Back to Blog

Schutzmechanismus NDR:
Ransomware-Angriffe auf die Industrie stoppen

By
Matthias Schmauch
|
February 21, 2022

Industrieunternehmen sind ein beliebtes Ziel für Cyberkriminelle. Erpresser gehen immer raffinierter bei Angriffen auf Netzwerke, Hacks und Sicherheitsverletzungen vor. Ransomware-Attacken haben sich 2021 rasant weiterentwickelt. Sie verursachen hohe Kosten und gefährden die Wettbewerbsfähigkeit von Unternehmen, besonders wenn diese neue digitale Technologien vorantreiben wollen. 

Schutzmechanismus NDR: Ransomware-Angriffe auf die Industrie stoppen


Bisher eingesetzte präventive Tools bieten keine vollständige Sicherheitsabdeckung während des Erstzugriffs oder der Exfiltrationsphase eines Ransomware-Angriffs. Denn weit über die erste Kompromittierung hinaus erfolgen solche Angriffe in mehreren Phasen, u. a.:

  • Persistenz
  • Privilegien-Erweiterung
  • Interne Aufklärung und Auskundschaftung
  • Seitwärtsbewegung
  • Zugriff auf Zugangsdaten
  • Command and Control (C2)
  • Umgehung der Verteidigung
  • Exfiltration etc.

Präventiven Tools bieten nur eine begrenzte Sichtbarkeit und verlassen sich auf eine vordefinierte Liste vertrauenswürdiger Dienste, Benutzer und Anwendungen. Sie müssen manuell betrieben und oft gewartet werden, überprüfen aber nicht kontinuierlich, ob sich die vertrauenswürdigen Dienste normal verhalten. Agentenbasierte Tools können zudem Geschäftsunterbrechungen verursachen, was ihre Effizienz weiter einschränkt.

KI und Automatisierung entlasten Security-Experten

Komplexe digitale Angriffsflächen, raffinierte Ransomware-Betreiber und die Grenzen herkömmlicher Sicherheitswerkzeuge stellen Unternehmen heute vor große Herausforderungen. Dazu kommt der chronische Mangel an Security-Experten. 

Künstliche Intelligenz (KI) kann Sicherheitsteams heute immer besser unterstützen. Hochleistungsfähige Sicherheitslösungen finden Bedrohungen im Netzwerk schnell und wehren sie ab. Eine NDR-Plattform (Network and Response) sammelt und speichert die richtigen Metadaten und ergänzt sie um Sicherheitserkenntnisse, die durch KI gewonnen wurden.

NDR-Lösungen: Ransomware-Angriffe erkennen und stoppen 

Eine NDR-Lösung überwacht den gesamten Netzwerkverkehr lückenlos und bietet den Sicherheitsverantwortlichen eine vollständige Sichtbarkeit. Sie erhalten so einen umfassenden Einblick in die Unternehmensumgebung – von On-Premises zur Cloud und von der Hybrid- zur Multi-Cloud, vom Büro vor Ort bis zum Remote-Arbeitsplatz.

NDR-Plattformen decken die Nutzung von IaaS (Infrastructure as a Service) und SaaS (Software as a Service) ebenso ab wie IoT- und OT-Umgebungen. Verhaltensanalysen, maschinelles Lernen und Künstliche Intelligenz kommen zum Einsatz, um Bedrohungen und anomales Verhalten zu erkennen. IT-Verantwortliche können dann mit bordeigenen Funktionen oder durch die Integration anderer Security-Tools sofort reagieren.

Gefährdete Konten und Hosts automatisch finden

Mit einer modernen NDR-Plattform lässt sich unter anderem Ransomware zuverlässig erkennen und stoppen, bevor Hacker Dateien verschlüsseln und Daten exfiltrieren können. Eine NDR-Plattform findet gefährdete Konten und Hosts im Unternehmensnetzwerk und in der Cloud automatisch. Sie verfolgt das Verhalten der Angreifer einschließlich der C2-Kommunikation über HTTPS-Tunnel, LDAP- (Lightweight Directory Access Protocol) und RPC-Aufrufe (Remote Procedure Call), um das Netzwerk abzubilden.

Mit einer NDR-Lösung können Betriebe auch nachvollziehen, wer auf privilegierte Konten zugreifen kann. So können Sicherheitsteams anspruchsvolle Ransomware-Angriffe zuverlässig erkennen und stoppen. Denn nicht überwachte privilegierte Konten zählen zu den größten Sicherheitslücken in Unternehmen und sind beliebte Angriffsziele von Hackern.

Reaktion auf Bedrohungen: automatisch und in Echtzeit

Leistungsstarke NDR-Lösungen nutzen fortschrittliche Tools für maschinelles Lernen (ML) und KI. Damit modellieren sie Taktiken, Techniken und Verfahren von Angreifern so, wie sie im Mitre Att&ck Framework abgebildet sind und können das Angreifer-Verhalten präzise erfassen. Der NDR-Ansatz ermöglicht es, sicherheitsrelevanten Kontext zu erkennen, präzise Daten aus verdächtigen Vorgängen zu extrahieren und Ereignisse über Zeit, Benutzer und Anwendungen hinweg zu korrelieren. Im Vergleich zu manuellen oder wenig automatisierten Prozessen verringert sich der Zeit- und Arbeitsaufwand für die Untersuchung von Sicherheitsvorfällen deutlich.

Die NDR-Plattform von Vectra AI ermöglicht zudem umfassende Sicherheitsbewertungen, indem sie die Sicherheitserkennungen und Bedrohungskorrelationen an SIEM-Lösungen (Security-Information- und Event-Management) weiterleitet. Durch native Kontrollen oder die Unterstützung einer breiten Palette von Integrationen mit Lösungen wie SOAR (Security Orchestration, Automation and Response), werden Bedrohungen nicht nur erkannt, sondern Mitarbeiter können in Echtzeit darauf reagieren.