Zscaler Cloud-Plattform

Risiko Ransomware und Doppelerpressung: So lassen sich Unternehmensdaten zuverlässig schützen

Phishing-Spam

Malware zählt seit Jahren zu den Erzfeinden der Wirtschaft. Vor allem Ransomware wird immer mehr Unternehmen weltweit zum Verhängnis. Die Verschlüsselung wichtiger Unternehmensdateien und die Forderung von Lösegeld für ihre Entschlüsselung hat sich für Cyberkriminelle als lukratives Geschäft erwiesen. Erst kürzlich sorgte eine nicht abreißende Serie von Ransomware-Angriffen immer wieder für Schlagzeilen. Dabei bedienen sich die Angreifer zunehmend raffinierter Taktiken. Besonders heimtückisch ist die Doppelerpressung: Vertrauliche Daten werden vor der Verschlüsselung exfiltriert. Bei Verweigerung des Lösegelds drohen die Angreifer mit ihrer Veröffentlichung. Sogenannte Supply-Chain-Angriffe wie kürzlich auf die RMM-Lösung (Remote Monitoring and Management) von Kaseya zeugen ebenfalls von der wachsenden Raffinesse der Kriminellen. Kein Zweifel: Ransomware stellt eine ernsthafte Bedrohung dar, die unter anderem beträchtliche Störungen des Geschäftsbetriebs und hohe Kosten verursachen sowie den Ruf der Marke schädigen kann.

Angreifer suchen sich weiche Ziele, die sie zur Überwindung oder Umgehung der eingesetzten Schutzmaßnahmen ausnutzen können. In letzter Zeit sind SaaS-Anwendungen zunehmend ins Visier der Kriminellen gerückt. SaaS-Anwendungen wurden entwickelt, um einen schnellen Austausch von Dateien, Zusammenarbeit und Automatisierung zu ermöglichen. Im Angriffsfall leisten diese Vorteile jedoch einer rapiden Verbreitung von Ransomware auf verbundene Anwendungen und Endgeräte Vorschub. Ein weiteres Risiko entsteht dadurch, dass SaaS-Anwendungen auch als Speicherorte für zahlreiche Dateien dienen, die gestohlen und für Doppelerpressungen genutzt werden können. Durch Fehlkonfigurationen in datenintensiven SaaS-Anwendungen können daher gefährliche Sicherheitslücken entstehen, über die böswillige Akteure sich Zugriff auf Unternehmensdaten verschaffen. Leider ist in den wenigsten SaaS-Anwendungen ein nativer Schutz vor Bedrohungen inbegriffen. Wo er doch vorhanden ist, fehlen zumeist die technologischen Kapazitäten zur Erkennung von Zero-Day-Bedrohungen. Unternehmen können sich dann schon glücklich schätzen, wenn bekannte Bedrohungen erkannt werden. Erschwerend kommt hinzu, dass herkömmliche Sicherheitstechnologien (in Form von lokal installierten Hardware-Appliances, denen es an Skalierbarkeit mangelt) nicht für die Abwehr von Malware oder den Schutz von Daten in der heutigen Cloud-zentrierten Wirtschaftswelt geeignet sind, in der Remote-Arbeit immer mehr zur Norm wird.

Anforderungen an einen effektiven Ransomware-Schutz

Ein umfassender Schutz vor der Verbreitung von Malware und Ransomware sowohl innerhalb als auch zwischen SaaS-Anwendungen ist ein absolutes Muss für Unternehmen. Dies erfordert den Einsatz einer Sicherheitslösung, die für die Cloud konzipiert wurde und in der Lage ist, jeden User, jedes Gerät und jede Anwendung über jedes Netzwerk vor Malware zu schützen – ohne Backhauling des Traffics auf eine lokal installierte Appliance. Die gewählte Lösung muss nicht nur verhindern, dass infizierte Dateien auf Cloud-Applikationen hochgeladen werden, sondern auch Bedrohungen erkennen, die bereits in die Cloud eingedrungen sind. Zudem müssen Unternehmen sich darauf verlassen können, dass neben bekannter Malware auch sämtliche neuartigen Bedrohungen – insbesondere Zero-Day-Ransomware – abgewehrt werden. Angesichts der Häufung von Ransomware-Angriffen mit Doppelerpressung ist darüber hinaus ein wirksamer Schutz vor der Exfiltration von Daten über SaaS unverzichtbar.

Cloud DLP durchbricht die Angriffskette
Wenn die Ransomware erst einmal erfolgreich ins Unternehmen gedrungen ist, beginnen Cyberkriminelle in der Regel umgehend mit der Exfiltration von Daten. Wie bereits erwähnt, ist der Diebstahl von Daten und die Drohung mit ihrer Veröffentlichung eine zunehmend beliebte Strategie. Dadurch soll zusätzlicher Druck auf das Unternehmen ausgeübt werden, damit es eher bereit ist, das geforderte Lösegeld zu zahlen. Selbst Unternehmen, die nicht gewillt sind, für die Entschlüsselung ihrer Daten zu zahlen, lassen sich oft in die Knie zwingen, wenn ihr guter Ruf auf dem Spiel steht. Voraussetzung für eine effektive Doppelerpressung ist jedoch die erfolgreiche Exfiltration von Unternehmensdaten. Cloud Data Loss Prevention (DLP) bietet wirksamen Schutz davor. Branchenführende DLP-Lösungen prüfen die Inhalte und den Kontext aller ausgehenden Dateien und blockieren ggf. ihre Übermittlung. Dadurch wird der Diebstahl von Unternehmensdaten aus SaaS-Anwendungen verhindert und somit die Angriffskette durchbrochen – denn ohne diese Daten ist keine Doppelerpressung möglich.

