Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Eindämmung von Ransomware

NAME:WRECK Imbissbuden — Wie Mikrosegmentierung zu Sichtbarkeit und Eindämmung beitragen kann

Raghu Nandakumara
,
Leitender Direktor, Marketing für Branchenlösungen
April 16, 2021
23 min. Lesedauer

Die Sammlung von NAME:WRECK Sicherheitslücken ermöglicht es Angreifern, kritische Server und IoT-Geräte aus der Ferne zu kompromittieren, auch solche, die sich hinter Perimeterfirewalls befinden, indem sie Fehler bei der Verarbeitung von DNS-Antworten (Domain Name System) ausnutzen. Hunderte Millionen Geräte weltweit — darunter Medizintechnik, intelligente Geräte und Industrieanlagen — könnten mithilfe von NAME:WRECK potenziell kompromittiert werden.

Kürzlich veröffentlichte Forschungsergebnisse von Forescout und JSOF beschreiben diese Sammlung von Sicherheitslücken, die das Analysieren von DNS-Antworten nutzen. Diese Fehler sind in den TCP/IP-Stacks einer Reihe von Betriebssystemen zu finden und können zur Remotecodeausführung oder Diensteverweigerung auf dem Zielsystem führen. Um diese Sicherheitsanfälligkeiten ausnutzen zu können, muss ein Angreifer in der Lage sein, auf eine gültige DNS-Anfrage zu antworten — indem er sich als Mann in der Mitte zwischen dem anfälligen Client und dem DNS-Server einfügt — und eine Antwort erhalten, deren Nutzlast so formatiert ist, dass sie die Schwachstelle auslöst. Zu den Plattformen, die sich als anfällig erwiesen haben, gehören FreeBSD, das in Rechenzentren weit verbreitet ist, sowie Nucleus und NetX, die beide häufig als Betriebssysteme im Internet der Dinge verwendet werden OT-Geräte. Den vollständigen Artikel auf NAME:WRECK finden Sie hier.

BLOG

Da die anfängliche Gefährdung davon abhängt, dass der Angreifer Netzwerkzugriff auf das Zielgerät hat, und eine laterale Bewegung nach der Gefährdung einen umfassenden Netzwerkzugriff erfordert, bieten Sichtbarkeit und Mikrosegmentierung Funktionen, die sowohl die Erkennung als auch die Abwehr eines möglichen Angriffs unterstützen könnten.

Der Ausgangspunkt für beide ist eine genaue Bestandsaufnahme der Geräte in der Umgebung, in der die betroffenen Plattformen ausgeführt werden. Dies mag für Server in einem Rechenzentrum einfach sein, für IoT- oder OT-Geräte, die über mehrere Standorte verteilt sind, eine größere Herausforderung: Wenn diese Informationen nicht perfekt sind, ist es ein guter Ausgangspunkt, zu wissen, wo im Netzwerk sie eingesetzt werden (auch auf Subnetzebene, wenn nicht sogar auf einer bestimmten IP).

Sichtbarkeit

Da ein Angreifer ein MITM (Man in the middle) ausführen müsste, um die bösartige DNS-Antwort einzuschleusen, kann es schwierig sein, die bösartige Verbindung zu identifizieren. Folgendes könnte jedoch einige Einblicke bieten:

  • Versuchte DNS-Verbindungen zu unbekannten oder unerwarteten DNS-Servern.
  • Ungewöhnlich hohe Aktivitäten auf einem bestimmten DNS-Server.
  • DNS-Antworten mit großen Nutzlasten.

Mögliche seitliche Bewegungen nach einer Kompromittierung könnten anhand der folgenden Merkmale erkannt werden:

  • Target Estate (FreeBSD, NetX, Nucleus) Konnektivität zu internen Geräten, zu denen sie normalerweise keine Verbindung herstellen.
  • Neue Internetverbindungsversuche von der Zielanlage aus.
  • Neue große Datenübertragungen von/zur Zielanlage.

Eindämmung

Unternehmen können die Mikrosegmentierung nutzen, um die potenzielle Angriffsfläche zu reduzieren und laterale Bewegungen zu verhindern:

  • Beschränken Sie Geräte so, dass sie nur auf autorisierte DNS-Server (sowohl intern als auch extern) zugreifen können.
  • Beschränken Sie den Zugriff auf/von Geräten, sodass Regeln nur Abläufe zulassen, die für den Geschäftsbetrieb erforderlich sind, und verhindern Sie so den uneingeschränkten Zugriff auf das Netzwerk.
  • Verhindern Sie den Zugriff von Geräten auf das Internet oder beschränken Sie den Zugriff nur auf bestimmte Domains.

Illumio-Kunden können die beispiellose Transparenz von Illumio Core nutzen, um diese Überwachung zu ermöglichen und angemessene Segmentierungsrichtlinien zu erstellen. Wenden Sie sich an Ihr Illumio Account-Team, um zu erfahren, wie das geht.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Warum zum Schutz Ihres OT keine Layer 7 Deep Packet Inspection erforderlich ist
Eindämmung von Ransomware

Warum zum Schutz Ihres OT keine Layer 7 Deep Packet Inspection erforderlich ist

Erfahren Sie, warum Zero-Trust-Segmentierung die bessere Antwort ist, um die Ausbreitung von Sicherheitsverletzungen zu verhindern.

Lesen Sie mehr
So schützen Sie sich vor Ransomware: 4 Kernprinzipien
Eindämmung von Ransomware

So schützen Sie sich vor Ransomware: 4 Kernprinzipien

Wenn Sie diese vier Kernprinzipien beachten und umsetzen, können Sie Ihr Unternehmen besser schützen, wenn es darum geht, sich vor Ransomware zu schützen.

Lesen Sie mehr
Angriffe auf Versorgungsunternehmen werden immer störender: Was Betreiber tun können
Eindämmung von Ransomware

Angriffe auf Versorgungsunternehmen werden immer störender: Was Betreiber tun können

Erfahren Sie, wie sich Angriffe auf Versorgungsunternehmen verändern und welche fünf Strategien Betreiber anwenden können, um die heutigen Bedrohungen abzuwehren.

Lesen Sie mehr
Keine Artikel gefunden.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr