Das neue Jahr ist kaum einen Monat alt, aber Wiperware ist schon wieder in den Nachrichten. Das DevPro Journal stellt einen "drastischen Anstieg" seit dem letzten Jahr fest, der wahrscheinlich auf geopolitische Konflikte zurückzuführen ist. Was ist Wiperware und wie können Sie Ihr Unternehmen schützen?
Was ist Wiperware?
Wiperware wird häufig als Teil eines APT-Angriffs (Advanced Persistent Threat) gegen kritische Infrastrukturen eingesetzt. Im Gegensatz zu Angriffen, die auf finanziellen Gewinn durch Erpressung oder Datendiebstahl abzielen, ist das Ziel von Wiperware die reine Zerstörung oder das Verursachen von Chaos. Diese Taktik ist bei nationalstaatlichen Akteuren oder Terroristen beliebt, so dass solche Angriffe in Zeiten geopolitischer Konflikte typischerweise zunehmen.
Wie können Sie sich gegen Wiperware wehren?
Stellen Sie sich eine gute Identity Threat Detection and Response (ITDR) wie eine Zwiebel vor, die mehrere Schutzschichten bietet. Zu den äußeren Schichten gehören Strategien wie die Schulung von Benutzern zur Erkennung von Phishing-E-Mails und der Einsatz von Endpoint Detection and Response (EDR).
Aber Cyberangreifer werden immer geschickter darin, Wege durch diese äußeren Schichten zu finden. Und wenn Angreifer in Ihr Netzwerk eindringen, ist ihr nächstes Ziel in der Regel die Identitätsinfrastruktur. Für 90% der Unternehmen bedeutet das heute Active Directory (AD) und Azure AD.
Der Zugriff auf Ihre hybride Identitätsinfrastruktur kann es Bedrohungsakteuren ermöglichen, noch mehr wichtige Assets in Ihrer Umgebung zu übernehmen. Deshalb sollte die Sicherheit der Identitätsinfrastruktur das Herzstück Ihrer Cyberresilienz-Strategie sein.
Mit diesem Konzept im Hinterkopf können Sie heute drei Dinge tun, um die Sicherheit Ihrer Identität zu stärken und Wiperware und andere Formen von Cyberangriffen abzuwehren.
Schritt 1: Implementieren Sie eine mehrschichtige Verteidigung
Identitätssysteme sind Hauptziele für Bedrohungsakteure, und der Missbrauch von Zugangsdaten ist der beliebteste Weg zu Sicherheitsverletzungen. Gartner stellt fest, dass eine "Verteidigung in der Tiefe" erforderlich ist, wobei der Schwerpunkt auf der Identität liegt.
EDR ist ein wichtiges Sicherheitsinstrument, aber es kann nicht als einzige Verteidigung eingesetzt werden. Die beste Verteidigung ist eine mehrschichtige Verteidigung.
So attraktiv eine Anbieterkonsolidierung auch klingen mag, alles auf eine Karte zu setzen, hat erhebliche Nachteile. Cyberresilienz erfordert ein gewisses Maß an Redundanz, um einen Single Point of Failure zu vermeiden, insbesondere wenn es um ITDR geht.
Gartner stellt fest: "Ein mehrschichtiger Ansatz, der ITDR einbezieht, ist der beste Weg, um die Bereitschaft für Cyberangriffe zu verbessern. .... Schließen Sie Lücken in der ITDR, indem Sie das gesamte Spektrum der Angriffsvektoren und der erfassten Telemetrie bewerten. Planen Sie den Einsatz eines Mosaiks von Tools, die sich gegenseitig ergänzen und überschneiden können, um die Anforderungen einer umfassenden ITDR-Initiative zu erfüllen."
Der beste Weg, das Identitätssystem zu schützen? Suchen Sie nach einer ITDR-Lösung, die sich speziell auf den Schutz des Identitätssystems konzentriert. Für 90% der Unternehmen bedeutet das Active Directory (AD) und Azure AD.
Schritt 2. Überwachen Sie Ihr hybrides AD
Wenn es um die Überwachung Ihrer lokalen oder hybriden Identitätsinfrastruktur geht, ist eine regelmäßige Überwachung der Angriffsfläche für Identitäten unerlässlich. Die Überwachung kann Ihnen helfen, potenzielle Schwachstellen zu erkennen, bevor Angreifer sie entdecken.
Eine effektive Überwachungsstrategie muss speziell auf AD ausgerichtet sein. Angreifer werden immer geschickter darin, Wege zu finden, um Multifaktor-Authentifizierung (MFA), EDR und sogar Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM) und Lösungen für die Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) zu umgehen. Daher erfordert eine identitätsorientierte Sicherheit eine Überwachungslösung, die Einblicke in Echtzeit und umsetzbare Anleitungen bietet.
Eine einfache Möglichkeit, damit zu beginnen, ist die Erkundung kostenloser Community-Tools, wie Purple Knight und Forest Druid. Purple Knight befasst sich mit Sicherheitsindikatoren - sowohl mit Indikatoren für eine Gefährdung (IOCs) als auch mit Indikatoren für eine Gefährdung (IOEs). Forest Druid bietet eine Zuordnung und Verwaltung von Angriffspfaden der Stufe 0. Kostenpflichtige Lösungen wie Semperis Directory Services Protector ( DSP) bieten IOC- und IOE-Überwachung sowie automatisches Rollback verdächtiger Änderungen und erweiterte Reaktion auf Vorfälle.
Schritt 3. Bereiten Sie sich auf die Wiederherstellung vor
Cyberangriffe sind nicht mehr eine Frage des "ob", sondern des "wann". Getestete, malwarefreie Backups Ihrer wichtigsten Identitätssysteme sind ein Muss. Leider zeigt unsere jüngste Umfrage unter mehr als 50 Unternehmen, dass 77 % der Befragten im Falle eines Cyberangriffs, der AD lahmlegt, mit schweren oder katastrophalen Auswirkungen rechnen müssten.
Wie können Sie Ihre Chancen verbessern, sich erfolgreich von einem solchen Angriff zu erholen?
- Implementieren Sie ein AD-zentriertes Backup. System-State- und Bare-Metal-Recovery (BMR)-Backups reichen nicht aus, um AD zu schützen. Ein AD-spezifisches Backup ermöglicht eine schnellere Wiederherstellung Ihrer Umgebung und hat einen geringeren Backup-Fußabdruck. Semperis Active Directory Forest Recovery ( ADFR) beispielsweise schützt vor der Wiedereinführung von Malware und kann automatisiert werden, um menschliche Fehler zu vermeiden und Ausfallzeiten von Stunden, Tagen oder Wochen auf nur wenige Minuten zu reduzieren.
- Nehmen Sie spezifische Schritte für die Implementierung und das Testen von AD-Backups, Wiederherstellung und kritischer Wartung in Ihren Notfallwiederherstellungsplan auf.
- Testen Sie Ihre Backups und üben Sie regelmäßig die Wiederherstellung von AD-Forests, damit Sie bestens vorbereitet sind, wenn Sie AD wiederherstellen müssen.
Wiperware-Bedrohungen auslöschen
Eine Cybersicherheitsstrategie, die sowohl die Endpunkte als auch Ihre zentrale Identitätsbasis schützt und gleichzeitig einzelne Fehlerquellen vermeidet, ist Ihre beste Verteidigung gegen alles, was Cyberangreifer auf Sie werfen, einschließlich Wiperware. Setzen Sie die Identitätssicherheit auf Ihre Prioritätenliste für 2023, und Sie haben eine Sorge weniger.
