So erfüllen Sie die Phobos-Ransomware-Richtlinien von CISA mit Illumio
Vor Kurzem haben das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und das Multi-State Information Sharing and Analysis Center (MS-ISAC) ein neues veröffentlicht Beratung zur Cybersicherheit zielt darauf ab, Behörden und Organisationen mit kritischer Infrastruktur darüber zu informieren, wie sie sich vor Phobos-Ransomware schützen können.
In diesem Blogbeitrag erfahren Sie, was Phobos-Ransomware ist, wie Regierungsbeamte empfehlen, sich auf Phobos vorzubereiten, und wie das Ransomware-Schutz-Dashboard von Illumio dazu beitragen kann, diese Empfehlungen umzusetzen.
Was ist Phobos Ransomware?
Phobos Ransomware ist mit mehreren Ransomware-Varianten verwandt, darunter Elking, Eight, Devos, Backmydata und Faust Ransomware. Die Backmydata-Variante wurde bei einem Angriff im Februar 2024 in Rumänien verwendet, der dazu führte, dass Systeme um etwa 100 Gesundheitseinrichtungen.
In dem Gutachten werden bekannte Taktiken, Techniken und Verfahren (TTPs) sowie Kompromissindikatoren (IOCs) im Zusammenhang mit den Phobos-Ransomware-Varianten beschrieben, die erst im Februar 2024 beobachtet wurden. Phobos arbeitet als Ransomware-as-a-Service (RaaS) -Modell und zielt seit Mai 2019 auf verschiedene Sektoren ab, darunter Behörden, Rettungsdienste, Gesundheitswesen und Bildung.
So schützen Sie sich vor Phobos-Ransomware
Die Empfehlung enthält drei wichtige Hinweise zur Eindämmung der Phobos-Ransomware-Aktivitäten:
- Sichere RDP-Ports, um zu verhindern, dass Bedrohungsakteure RDP-Tools missbrauchen und nutzen.
- Priorisieren Sie die Behebung bekannter ausgenutzter Sicherheitslücken.
- Implementieren Sie EDR-Lösungen, um die Speicherzuweisungstechniken für Bedrohungsakteure zu unterbrechen.
Das Illumio Zero Trust Segmentierungsplattform kann Ihnen helfen, alle drei dieser Empfehlungen umzusetzen.
1. Verwenden Sie das Ransomware Protection Dashboard von Illumio, um RDP-Ports zu sichern
Mit nur wenigen schnellen Schritten kann Ihr Unternehmen wichtige Verbesserungen erzielen, um böswillige Akteure zu vereiteln und Querbewegungen innerhalb Ihrer Umgebung zu verhindern. Wenn Sie laterale Bewegungen verhindern können, stellen Sie sicher, dass Angreifer, selbst wenn sie eindringen, nicht sehr weit vordringen oder auf unternehmenskritische Anwendungen zugreifen.
Lassen Sie uns die drei Schritte zur Sicherung von RDP-Ports mit dem Dashboard zum Schutz vor Ransomware:
- Identifizieren Sie, wo es gibt RDP-Verkehr in deiner Umgebung
- Folgen Sie den empfohlenen Maßnahmen auf dem Ransomware-Schutz-Dashboard von Illumio
- Messen Sie die Verbesserung des Ransomware-Schutzwerts

Identifizieren Sie den RDP-Verkehr in Ihrer Umgebung
Das Ransomware Protection Dashboard von Illumio verfolgt auf einfache Weise die Dienste mit dem höchsten Risiko in Ihrer Umgebung. Einer dieser Dienste ist RDP. Wenn es in Ihrer Umgebung offengelegt wird, ohne dass es durch Richtlinien kontrolliert wird, wird es möglicherweise in Ihrem Bericht über die 5 riskantesten Dienste angezeigt. Alternativ können Sie auch auf der Karte gezielt nach RDP-Verkehr suchen.

In der Abbildung oben können Sie sehen, dass RDP zu den fünf riskantesten Diensten gehört, aber es gibt auch keine Richtlinie, die diesen Dienst steuert.
Hier können Sie Geschäftsanalysen durchführen, um die Auswirkungen zu verstehen. Beispielsweise gibt es bestimmte Personen in der Organisation, die die Fähigkeit benötigen, RDP zu verwenden. Dies ist sehr nützlich für die IT-Abteilung, die möglicherweise Mitarbeitern hilft, die nicht vor Ort sind, ein Problem zu beheben. Es ist jedoch nicht etwas, was die durchschnittliche Arbeitslast zur Verfügung haben muss.
Hier kommen die vom Dashboard empfohlenen Aktionen ins Spiel.
Folgen Sie den Handlungsempfehlungen des Ransomware-Schutz-Dashboards
Eine der empfohlenen Aktionen auf dem Dashboard ist das Erstellen einer Ablehnungsregel. Dies ist eine einfache Methode, um schnell Schutz aufzubauen, während Sie sich auf eine möglicherweise größere Ebene begeben Zero-Trust-Reise.

