Globale Anwaltskanzlei stoppt Ransomware mit Illumio

Niemand mag schlechte Nachrichten. Dann gibt es Neuigkeiten, die kein CIO jemals hören möchte.

Aber an einem Montagabend Ende September 2021 um 16:00 Uhr wurde der CIO einer globalen Anwaltskanzlei darüber informiert, dass das Unternehmen von Ransomware angegriffen wurde.

Bösartiger Code schlich sich über eine URL in einer Phishing-E-Mail, die auf eine Helpdesk-Workstation gelangte, in das Netzwerk ein. Das Netzwerk der Anwaltskanzlei wurde gehackt. In nur wenigen Stunden hatte sich die Ransomware auf 12 Server ausgebreitet. Die Zeit lief ab.

Aber diese Anwaltskanzlei hatte etwas, das die Cyberkriminellen nicht erwartet hatten: die Zero-Trust-Segmentierung von Illumio.

Keine seitlichen Bewegungen mehr — oder irgendwelche Bewegungen

Innerhalb von Sekunden nutzte das Unternehmen Illumio, um den Ransomware-Angriff abzuwehren. Nachdem sie die 12 infizierten Server identifiziert hatten, richteten sie schnell eine Richtlinie ein, um die infizierten Computer abzugrenzen und zu isolieren. Dabei warfen sie quasi eine Kiste auf die Angreifer ab, um ihre Bewegung durch das Netzwerk zu stoppen.

„Buchstäblich mit ein paar Drag-and-Drop-Klicks konnten wir alle betroffenen Systeme unter Quarantäne stellen“, erklärt der IT-Manager, der das Incident-Response-Team der Anwaltskanzlei leitete. „Wir haben das so schnell gemacht, dass die Angreifer vom Netzwerk ausgeschlossen wurden, bevor sie wussten, was passiert war. Sie hatten keine Möglichkeit, irgendwohin zu springen, um uns auszuweichen und sich weiter auszubreiten. Ihr Spaß an diesem Abend war vorbei.“

Der GeschäftsFührend sagt, dass die Geschwindigkeit, mit der Illumio die kompromittierten Server unter Quarantäne stellen konnte, den entscheidenden Unterschied ausmachte.

„Unsere Sicherheitsberater gaben an, noch nie eine so schnelle — und effektive — Reaktion auf einen Ransomware-Angriff gesehen zu haben“, erklärt er. „In den meisten Fällen ist es zu spät, wenn ein Unternehmen erkennt, dass es angegriffen wird, und mit herkömmlichen Methoden Maßnahmen ergreift, um den Zugriff einzudämmen, und die Ransomware hat sich auf Hunderte von Systemen ausgebreitet.“

Die Geschwindigkeit, mit der wir Illumio verwenden konnten, um die Ransomware unter Quarantäne zu stellen, machte den Unterschied. IT-Verantwortlicher Weltweite Anwaltskanzlei

Hilfe bei der Abwehr eines Ransomware-Angriffs

Während Illumio entscheidend dazu beigetragen hat, die Ransomware schnell unter Quarantäne zu stellen, um zu verhindern, dass sie sich im Netzwerk ausbreitet, trug es in mehrfacher Hinsicht zur erfolgreichen Abwehr des Angriffs bei, sagt der GeschäftsFührend.

• Verlangsamen Sie den Angriff: Vor dem Angriff hatte das Unternehmen bereits die offenen Pfade in seinem Netzwerk stark eingeschränkt, indem es die Zero Trust Segmentierungs-Zugriffskontrollen von Illumio einsetzte.
• Verfolge die Eindringlinge: Durch die nahtlose Integration mit dem SIEM-Tool (Security Information and Event Management) trug die Kommunikationstelemetrie von Illumio dazu bei, einen umfassenderen Überblick über die Ausbreitung der Ransomware zu gewinnen.
• Visualisieren Sie die Aktivität: Die Karte von Illumio zur Anwendungskommunikation in der Hybrid-Cloud-Umgebung der Anwaltskanzlei in Echtzeit zeigte deutlich die ungewöhnlichen Netzwerkaktivitäten, die durch Ransomware-Chats verursacht wurden.
• Kompromittierte Vermögenswerte unter Quarantäne stellen: Die einfachen Funktionen von Illumio zur Regelgenerierung machten es einfach, in weniger als einer Minute eine Richtlinie zu erstellen, um die infizierten Server sowohl im Rechenzentrum als auch in einem Microsoft Azure-Clouddienst zu isolieren.
• Unterstützen Sie die Untersuchung: Illumio machte es sicher, auf kompromittierte Serverdaten zuzugreifen und sie zur Analyse sicher an eine Incident-Response-Agentur zu übertragen.

