SecurityWorldMarket

03-02-2023

Tre gode råd i kampen mod wiper-malware

Af Guido Grillenmeier, Principal Technologist EMEA for Semperis

Alle, der arbejder med it-sikkerhed, taler for tiden om wiper-malware, der er designet til at ødelægge data på en enhed og samtidig umuliggøre gendannelse. Som om ransomware ikke var et stort nok problem, så er den destruktive wiper-malware kun ude på at ødelægge. I 2022 blev der registreret ikke mindre end 14.000 wiper-angreb på globalt plan – og det er en voldsom stigning.

Én af disse svært ødelæggende malwaretyper er Aikido Wiper, som manipulerer med antivirus EDR-løsninger (endpoint detection and response). Den sletter systemfiler, ødelægger data og gør at systemerne ikke kan gendannes.

EDR-bypass er ikke et nyt fænomen, som wiper-malware Shamoon, CaddyWiper og IsaacWiper allerede har vist. Uanset taktik, så har alle disse wiper malware lært os at EDR er et vigtigt sikkerhedsværktøj, men kan ikke bruges som det eneste forsvar.

Wiper-angreb er populære hos blandt statssponsorerede aktører, hvor målet er ødelæggelse, snarere end økonomisk gevinst. Ofte bruges den som en del af et Advanced Persistent Threat-angreb og er rettet mod kritisk infrastruktur, f.eks. forsyningsvirksomheder, med ødelæggelse for øje. Wiperware-angreb stiger typisk i perioder med geopolitiske stridigheder, som ESET bl.a. har advaret om.

Problemet med EDR

EDR, og den udvidede variant XDR, er en vigtig del af enhver forsvarsstrategi. Men Aikido Wiper illustrerer med al tydelighed, at det bedste forsvar er et lagdelt forsvar. Ét sikkerhedsværktøj er simpelthen ikke nok, uanset hvor fantastisk dette værktøj end er.

Cyberkriminelle finder hele tiden nye måder at komme uden om EDR på. Når de først er kommet ind, er deres næste mål oftest identitetsinfrastrukturen. Hvis de får adgang til Active Directory (AD) - det identitetssystem, der anvendes af 90 procent af alle organisationer i dag - eller Azure AD, kan angriberne overtage endnu flere kritiske aktiver i it-miljøet. Netop derfor understreger Gartner behovet for at "forsvare i dybden" og at fokusere på identitet.

Wiper-malware går efter slutpunkter, men den største fare er ikke at disse gøres ubrugelige, men at de bruges til at få privilegeret adgang til virksomhedens data og systemer. Derfor er en lagdelt forsvarsstrategi vigtig og en sikker, malwarefri AD-backup kan gøre hele forskellen, hvis uheldet er ude, og der er brug for en hurtig gendannelse af it-miljøet.

Sådan styrker I jeres cyberforsvar

God sikkerhed er som et løg med flere beskyttelseslag. Hvis EDR er det yderste lag, er identitetssikkerhed i midten. Virksomheder er ved at indse, at af disse lag bør identitetsbeskyttelse udgøre kernen i it-sikkerhedsstrategien.

Her er de tre vigtigste skridt, du kan tage for at forsvare din virksomhed mod de aktuelle cybertrusler.

Lektie 1: Undgå ’on- single-point-of-failure’

Fordi Aikido Wiper udnytter indbyggede operativsystemfunktioner, er det op til EDR-leverandørerne at lukke den svaghed, der udnyttes. Desværre findes der ingen magisk knap, man lige kan trykke på og lukke hullet. Det er op til EDR-leverandørerne at levere patches og jer selv at gennemføre regelmæssige opdateringer.

Gartner peger på, at en vellykket XDR-strategi oftest kræver en høj grad af afhængighed af én enkelt leverandør. Men når det kommer til disaster recovery (ITDR), så anbefaler Gartner en flerleverandør-strategi. Det er vigtigt at vurdere alle angrebsmuligheder og bruge en mosaik af værktøjer, der supplerer og måske overlapper hinanden. Disaster recovery løsninger skal have beskyttelse af identitetssystemet i centrum. Desværre er dette de færreste XDR-leverandørers primære ekspertiseområde.

Lektie 2: Plan for gendannelse

Testede, malwarefri backups af det centrale identitetssystem er et must. Vores seneste undersøgelse viser, at et cyberangreb, der lægger AD ned, ville være en alvorlig eller katastrofal hændelse for 77 procent af de adspurgte virksomheder.

En AD-centreret backup - adskilt fra backup af styresystemer og andre tjenester - er et fremragende forsvar mod de ødelæggelser, som et angreb kan skabe. Andre backup-muligheder (herunder snapshots af domænecontrollere (DC)) risikerer problemer med datakonsistens, datatab eller endda genindførelse af malware.

En AD-specifik sikkerhedskopi giver en langt hurtigere genopretning af it-miljøet. Et robust AD-backupværktøj, som fx Semperis Active Directory Forest Recovery (ADFR), beskytter mod genindførelse af malware og kan endda automatiseres for at undgå menneskelige fejl og reducere nedetiden til blot få minutter. Katastrofeberedskabsplanen bør omfatte regelmæssig test af sikkerhedskopiering og test af gendannelse af identitetssystemet.

Lektie 3: Overvåg, overvåg, overvåg, overvåg

Overvågning af angrebsfladen på identitetssystemer betyder, at sårbarheder kan blive opdaget og lukket. Som Aikido Wiper viser, skal overvågningsstrategien dække mere end antivirus, EDR og sikkerhedslogfiler. Selv SIEM-løsninger (Security Information and Event Management) og SOAR-løsninger (Security Orchestration, Automation and Response) har deres begrænsninger.

En flerstrenget tilgang til overvågning giver de bedste resultater. For at opnå optimal sikkerhed skal I bruge en løsning, der giver indsigt i realtid og handlingsorienteret vejledning. Dette findes i vores gratis værktøjer Purple Knight og Forest Druid. Automatisk rollback af mistænkelig aktivitet kræver en betalingsløsning f.eks. Semperis Directory Services Protector (DSP).

Frygt ikke wiper

Cyberkriminelle bliver alt mere sofistikerede og vedholdende. En cybersikkerhedsstrategi med et lagdelt forsvar, der går i dybden og beskytter både slutpunkter og den centrale identitetsstyring, er det bedste forsvar, hvad enten det er tale om wiperware som Aikido, ransomware eller noget helt tredje. Sæt identitetssikkerhed på din prioriteringsliste for 2023, og der er en ting mindre at bekymre sig om.



Leverandører
Tilbage til toppen