Ransomware – (M)eine Analyse mit Handlungsempfehlungen

1. Vorbetrachtung

In den letzten Monaten hat die Ausbreitung von sogenannter Ransomware (Erpressungs-Schadsoftware) erheblich zugenommen. Medienwirksam bekannt sind Locky, Cerber, Cryptoware. Darüber hinaus gibt es jedoch zahlreich ähnliche.

Derartige Bedrohungen werden aufgrund Ihrer finanziellen Lukrativität sicher noch massiver zunehmen als bisher. Die Zahlung der Erpressungssummen über BITCOIN’s machen diesen Finanzweg für die Hackingszene äußerst attraktiv. Die üblichen Firewall’s und Virenscanner sind hier einfach nicht mehr in der Lage, derartige Bedrohungen frühzeitig zu erkennen Dies liegt daran, dass die Ausbrüche nicht mehr vorhergesehen werden können und mittlerweile auch MAC- & Linuxsystem das Ziel sind.

Ein Umdenken in der IT-Sicherheitsstrategie ist daher dringend ratsam. Keine Frage: Virenscanner und Firewall sind und bleiben zum heutigen Stand ein absoluter Standard. Vielmehr geht es darum mehr „künstliche Intelligenz“ vor Ausbreitungen zu integrieren.

2. Einleitung

Um Prävention zu betreiben ist es unverzichtbar seine IT-Landschaft zu kennen und immer wieder aktuell zu analysieren. Dieses ist nicht neu sondern seit eh und je eine feste Basis. Allerdings muss diese Basis wirksam ergänzt werden um Ransomware aktiv einzugrenzen. Auch muss deutlich gesagt sein: der 100%-Schutz ist pure Illusion. In den folgenden Unterthemen dieses Kapitels gehen wir hierauf näher ein.

2.1 bekannte Infektionswege

Zunächst muss man generell anmerken, dass die derzeit bekannten Ransomware-Infektionen zumeist über 3 Wege auf Systeme gelangten:

  1. E-Mail-Anlagen
  2. Speichermedien durch User
  3. Downloadverhalten des Anwenders.

Alle drei Fälle belegen den gleichen Schwachpunkt: die Schnittstelle „Anwender“. Neben Sensibilisierung der Anwender, welche eine absolut nötige Maßnahme darstellt, haben wir hier wir die Chance zur direkten Eindämmung von Ransomware.

2.2 Basisfragestellungen zur Präventionsableitung

Dazu sollten wir nachfolgend die soeben erwähnten Bereiche näher beleuchten. Allen voran ist die Fragestellung:

  • Wie kommen Daten in mein Unternehmen?
  • Welchen Weg nehmen Daten in meinem Unternehmen?
  • Wer oder was verursacht Daten in meinem Unternehmen?
  • Welche Art Daten und über welche Wege gehen meine Daten beim Verlassen?

Hat man diese Fragen beantwortet lassen sich aus den Antworten wirksame Gegen- & Präventionsmaßnahmen ableiten. Generell ist es dazu notwendig diese zu unterteilen in:

  • „DataLeakagePrevention“ (DLP): Datenwege (auch unbekannte) auditieren und Filtern
  • „Antispam“: Mailgateway und Quarantäne für E-Mail‘s
  • „Speichermedienkontrolle“: nur die festgelegten Dateien werden gespeichert
  • „Contenfiltering“: es dürfen nur die Daten entstehen, welche definiert sind
  • „Datenträger- & Festplattenverschlüsselung“: Datendiebstahl erschweren
  • „Webfiltering“: zur Steuerung des erlaubten Webverhaltens
  • „Applikationskontrolle“: nur bekannte Anwendungen dürfen Daten Verursachen
  • „Accessmanagement“: Berechtigungen aktiv verwalten und durchsetzen
  • „Network Access Control“ (NAC): zur Durchsetzung der Compliance im Unternehmen
  • „Vulnaribilty-Control“: stetige Schwachstellenerkennung im Netzwerk
  • „Bad-USB Schutz“: Keylogger und RubberDucky Angriffe vermeiden
  • „Network-Bridging-Control“:B. Handy als Router zum Datenumleiten (Tethering)
  • „Patchmanagement & Compliancedurchsetzung“: einheitliche aktuelle Systeme
  • „Notfalldokumentation“: automatisierte Checklisten und Netzwerkpläne
  • „Backuplösungen“: Datensicherung und Datenwiederherstellung
  • „Antiviruslösungen“: schlummernde Bedrohungen und Verhaltensmusterbewertung.

