Hinweis: Dieser Blogbeitrag basiert auf dem Vortrag, den der Autor auf der Conf42 Chaos Engineering 2022 gehalten hat. Die Videoaufzeichnung ist unter diesem Link verfügbar.
Die Zahl der Ransomware-Angriffe ist in letzter Zeit rasant gestiegen, und zwar auf alarmierende 105 %, so dass die letzten beiden Jahre als "Das goldene Zeitalter der Ransomware-Angriffe" bezeichnet werden. Ransomware ist eine Angriffsart, bei der Angreifer ein System kompromittieren, den legitimen Zugriff darauf einschränken und Lösegeld als Bedingung für die Wiederherstellung des Systemzugriffs fordern. Ransomware ist kein neuer Angriff, aber die Techniken, mit denen sie ausgeführt werden, sind in letzter Zeit aufgrund mehrerer Faktoren immer ausgefeilter und häufiger geworden.
Einer der wichtigsten Faktoren ist die Verbreitung von Ransomware-as-a-Service (RaaS), ein Modell, das die Kosten und den Aufwand für Ransomware-Angriffe drastisch gesenkt hat. Außerdem nutzen Cyberkriminelle die Möglichkeiten der Anonymität, die Kryptowährungen (z. B. Bitcoin) bieten, um Ermittlungen zur Aufdeckung ihrer Identität praktisch unmöglich zu machen. Ein weiterer Faktor für die Zunahme von Ransomware-Angriffen ist die durch COVID-19 ausgelöste Digitalisierung, insbesondere die rasche Einführung von Cloud-Diensten.
Cloud-Ransomware
Ein schwerwiegender Irrglaube ist, dass Cloud-Infrastrukturen immun gegen Ransomware-Angriffe sind. Dies ist nicht nur falsch, sondern eröffnet Cyberkriminellen potenziell neue Angriffsmöglichkeiten. Heutzutage zielen Angreifer auf Cloud-Infrastrukturen ab, um Ransomware zu starten, z. B. durch Kompromittierung und Verschlüsselung von AWS S3-Buckets, Backups und Instance-Images. Aufgrund des Shared-Responsibility-Modells der Cloud-Anbieter sind die Unternehmen, die die Cloud nutzen, für die Umsetzung von Maßnahmen gegen diese Art von Ransomware, auch Cloud-Ransomware genannt, verantwortlich.
Erfolgreiche Cloud-Ransomware nutzt eine Kombination aus mehreren Angriffen, z. B. Fehlkonfigurationen in der Cloud, ungepatchte Schwachstellen und schwache Zugangskontrollmechanismen. Daher erfordert die Verhinderung von Cloud-Ransomware die Implementierung eines ganzheitlichen Cloud-Sicherheitskonzepts.
Auswirkungen von Ransomware
Die Auswirkungen eines erfolgreichen Ransomware-Angriffs können von ein paar beschädigten Dateien bis hin zu enormen Kosten in Millionenhöhe reichen. Nach einem Ransomware-Angriff geben die betroffenen Unternehmen enorme Summen für die Untersuchung des Angriffs aus, um die Ursachen zu verstehen. Solche Untersuchungen sind auch wichtig, um sicherzustellen, dass die Angreifer nicht mehr in den Systemen sind und Hintertüren installiert wurden. Ebenso können die betroffenen Unternehmen von den Aufsichtsbehörden mit Geldstrafen belegt und von den Aufsichtsbehörden und Kunden in rechtliche Verfahren verwickelt werden. Die schwerwiegendste Auswirkung ist in der Regel der Schaden, den Ransomware-Angriffe dem Ruf des Unternehmens zufügen, und die Wiederherstellung des Rufs ist unter Umständen nicht möglich oder nur mit großem Aufwand möglich.