Unsere Sicherheitsberater gaben an, noch nie eine so schnelle — und effektive — Reaktion auf einen Ransomware-Angriff gesehen zu haben. IT-Verantwortlicher Weltweite Anwaltskanzlei

Insbesondere die Mikrosegmentierung, die sie bereits mit Illumio Core (dem Flaggschiffprodukt von Illumio) eingeführt hatten, machte einen großen Unterschied, so der GeschäftsFührend. Es schränkte proaktiv ein, wohin die Angreifer gehen und was sie tun konnten, und fing sie schließlich in einem Ringzaun ein.

Illumio Core ließ den Angreifern eine viel engere Auswahl an Optionen und verschaffte dem Unternehmen mehr Zeit, um sie aufzuspüren.

„Wenn wir Illumio Core nicht bereits mit Live-Durchsetzungsrichtlinien eingerichtet hätten, hätte der Angriff meiner Meinung nach viel schwieriger einzudämmen sein können“, sagt er. „Die böswilligen Akteure hätten mehr Wege vom Helpdesk-Arbeitsplatz aus gehabt und sich viel weiter verbreitet, viel schneller, was unsere Aufgabe, sie zu stoppen, viel komplexer gemacht hätte.“

Verteidigung von Kundendaten und des Rufs des Unternehmens

Die Fähigkeit, Ransomware zu stoppen, ist für Anwaltskanzleien doppelt wichtig, sagt der GeschäftsFührend. Sie müssen nicht nur ihr eigenes Unternehmen schützen, sondern sind auch treuhänderisch dazu verpflichtet, Informationen über ihre Mandanten und deren Rechtsfälle zu schützen.

„Keine Anwaltskanzlei kann es sich leisten, bei einem Angriff die Daten ihrer Mandanten zu verlieren, da dies zu Reputationsschäden führt, von denen es in einigen Fällen sehr schwierig sein kann, sich davon zu erholen“, sagt er.

Zum Beispiel weiß die Geschäftsleitung von einer anderen Anwaltskanzlei, die einen schweren Ransomware-Angriff erlitt, bei dem Kundendaten preisgegeben wurden und sie gezwungen waren, ihr Netzwerk für einen Monat herunterzufahren, was das Geschäft und das Vertrauen der Kunden erheblich beeinträchtigte.

„Ihr Risiko war enorm. Es ist unklar, wie viele Kunden oder potenzielle Kunden sie durch den Vorfall verloren haben", sagt der GeschäftsFührend. "Ich wollte nicht, dass uns auch nur annähernd etwas Ähnliches passiert.“

Da die Anwaltskanzlei so schnell reagieren konnte, um ihren Ransomware-Angriff mit Illumio zu stoppen, war sie in der Lage:

• Verhindern Sie, dass die Angreifer ihren IT-Systemen oder Daten erheblichen Schaden zufügen
• Stoppen Sie den Diebstahl oder die Verschlüsselung von Daten, einschließlich Kundendaten oder Rechtsakten
• Vermeiden Sie Störungen des Geschäftsbetriebs

Und weil keine Kundendaten gestohlen wurden, hat das Unternehmen sein wertvollstes Kapital bewahrt: seinen Ruf.

Hätten wir nicht bereits einen Teil unserer Illumino-Segmentierung eingerichtet, wäre es unmöglich gewesen, den Angriff einzudämmen. IT-Verantwortlicher Weltweite Anwaltskanzlei

Auf der Suche nach Backoffice-Sicherheit

Der GeschäftsFührend der Anwaltskanzlei sagt, dass er immer nach neuen Möglichkeiten sucht, um die digitale Sicherheit des Unternehmens weiter  zu verbessern und den immer raffinierteren Cyberangriffen einen Schritt voraus zu sein.

„Es geht darum, die offenen Enden in Ihrem Netzwerk zu schließen, die Angreifern eine Schwachstelle bieten, die es auszunutzen gilt“, sagt er.

