Semperis Team

Der Cyberangriff auf die Colonial Pipeline im Mai 2021 zählt zu den bisher größten Angriffen auf kritische Infrastrukturen. Damals sagte Sean Deuby, Director of Services bei Semperis, voraus, dass der Ransomware-as-a-Service (RaaS)-Angriff ein "Vorbote dessen war, was noch kommen wird ... die Jagd auf Infrastrukturanbieter." Ein Jahr später sprechen wir mit Sean über den aktuellen Stand der Cybersicherheit von Infrastrukturen: Welche Lehren wurden gezogen, welche neuen Bedrohungen sind aufgetaucht und welche Maßnahmen können Infrastrukturanbieter jetzt ergreifen, um zu verhindern, dass sie das nächste große Ziel werden.

Letztes Jahr sagten Sie voraus, dass der Angriff auf die Colonial Pipeline der Beginn eines Trends war, der sich gegen kritische Infrastrukturanbieter richtet. Sehen wir das jetzt?

Sean Deuby: Allein aufgrund der Warnungen des FBI und der CISA würde ich sagen, die Antwort ist ein klares "Ja". Von BlackCat über REvil bis hin zu RagnarLocker- die Anzahl und Häufigkeit der Bedrohungen und Bedrohungsakteure bleibt hoch. Und kritische Infrastrukturen scheinen ein zunehmend attraktives Ziel zu sein.

Sie müssen bedenken, dass der Begriff "kritische Infrastruktur" ein ziemlich weites Feld ist. Wenn wir diesen Begriff hören, denken wir, zumindest in den Vereinigten Staaten, zuerst an die Cyberattacke auf die Colonial Pipeline und den Angriff auf die Wasseraufbereitungsanlage in Florida einige Monate zuvor. Aber Versorgungsunternehmen, einschließlich der Öl- und Gasinfrastruktur, sind nur die Spitze des Eisbergs, wenn wir über kritische Systeme sprechen. Ich würde sagen, das Gesundheitswesen ist kritisch. Brandschutz, kommunale Dienste sind kritisch. Die Lebensmittelversorgung ist kritisch. Die letzten zwei Jahre haben gezeigt, wie anfällig die Just-in-Time-Lieferkette für jede Art von Störung ist, einschließlich der Art von Ransomware-Angriffen, die REvil gegen JBS eingesetzt hat. Und alle diese Branchen sind Hauptziele für Ransomware-Gruppen.

"Laut Gartner haben die Ransomware-Angriffe seit dem Angriff auf Colonial Pipeline im Mai 2021 um 400% zugenommen."

Gartner: Wie man Backup-Systeme vor Ransomware-Angriffen schützt

Gibt es einen Grund dafür, dass Infrastrukturanbieter besonders anfällig sind?

Nun ja, um es gleich vorweg zu nehmen: SCADA-Systeme. IoT-Geräte. Eingebettete Betriebssysteme mit wenigen oder keinen Sicherheitsupdates. Veraltete und schwer zu aktualisierende Technologie. Gesundheitswesen, Versorgungssysteme ... in diesen Branchen gibt es viele Geräte dieser Art, die nur schwer zu sichern sind.

Die Pandemie hat die Landschaft auch verkompliziert, da der Bedarf an Fernzugriff gestiegen ist. Das vergrößert natürlich die Angriffsfläche. Auf dem Höhepunkt der Abriegelung waren viele Unternehmen gezwungen, diese Methoden zusammenzuwerfen. Infolgedessen wurden sie nicht mit der Sorgfalt und Rücksichtnahme und der Sicherheit entwickelt, die sie eigentlich haben sollten.

Je nach Branche ist die Finanzierung immer ein Problem. Viele Unternehmen können oder wollen zusätzliche Ausgaben für mehrschichtigen Schutz oder Fehlertoleranz nicht rechtfertigen. Wenn Sie von Ransomware betroffen sind, werden die Kosten natürlich noch viel höher sein.

Beobachten Sie eine Zunahme der Nutzung von RaaS zur Verbreitung von Ransomware?

Das ist definitiv eine beliebte Option für bösartige Akteure. Das Ziel der meisten Ransomware-Gruppen ist es, so schnell und einfach wie möglich Geld zu verdienen. Das ist das Endziel - Geld zu verdienen, um möglicherweise wirklich üble Aktivitäten zu finanzieren, vom organisierten Verbrechen bis hin zum Terrorismus. Alle Methoden, mit denen dieses Ziel erreicht werden kann, sind erlaubt. Warum sollte der Einstieg in das Geschäft nicht einfacher sein? Warum sollte man es den Partnern nicht leichter machen und dabei auch noch einen Anteil bekommen?

Welche Entwicklungen haben Sie in dem Jahr seit dem Cyberangriff auf die Colonial Pipeline überrascht?

Vielleicht bin ich am meisten überrascht, dass wir nicht mehr wirklich effektive Cyberangriffe erlebt haben als bisher. Ich glaube, die meisten IAM-Experten sind immer in heller Aufregung und warten darauf, dass der nächste NotPetya-Angriff sein hässliches Gesicht zeigt. Vor allem in Anbetracht einiger globaler Ereignisse in dem Jahr seit der Colonial Pipeline Cyberattacke bin ich angenehm überrascht, dass wir nicht noch Schlimmeres erlebt haben. Ich hoffe, dass dies ein Indikator dafür ist, dass Unternehmen effektivere Maßnahmen ergreifen, um ihre Netzwerke und Identitätssysteme wie Active Directory zu schützen, die in den meisten Fällen das ultimative Ziel für Ransomware sind.

