Ransomware-Schutz

Ransomware-Schutz – neue Lösungsansätze gegen gefährliche Attacken

Ransomware verschlüsselt auf dem infizierten Host einzelne Dateien, ganze Verzeichnisse oder die komplette Festplatte. Im schlimmsten Fall greift Ransomware über das infizierte System auf weitere Netzressourcen zu und kann damit auch zentrale Fileserver befallen. Es drohen Datenverlust und hohe Forderungen für Lösegeld. Klassische Sicherheitsmechanismen werden erfolgreich umgegangen, es braucht neue Ansätze für Ransomware-Schutz.

Ransomware-Schutz – drei Ansätze für mehr Sicherheit

Ransomware ist eine besonders lästige Art von Malware. Typischerweise verschlüsselt Ransomware auf dem infizierten Host einzelne Dateien, ganze Verzeichnisse oder die komplette Festplatte. Im schlimmsten Fall greift Ransomware über das infizierte System auf weitere Netzressourcen zu und kann damit auch zentrale Fileserver befallen. Wo ein Backup fehlt oder nicht komplett bzw. rasch genug eingespielt werden kann, gehen geschäftsrelevante Daten verloren oder es muss eine Lösegeldsumme bezahlt werden. Gut gemachte und moderne Ransomware umgeht klassische Sicherheitsmechanismen, welche hauptsächlich auf Reputation und Signaturen basieren. Aufgrund ihres äusserst verdächtigen Verhaltens kann Ransomware jedoch zuverlässig durch neue Ansätze erkannt werden.

Für einen zuverlässigen Ransomware-Schutz empfiehlt AVANTEC folgende Lösungsansätze: Sandboxing, Isolation und/oder Next Generation Endpoint Security (NGEPS). Sandboxing erkennt das verdächtige Verhalten von Ransomware-infizierten Files, Isolation hindert Ransomware daran Dateien zu verschlüsseln und NGEPS kombiniert diverse neue Verfahren für einen höheren Schutzlevel auf dem Client, u.a. Verhaltensanalyse und maschinelle Intelligenz.

Sandboxing erkennt Ransomware

Ransomware-Schutz durch Sandboxing basiert auf der Tatsache, dass Ransomware ein sehr verdächtiges Verhalten an den Tag legt – die Verschlüsselung von Files und ganzen Verzeichnissen. Sandboxing ergänzt die bestehenden Sicherheitsmechanismen um eine ausführliche Prüfung von unbekannten Dateien, indem diese ausgeführt und im Detail analysiert werden. Schadhaftes Verhalten wird in der Sandbox erkannt und das File blockiert. Sandboxen können entweder im Monitoring-Mode oder inline konfiguriert werden. Letzteres hat den Vorteil, dass gefährliche Files schon beim ersten Aufruf blockiert werden können. Eine Prüfung in der Sandbox kann aber 5-10 Minuten dauern, weshalb gerade im Web-Verkehr ein Trade-off zwischen Sicherheit und Benutzerkomfort unumgänglich ist.

Sandbox-Lösungen in der Cloud sind besonders attraktiv, da sie von allen Niederlassungen und mobilen Usern genutzt werden können und den Ransomware-Schutz für das gesamte Unternehmen anheben. Es gibt jedoch auch Sandboxen, die als Hardware direkt beim Mail-Gateway, Web Proxy oder der Firewall für zusätzlichen Schutz sorgen. Vorteil hierbei ist, dass die entsprechenden Files inhouse geprüft werden und nicht mit einer Cloud geteilt werden müssen.

Zu entscheiden gilt es auch, ob ein Sandbox-System für E-Mail, Web oder beides eingesetzt werden soll. Die meisten Produkte bieten heute Sandboxing als Zusatzoption zum bestehenden Portfolio an.

Empfohlene Lösungen:

100% Ransomware-Schutz mit Isolation

Isolation geht einen komplett anderen Weg. Die Erkennung von Malware wie zum Beispiel Ransomware spielt dabei keine oder eine untergeordnete Rolle.

