Im Mai dieses Jahres wurde in vielen Medien darüber berichtet, dass eine große Pipeline zwischen Texas und New York infolge eines Cyber Angriffs vorübergehend stillgelegt werden musste. Die Auswirkungen waren gravierend. Die Preise an den Tankstellen stiegen, es kam zu Hamsterkäufen und kleineren Flughäfen drohte das Kerosin auszugehen. Die Angreifer hatten Daten auf den Systemen des Unternehmens verschlüsselt und gestohlen. Sie drohten mit Veröffentlichung und forderten ein hohes Lösegeld.
Schließlich zahlte das betroffene Pipeline Unternehmen 3,6 Mio Euro an die Erpresser. Sogar der US-Präsident meldete sich zu Wort und machte deutlich, dass Betreiber ihre kritischen Infrastrukturen besser schützen und mehr in die Sicherheit ihrer Computersysteme investieren müssen.
Ransomware ist eine ständige Bedrohung.
Die Angriffe ähneln sich. Meist beginnt es mit dem Mapping der Umgebung und endet mit dem Diebstahl von Daten. So erhält der Angreifer Zugriff auf detaillierte Informationen über das Unternehmen und seine Operationen. Dann beginnen die Hacker damit, Systeme zu verschlüsseln, sodass ganze Teile der Infrastruktur nicht mehr verfügbar sind.
Dieser zweigleisige Ansatz wird immer häufiger bei großen Angriffen verwendet. Das Exfiltrieren potenziell sensibler Daten verhilft den Angreifern zum Durchbruch und macht es umso wichtiger, dass Erpresser-Trojaner schnellstens erkannt und gestoppt werden.
Kritische Infrastrukturen sind anfällig für Sicherheitslücken.
Die Abhängigkeit von TCP/IP-Übertragungen über den gemeinsamen Standard Gigabit Ethernet hat viele unserer kritischen Infrastrukturen verwundbar gemacht. Insbesondere die Stromverteilung, die Gewinnung natürlicher Ressourcen (Erdöl/Öl/Gas), die chemische Produktion, die Fertigung, der Vertrieb und die Logistik verwenden oft verteilte Netzwerke, um komplexe technische oder industrielle Prozesse zu steuern. Diese Prozesse öffnen und schließen Stromunterbrecher oder Ventile, messen Temperatur, Durchflussmenge, Spannung oder steuern automatisierte Maschinen.
Die Endpunkte, die diese verteilten Prozesse verwalten, werden im Allgemeinen als Industrial Control Systems (ICS) bezeichnet. Diese Steuerungssysteme kontrollieren Prozesse und sammeln Prozessinformationen. Sie arbeiten typischerweise auf einer Ebene, die in einigen Branchen als Supervisory Layer bezeichnet wird. Dieser Layer steuert die industriellen Prozesse selbst.
Das bedeutet, dass das dynamische, chaotische, oft hochgradig anfällige und kritisch unzureichend überwachte TCP/IP-Netzwerk des Unternehmens fast immer eine Art Verbindung, wie ein Wurmloch, in die ICS-Umgebung hat. Ransomware, die darauf ausgelegt ist sich wahllos zu verbreiten, findet dieses Wurmloch in Windeseile. Ein Sicherheitsproblem mit potenziell verheerenden Folgen.
ExtraHop erkennt frühe Anzeichen von Daten Exfiltration und Verschlüsselung.
Das SOC Visibility Triad-Modell hat in der Cybersicherheit immer mehr an Bedeutung gewonnen. Um die Sicherheit der IT-Infrastruktur eines Unternehmens zu gewährleisten, sind drei Datenquellen erforderlich: das Netzwerk, der Endpunkt und die Aktivitätsprotokolle.
Wenn diese Überwachungslösungen vorhanden und eng integriert sind, haben Security Operations Teams eine viel bessere Chance, frühe Anzeichen von Ransomware, anderer schnelllebiger Malware oder Angriffsverhalten zu erkennen. Sie können die Bedrohung isolieren und beseitigen, bevor sie sich auf kritische ICS-Systeme auswirkt.
Im Falle von Ransomware entdeckt ExtraHop Reveal(x) bereits frühe Anzeichen einer Kompromittierung, wie z. B. verdächtige Datei-Lesevorgänge und SMB-Daten-Staging. Erkannte Informationen zur Verschlüsselung und Exfiltration von Daten werden korreliert, um ein vollständigeres Verständnis des Angriffs zu erhalten.
ExtraHop nutzt die Leistungsfähigkeit des maschinellen Lernens, um Unternehmen dabei zu helfen, selbst die schwierigsten Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, um kritische Workloads und Infrastrukturen zu schützen.
Im Elite 80 Report heißt es: „Durch die Analyse von Leitungsdaten ist ExtraHop in der Lage, alle Anwendungen, Hosts, Clients und die Infrastruktur im Netzwerk eines Unternehmens zu entdecken, zu beobachten und zu analysieren. So können Unternehmen Informationen korrelieren und Entscheidungen in Echtzeit zu treffen, um ein Unternehmen voranzubringen.“
Quelle: © ExtraHop Networks, Inc. / Website Blog / In extracts from Blogpost “colonial pipeline attack” by Mark Bowling, 10.05.21
Lesen Sie die Customer Story „Österreichs größter Stromerzeuger nutzt ExtraHop Reveal(x) als Baustein für sein Security Operations Center (SOC)“
Hier geht’s direkt ? zu weiterführenden Informationen: NDR für mittelständische Unternehmen, NDR für ein sicheres Unternehmen, Splunk Integration, ExtraHop Produktseite, ExtraHop Reveal(x)
Besuchen Sie auch die NetDescribe Jubiläumsseite! Der QUIZLYBÄR fordert Sie zum Rate-Duell und im Rückspiegel der NetDescribe History lesen Sie, was in den vergangenen Jahren noch so passiert ist.
Wir freuen uns über Ihr Feedback.
Wenn Sie weitere Informationen wünschen oder eine individuelle Webpräsentation erleben wollen, kontaktieren Sie uns unter sales@netdescribe.com oder rufen Sie uns an unter 089 2154868-0.
Über NetDescribe GmbH
NetDescribe GmbH, mit Sitz in Oberhaching im Süden von München, steht mit dem Claim Trusted Performance für ausfallsichere Geschäftsprozesse und Cloud-Anwendungen. Die Stärke von NetDescribe sind maßgeschneiderte Technologiestacks statt Standard-umsetzungen von der Stange. Das ganzheitliche Portfolio bietet Datenanalyse, Lösungskonzepte, Entwicklung, Implementierung und Support. Als Trusted Advisor für Großunternehmen und öffentliche Institutionen realisiert NetDescribe hochskalierbare Lösungen mit State-of-the-Art-Technologien für dynamisches und transparentes Monitoring in Echtzeit. Damit erhalten Kunden jederzeit Einblicke in die Bereiche Security, Cloud, IoT und Industrie 4.0. Sie können agile Entscheidungen treffen, interne und externe Compliance sichern und effizientes Risikomanagement betreiben.
Trusted Performance by NetDescribe.
