Russlands Krieg in der Ukraine: 3 Cybersecurity Takeaways für Unternehmen

Offensive Cyberaktionen sind ein integraler Bestandteil moderner bewaffneter Konflikte. Die russische Invasion in der Ukraine war keine Ausnahme.

Russland hatte bereits gezeigt, dass es der jungen Demokratie durch Cyberkrieg schaden könnte. Mindestens seit 2013 umfassen mutmaßliche russische Angriffe auf die Ukraine auch Angriffe auf kritische nationale Infrastrukturen. Zum Beispiel der destruktive Wurm NotPetya von 2017, der nach wie vor der zerstörerischste Cyberangriff der Ukraine ist.

Seit der Invasion gab es einen anhaltenden Ansturm von Angriffen sowohl auf den öffentlichen als auch auf den privaten Sektor – aber Organisationen konnten sie weitgehend abwehren. Dies zeigt, dass mit Planung, Vorbereitung und den erforderlichen Ressourcen Angriffe selbst der raffiniertesten und hartnäckigsten Angreifer abgewehrt werden können.

Cisco ist stolz darauf, die Menschen in der Ukraine sowohl durch humanitäre Hilfe als auch bei der Sicherung von Systemen zu unterstützen. In Zusammenarbeit mit den ukrainischen Behörden stellen wir seit mehr als sechs Jahren Informationen und Ressourcen bereit, um Cyberangriffe auf das Land abzuwehren. Seit der Invasion hat Talos ein Security Operations Center (SOC) gebildet, um aggressiv nach Bedrohungen zu suchen, die die Ukraine betreffen. Es verteidigt auch direkt mehr als 30 ukrainische kritische Infrastrukturen und Regierungsorganisationen.

Aus unseren Erfahrungen entwickelt, haben wir drei Tipps, die Organisationen helfen können, sich zu verteidigen:

Passen Sie Sicherheit und Abwehrmaßnahmen gegen Bedrohungen und Angriffe an

Eine proaktive Verteidigung, die auf Ihre Umgebung zugeschnitten ist, macht Angriffe schwieriger durchzuführen und leichter zu erkennen.

Systeme härten

Entfernen Sie nicht mehr benötigte Netzwerkverbindungen, Dienste, Anwendungen und Systeme. Behalten Sie nur diejenigen, die für das Geschäft entscheidend sind. Wenn Ihr Unternehmen über viele Anwendungen mit ähnlichen Funktionen verfügt, einigen Sie sich auf eine und entfernen Sie die restlichen. Wenn bestimmte Anwendungen notwendig sind, aber selten verwendet werden, beschränken Sie den Zugriff auf die wenigen, die sie verwenden.

Beschränken Sie in ähnlicher Weise den Zugriff auf vertrauliche Daten nur auf diejenigen, die ihn wirklich benötigen. Viele Funktionen können besser bedient werden, wenn man eingeschränkten Zugriff auf Teilmengen oder Aggregate von Daten hat, anstatt vollen Zugriff auf alles.

Verteidige deine Kronjuwelen

Wissen, wo sich Ihre wertvollsten Daten und Systeme befinden. Dies sind die Systeme, die Ihrem Unternehmen den größten Schaden zufügen würden, wenn sie kompromittiert oder nicht verfügbar wären. Stellen Sie sicher, dass der Zugriff auf diese Systeme beschränkt ist und dass ein geeigneter Schutz vorhanden ist, um Bedrohungen abzuwehren. Stellen Sie vor allem sicher, dass kritische Daten nicht nur regelmäßig gesichert werden, sondern dass die Teams die Daten im Schadensfall wiederherstellen können.

Aktive Wachsamkeit

Wie jede kriminelle Aktivität hinterlassen Cyberangriffe Spuren am Tatort. Selbst die raffiniertesten Angreifer hinterlassen Spuren, die aufgedeckt werden können, und können sich dafür entscheiden, alltägliche Standardwerkzeuge zu verwenden, um ihre Aktivitäten auszuführen.

Verringern Sie nicht die Priorität oder spielen Sie die Entdeckung eines relativ verbreiteten oder nicht ausgefeilten bösartigen Tools oder einer Software mit doppeltem Verwendungszweck herunter. Angreifer verschaffen sich häufig mithilfe von Standardwerkzeugen einen festen Platz innerhalb eines Unternehmens, bevor sie sich auf ausgeklügeltere Techniken konzentrieren.

Wenn Hinweise auf einen Verstoß entdeckt werden, lösen Sie den Incident-Response-Prozess aus, um den Angriff schnell zu beheben. Identifizieren Sie, auf welche Systeme der Angreifer zugreifen konnte, wo der Angreifer bestehen konnte und vor allem, wie der Angreifer in die Verteidigung eindringen konnte. Beheben Sie alle Mängel, bevor der Angreifer lernt und seine Aktionen verbessert.

Denken Sie daran, dass niemand ständig alle Systeme im Auge behalten kann. Priorisieren Sie die Überwachung Ihrer wertvollsten Daten und Systeme, damit jede Abweichung vom normalen Verhalten schnell identifiziert und untersucht werden kann. Führen Sie regelmäßig Übungen durch und proben Sie die Reaktion auf potenzielle Vorfälle, damit die Teams die erforderlichen Schritte gut kennen und sich der verschiedenen Teams bewusst sind, mit denen sie sich im Falle eines echten Vorfalls abstimmen müssen.

Jagen Sie proaktiv

Spuren des Eindringens werden in System- und Netzwerkprotokollen gefunden. Durch das Zusammenfassen dieser Protokolle, damit sie abgefragt werden können, können Teams aktiv nach möglichen Anzeichen einer Kompromittierung suchen. Dadurch können Angriffe frühzeitig erkannt werden, bevor der Angreifer Gelegenheit hatte, seine Ziele zu erreichen oder Schaden anzurichten.

Verwenden Sie Threat Intelligence, um die Sicherheit zu verbessern

Achten Sie auf Berichte darüber, wie Angreifer Angriffe durchgeführt haben. Überlegen Sie, wie die bösartigen Techniken und Verfahren, die bei früheren Angriffen verwendet wurden, in Ihren System- und Netzwerkprotokollen aufgedeckt werden können. Suchen Sie aktiv nach diesen Beweisen für einen möglichen Einbruch.

Jagen und untersuchen Sie anomales Verhalten. Suchen Sie nach Systemen, die sich anders verhalten als andere. In den meisten Fällen wird es eine harmlose Erklärung geben, aber früher oder später werden Sie etwas entdecken, das korrigiert werden muss.

Denken Sie wie ein Angreifer

Niemand kennt Ihre Systeme und Netzwerke besser als die Teams, die sie warten und betreiben. Beziehen Sie Betriebsteams in die Bedrohungssuche ein, fragen Sie sie nach potenziellen Schwachstellen oder wie Benutzer Einschränkungen umgangen haben. Nutzen Sie ihr Wissen, um die Verteidigung zu verbessern und neue Strategien zur Bedrohungssuche zu entwickeln.

Typischerweise versuchen Angreifer, das Nötigste zu tun, um ihr Ziel zu erreichen. Wenn ein Angreifer feststellt, dass seine Versuche, in Ihr Unternehmen einzudringen, fehlschlagen oder er schnell entdeckt wird, ist er versucht, sich ein leichteres Ziel zu suchen.

Ein Modell für die Widerstandsfähigkeit der Sicherheit gegen Bedrohungen

Passive Verteidigung reicht nicht aus, um die Komplexität, Raffinesse und Beständigkeit heutiger Sicherheitsbedrohungen zu bekämpfen. Das Sicherheitsteam muss proaktiv nach versteckten Bedrohungen suchen, selbst wenn Sicherheitssysteme vorhanden sind.

Denken Sie daran, dass die Cybersicherheit auf das Engagement und die Fähigkeiten von Sicherheitsexperten angewiesen ist. Investieren Sie in die Ausbildung und das Wohlbefinden Ihrer Teams. Die Verteidigung gegen Angriffe ist eine 24/7-Aktivität, aber Verteidiger sind Menschen und müssen ausreichend Ruhezeit haben, um sich auszuruhen und zu erholen, um die geistige Beweglichkeit zu haben, raffinierte Übergriffe zu erkennen.

Die Ukraine hat den Sturm der russischen Cyber-Aggression überstanden, weil sich die Verteidiger gut vorbereitet, Angriffe aktiv gejagt und aus früheren Vorfällen gelernt haben, wie sie ihre Sicherheitslage und Jagdtechniken verbessern können.

Diese Erkenntnisse stellen ein nützliches Modell dar, das Ihr Unternehmen anwenden kann, um seine Sicherheitsresilienz zu erhöhen:

• Maßgeschneiderte Verteidigung: Härten Sie Systeme und identifizieren Sie Schlüsselsysteme.
• Aktive Wachsamkeit: Reagieren Sie auf alle Vorfälle, auch wenn sie geringfügig sind.
• Jagen Sie proaktiv: Suchen Sie nach Beweisen für einen Einbruch.

Cyberangriffe werden von Kriminellen mit einer klaren Vorstellung davon durchgeführt, was sie erreichen wollen. Das Verhindern und Erkennen von Angriffen ist keine zufällige Aktivität, die leichtfertig erledigt werden sollte. Mit dem richtigen Fokus und den richtigen Ressourcen können selbst die raffiniertesten und hartnäckigsten Angriffe abgewehrt werden.

Martin Lee ist technischer Leiter der Sicherheitsforschung innerhalb Talosdie Threat Intelligence- und Forschungsorganisation von Cisco.