Die Idee dahinter ist ganz einfach: Dateien und Webseiten aus nicht-vertrauenswürdigen Quellen werden isoliert ausgeführt – entweder auf einer virtuellen Appliance, in der Cloud oder auf dem Endpoint selbst.

Bei den ersten beiden Varianten erhält das Zielsystem – der Client – lediglich die gerenderten Bilddaten und kann auf diese Weise keinen Schaden nehmen. Für die Nutzer ist das transparent. Sie merken nichts von der Isolierung der Daten, die sie bearbeiten.

Isolierung auf dem Endpoint funktioniert auf Basis einer Mikro-VM, welche die nicht-vertrauenswürdigen Inhalte ausführt. Ransomware kann die Mikro-VM nicht verlassen und dem eigentlichen System keinen Schaden zufügen.

Isolierung auf dem Endpoint hat den Vorteil, dass jegliche Angriffsvektoren und Files damit abgedeckt werden können (E-Mail Attachements, Webseiten, Downloads, Files von USB-Keys).

Einen eigenen Use Case hat die Web Isolation: Für unkategorisierte Webseiten sind die Risiken besonders hoch, einzelne Personenkreise (z. B. C-Level, Management, IT) will man unter Umständen besonders gut schützen. Anstelle hier mit zusätzlichen Regeln den Zugriff aufs Internet zu erschweren, besteht die Möglichkeit eine Web-Isolations-Lösung einzusetzen.

Empfohlene Lösungen:

Next Generation Endpoint Security (NGEPS)

Der Signatur-basierte Anti-Virus-Ansatz von Endpoint Security Lösungen stammt aus den 80er Jahren. Ransomware-Schutz verlangt jedoch nach einer neuen Generation von Endpoint-Security-Lösungen. AVANTEC bietet Ihren Kunden eine Reihe neuer Ansätze auf dem Endpoint für einen zeitgemässen Schutz der Clients.

BeyondTrust Privilege Management für Desktops (ehemals Avecto) setzt auf Application Control und Privilege Management und reduziert dabei die Angriffsfläche für Cyberattacken und Ransomware massiv. Einerseits erlaubt BeyondTrust Privilege Management für Desktops so die Umsetzung von Security und Compliance Anforderungen inkl. „least privilege“ Ansatz, andererseits die auditierte Verwendung von Applikationen. Ransomware kann nur auf einen Bruchteil von Daten zugreifen, weil die entsprechenden Berechtigungen fehlen.

Die Lösung von Bromium setzt nicht auf Erkennung, sondern auf Isolation. E-Mail Attachments, Webseiten und Dateien von unsicheren Medien/Fileshares werden auf dem Rechner in einer abgesicherten Umgebung (MikroVM) ausgeführt – für den User völlig transparent und ohne Einschränkung. Wird der Browser oder die entsprechende Applikation geschlossen, wird die virtuelle Umgebung mit samt dem potenziellen Schadcode gelöscht und vom System entfernt.

Die NGEPS Lösung Carbon Black Defense schützt nicht nur vor klassicher Malware sondern auch vor anderen Arten von bekannten und unbekannten Angriffen wie zum Beispiel Ransomware. Die marktführenden Detection und Response (EDR) Fähigkeiten bieten zudem in Echtzeit volle Visibilität über Verhalten und Ausbreitung einer Bedrohung. Bereits verschlüsselte Files auf dem Client können nach der Erkennung der Ransomware wiederhergestellt werden.

Trend Micro bietet mit der neuen XGen Version ihrer AV-Suite (Apex One) ebenfalls erweiterte Funktionalitäten im Bereich maschinelles Lernen und Sandboxing zur besseren Erkennung von neuen Bedrohungen und Ransomware. Trend Micro kombiniert dies geschickt mit herkömmlichen Erkennungstechniken für bekannte Massen-Malware. Bereits verschlüsselte Files auf dem Client können nach der Erkennung der Ransomware wiederhergestellt werden.

Empfohlene Lösungen:

Unsere Fachspezialisten helfen Ihnen gerne weiter!

Portrait GH

Georg Hegyi

Head of Presales

+41 44 457 13 13
g.hegyi@avantec.ch