In der Vergangenheit hat die Anwaltskanzlei mehrere Technologien zur Sicherung ihrer Daten und Systeme eingesetzt, darunter EDR-Tools (Endpoint Detection and Response), Antivirensoftware für Mitarbeiterlaptops und Ransomware-Erkennung für Dateisysteme.

Vor Illumio fehlte es jedoch an starken Methoden zum Schutz des „Backoffice“ — all der Anwendungen und Daten, auf denen der Geschäftsbetrieb abläuft —, die sich jetzt sowohl in Rechenzentren als auch in Cloud-Plattformen befinden.

Die Exekutive erkannte an, dass die Mikrosegmentierung ein wichtiger Weg sein würde, um den Schutz dieser Systeme zu verbessern.

Durch die einfache Steuerung und Blockierung von Übertragungswegen bis auf die Anwendungsebene könnte das Unternehmen die „unverschlossenen Türen“, die es Cyberkriminellen so oft leicht machen, sich in Netzwerken zu bewegen, um Daten zu stehlen und Unternehmen als Geiseln zu nehmen, stark einschränken, erklärt er.

Als er mit der Suche nach einer Mikrosegmentierungsplattform begann, stellte er fest, dass herkömmliche Segmentierungsansätze einfach nicht so funktionierten, wie sie es sollten.

„Ich wollte unsere Netzwerkkommunikation besser kontrollieren, aber ich wusste, dass ich das mit Methoden wie der manuellen Einschränkung der Zugriffskontrolllisten auf physischen Netzwerk-Switches nicht erreichen konnte“, sagt er. „Es erfordert einfach zu viel Personal, um diese zu programmieren, und wie kartiert man das alles anschließend?“

Illumio bietet Ihnen die Transparenz und Kontrolle über die Kommunikationsabläufe von Anwendungen auf eine Weise, die Sie mit keiner anderen Sicherheitslösung haben. IT-Verantwortlicher Weltweite Anwaltskanzlei

Illumio löst diese Herausforderungen, sagt der GeschäftsFührend.

Auf der Grundlage umfassender Überprüfungen und Beratung durch führende Analystenfirmen entschied sich die Geschäftsleitung für Illumio, um seinem Unternehmen eine einfache, skalierbare Zero-Trust-Segmentierung zu bieten.

„Illumio bietet Ihnen die Transparenz und Kontrolle über die Kommunikationsabläufe von Anwendungen auf eine Weise, die Sie mit keiner anderen Sicherheitslösung haben“, sagt er. „Mit Illumio können Sie Ihre Richtlinien einfach durchgehen und bei Bedarf Aktualisierungen und Änderungen vornehmen.“

Der GeschäftsFührend sagt, dass die Fähigkeit von Illumio, nahtlos dieselben Segmentierungsfunktionen für Cloud workloads wie für Rechenzentren vor Ort bereitzustellen, ebenfalls ein wichtiges Verkaufsargument war.

„Sie können nicht einfach über die Grenzen Ihres eigenen Rechenzentrums nachdenken“, sagt er. „Hybrides Cloud-Computing ist heute Realität. Anstatt an eine Netzwerkhardwarelösung oder eine Virtualisierungsplattform gebunden zu sein, wollten wir uns für eine erstklassige SaaS-Plattform entscheiden, die uns die Flexibilität bietet, die wir benötigen. Ich würde sagen, Illumio ist genau das.“

Sicherlich ist die Anwaltskanzlei mehr als glücklich, dass Illumio vor Ort war und bereit war, ihr dabei zu helfen, Ransomware zu bekämpfen und Schäden an ihrem Betrieb, ihren Kunden und ihrem Ruf zu vermeiden. Sie konzentriert sich nun darauf, Illumio zu erweitern, um die Richtlinien in einem viel breiteren Spektrum ihres IT-Bereichs durchzusetzen.

„In der heutigen Zeit ist es unerlässlich, eine Mikrosegmentierung zu implementieren, um die laterale Bewegung von Angreifern oder Malware das kommt in dein Netzwerk. „, sagt er. „Es ist nur eine Frage der Zeit, bis Sie Ihren eigenen Sicherheitsverstoß haben. Sie müssen also vorbereitet sein.“