Eine weitere Entwicklung, wenn auch keine überraschende, ist das Wiederauftauchen einiger Spieler der DarkSide in der BlackCat-Gruppe. Ich würde sagen, das ist eher interessant als überraschend. Bei vielen dieser Gruppen, die es auf kritische Infrastrukturen abgesehen haben, ist eine Sache zu beachten: Nachdem DarkSide nach dem Angriff auf die Colonial Pipeline von der US-Regierung ins Visier genommen wurde, haben nichtstaatliche Bedrohungsakteure versucht, ihre Angriffe klein genug zu halten, um ein ernsthaftes Eingreifen der Regierung zu vermeiden. Das ist eine echte Bedrohung für ihr Profitpotenzial. Daher ist es nicht unerwartet, dass sich die Gruppen auflösen und in anderer Form neu formieren. Und aus der Perspektive der Cybersicherheit könnte dies ein Hinweis auf die Art der Taktiken sein, die wir von neuen Gruppen sehen werden, basierend auf den früheren Zugehörigkeiten ihrer Mitglieder.

Welche Schritte können also kritische Infrastrukturen jetzt unternehmen, um sich zu schützen?

Bei Semperis raten wir Unternehmen immer, "wie ein Angreifer zu denken". Sie müssen Ihre Sicherheit wirklich so betrachten, wie es jemand ohne oder mit einem extrem verdrehten moralischen Kompass tun würde. Wo liegt der höchste Profit? Ist es Ihr geistiges Eigentum? Ihre Kundendaten? Wenn wir über Ransomware für kritische Infrastrukturen sprechen, geht es oft einfach um den Geldbetrag, den Bedrohungsakteure machen können, indem sie Ihre Systeme generell sperren, nachdem sie wertvolle Unternehmensdaten exfiltriert haben. Ein Krankenhaus, das viele IoT-Geräte einsetzt, um lebenserhaltende Dienste - Medikamente, Beatmung und ähnliches - bereitzustellen, ist viel eher bereit, schnell zu zahlen als eine Organisation, die die Bereitstellung von Diensten tagelang aussetzen kann.

Abgesehen von den offensichtlichen Ratschlägen - Patches, strenge Kennwortrichtlinien und dergleichen - sind die Segmentierung des Netzwerks und die Implementierung strenger Kontrollen für den Fernzugriff wichtige Schritte. Der Fernzugriff vergrößert, wie ich bereits erwähnt habe, die Angriffsfläche. Je mehr Schutz Sie hier also bieten können, desto besser. Unternehmen wie Versorgungsunternehmen können durch die Isolierung ihrer IT- und Authentifizierungssysteme von ihren Prozesskontrollsystemen und durch die Sicherstellung, dass keine doppelten Anmeldedaten in beiden Systemen verwendet werden, bei einem Angriff zumindest Zeit gewinnen.

Haben Sie noch andere Gedanken, die Sie für den Rest des Jahres 2022 mitnehmen möchten?

Bei Ransomware ist zu beachten, dass Angreifer, denen es gelingt, in ein System einzudringen, sofort damit beginnen, sich privilegierten Zugang zu verschaffen. Sie bewegen sich seitlich, Schritt für Schritt, und benutzen Active Directory. Sobald sie den Jackpot für Administratoren geknackt haben, können sie jede Menge Schaden anrichten. Deshalb ist es so wichtig, eine AD-spezifische Verteidigungslösung zu haben. Sie müssen möglicherweise Tausende von Endpunkten und Benutzerkonten schützen. Die Wahrscheinlichkeit, dass jemand oder etwas durch die Maschen schlüpft, ist hoch. Die Implementierung einer starken Sicherheit rund um Active Directory - die Fähigkeit, Warnungen vor bekannten Sicherheitsindikatoren für eine Gefährdung und Kompromittierung zu automatisieren, Änderungen an Active Directory zurückzunehmen, bis Ihr Sicherheitsteam sie überprüfen und genehmigen kann, und im schlimmsten Fall ein Backup wiederherzustellen, ohne erneut Malware einzuschleusen - ist Ihre beste Chance, die Lichter am Leuchten zu halten.

Unser jüngster Purple Knight Bericht hat gezeigt, dass kritische Infrastrukturen, Behörden, das Gesundheitswesen und das Transportwesen insbesondere bei der Kontosicherheit und der Gruppenrichtliniensicherheit noch viel verbessern können. Ich empfehle Unternehmen, das kostenlose Bewertungstool Purple Knight zu nutzen, um einen schnellen Überblick über den Stand ihrer Active Directory-Sicherheit zu erhalten.

Vielen Dank für das Gespräch mit uns, Sean!

Möchten Sie mehr über den Schutz kritischer Infrastrukturen vor Katastrophen wie dem Cyberangriff auf die Colonial Pipeline erfahren? Sehen Sie sich diese Ressourcen an: