Abwehr von Ransomware-Angriffen mit Security Chaos Engineering — Teil I

Hinweis: Dieser Blogbeitrag basiert auf dem Vortrag des Autors während Conf42 Chaos Engineering 2022. Die Videoaufnahme ist verfügbar unter dieser Link .

Die Rate der Ransomware-Angriffe ist in letzter Zeit rasant auf alarmierende 105% gestiegen, sodass die letzten zwei Jahre als „Das Goldene Zeitalter der Ransomware-Angriffe“ bezeichnet werden. Ransomware ist eine Art von Angriff, bei dem Angreifer ein System kompromittieren, den legitimen Zugriff darauf einschränken und Lösegeld als Bedingung für die Wiederherstellung des Zugriffs auf das System verlangen. Ransomware ist kein neuer Angriff, ihre Orchestrierungstechniken haben jedoch in letzter Zeit aufgrund verschiedener Faktoren an Raffinesse und Häufigkeit zugenommen.

Einer der Hauptfaktoren für die Verbreitung von Ransomware-as-a-Service (RaaS), einem Modell, das die Kosten und den Aufwand für Ransomware-Angriffe drastisch gesenkt hat. Außerdem nutzen Cyberkriminelle die Anonymitätsmöglichkeiten, die Kryptowährungen (z. B. Bitcoin) bieten, um Ermittlungen zur Preisgabe ihrer Identität praktisch unmöglich zu machen. Ein weiterer Faktor für die Zunahme von Ransomware-Angriffen ist die COVID-19-induzierte Digitalisierung, insbesondere die schnelle Einführung von Cloud-Diensten.

Cloud-Ransomware

Ein sehr schwerwiegendes Missverständnis ist, dass die Cloud-Infrastruktur immun gegen Ransomware-Angriffe ist. Dies ist nicht nur falsch, sondern eröffnet Cyberkriminellen auch potenziell Angriffsmöglichkeiten. Heutzutage zielen Angreifer auf die Cloud-Infrastruktur ab, um Ransomware zu starten, z. B. indem sie AWS S3-Buckets, Backups und Instance-Images kompromittieren und verschlüsseln. Aufgrund des Shared Responsibility-Modells der Cloud-Anbieter sind Unternehmen, die die Cloud nutzen, dafür verantwortlich, Maßnahmen gegen diese Art von Ransomware zu ergreifen auch bekannt als Cloud-Ransomware.

SErfolgreiche Cloud-Ransomware nutzt eine Kombination aus mehreren Angriffen, z. B. Cloud-Fehlkonfigurationen, ungepatchte Sicherheitslücken und schwache Zugriffskontrollmechanismen. Daher erfordert die Verhinderung von Cloud-Ransomware die Implementierung einer ganzheitlichen Cloud-Sicherheitsstrategie.

Auswirkungen von Ransomware

Die Auswirkungen eines erfolgreichen Ransomware-Angriffs können von wenigen beschädigten Dateien bis hin zu enormen Kosten in Millionenhöhe reichen. Nach einem Ransomware-Angriff geben die Unternehmen, die Opfer geworden sind, riesige Summen aus, um den Angriff zu untersuchen, um die Ursachen zu ermitteln. Solche Untersuchungen sind auch wichtig, um sicherzustellen, dass sich die Angreifer nicht noch in den Systemen befinden und Hintertüren installiert wurden. In ähnlicher Weise könnten die betroffenen Unternehmen von den Aufsichtsbehörden mit Geldbußen belegt und in rechtliche Verfahren verwickelt werden, die sowohl von Aufsichtsbehörden als auch von Kunden eingeleitet wurden. Die schwerste Gegenreaktion ist in der Regel der Schaden, den die Ransomware-Angriffe dem Ruf des Unternehmens zufügen. Eine Reparatur des Rufs ist möglicherweise nie möglich oder erfordert viele Ressourcen und Anstrengungen.