CASB-Lösungen schützen Daten bei der Übermittlung und im Ruhezustand

Cloud Access Security Broker (CASB), die Unternehmen Sichtbarkeit und Kontrolle über ihre Cloud-Umgebungen verschaffen, können auch entscheidend zur Bekämpfung von Ransomware beitragen. Als besonders effektiv haben sich multimodale CASB-Lösungen erwiesen. Der Traffic wird über eine Proxy-Architektur geroutet, um Daten bei der Übertragung zu sichern. Durch die Integration mit APIs (Application Programming Interfaces) werden auch Daten im Ruhezustand in sämtlichen Cloud-Anwendungen zuverlässig geschützt. So wird einerseits das Hochladen schädlicher Dateien in SaaS-Anwendungen verhindert, andererseits auf Malware und Ransomware reagiert, die bereits die unternehmenseigenen Cloud-Anwendungen infiltriert hat. Im Funktionsumfang führender CASB-Lösungen ist Advanced Threat Protection (ATP) inbegriffen. So wird eine zuverlässige Erkennung sämtlicher Bedrohungen – einschließlich Zero-Day-Ransomware – durch enge Integrationen mit Cloud-Sandboxing gewährleistet. Als Cloud-native Lösungen bieten führende CASBs skalierbare, omnipräsente Schutzmaßnahmen ohne Einsatz von Hardware-Appliances in Rechenzentren.

CSPM: Fehlkonfigurationen zuverlässig beheben

Bei der Bereitstellung und Verwaltung einer SaaS-Anwendung oder IaaS-Instanz muss eine Vielzahl von Konfigurationseinstellungen berücksichtigt werden, denn Fehlkonfigurationen beeinträchtigen nicht nur das ordnungsgemäße Funktionieren, sondern stellen auch ein Sicherheitsrisiko dar. Angreifer nutzen solche Schwachstellen aus, um sich Zugriff auf Unternehmenssysteme zu verschaffen und dort Ransomware-Payloads zu platzieren oder Daten für Doppelerpressungen zu exfiltrieren. Fehlkonfigurationen können Unternehmen daher teuer zu stehen kommen. Zu ihrer Erkennung und Behebung empfiehlt sich der Einsatz von Cloud Security Posture Management (CSPM). So kann eine Fehlkonfiguration dazu führen, dass auf vertrauliche Daten-Repositories wie z. B. AWS S3-Buckets offen über das Internet zugegriffen werden kann. Mit einer guten CSPM-Lösung sind derartige Probleme im Handumdrehen erkannt und behoben.

Umfassender Schutz durch ein integriertes Abwehrkonzept

Ein integriertes Konzept ermöglicht die Abwehr von Ransomware in sämtlichen Phasen der Kill Chain und erspart Unternehmen den Aufwand, der mit der Bereitstellung und Verwaltung mehrerer Einzelprodukte verbunden ist. Zscaler Cloud DLP, CASB und CSPM bilden die Kernkomponenten der integrierten Zero Trust Exchange. Ergänzend werden führende SWG- und ZTNA-Technologien bereitgestellt. Durch das reibungslose Zusammenwirken dieser Spitzenlösungen ermöglicht Zscaler eine umfassende und effektive Abwehr von Malware und Ransomware. Darüber hinaus ist eine Secure Access Service Edge (SASE) in der Plattform inbegriffen.

Die DLP-Lösung von Zscaler bietet die erforderliche Breite und Tiefe an Funktionen, um Datenexfiltration zu verhindern und Doppelerpressung zu vereiteln. Sie umfasst vordefinierte und anpassbare Wörterbücher ebenso wie Exact Data Match (EDM) und indizierten Dokumentenabgleich (IDM). Der multimodale CASB schützt SaaS-Anwendungen vor Infektionen mit Malware und Ransomware. Ein Echtzeit-Proxy erkennt und blockiert Bedrohungen im Traffic. Schädliche Dateien im Ruhezustand können über die API erkannt und in Quarantäne gestellt bzw. gelöscht werden. Die branchenführende ATP-Technologie (Advanced Threat Protection) wird durch 160 Milliarden Plattform-Transaktionen und 100 Millionen erkannte Bedrohungen pro Tag laufend aktualisiert. Zscaler Cloud Sandbox nutzt maschinelle Lernalgorithmen zur Erkennung und Blockierung von Zero-Day-Bedrohungen sowohl beim Hochladen als auch im Ruhezustand. Das in der Plattform integrierte CSPM durchsucht SaaS- und IaaS-Instanzen auf gefährliche Fehlkonfigurationen, die Angriffe ermöglichen könnten, priorisiert aufgedeckte Risiken und versetzt Unternehmen in die Lage, Angriffe proaktiv abzuwehren. 

 

Weitere Informationen über den Schutz vor Ransomware und die Lösungen von Zscaler gibt es hier

Im E-Book werden die Lösungen von Zscaler zum Schutz vertraulicher Unternehmensdaten ausführlicher vorgestellt.

Get the latest Zscaler blog updates in your inbox

Subscription confirmed. More of the latest from Zscaler, coming your way soon!

By submitting the form, you are agreeing to our privacy policy.