Auch wenn ein Unternehmen nur teilweise die aufgeführten Punkte implementiert wird der Grundschutz generell erhöht. Somit kann Schritt für Schritt die Integration von Lösungen im Bezug zur Investitionsplanung vorangebracht werden. In den nachfolgenden Kapiteln werden die Einzelthemen näher betrachtet und somit der Gedanke hinter diesem Konzept transparenter.

3. Die Themen im Einzelnen näher betrachtet

Nun sind mitunter Begriffe im vorherigen Kapitel gefallen, welche einer näheren Erläuterung notwendigerweise bedürfen. Dieses soll in den nächsten Unterthemen dieses Kapitels erfolgen.

3.1 „Data Leakage/Loss Prevention“ (DLP)

Dieser Begriff beschreibt WIKIPEDIA ausführlich, daher beschränke ich mich auf die Kurzfassung. Demnach reden wir über schlicht und einfach über Datendiebstahl.

Statistisch gesehen ist der größte „Datenräuber“ meist im eigenen Unternehmen zu finden: dem Mitarbeiter. Unternehmen ohne DLP unterliegen dem stetigen Abzug, bewusst oder unbewusst rechtswidrig, ihrer Daten durch interne Anwender. Die Arten sind immer die gleichen:

  • USB-Sticks, Speicherkarten, externe Festplatten
  • Cloudspeicher /Webupload
  • Mailattachments
  • CD’s
  • Handys (als Datenspeicher)

Warum und weshalb die Daten auf diesen Wegen das Unternehmen verlassen liegt schlicht und ergreifend in der Antwort: weil es schnell und einfach geht. Die einfachsten Folgen hiervon sind z.B. a-synchrone Unternehmensdaten oder aber simple Dateiverluste. Die schlimmsten Folgen sind Spionage, Knowledge- & Innovationsverlust oder Businessausfall.

Mitunter löscht ein Mitarbeiter aber auch Unternehmenswichtige Daten. Der Nachweisweg bei fahrlässiger Handlung ist schwierig. Aber auch um festzustellen das ETWAS die Daten löschte (Schadsoftware) ist ein Audit der Datenbewegungen absolut sinnhaft und nachvollziehbar.

3.2 Antispam

Der Einfallweg für Ransomware, speziell LOCKY, ist meist über E-Mail-Attachments. Der Anwender mag seitens des Unternehmens sensibilisiert sein mit anlagen sorgsam umzugehen. Was aber, wenn die Mail von einem Kollegen, guten Freund oder Geschäftspartner „gefaked“ ist? Ganz klar gesagt: der Empfänger (Anwender) fällt zu 75% herein und öffnet die schädliche Dateianlage (meist DOC, XLS, PDF oder aber auch jpeg).

Hier gilt es also: frühzeitig e-Mails filtern und intelligent bewerten. Wenn man dies nun „vor seiner eigenen Haustür“ (also vor der eigenen Firewall) umsetzt umso sicherer. Hierbei kommen Webanbieter in den Fokus, welche den Mailverkehr abfangen, bewerten und klassifizieren bevor diese an den eigenen (in-House) Mailserver übermittelt werden.

Der Vorteil der Webanbieter liegt klar auf der Hand. Durch die Vielfalt der Kunden und der damit ableitbaren Menge der eingehenden Mails lassen sich Verhaltensmuster von Schadmails bewerten. Somit entsteht eine wirksame Datenbank zur Früherkennung (Sandbox-Verfahren) von Mails.

3.3 Speichermedienkontrolle, Datenträger- & Festplattenverschlüsselung

Wenn das eigene Unternehmen es zulässt, dass Speichermedien irgendeiner Art (USB, SD, extHDD etc.) an den Endpunkten, also den Benutzer-PC’s, angeschlossen werden sollte es in Unternehmensinteresse sein, den Datenweg einzudämmen. Dies gelingt nur durch die Kontrolle eben dieser Speichermedien. Speichermedien sind aber auch Festplatten in Notebooks (welche z.B., im Außendienst genutzt werden), Handy’s, Tablet’s, Kameras und Camcorder. Doch was sollte kontrolliert werden?

