Sophos Firewall zur Abwehr von Ransomware

Cyberkriminelle scannen Netzwerke mittlerweile genau so professionell wie Penetration-Tester nach potentiellen Schwachstellen und Angriffspunkten. Angriffe werden immer raffinierter und effizienter: Hacker nutzen Sicherheitslücken in Netzwerken und Systemen aus – und die Unternehmen bleiben auf dem Schaden sitzen. In Deutschland betragen die Kosten im Durchschnitten 420.000 EUR. Deshalb müssen Firmen und öffentliche Einrichtungen ihre IT-Security-Strategien und -Verteidigungslinien immer wieder neu überdenken und anpassen. In der aktuellen Studie der Sophos Labs „The State of Ransomware 2020“ gaben die Hälfte der befragten Unternehmen in 26 Ländern an, im vergangenen Jahr Opfer von Ransomware geworden zu sein.

„Wenn Sie im Netz nach dem Schlagwort „Ransomware-Angriffe“ suchen, werden Sie jede Woche neue Meldungen zu erfolgreichen Angriffen finden“, so der Sales Engineer und Firewall-Experte Björn Zackenfels (Sophos). „Zuletzt hat der Kaseya Angriff gezeigt, wie verheerend die Auswirkungen sind. Und wir sprechen hier nicht nur von horrenden Lösegeldforderungen, sondern auch Reputations- und vor allem Datenverlust.“

Firewall- und Endpoint-Security können dafür sorgen, dass Angriffe gar nicht erst in Unternehmensnetzwerke gelangen. Dafür müssen diese allerdings dem aktuellen Stand der Technik entsprechen. Sophos bietet die ultimative IT-Security-Lösung zur Abwehr neuester Ransomware. Im April 2021 wurden die neuen Sophos Firewall XGS-Appliances gelauncht: Mit Cloud-Sandboxing-Technologie und Machine-Learning-Analyse von Dateien verhindert die Sophos Firewall, dass bekannte und unbekannte Ransomware-Varianten, Exploits und Malware sich über Spam, Phishing oder Web-Downloads verbreiten. „Außerdem bietet die Sophos Firewall mit den XGS-Appliances durch ihre Hardware-Beschleunigung eine noch schnellere und leistungsstärkere Xstream TLS 1.3 Inspection mit flexiblen Richtlinienkontrollen. Sophos Kunden erhalten dadurch eine optimale Balance zwischen Sicherheit und Performance,“ erklärt Björn Zackenfels. Weitere Informationen zur Sophos Firewall finden Sie hier.

Kriegsschauplatz Internet

Ein reißerischer Betreff, durchaus, aber wer regelmäßig einschlägige Branchennews konsumiert, der wird sicher festgestellt haben, dass die Zahl der „Online-Einbrüche“ und „Datendiebstähle“, oder zumindest die Berichterstattung darüber, seit einigen Monaten erheblich gestiegen ist. Vielleicht ist dies nur ein subjektiver Eindruck, aber selbst in den non-IT Medien waren Namen bekannter Opfer zu lesen, wie dem FBI, dem BKA, sämtlichen Sparten der Sony Gruppe und weiteren.

Gestohlen wurden u.a. geheime und vertrauliche Dokumente, Konto- und Adressdaten samt Passwörtern und was sonst nicht niet- und nagelfest war und als halbwegs interessant galt.

Neuerdings trifft es scheinbar auch vermehrt die weniger großen Unternehmen und Organisationen. Von der Handelskette Rewe war z.B. zu hören. Von den allgegenwärtigen DDoS-Attacken, die getreu ihrem Namen lediglich Dienste und Online-Angebote zeitweise zum Erliegen bringen, ganz zu schweigen.

Eine Web Application Firewall (kurz: WAF) ist eine gute Möglichkeit Erste Hilfe leisten zu können oder proaktiv Einbrüchen vorzubeugen. Sie arbeitet auf Applikationsebene (Layer 7) und kann somit Anfragen und Antworten auswerten und verändern. Eine Filterung ist sowohl mit Positiv- als auch mit Negativlisten möglich und es gibt verschiedene weitere Möglichkeiten bekannte Angriffe zu verhindern.

Die Lösung kann so z.B. auch eine Prüfung auf gültige Kreditkartennummern durchführen, um gezielt eine Übertragung dieser Daten nach außen zu verhindern. SQL Injections und CrossSiteScripting Angriffe können direkt in den Paketen durch harmlosen Code ersetzt werden. Die Manipulation von Formularen wird durch das Einfügen eines versteckten Feldes wirksam verhindert und bekannte Angriffsmuster können durch vom Hersteller gelieferte Signaturdateien erkannt werden.

Im einfachsten Fall werden beispielsweise nur Zugriffe über gelernte Positivlisten (vorher durchgeführte gutartige Requests) durchgelassen – eine sehr elegante Möglichkeit Web Applikationen sicherer zu machen. So haben wir zum Beispiel mit dem Citrix Netscaler ein starkes Werkzeug zur Hand, mit dem wir Web Applikationen absichern (und beschleunigen) können und der in der Platinum Edition auch noch eine vollständige Web Application Firewall mit hybridem (positiv und negativ kombinierbar) Sicherheitsmodell enthält.

Eine WAF filtert wirkungsvoll, an vorderster Front – prinzipiell sollte ein IT-System aber auch ohne so einen Filter sicher sein (Programmierung und Konfiguration). Aber wie immer gibt es keinen 100%-igen Schutz – und wenn es nur durch Insider-Wissen oder Social Engineering erlangte Zugriffswege sind, die „ganz normal“ die Systeme nutzen. Daher ist es für uns alle wichtig zu überlegen, wem wir welche Daten geben und wo wir sie lagern/bereitstellen.

Autoren: Thiemo Noack, Benjamin Rodewald