Da CISA in diesem Fall empfiehlt, RDP-Ports zu sichern, besteht der nächste Schritt darin, eine Ablehnungsregel zu erstellen, um diesen Verkehr zu blockieren. Ausnahmen können nach Bedarf hinzugefügt werden, aber im Allgemeinen wird dies gesperrt. Dies bietet proaktiven Schutz vor allen Phobos-Ransomware-Angriffen.
Wenn Sie mit Illumio Ablehnungsregeln anwenden, wird Ihre neue Richtlinie in wenigen Minuten in Ihrem gesamten Unternehmen eingeführt, unabhängig vom Umfang.
Messen Sie die Sicherheitsverbesserung im Ransomware Protection Score
Eine gute Möglichkeit, Ihre Fortschritte beim Schutz Ihrer Umgebung zu messen, ist der Ransomware Protection Score des Dashboards. Wenn Sie Richtlinien implementieren und wichtige Änderungen vornehmen, z. B. den RDP-Verkehr blockieren, können Sie sehen, dass dieser Wert steigt.
Illumio liefert nicht nur Ihre aktuelle Punktzahl, sondern auch diese Punktzahl im Laufe der Zeit. Dies ist eine hervorragende Methode, um zu messen, wie Sie Ihr Unternehmen vor sich ständig weiterentwickelnden Bedrohungen schützen.

2. Beheben Sie bekannte ausgenutzte Sicherheitslücken mit Zero-Trust-Segmentierung
Die Zero-Trust-Segmentierung (ZTS) kann Ihnen helfen, die Auswirkungen von Ransomware-Angriffen wie Phobos zu reduzieren, indem Sie sehen und beheben, wo Sicherheitslücken in Ihrem Netzwerk wurden ausgenutzt.
Sicherheitslücken erkennen und beheben
Das Illumio Karte hilft dabei, Systeme oder Anwendungen mit übermäßiger, unnötiger oder nicht richtlinienkonformer Kommunikation aufzudecken. Es kann diese Informationen sogar mit Daten von Schwachstellenscannern kombinieren.
Anhand dieser Erkenntnisse können Sicherheitsteams detaillierte, flexible Segmentierungsrichtlinien festlegen, um das Risiko von Sicherheitslücken zu reduzieren und die Ausbreitung unvermeidlicher Sicherheitslücken zu verhindern. Wenn Sie den Kontext und das Risiko verstehen, können Workloads schnell gesichert werden, bevor ein Patch veröffentlicht wird.

Quantifizieren Sie Risiken mit datengestützten Einblicken in Sicherheitslücken
Angesichts von Bedrohungen wie der Phobos-Ransomware ist es wichtig, potenzielle Sicherheitslücken in Ihrem Netzwerk nicht nur zu identifizieren, sondern auch zu quantifizieren. Illumio zeigt Netzwerkschwachstellen auf, sodass Teams proaktive Maßnahmen genau dort umsetzen können, wo sie am dringendsten benötigt werden.
Diese Erkenntnisse bieten funktionsübergreifenden Teams umsetzbare Erkenntnisse, um Sicherheitslücken zu schließen, datengestützte Entscheidungen zu fördern und Strategien zur Risikominderung in der gesamten Umgebung zu verbessern.
Entwickeln Sie proaktiv Schutzmaßnahmen gegen Sicherheitslücken
Modellieren, testen und implementieren Sie eine granulare Segmentierung von Anlagen mit hohem Risiko als Vergütungskontrolle, um kritische Systeme abzuschirmen, wenn Patches nicht durchführbar sind oder zu einer inakzeptablen betrieblichen Komplexität führen.
Bewusstsein ist der Schlüssel. Wenn der Datenverkehr über einen Port mit einer bekannten Sicherheitslücke verbunden wird, wird das Security Operations Center (SOC) anhand der von Illumio bereitgestellten Daten über die Sicherheitslücke und den Schweregrad des Verstoßes informiert.
3. Kombinieren Sie EDR und Zero-Trust-Segmentierung, um laterale Bewegungen zu erkennen und automatisch davor zu schützen
Illumio ergänzt EDR indem die Angriffsfläche mit Zero-Trust-Segmentierungsrichtlinien reduziert wird, die den Angreifern wenig Spielraum lassen. Illumio füllt unabhängig vom Angriffsmuster die Lücke zwischen Vorfall und Erkennung.
Laut der Cybersicherheitsempfehlung ist EDR ein wichtiger Bestandteil des Schutzes vor Ransomware-Angriffen wie Phobos. Wenn ein Angriff jedoch irgendwann einen Endpunkt durchbricht, kann EDR nicht verhindern, dass sich dieser Angriff weiterhin lateral durch das Netzwerk Ihres Unternehmens ausbreitet. Deshalb ist es wichtig, EDR mit ZTS zu kombinieren. Wenn das EDR-System eine Sicherheitsverletzung feststellt, kann ZTS alle infizierten Workloads automatisch herunterfahren und unter Quarantäne stellen.

Die Kombination von proaktiver Technologie wie ZTS mit reaktiver Technologie wie EDR an jedem Endpunkt verringert die Schwäche der Verweilzeit und erhöht gleichzeitig die Reaktionsfähigkeit erheblich. Tatsächlich, laut Tests von Bischof FoxDurch die Kombination von EDR mit Illumio konnte ein Angreifer seine Ausbreitung radikal reduzieren und gleichzeitig viermal schneller erkennen.
Nehmen Sie Kontakt mit uns auf um zu erfahren, wie Zero-Trust-Segmentierung Ihnen helfen kann, die Richtlinien von CISA zu erfüllen und Ransomware-Angriffe wie Phobos noch heute zu stoppen.