  • Welche „Dateien“ dürfen denn überhaupt auf Speichermedien welcher Art ausgelagert (kopiert werden?
  • In welcher Form ist das Auslagern erlaubt (Thematik Verschlüsselung)?
  • Wer darf denn überhaupt Daten auf externe Medien speichern?
  • Welche Benutzer(-gruppen) dürfen untereinander externe Speichermeiden untereinander nutzen und vor welchen(m) Benutzer(-gruppen) sollen diese Speichermedien geschützt sein?
  • Wie schütze ich mich und mein Unternehmen vor Datenverlust, wenn ein Speichermedium rechtswidrig (z.B. Diebstahl) „nach außen“ gelangt?

Hier kommt man Zwangsläufig am Thema Datenträgerverschlüsselung nicht mehr vorbei.

Allerdings sollte und muss man sich bei der Hauptthematik „Speichermedienkontrolle“  auch für Netzlaufwerke ähnliche Fragen stellen:

  • Wer darf denn wo Daten ablegen?
  • Wie und „von Was“ entstehende Daten auf meinen Netzlaufwerken?

Um diese Fragen zu beantworten rücken die beiden in einem späteren Absatz erläuterten Themen Applikationskontrolle und AccessManagement in den Vordergrund.

3.4 Contentfiltering & Webfiltering

Eingedeutscht spricht man hier von Inhaltskontrolle. Diese Inhaltskontrolle umfasst viele Teilbereiche der heutigen IT-Landschaft. So gilt es heute, anders als noch vor wenigen Jahren, nur erlaubte Inhalte freizugeben (und nicht wie damals unerlaubte zu sperren).  Technisch sprechen wir vom Whitelisting / Blacklisting. Ich möchte dieses Thema in Beispielen erläutern.

Beispiel „Locky“: verschlüsselte Dateien haben die Gemeinsamkeit der Dateiendung „.locky“

Wenn wir vermeiden wollen, dass ein mit Locky infizierter PC unsere wertvollen Daten auf dem Netzwerkspeicher (Shares) verschlüsselt: warum verhindern wir nicht einfach das Entstehen von Dateien mit dieser Endung (.locky)? Dies würde ein Mindestmaß an Prävention bedeuten.

Nun kann man hier zum einen per Blacklist definieren (z.B. mit den Windows-Fileserver-Bordmitteln), dass wir Dateien mit dieser Endung verbieten. Aber: wenn locky ab morgen die Dateiendung „.lock-i“ nutzt sind wir wiederum anfällig.

Was also spricht gegen ein Whitelisting der Dateitypen, welche wir erlauben möchten (also Whitelist)?

Beispiel Webfilter: Jugendschutz und Webspeichernutzung

Beim sogenannten Webfiltering ist es auch durchaus sinnvoll Webseiten entsprechend ihres Inhaltes (Contents) zu filtern. Klassisches Beispiel U18-Jugendschutz: was, wenn ein Lehrling während seiner Arbeitszeit auf Webseiten mit jugendgefährdenden Inhalt gelangt?

Oder aber: wie verhindern wir einen Datenupload zu Web-Filestores (Dropbox & Co.)? Datenverlust auf dem Web-Weg sind tägliche Tatsache.

 

Beide Fälle zeigen auf, dass eine Implementierung von Contenfiltering-Lösungen durchaus Sinn machen.

3.5 Applikationskontrolle

Zur Fragestellung „Was verursacht Daten in meinem Unternehmen“ ist Applikationskontrolle ein wirksames Mittel. Wieder am Beispiel Locky-Trojaner kann man feststellen, dass zur Verschlüsselung der Daten auch eine entsprechende Applikation nötig ist, welche im Hintergrund die Daten verschlüsselt. Jetzt könnte man auch wieder per Blacklist verhindern, dass eben diese Applikation auf den Client-PC gestartet wird. Dazu müsste man allerdings erst einmal wissen wie diese heißt noch wie die Applikation hinter dem „Trojaner von morgen“ heißt. Warum also nicht Whitelisting der Applikationen, welche wir kennen um unbekannte zu blockieren? Oder aber Herstellerzertifikate „Whitelisten“ um weniger Aufwand zu haben?

Genau dies ist umsetzbar und machbar durch Applikationskontrolle.

3.6 Access Management

Es ist seit vielen Jahren Standard: sogenannte NTFS-Berechtigungen auf Laufwerken. Allerdings liegt der Gefahrenpunkt eben genau in der langweiligen Betrachtung. In gewachsenen Strukturen sind falsch vergebene Berechtigungen oder Zugriffsrechte durch Verschachtelte Gruppenmitgliedschaften oftmals unerkannt und nicht ohne großen Aufwand korrigierbar. hinzu kommt die Vielfalt der Zuständigkeiten, mehreren Administratoren und ungenügende Ressourcen. Fehlender Manpower und Zeit zur Datenspeicherpflege ebenso.

Modernes Access Management ist hier mittlerweile fast unverzichtbar. Es hilft nicht nur bei der Steuerung und Überwachung von Compliance sondern verhindert auch Fehladministration im Alltagsbusiness.

Demnach erreicht sich mit Lösungen zum Thema AccessManagement ein hoher Level zur Absicherung der internen Datensicherheit.

1.7 Network Access Control (NAC)

Die Vielfalt in der IT-Landschaft hat sich in den letzten 10 Jahren massiv gesteigert. Im Bezug zum Fachpersonal und der nötigen technischen Ressourcen zur Umsetzung von Unternehmenscompliance sind die manuellen Möglichkeiten regelrecht Erschöpft. Was also tun, wenn ein Ernstfall eintritt? Hierzu ein Beispiel.

Im Thema „Applikationskontrolle“  wurde Whitelisting angesprochen. Nehmen wir also an, auf einem PC wird eine Applikation gestartet welche wir nicht in unserer Whitelist definiert haben. Diese Applikation ist neu, unbekannter Herkunft ist könnte ein Trojaner sein. Unser Administrator bekommt eventuell sogar eine Nachricht, damit er handeln kann. Es vergehen mindestens einige Minuten bis der PC entsprechend isoliert ist. Mitunter viel zu spät für Gegenmaßnahmen.

Mit einem intelligenten NAC-Management lässt sich dieses Szenario dahingehend vermeiden, dass der „nicht der Compliance“ entsprechende PC automatisch z.B. in ein Wartungs-VLAN verschoben wird. Die Bedrohung somit eingedämmt und die Gefahr für das Gesamtunternehmen isoliert. Die Auslöser für eine „nicht-Compliance“ können zum Beispiel überalterte Antivirus-Definitionen oder aber nicht installierte Sicherheitspatches sein.

3.8 Vulnaribility-Control

Letztlich verbirgt sich hinter diesem Begriff eine Schwachstellenerkennung und somit auch Bedrohungserkennung. Das Ganze in Form von Tests auf bekannte und vermeintliche offene Einfallpunkte im Netzwerk. Hierbei werden Ports und Freigaben aktiv und (sinnvollerweise) fortlaufend entsprechender Checkdaten-Kataloge überprüft, bewertet und gemeldet.

3.9 BAD-USB-Schutz

Die Hackerszene wird immer einfallsreicher was das abziehen von Daten & Passwörtern betrifft. So gibt es neben sogenannten „RubberDuckys“, „LAN-Turtle’s“ nun auch Keylogger in Form von simulierten Tastaturen. Die Bedrohung daraus erläutere ich gern wie an einem Beispiel.

Eine Mitarbeiter einer Reinigungsfirma steckt nachts an einen PC einen USB-Keylogger oder RubberDucky.

Denken Sie wirklich, dass Ihre Benutzer das mitbekommen? Glauben Sie wirklich, dass Mitarbeiter unter dem Schreibtisch an der Rückseite des PCs solch ein Gerät suchen würden?

Wie kann man sich also schützen? Dies geht nur über den Weg, das man wiederum ein Whitelisting die bekannten Geräte freigibt und unbekannte solange blockiert, bis diese freigegeben werden. Dies ist mit entsprechenden Softwarelösungen absolut realisierbar. und schließt ein weiteres Loch in der IT-Sicherheit.

3.10 Network-Bridging-Control

Hier beziehe ich auch eine WIFI-Kontrolle mit ein. Es geht ganz einfach darum, dass nur bekannte Netzwerke benutzt werden können und vermeintliche Doppelnetzwerkanschlüsse (z.B. Tethering durch Handy-Hotspot, Bluetooth-Connect etc.) verhindert und blockiert werden. Darüber hinaus gilt es festzulegen ob und wie sich Geräte in erlaubte oder unerlaubte WLANs verbinden dürfen oder nicht.

Hierbei sind verschiedenste Szenarien zu betrachten und gegebenenfalls zu schützen.  Mit entsprechenden Management-Tools sind diese aber auch zielführend realisierbar.