Einsatz von Security Chaos Engineering
Es gibt verschiedene Ransomware-Gegenmaßnahmen, z. B. die Durchführung von Ransomware-Simulationen oder -Übungen und die Implementierung von Runbooks. Diese Gegenmaßnahmen sind zwar hilfreich, aber völlig unzureichend und nicht für Cloud-native Infrastrukturen geeignet. Simulationen sind nützlich, um ein Gefühl für tatsächliche Ransomware-Szenarien zu vermitteln, damit alle Beteiligten (Sicherheitsteams, DevOps usw.) die erforderlichen Maßnahmen im Falle eines echten Ransomware-Angriffs, z. B. die Reaktion auf einen Vorfall, üben können. Die meisten Simulationen verwenden jedoch statische Szenarien, die für herkömmliche On-Premises-Umgebungen ausreichend waren. Solche statischen Simulationen sind für Cloud-native Infrastrukturen kaum effektiv. Aufgrund der hochdynamischen und flüchtigen Natur der Cloud werden herkömmliche Simulationen schnell veraltet und vermitteln den Beteiligten unrealistische, veraltete Vorteile. Darüber hinaus erfordern das Ausmaß und die Größe der Cloud-nativen Infrastruktur hochgradig automatisierte Ansätze, die unabhängig von der Komplexität und Größe der Cloud-Umgebung problemlos geeignete Ransomware-Szenarien generieren können.
Security Chaos Engineering geht die oben genannten Herausforderungen an, indem es die Automatisierung und tiefe Integration in die Cloud-Infrastruktur nutzt, um Ransomware-Szenarien zu erstellen, die realistisch auf den Echtzeitzustand der Cloud-Umgebung abgestimmt sind. Die Vorteile liegen auf der Hand: Das Sicherheits- und DevOps-Team übt mit aktuellen Informationen, und da diese Szenarien ständig aktualisiert werden, bekommen sie ein besseres Gefühl für reale Angriffsszenarien. Dies verbessert die Qualität der Bereitschaft dieser Teams drastisch und bietet letztendlich höhere Garantien für die Erkennung und Abwehr von Ransomware-Angriffen.
Schlussfolgerung
Ransomware hat sich zu einem der schwersten und häufigsten Angriffsszenarien entwickelt. Dafür gibt es mehrere Gründe, darunter die Möglichkeiten der Anonymität, die Kryptowährungen (z. B. Bitcoin) bieten, das Aufkommen von Ransomware-as-a-Service und der durch COVID-19 ausgelöste digitale Wandel. Es ist wichtig zu verstehen, dass die Cloud-Infrastruktur nicht immun gegen Ransomware ist, aber die Cloud erlaubt abgestimmte Gegenmaßnahmen, wenn sie richtig genutzt wird. Außerdem bestehen die meisten erfolgreichen Ransomware-Angriffe aus mehrstufigen Angriffen, die Fehlkonfigurationen in der Cloud, ungepatchte Schwachstellen und schwache Zugangskontrollmechanismen ausnutzen. Daher erfordert die Verhinderung von Ransomware die Implementierung eines ganzheitlichen Cloud-Sicherheitskonzepts.
Die Plattform zur kontinuierlichen Sicherheitsüberprüfung von Mitigant bietet wirksame Gegenmaßnahmen gegen Cloud-Ransomware. Mitigant erkennt automatisch Cloud-Sicherheitsprobleme wie Fehlkonfigurationen und Sicherheitsschwachstellen und bietet automatisierte Sicherheitsübungen an. Mitigant ist ein Pionier des Security Chaos Engineerings, einem effektiven Ansatz für die Durchführung von Ransomware-Übungen mithilfe von Sicherheitsspieltagen.
Im zweiten Teil dieses Blog-Beitrags erfahren Sie mehr darüber, wie die Continous Security Verification-Plattform von Mitigant als Gegenmaßnahme gegen Cloud-Ransomware eingesetzt wird. Bitte bleiben Sie auf dem Laufenden, Sie können sich auch anmelden, um eine Benachrichtigung direkt in Ihrem Posteingang zu erhalten.
Kennedy Torkura
Co-Founder & CTO, Mitigant. | Contributing Author - O'Reilly Security Chaos Engineering Book. | AWS Community Builder
