Cyberangriffe analysieren und schnell reagieren

Eine Cyberbedrohung zu blockieren reicht nicht aus – der komplette Ablauf der Infizierung muss verstanden und rekonstruiert werden.

Die meisten Sicherheitslösungen für kleine und mittelständische Unternehmen auf dem Markt verhindern in der Regel nur, dass Malware auf den Workstations oder Servern ausgeführt wird – und das reichte über viele Jahre hinweg auch völlig aus. Solang eine Organisation Cyberbedrohungen auf Endgeräten feststellen konnte, war es möglich die Ausbreitung im Netzwerk zu verhindern und so die Infrastruktur der Organisation zu schützen.

Die Zeiten haben sich geändert. Ein typischer, moderner Cyberangriff ist kein isolierter Vorfall auf dem Computer eines Mitarbeiters, sondern ein komplexer Vorgang, der einen beträchtlichen Anteil der Infrastruktur betrifft. Dementsprechend kann der Schaden von modernen Cyberangriffen nicht mehr allein mit der Blockierung der Malware minimiert werden. Es ist wichtig schnell zu verstehen was passiert ist, wie es passiert ist und wo es noch mal passieren könnte.

Was sich verändert hat

Modernes Cyberverbrechen hat sich dermaßen weiterentwickelt, dass durchaus auch kleine Unternehmen zur Zielscheibe eines ausgefeilten, gezielten Angriffs werden können. Gewissermaßen liegt das an der wachsenden Verfügbarkeit der Tools, die für einen komplexen, mehrstufigen Angriff erforderlich sind. Außerdem versuchen Verbrecher grundsätzlich mit weniger Aufwand mehr Profit zu machen und Ransomware-Betreiber sind ein glänzendes Beispiel dafür. In letzter Zeit konnten wir gründliche Recherche und lange Vorbereitungen für Ransomware-Aktionen beobachten. In manchen Fällen lauerten die Betreiber wochenlang im Zielnetzwerk, erkundeten die Infrastruktur und stahlen wichtige Daten bevor sie die Verschlüsselung durchführten und das Lösegeld forderten.

Ein kleines Unternehmen kommt beispielsweise als Zwischenziel für einen Supply-Chain-Angriff infrage. Die Angreifer nutzen manchmal die Infrastruktur von einem kleinen Dienstleister, Online-Serviceanbieter oder Partnerunternehmen, um größere Organisationen anzugreifen. In solchen Fällen können sogar Zero-Day-Lücken für den Exploit verwendet werden, was in der Regel eine kostspielige Option ist.

Verstehen was passiert ist

Es ist erforderlich zu wissen, wie die Angreifer in die Infrastruktur eingedrungen sind, wie lange sie schon darin sind, auf welche Daten sie Zugriff hatten usw., um einem komplexen, mehrstufigen Angriff ein Ende zu setzen. Einfach nur die Malware zu löschen wäre als wenn die Symptome einer Krankheit behandelt würden, ohne dabei die Ursachen in Betracht zu ziehen.

In größeren Unternehmen führt die SOC-Abteilung, bzw. das Security Operations Center solche Ermittlungen durch oder diese Dienstleistung wird an Drittunternehmen outgesourct.

Großunternehmen verwenden dafür EDR-Lösungen, d. h. Tools für Endgeräteerkennung und Reaktion. Aufgrund von eingeschränktem Budget und Personal kommen solche Optionen für kleine Unternehmen gar nicht erst infrage. Trotzdem sind kleine Unternehmen zunehmend auf spezialisierte Tools angewiesen mit denen sie schnell auf komplexe Bedrohungen reagieren können.

Kaspersky Endpoint Security Cloud mit EDR

Spezielle IT-Kenntnisse für die Einrichtung unserer Lösung mit EDR für kleine und mittlere Unternehmen (KMU) sind nicht erforderlich – das aktualisierte Kaspersky Endpoint Security Cloud Plus bietet eine optimierte Übersicht der Infrastruktur. Die Administratoren können schnell feststellen über welche Wege die Bedrohung sich verbreitet hat. Darüber hinaus erhalten sie detaillierte Informationen über die betroffenen Geräte sowie die Daten zur bösartigen Datei und können sehen, wo die Dateien gerade angewendet werden. Das hilft den Administratoren dabei alle bedrohlichen Hotspots zu entdecken, die Ausführung der gefährlichen Datei zu blockieren und die betroffenen Geräte zu isolieren, um den potenziellen Schaden weitmöglichst einzudämmen.

Während wir weiterhin die Benutzung des Tools überwachen, um dessen Wichtigkeit in diesem Feld festzustellen, haben wir die EDR-Funktionalität in 2021 für die Benutzer von Kaspersky Endpoint Security Cloud Plus im Testmodus zur Verfügung gestellt. Entdecken Sie mehr zu diesem Thema und bestellen Sie Ihre Testversion hier.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.