In der Denkweise eines Bedrohungsakteurs

WEBINAR AUF ANFRAGE

Nachfolgend finden Sie die Fragen, die während des Webinars zum Thema Cyber-Krisenmanagement gestellt wurden.

1. Ich nehme an, es gibt keinen "Tripadvisor" für Ransomware-Agenten - wie wahrscheinlich ist es, dass Ihre Daten wiederhergestellt werden, wenn Sie zahlen?

Die Antwort hängt von der jeweiligen Situation ab. Es liegt im Interesse des Bedrohungsakteurs, Ihnen bei der Wiederherstellung zu helfen, nachdem Sie das Lösegeld bezahlt haben, um seine eigene Glaubwürdigkeit für zukünftige Angriffe aufzubauen. Es gibt viele Beispiele für Unternehmen, die sich nach der Zahlung erfolgreich erholt haben. Allerdings kann es sein, dass das angebotene Entschlüsselungstool nicht funktioniert oder nicht zuverlässig ist und dass Sie bei der Wiederherstellung auf Probleme stoßen.

2. Haben Sie die Erfahrung gemacht, dass viele Organisationen tatsächlich über praktikable Pläne zur Reaktion auf Zwischenfälle verfügen, die simuliert und dann im Falle eines schwerwiegenden Vorfalls tatsächlich befolgt werden? Oder ist es eher so, dass der Incident Response Plan zwar existiert, um die Compliance-Anforderungen zu erfüllen, aber nicht ausführbar/praktikabel ist und die Unternehmen sich eher an Incident Response-Experten wenden?

Das ist eine gute Frage. Leider werden Pläne oft entwickelt, um die Compliance zu erfüllen. Unserer Erfahrung nach besteht der wertvollste Aspekt dieser Pläne darin, sie dort zu entwickeln, wo die wichtigsten Beteiligten tatsächlich über ihre Reaktion diskutieren und zusammenarbeiten können.

Sie werden durch Simulationen und reale Vorfälle effektiver, wenn die daraus gewonnenen Erkenntnisse umgesetzt werden. Anpassungsfähigkeit ist wichtig, da jeder Vorfall einzigartig ist, aber ein fehlender Prozess ist nachteilig.

3. Ich mache mir Sorgen über Single Sign On, weil es Bedrohungsakteuren leichten Zugang zu mehreren Systemen verschaffen kann, sobald ein Einbruch stattgefunden hat. Wenn diese Systeme OT-bezogen sind, ist das ein echtes Problem. Würden Sie SSO für OT-bezogene Systeme empfehlen? Ich bin nicht überzeugt von den Vorteilen im Vergleich zum Risiko. Vor allem, wenn die Anzahl der Benutzer gering ist, weniger als 5.

Die Antwort hängt vielleicht davon ab, mit wem Sie sprechen, aber ich neige dazu, Ihrer Aussage zuzustimmen, dass SSO, insbesondere bei OT und kritischen Systemen, ein erhebliches Risiko darstellen kann. Aus der Sicht eines Angreifers kann ich, wenn ich eine interne Anlage kompromittieren und herausfinden kann, dass sich eine Anwendung in der Umgebung automatisch über SSO authentifiziert, mit Leichtigkeit in die Umgebung eindringen.

Wir sprechen bei der defensiven Sicherheit oft von "Privilegientrennung". Ich bin der Meinung, dass insbesondere bei kritischen Systemen die Trennung von Privilegien auch bei vertrauenswürdigen internen Assets durchgesetzt werden sollte.

4. Können Sie die Reaktion auf einen Vorfall in einer großen, vielschichtigen Organisation näher erläutern und wie das Krisenmanagement auf verschiedenen Ebenen gehandhabt wird (z.B.: globale Steuerung von der Zentrale aus bis hin zu operativen Aufgaben an lokalen Standorten)?

Ich hoffe, dass die Erläuterungen während des Webinars Ihre Frage beantwortet haben, aber ich möchte noch etwas weiter ausholen: Für größere Organisationen ist es entscheidend, über einen Krisenrahmen zu verfügen, der detailliert festlegt, wie Ihre operativen Teams vor Ort mit den strategischen Teams zusammenarbeiten werden.

Sie sollten die Rollen und Verantwortlichkeiten auf jeder Ebene klären und die besten Möglichkeiten für die Zusammenarbeit dieser Gruppen ermitteln. Dies kann durch effektive Briefings, Situationsberichte und schließlich durch Simulationen usw. geübt werden.

5. Gibt es besondere Überlegungen zur Reaktion auf Cybervorfälle in der OT-Umgebung?

Sicherlich gibt es die. Wie im Webinar erwähnt, können Bedrohungsakteure OT-Systeme manipulieren, um größere physische Schäden zu verursachen, oder zumindest damit drohen, Druck auszuüben. Sie können auch die Produktion stoppen oder verlangsamen. Es gibt viele spezifische Risiken im Zusammenhang mit der OT-Umgebung, zu denen wir auf unserer Website weitere Informationen bereitstellen, falls diese hier nützlich sein sollten.

6. Wie viel Verbesserung würde MFA angesichts des Einstiegspunkts für schwache Passwörter in ABC/CBA bieten?

MFA bietet immer eine deutliche Verbesserung bei der Verhinderung einer Kompromittierung, insbesondere bei den üblichen anfänglichen Zugangsvektoren, die sich auf Anmeldedaten konzentrieren. Bei Einsätzen von Red Teams stellen wir jedoch immer noch häufig fest, dass Unternehmen MFA nicht gründlich in ihrer gesamten Domäne implementieren, was es Angreifern ermöglicht, bestimmte Bereiche anzugreifen.

Es sei auch darauf hingewiesen, dass es öffentlich verfügbare Tools gibt, mit denen das MFA-Token während Phishing-Kampagnen abgefangen werden kann (z. B. evilginx2), so dass ein Angreifer Konten trotzdem kompromittieren kann.

Um dies zu erkennen , müssen Sie sicherstellen, dass Anmeldeversuche so eingestellt sind, dass standortbasierte MFA-Zugriffsversuche protokolliert werden, um "ungewöhnliche" Anmeldeversuche zu identifizieren.

7. Sind Fälle bekannt, in denen Blob-Speicher eines großen Technologieunternehmens kompromittiert und verschlüsselt wurden (d.h. keine gehosteten Dateiserver, sondern tatsächlicher Cloud-Speicher)? Wie z.B. Google Drive...

Angriffe auf Blob-/Cloud-Speicher sind zwar seltener, werden aber dennoch durchgeführt. S3 war eine wichtige Komponente bei der Sicherheitsverletzung bei Capital One vor ein paar Jahren. Oft sind diese Sicherheitsverletzungen auf Fehlkonfigurationen zurückzuführen, die hätten vermieden werden können.

Ransomware kann diese Speicherlösungen zwar immer noch angreifen, aber die Wahrscheinlichkeit wird vor allem durch die Möglichkeit, die Unveränderbarkeit von Dateien zu konfigurieren, und die Vielzahl flexibler Wiederherstellungsoptionen verringert. Blob-/Cloud-Speicherlösungen sind dann betroffen, wenn sie mit lokalen und lokalen Lösungen synchronisiert werden (ähnlich wie bei OneDrive und DropBox).

Wenn die lokale Kopie verschlüsselt ist, könnte sie sich zurücksynchronisieren und die in der Cloud gespeicherten Kopien in die verschlüsselte Variante ändern. In den meisten Fällen würden Bedrohungsakteure, die keinen Zugriff auf den lokalen Speicher haben, wahrscheinlich ohne Verschlüsselung exfiltrieren und erpressen, was wir in letzter Zeit häufiger gesehen haben.

8. Wenn Sie sich das Rahmenwerk in Phase 4 ansehen, wo ordnen Sie die spezifischen Notfallpläne für jedes Team im Rahmenwerk ein?

