Cyberressourcenzentrum: Konflikt zwischen Russland und der Ukraine
In der Ressourcenbibliothek finden Organisationen Informationen zu möglichen Schutzmaßnahmen vor globalen Cyberangriffen im Zusammenhang mit dem Konflikt zwischen Russland und der Ukraine.
ThreatLabz überwacht aktiv die aktuelle Krise
Die Auswirkungen der russischen Invasion in der Ukraine sind nicht mehr allein im Licht der geopolitischen Kriegsführung zu betrachten. Die Situation hat sich mittlerweile zu einer globalen Cyberbedrohung entwickelt, die eine Gefahr für kritische Infrastrukturen, Lieferketten und Unternehmen darstellt. Sowohl die CISA als auch andere Regierungsbehörden haben Warnungen ausgegeben und Anleitungen veröffentlicht. Darin wird auf die Notwendigkeit hingewiesen, die Sicherheitsinfrastruktur auf zunehmende verheerende Cyberangriffe seitens Russlands vorzubereiten.
Zscaler hat sich zum Ziel gesetzt, die internationale Community von SecOps-Teams bei Ihrem Einsatz zur Bewältigung und Vorbereitung auf diese bevorstehenden Bedrohungen zu unterstützen.
Die Sicherheitswarnung von ThreatLabz „Cyberangriffe infolge des Konflikts zwischen Russland und der Ukraine“ enthält Sicherheitsempfehlungen sowie weitere Informationen über unsere Schutzmaßnahmen für unsere Kunden.
Als vertrauenswürdiger Sicherheitspartner ist der Schutz von Organisationen vor Cyberbedrohungen unser wichtigstes Anliegen
Das Forschungsteam von Zscaler ThreatLabz beobachtet Gruppen von Bedrohungsakteuren und deren Angriffskampagnen, die derzeit im Internet kursieren. Die Telemetrie von Zscaler Cloud stützt sich auf mehr als 200 Milliarden Transaktionen und 150 Millionen blockierte Bedrohungen pro Tag und bietet Echtzeiteinblicke, die uns ermöglichen, eine schnelle Erkennungsabdeckung über die gesamte Plattform hinweg zu gewährleisten.
Ein regelmäßiger Besuch unseres Ressourcenzentrums bietet Zugang zu den neuesten Informationen, Forschungsupdates und anderen aufschlussreichen Materialien. Die neuesten Updates von ThreatLabz enthalten verwertbare Analysen von Taktiken und Techniken, die bei gezielten Angriffen gegen die Ukraine zum Einsatz kommen. Es wird dabei etwa auf die folgenden Themen eingegangen:
ThreatLabz hat eine bisher nicht dokumentierte Abfolge von Angriffsphasen auf Basis dieser zerstörerischen Wiper-Malware entdeckt. Anhand von sieben spezifischen Beispielen können Unternehmen ein Verständnis für diese typische Abfolge von Angriffsphasen entwickeln und ihre Verteidigungsmaßnahmen entsprechend aktualisieren.
ThreatLabz hat die Verbreitung dieser scheinbaren Decoy-Ransomware, die zeitgleich mit der Verbreitung von HermeticWiper in der Ukraine auftrat, eingehend analysiert. Ein detaillierter Blick auf diese Taktik liefert Erkenntnisse zu möglichen Vorbereitungsmaßnahmen auf die noch zu erwartenden tatsächlichen Bedrohungen.
ThreatLabz analysierte den DDoS-Angriff auf den Webmail-Server des ukrainischen Verteidigungsministeriums, durchgeführt von einem Angreifer mit DanaBot, einer 2018 erstmals entdeckten Malware-as-a-Service-Plattform. Weitere Informationen aufrufen
ThreatLabZ Ransomware Review analysierte zuvor die Ransomware-Bande Conti mit Verbindungen nach Russland, aber vor kurzem haben Bundesbehörden wie CISA, FBI, NSA und USSS eine Warnung veröffentlicht, laut der „die Cyberbedrohungsakteure von Conti weiterhin aktiv und durch diese Gruppierung durchgeführte Ransomware-Angriffe gegen US-amerikanische und internationale Organisationen auf mehr als 1.000 gestiegen seien“. Bericht herunterladen, um mehr zu erfahren
Mögliche Vorbereitungsmaßnahmen
Wir sind davon überzeugt, dass die folgenden Maßnahmen in Kombination mit einem proaktiven Überprüfungs- und Überwachungsansatz dabei helfen können,
die Risiken im Zusammenhang mit dieser sich ständig weiterentwickelnden Situation zu minimieren.
