DNS-Filtering ist nicht gleich DNS-Filtering
Ungewöhnliche DNA-Aktivitäten sind ein untrügliches Anzeichen einer Ransomware-Attacke. DNS-Filter schützen hier dreifach: Drive-by-Downloads aktiver Inhalte von gefährlichen Webseiten werden häufig im Ansatz unterbunden. Das Nachladen von Malware-Komponenten von Command and Control-Servern sowie die typische Datenexfiltration vor der eigentlichen Datenverschlüsselung auf Server des Angreifers sind ebenfalls konkrete Anhaltspunkte für eine aktive Ransomware-Phase. Traditionelle, nach dem Blacklisting-Prinzip arbeitende DNS-Filter müssen täglich über 200.000 neue Internet-Domänen erfassen und klassifizieren. Für die Dauer ab der Erkennung bis zur Integration der IP-Adressen von gefährlichen Webseiten in die Blacklist ist die IT anfällig. Whitelisting bietet bei DNS-Filtern dagegen erhebliche Vorteile. Ein Whitelist-DNS-Filter, wie etwa Blue-Shield-Umbrella, eine Entwicklung des österreichischen Hidden Champions Blue Shield Security, blockiert zunächst alle unbekannten Webseiten und analysiert nur jene, die auch tatsächlich aufgerufen werden. Die eingesetzten Algorithmen und KI-gestützten Technologien des cloudbasierten DNS-Schutzschilds analysieren, erkennen und blockieren Gefahren und Anomalien bei jedem Aufruf in Echtzeit. Erst bei entsprechender Qualifizierung wird die Domain auf die Whitelist gesetzt. Dabei müssen sich die Domains permanent weiter qualifizieren, um auf der Whitelist zu bleiben. Zur Qualifikation nutzt Blue-Shield-Umbrella-Machine-Learning aus historischen Daten, eine eigens entwickelte Sandbox und weltweite Kooperationen mit anderen Herstellern und Organisationen.
Ferngesteuerter Webbrowser für höchste Internetsicherheit
Ein anderes Tool zur Abwehr von Ransomware-Angriffen stellt das von der Berliner M-Privacy entwickelte „ReCoBS TightGate-Pro“ dar. Die Lösung verfolgt einen anderen Ansatz und schützt vor Ransomware, die versehentlich bereits heruntergeladen wurde. Tightgate-Pro arbeitet dabei wie folgt: Der Webbrowser wird nicht mehr auf dem Arbeitsplatzrechner ausgeführt. Stattdessen übernimmt der dedizierte, in der demilitarisierten Zone (DMZ) aufgestellte, Tightgate-Server die Ausführung des Browsers. Der Arbeitsplatzcomputer erhält lediglich die Bildschirmausgabe des Browsers als Videodatenstrom über ein funktionsspezifisches Protokoll. Aufgrund dieser physischen Trennung bleibt selbst der Aufruf einer kompromittierten Internetseite für das interne Netzwerk folgenlos.
Summe kombinierter Maßnahmen bietet maximalen Schutz
Wie jede andere Malware, gelangt Ransomware über die üblichen Kanäle wie Phishing, Spoofing, ungepatchte Sicherheitslücken, Drive-by-Downloads und Schadsoftware in aktiven Internet-Inhalten ins Unternehmensnetzwerk. Technische Maßnahmen wie Antivirensoftware, Log-Management und SIEM, Firewalls, Patch-Management, Endpoint-Detection and Response (EDR), Network-Detection and Response (NDR) sind einige der Tools, die sich gegen Cyberangriffe bewährt haben. Sicher schützen werden sie jedoch nur, wenn Daten aus unterschiedlichen Quellen korreliert werden. Organisatorische Maßnahmen wie Sicherheitsschulungen und Verhaltensregeln für Mitarbeiter sind ebenfalls eine wirksame Maßnahme, weil eine gewisse Skepsis auch gegen Zero-Day-Malware wirkungsvoll ist.
#Prosoft