In dem Rahmenwerk würde ich auf der operativen Ebene erwarten, dass ein technischer Vertreter Teil des Teams ist, der über Wiederherstellungspläne berät und einen Plan für die Wiederherstellung entsprechend den Spezifikationen des Vorfalls aufstellt. Auf der taktischen Ebene würde ich erwarten, dass ein leitendes Mitglied des IT-Teams dem gesamten Unternehmen darüber Bericht erstattet, geschätzte Zeitrahmen und Kosten angibt und die geschäftliche Sichtweise zur Priorisierung der Wiederherstellung einholt.

9. Was raten Sie, um den Schutz für Admin- und Domainadministrator-Konten zu erhöhen?

Das häufigste Problem, das ich bei der Ausführung von Aufträgen sehe, ist die große Anzahl von Administratorkonten. Der erste Vorschlag wäre, die Anzahl der hochprivilegierten Konten auf diejenigen zu beschränken, die sie benötigen. Außerdem sollte sich ein Benutzer, der Domänenadministrator-Zugriff benötigt, nicht direkt auf dieser Zugriffsebene anmelden müssen.

Eine Möglichkeit, dem entgegenzuwirken, ist die Einführung einer "2nd Admin"-Richtlinie, bei der das Standardkonto des Benutzers über geringe Privilegien verfügt und der Benutzer sich zur Durchführung seiner administrativen Tätigkeiten erneut mit dem höher privilegierten Konto anmelden muss. Für alle administrativen Konten sollten außerdem deutlich strengere Kennwortrichtlinien gelten, um die Möglichkeiten für Angreifer zu verringern, Hashes zu knacken.

Eine letzte Sicherheitsmaßnahme ist der Einsatz von Tools zur Analyse des Benutzerverhaltens, die Unregelmäßigkeiten bei der Nutzung von Konten aufdecken und so eine frühzeitige Warnung ermöglichen.

10. Können Sie mir sagen, wie man einen Angriff in einem frühen Stadium erkennt und stoppt? Wir versuchen, dies mit Blick auf die Cyber Kill Chain zu tun.

Aus der Sicht der Cyber Kill Chain werden Sie in der Aufklärungsphase so gut wie nie etwas bemerken, auch nicht in der Phase der Bewaffnung. Daher ist die Lieferung der erste Zeitpunkt, an dem Sie einen Angreifer definitiv erkennen können. Strenge Kontrollen der E-Mail-Sicherheit, der Sicherheit am Unternehmensrand und vor allem der Benutzerschulung ermöglichen eine frühzeitige Vorbeugung gegen ein Eindringen in den Außenbereich.

Dennoch ist es notwendig, auch über interne Bedrohungen und bestehende Verbindungen (z.B. Business-to-Business) nachzudenken. An dieser Stelle verwende ich gerne die Metapher der Epidemiologie. Bei der Ausbreitung einer Pandemie sind die Menschen infiziert und wissen es oft nicht, bis Symptome auftreten. Wir haben Impfungen, die helfen, Infektionen zu reduzieren. Sie können sich Hilfsmittel wie EDR/AV als Impfungen vorstellen, die zwar helfen, aber eine Infektion nicht vollständig verhindern.

Deshalb brauchen wir Wissenschaftler und Ärzte, um frühe Symptome zu erkennen und der Öffentlichkeit zu helfen, sie zu erkennen. Bezogen auf die Cybersicherheit bedeutet dies, dass eine robuste Protokoll- und Überwachungslösung, die in ein SIEM mit spezifischen und angepassten Regelgrundlagen einfließt, das SOC in die Lage versetzt, wie ein Arzt zu handeln und vor frühen Symptomen einer Infektion zu warnen.

Kombinieren Sie dies mit einem informativen Programm zur Förderung des Sicherheitsbewusstseins Ihrer Mitarbeiter, damit diese als aufmerksame Bürger agieren können, die Maßnahmen ergreifen können, um eine weitere Ausbreitung der Infektion zu melden und manchmal auch zu verhindern.