werden. Denn dort steht die ganzheitliche Betrachtung der IT-Infrastruktur im Fokus.

Wenn Sie herausfinden wollen, wie anfällig Ihr Unternehmen für einen Ransomware-Angriff ist, an welchen Stellen Sie verwund- und angreifbar sind, können Sie sich zum kostenloses Ransomware Risk Assessment von Varnonis anmelden.

Nehmen Sie im Vorfeld gerne Kontakt mit uns auf, um in einem ersten Dialog evaluieren zu können, ob Varonis ein passendes Element in Ihrer IT-Infrastruktur sein kann.

Sie benötigen weiterführende Informationen?

Hier geht's zur Produkt-Seite.
Zur Produktseite hier klicken