Nutzung von Security Chaos Engineering

Es gibt mehrere Gegenmaßnahmen gegen Ransomware, z. B. die Durchführung von Ransomware-Simulationen oder -Übungen und die Implementierung von Runbooks. Diese Gegenmaßnahmen sind zwar hilfreich, aber völlig unzureichend und nicht gut für Cloud-native Infrastrukturen geeignet. Simulationen sind nützlich, um ein Gefühl für die tatsächlichen Ransomware-Szenarien zu vermitteln, sodass alle Beteiligten (Sicherheitsteams, DevOps usw.) im Falle eines echten Ransomware-Angriffs die erforderlichen Maßnahmen ergreifen können, z. B. die Reaktion auf einen Vorfall. Die meisten Simulationen verwenden jedoch statische Szenarien, was früher für die traditionellen lokalen Umgebungen ausreichend war. Solche statischen Simulationen sind für Cloud-native Infrastrukturen kaum effektiv. Aufgrund der hochdynamischen und kurzlebigen Natur der Cloud sind herkömmliche Simulationen schnell veraltet und bieten den Beteiligten unrealistische, veraltete Vorteile. Darüber hinaus erfordern Umfang und Umfang der Cloud-nativen Infrastruktur hochgradig automatisierte Ansätze, mit denen problemlos geeignete Ransomware-Szenarien generiert werden können, unabhängig von der Komplexität und Größe der Cloud-Umgebung.

Security Chaos Engineering begegnet den oben genannten Herausforderungen, indem es Automatisierung und tiefe Integration in die Cloud-Infrastruktur nutzt, um Ransomware-Szenarien zu erstellen, die realistisch auf den Echtzeitstatus der Cloud-Umgebung abgestimmt sind. Die Vorteile liegen auf der Hand, das Sicherheits- und DevOps-Team wird anhand aktueller Informationen trainiert, und da diese Szenarien ständig aktualisiert werden, erhalten sie ein besseres Gefühl für reale Angriffsszenarien. Dies verbessert die Bereitschaftsqualität dieser Teams drastisch und bietet letztendlich höhere Garantien für die Erkennung und Abwehr von Ransomware-Angriffen.

Fazit

Ransomware ist aus mehreren Gründen zu einem der herausforderndsten und produktivsten Angriffe geworden, darunter die Anonymitätsmöglichkeiten, die Kryptowährungen (z. B. Bitcoin) bieten, das Aufkommen von Ransomware-as-a-Service und die COVID-19-induzierte digitale Transformation. Es ist wichtig zu verstehen, dass die Cloud-Infrastruktur nicht vor Ransomware gefeit ist. Die Cloud bietet jedoch mehrere Gegenmaßnahmen, wenn sie gut genutzt wird. Darüber hinaus bestehen die meisten erfolgreichen Ransomware-Angriffe aus mehrstufigen Angriffen, die Cloud-Fehlkonfigurationen, ungepatchte Sicherheitslücken und schwache Zugriffskontrollmechanismen ausnutzen. Daher erfordert die Verhinderung von Ransomware die Implementierung einer ganzheitlichen Cloud-Sicherheitsstrategie.

Mildernde Mittel Kontinuierliche Sicherheitsüberprüfung Die Plattform bietet effektive Gegenmaßnahmen gegen Cloud-Ransomware. Mitigant erkennt automatisch Cloud-Sicherheitsprobleme wie Fehlkonfigurationen und Sicherheitslücken und bietet automatisierte Übungen zum Sicherheitsspieltag an. Mitigant ist ein Pionier im Bereich Security Chaos Engineering, einem effektiven Ansatz zur Durchführung von Ransomware-Übungen im Rahmen von Sicherheitsspieltagen.

Im zweiten Teil dieses Blogbeitrags wird detailliert beschrieben, wie die Continous Security Verification-Plattform von Mitigant als Gegenmaßnahme gegen Cloud-Ransomware eingesetzt wird. Bitte bleiben Sie dran, um auf dem Laufenden zu bleiben. Sie können auch abonnieren, um eine Benachrichtigung direkt in Ihrem Posteingang zu erhalten.

‍

ERC