Verstärkung zentraler Maßnahmen wie der Durchführung von Patches, der Erstellung von Notfallplänen sowie der Dokumentation von Änderungen
Verstärkung zentraler Maßnahmen wie der Durchführung von Patches, der Erstellung von Notfallplänen sowie der Dokumentation von Änderungen
- Notfallpläne müssen dokumentiert werden und für alle IT- und SecOps-Mitarbeiter leicht zugänglich sein.
- Alle Schwachstellen in der Infrastruktur müssen gepatcht werden. Sollte dies nicht möglich sein, sollten sie isoliert oder entfernt werden.
- Die Dokumentation, Protokollierung und Überprüfung sämtlicher Aktionen, Änderungen und Vorfälle ist entscheidend, um Untersuchungen und Fehlerbehebungen zu erleichtern.
Eingehende Auseinandersetzung mit der Angriffsfläche und Ergreifen entsprechender Schutzmaßnahmen zur Risikominimierung
Eingehende Auseinandersetzung mit der Angriffsfläche und Ergreifen entsprechender Schutzmaßnahmen zur Risikominimierung
- Die Nutzung von Zscaler Private Access ermöglicht den Zugriff auf private Apps in öffentlichen Clouds oder einem Rechenzentrum nach dem Zero-Trust-Prinzip.
- Falls die Nutzung von Zscaler Private Access nicht möglich ist, ist es entscheidend sicherzustellen, dass systemrelevante Services im Internet nicht sichtbar sind. Eine weitere Alternative ist die Implementierung strengerer Zugriffskontrollen.
Einstufung aller Netzwerke als nicht vertrauenswürdig entsprechend dem Zero-Trust-Konzept
Einstufung aller Netzwerke als nicht vertrauenswürdig entsprechend dem Zero-Trust-Konzept
- Alle Verbindungen zu nicht vertrauenswürdigen oder Drittanbieter-Netzwerken sollten isoliert oder getrennt werden.
- In Hochrisikogebieten ist mit einer instabilen Konnektivität zu rechnen.
- Der Zugriff über Overlay-Anwendungspfade sollte ermöglicht werden (in Zscaler Private Access).
- Für User in betroffenen Regionen ist eine tägliche Neuauthentifizierung ratsam.
Einsatz von Geolocation-Sperren zur Blockierung von Services und IPs, die an Standorten mit erhöhtem Risiko gehostet werden
Einsatz von Geolocation-Sperren zur Blockierung von Services und IPs, die an Standorten mit erhöhtem Risiko gehostet werden
- Indem diese Sperren mithilfe von Zscaler Internet Access an Austrittspunkten aktiviert werden, kann ein versehentlicher Zugriff auf Services und/oder IPs verhindert werden, die an Orten mit erhöhtem Risiko gehostet werden.
Aktivierung der TLS-Überprüfung für alle potenziell betroffenen User zur Gewährleistung von Schutz und Transparenz
Aktivierung der TLS-Überprüfung für alle potenziell betroffenen User zur Gewährleistung von Schutz und Transparenz
- Vertrauliche Informationen müssen vor staatlich beauftragten Angreifern geschützt werden. Die Einrichtung von Kontrollen zum Schutz von wichtigem geistigem Eigentum und DLP-Regeln zur Erkennung und Blockierung von IP-Exfiltration ist in diesem Zusammenhang eine entscheidende Maßnahme.
- Sämtliche als schädlich identifizierte Payloads sollten innerhalb einer Sandbox blockiert werden.
Anwendung der Zero-Trust-Prinzipien
Zero-Trust-Architekturen basieren auf vier Grundprinzipien zum Schutz anfälliger Anwendungen vor Angreifern, dem Erkennen und Blockieren von unbefugten Zugriffsversuchen und Begrenzen der Folgeschäden erfolgreicher Angriffe. Wir empfehlen Organisationen die Implementierung von Zero-Trust-Strategien als wirksame Schutzmaßnahme.
Externe Angriffsflächen minimieren
Anwendungen und Server werden unsichtbar gemacht
Infektionen durch vollständige SSL-Überprüfung vorbeugen
Durch Überprüfung des SSL-Traffics werden Infektionen und Exploits vermieden
Schutz vor lateralen Bewegungen
ZTNA und integrierte Deception-Tools begrenzen das Schadenspotenzial
Datenexfiltration verhindern
Inline-DLP mit SSL-Überprüfung dient zur Unterbindung von Datenexfiltrationen