3.11 Patchmanagement & Compliancedurchsetzung

Nichts ist anfälliger als ein großer Zoo mannigfaltiger Betriebssysteme und Applikationsstände. Zum einen macht es die Systemverwaltung für die IT-Administratoren zur Mammutaufgabe und zum anderen bedeutet es einen schier endlosen Vorrat an Patchständen, Versionsupdates etc.

Für die technische Compliance in Unternehmen ist es vielmehr notwendig diese sowohl Auditierbar zu inventarisieren (ISO, VDS) als auch gleiche IST-Zustände zu schaffen. Hierzu sind Softwaredeployment, Patchmanagement und OS-Deployment absolut ratsame und wirksame Mittel.

3.12 Notfalldokumentation

Ist ein Notfall eingetreten gilt es das eigene Business zu retten. Notwendig sind dazu Systembezogene und steig aktuelle Dokumentationen der IT-Landschaft. Meist fehlt allerdings die nötige Zeit für eine sorgfältige und Tagesfrische IT-Dokumentation. Netzwerkpläne, Workflows und Systemdatenblätter helfen im Ernstfall nach einem aktuell gehaltenen Wiederanlaufplan, Notfallhandbuch oder Wartungshandbuch Ausfallzeiten zu verkürzen oder ganz zu vermeiden. Anhand aktueller Checklisten und systembezogener Prüfroutinen lassen sich Szenarien planen, prüfen und bewerten.

Die Dokumentation seiner IT-Umgebung ist meist ein Steifkind. Allerdings ist diese zwingend nötig und daher absolut an der Tagesordnung. Automatisierte Dokumentationserstellung somit ein wertvoller Helfer.

3.13 Backuplösungen

In den derzeit massiv voranschreitenden virtualisierten Umgebungen und den Datenmengen ist das gute alte Backupkonzept nicht mehr wegzudenken. Allerdings fehlt meist die Zeit schnell reagieren zu können. Weitere Herausforderungen sind Datenmengen und Performanceeinbußen.

Hier ist mit intelligenten Backuplösungen, welche mit De-Duplizierung und sequentieller Recovery-Auswahl einhergehen ein sehr wichtiger Faktor.

3.14 Antiviruslösungen

Zu guter Letzt muss natürlich noch ein Antivirus Produkt dafür sorgen, dass bekannte Schadsoftware erfolgreich erkannt und gebannt wird. Die Produkte von heute agieren mittlerweile in Form von einer Art Verhaltensmustererkennung bei Schadsoftware. Reines Scannen auf Servern wie früher üblich ist zur Nebensache geworden, da Bedrohungen meist am Endpunkt (dem User-PC) entstehen. Am Server angekommen ist es meist zu spät, da ein Ausbruch quasi schon das Unternehmen befallen hat. daher gilt es dort, wo Schadsoftware in das Unternehmen kommt, primär direkt anzusetzen und den Virenscanner am Server lediglich als Zusatzschutz zu betrachten.

4. Zusammenspiel der Komponenten und Realisierung von Prävention

Betrachtet man die aufgeführten Themen mal konkret als kompakte Einheit wird deutlich, dass Einzelmaßnahmen selbst schon grundsätzliche Sicherheitsanforderungen im Einzelnen schließen jedoch eben ein Komplettschutz nicht gegeben ist. Eine 100%ige Absicherung seiner IT ist aufgrund und insbesondere durch die Komplexität real niemals erreichbar.

Experten bauen auf ein intelligentes und somit lückenloses Zusammenspiel der Komponenten. Damit lassen sich realistische 80-85% Sicherheit realisieren. Alle anderen Werte sind nach eindeutiger Meinung unrealistisch.

Ein Fakt ist, dass der klassische Administrator in Einzelstellung das komplette Szenario nicht mehr im Alleingang erfassen, bewerten und darauf reagieren kann. Vielmehr ist er auf innere & äußere Hilfe angewiesen. Hier kommen Datenschutzbeauftragte und externe Partner ins Spiel. Baut man seine IT obendrein noch so auf, dass diese (auch wenn derzeit noch nicht gefordert) nach ISO und VDS zertifiziert mit IT umgeht hat man das Ziel von über 80% IT-Sicherheit direkt erreichbar vor sich.

 

 

Copyright: Das kopieren der Inhalte (auch teilweise) liegt ausdrücklich beim Inhaber dieses BLOG’s (blog.it-halle.de) und darf nur nach Freigabe andernweitig genutzt, verwendet und publiziert werden.

Kontaktformular für Interessierte: