Sechs Wege, wie Sie Ihre IT mit SUSE vor Ransomware-Attacken schützen können

Angriffe mit Erpressungstrojanern richten seit Jahren enormen wirtschaftlichen Schaden an. Durch Produktionsausfälle, Umsatzeinbußen und Lösegeldzahlungen gehen Unternehmen viele Milliarden Euro verloren. Mit SUSE können Sie die Sicherheit Ihrer IT deutlich erhöhen und sowohl klassische IT-Infrastrukturen als auch Container-Umgebungen besser vor Ransomware-Attacken schützen.

Aktuelle Studien zeigen, dass die Bedrohung durch Ransomware unverändert hoch ist. Allein im vergangenen Jahr erlebten 58 Prozent der Organisationen in Deutschland mindestens einen Ransomware-Angriff – so ein Ergebnis des aktuellen Sophos-Reports „The State of Ransomware 2023“. In 71 Prozent dieser Fälle gelang es den Angreifern, Daten zu verschlüsseln – und 44 Prozent der betroffenen Organisationen zahlten auch tatsächlich das geforderte Lösegeld an die Erpresser. Haupteinfallstor für Ransomware-Attacken sind nach Angaben der Betroffenen Schwachstellen in der IT-Infrastruktur. In 36 Prozent der Fälle gelangte die Schadsoftware über eine Sicherheitslücke in das interne Netzwerk.

SUSE hilft Unternehmen, den Schutz ihrer IT-Infrastruktur vor Ransomware-Angriffen zu verbessern. Wir betrachten Sicherheit dabei als ganzheitliche Herausforderung und zielen darauf ab, die gesamte Software Supply Chain möglichst lückenlos zu schützen. So ist SUSE Linux Enterprise Server (SLES) derzeit das einzige General Purpose-Betriebssystem, das nach Common Criteria EAL 4+ zertifiziert ist. Diese Zertifizierung bestätigt, dass nicht nur das Produkt, sondern auch die gesamte Lieferkette höchste Sicherheitsanforderungen für unternehmenskritische Infrastrukturen erfüllt.

Drei Empfehlungen zur Absicherung klassischer IT-Infrastrukturen

Linux-Server im Rechenzentrum gelten im Allgemeinen als weniger anfällig für Cyberattacken, da sie seltener Schwachstellen aufweisen und nicht so sehr im Fokus von Angreifern stehen. Dennoch sind auch sie sind nicht vor Ransomware gefeit – insbesondere, wenn sie nicht korrekt konfiguriert sind oder mit veralteten Systemversionen betrieben werden.

Beim Einsatz von SLES empfehlen wir vor allem die folgenden drei Maßnahmen:

• Härten Sie Ihre Umgebung mit Hilfe des Security Technical Implementation Guides (STIG): Die US-amerikanische Defense Information Systems Agency (DISA) hat zusammen mit SUSE einen Security Technical Implementation Guide (STIG) für SLES entwickelt. Dieser enthält zahlreiche Empfehlungen zur sicheren Konfiguration des Betriebssystems, zur Einschränkung von Zugriffsrechten und zum Einsatz zusätzlicher Sicherheitsfunktionen. Mit den Richtlinien dieses Guides reduzieren SLES-Anwender die mögliche Angriffsfläche ihrer Linux-Server und schützen diese auch vor Ransomware-Attacken. Marcus Meissner beschreibt in einem Blog-Post, wie Sie die STIG-Regeln weitgehend automatisiert in Ihrer Umgebung anwenden können.
• Nutzen Sie SELinux, AppArmor und Netfilter: SLES bringt einige Komponenten und Sicherheitsfunktionen mit, die die Ausführung und Ausbreitung von Ransomware stoppen können. Mit SELinux und AppArmor lässt sich beispielsweise verhindern, dass Prozesse auf unerwünschte oder verdächtige Dateien zugreifen. Das sorgt dafür, dass sich die Schadsoftware nicht weiter im Netzwerk ausbreitet und dabei andere Systeme infiziert. Netfilter, die Firewall des Linux-Kernels, schützt Applikationen vor unberechtigten Zugriffen aus dem Netzwerk. Auch das trägt dazu bei, das Risiko von Ransomware-Angriffen zu verringern.
• Installieren Sie AIDE (Advanced Intrusion Detection Environment): Mit AIDE stellt SUSE ein Tool für SLES zur Verfügung, das unautorisierte Änderungen an einem Linux-Server erkennen kann. AIDE erstellt eine kryptografische Prüfsumme über alle ausgewählten Dateien auf dem Server und speichert diese in einer Datenbank. Das Tool kann dann den Server regelmäßig scannen und den aktuellen Zustand der Dateien mit dem in der Datenbank gespeicherten Referenzpunkt vergleichen. Wenn AIDE nicht autorisierte Änderungen feststellt, wird der Benutzer benachrichtigt und erhält detaillierte Informationen über die Änderungen. Diese Informationen erleichtern auch die forensische Analyse.

So schützen Sie Ihre Container-Umgebung besser vor Ransomware

Mit der zunehmenden Verbreitung von Containern gerät auch containerisierte Software zunehmend ins Visier von Ransomware-Angriffen. Die dynamische Natur der Kubernetes-Umgebung stellt dabei eine besondere Herausforderung dar. Ransomware kann sich in Container-Infrastrukturen schnell ausbreiten und die Image-Registry oder andere Teile der Software-Lieferkette infizieren. Häufig führt dies zur Kompromittierung aller Pods in einem Kubernetes-Cluster. Angreifer können auch die Kontrolle über den Kubernetes-Cluster selbst übernehmen, was es schwierig macht, einen einmal begonnenen Angriff zu stoppen.

Die folgenden Strategien helfen Ihnen, Ihre Container-Umgebungen besser abzusichern:

• Kontrollieren Sie alle Zugriffe und beseitigen Sie mögliche Angriffspunkte: Um sicherzustellen, dass keine angreifbare Software in Ihrer Umgebung installiert wird, können Sie mit SUSE NeuVector einheitliche Regeln für die Zugriffskontrolle implementieren. SUSE NeuVector geht dabei über die Möglichkeiten von Kubernetes hinaus und ermöglicht die Definition erweiterter Sicherheitsregeln. So lässt sich beispielsweise verhindern, dass Container-Images aus einer nicht vertrauenswürdigen Registry in Ihrem Cluster implementiert werden.
• Blockieren Sie bekannte Angriffe auf Netzwerkebene, bevor sie die Anwendung erreichen: SUSE NeuVector ermöglicht eine proaktive Abwehr von bekannten Bedrohungen, da die Lösung nicht nur die Protokolle der Netzwerkschichten 3 und 4 scannt, sondern auch die Netzwerkschicht 7 mit den Anwendungsprotokollen. Mit ihrer Deep Packet Inspection (DPI)-Technologie erkennt die Lösung Angriffe, die über die Anwendungsschicht übertragen werden, und kann diese bösartigen Netzwerkpakete blockieren, bevor sie die Anwendung erreichen.
• Nutzen Sie verhaltensbasierte Technologien zur Abwehr von Zero-Day-Attacken: Wenn Angreifer eine Zero-Day-Schwachstelle ausnutzen, um in die Container-Umgebung einzudringen, reichen herkömmliche Sicherheitsstrategien nicht mehr aus. Wir empfehlen daher, verhaltensbasierte Zero-Trust-Richtlinien zu implementieren, die das Anwendungsverhalten auf Netzwerk- und Systemebene überwachen. Sobald eine Abweichung vom erwarteten Verhalten einer Anwendung festgestellt wird, lässt sich die Anwendung sofort isolieren. Das bedeutet, dass ein Angreifer – selbst wenn er die Kontrolle über die Anwendung erlangt – diese nicht nutzen kann, um auf andere Anwendungen im Cluster zuzugreifen. In diesem Blog-Artikel erklärt Raul Mahiques, wie Sie mit dem Discover Mode von SUSE NeuVector verhaltensbasierte Zero-Trust-Richtlinien erstellen können.

Weitere Tipps zum Schutz vor Ransomware finden Sie in dieser Blogserie.

Möchten Sie mehr darüber erfahren, wie Sie das Sicherheitsniveau Ihrer Linux-Umgebung erhöhen können? Dann melden Sie sich jetzt für unseren Security Expert Talk am 31. August an.

Wie Sie mit SUSE NeuVector aktuelle Cyberbedrohungen im Container-Umfeld adressieren können, zeigen wir Ihnen beim nächsten Container Security Rodeo am 28. September.