Das gemeinsame Thema bei Ransomware, Insider-Bedrohungen und Datendiebstahl ist die Exfiltration von Daten. Während Bedrohungsforschungslabore normalerweise die Prozessschritte der Ransomware-Verschlüsselung, Schlüssel und Datenträgerbereinigung veröffentlichen, werden die Teile über den Zugriff auf die Daten und die Exfiltration oft ausgelassen. Darüber hinaus löst eine Sicherheitslösung allein das Problem nicht, weshalb die Integration von Partnern für den Erfolg von Sicherheitslösungsstapeln von entscheidender Bedeutung ist. Aus der Perspektive von Zugriff und Sicherheitslage, Datenschutz und Richtlinienkontrollen, Bedrohungsschutz und Analytik können wir diese vier relevanten Sicherheitsprobleme analysieren.
Erstens wissen wir, dass kompromittierte Remote-Access-Konten (SSH, RDP, VPNs) im Untergrund verkauft werden, um Ransomware-Operationen zu ermöglichen. Untersuchungen von Netskope Threat Labs (NTL) zeigen, dass 35 % der IaaS/PaaS-Workloads öffentlich zugänglich sind, wenn die Standardhaltung geschlossen und sicher ist. Durch die Aktivierung von Zero Trust Network Access (ZTNA) zur Erhöhung der Fernzugriffssicherheit sowie die Einbindung von SSO/MFA in Apps und Cloud-Dienste wird das Risiko erheblich reduziert. Das Hinzufügen von Cloud- und SaaS-Sicherheitshaltungsmanagement (CSPM, SSPM) ist eine einfache API-basierte Bereitstellung, um Sicherheits- und Konfigurationsprüfungen sowie eine Konformitätsvalidierung hinzuzufügen.
Zweitens stellt die NTL-Forschung im Hinblick auf Datenschutzrichtlinienkontrollen einen Anstieg der Datenexfiltration von Unternehmens-App-Instanzen zu privaten App-Instanzen um 300 % in den letzten 30 Tagen der Beschäftigung fest, wobei 74 % dieser Daten speziell in private Google Drive-Instanzen fließen. Ihre Ankündigung der Wiedereröffnung Ihres Büros könnte daher einige dieser Datenexfiltrationsaktivitäten anregen, da die Mitarbeiter nach neuen Arbeitsplätzen suchen und dabei ihren Präferenzen für die fortgesetzte Fernarbeit Rechnung tragen. Zudem kommt es nicht nur beim Ausscheiden von Mitarbeitern zu Datenflüssen. Im Durchschnitt kopiert ein Benutzer eines verwalteten Geräts pro Monat 20 Unternehmensdateien in persönliche Apps, wobei der Quellcode der dritthäufigste exfiltrierte Dateityp ist. Daher sind Datenschutzrichtlinienkontrollen zwischen Unternehmens- und Privatinstanzen beliebter Cloud-Speicher-Apps in Ihrem Sicherheits-Stack von äußerster Wichtigkeit. Allerdings fehlt diese Fähigkeit den meisten herkömmlichen Zulassen/Verweigern-Sicherheitsmaßnahmen.
Drittens stellt die NTL-Forschung zum Schutz vor Bedrohungen fest, dass 68 % der Schadsoftware aus der Cloud stammt, genauer gesagt von persönlichen oder betrügerischen App-Instanzen von Cloud-Storage-Apps. Während die Enterprise-Version möglicherweise Schutzmechanismen gegen Malware und Ransomware für unternehmensverwaltete Apps beinhaltet, liegt die Hauptursache tatsächlich in der großen, ungewaschenen Masse der kostenlosen und privaten Instanzen. Zwar sind Inline-Abwehrmaßnahmen für den Web- und Cloud-Datenverkehr einschließlich App-Instanzen erforderlich, doch ist es nicht akzeptabel, mehr als zwei Drittel der Malware-Verbreitung zu übersehen. Um das Risiko weiter zu reduzieren, verwenden Sie Remote Browser Isolation (RBI) für riskante Websites, Cloud-Firewall -Ausgangskontrollen für Ports und Protokolle, um Exfiltrationspfade zu blockieren, und nutzen Sie Verhaltensanalysen, um Anomalien bei Anmeldungen, Datenaktivitäten (Massendownloads, -uploads, -löschungen), Datenflüssen von Unternehmen zu persönlichen Instanzen und seltenen Ereignissen zu erkennen.
Viertens können wir mithilfe von Analysen unbekannte Datenflüsse und Exfiltrationen erkennen, da unsere Inline-Funktionen umfassende Transparenz und Kontrolle über Apps und Clouds bieten. Wir können auch beobachten, dass riskante Apps häufig unbeküm