Ransomware erkennen mit Cloud App Security

 In Allgemein, Security

Wie können Cloud App Security und Advanced Threat Analytics einen Ransomware-Angriff erkennen?

Das vermehrte Aufkommen an Ransomware in den letzten Monaten zeigt, wie wichtig es ist, ein zuverlässiges Sicherheitssystem einzurichten, das hinterhältige und sich weiter entwickelnde Bedrohungen erkennt und darauf reagieren kann. Die Erpressung mittels Ransomware ist leider eine effektive Schreckens-Taktik der cyber-kriminellen Angreifer und nimmt an Geschwindigkeit und Häufigkeit zu, um den Opfern so großen Schaden wie möglich zuzufügen.

Wir möchten Ihnen leistungsfähige Tools vorstellen und empfehlen, die Ihnen im Bedarfsfall die Kontrolle zurückgeben. In diesem Blog gehen wir daher auf die Produkte ein, die auch ein Teil der Enterprise Mobility + Security Suite (EMS) sind – die Microsoft Cloud App Security (MCAS) und Advanced Threat Analytics (ATA) –  und erklären, wie sie dazu beitragen, Benutzer in der Cloud und lokal zu schützen. Welche Funktionen zur Erkennung von Malware gibt es, um eine umfassende Sicherheitsstrategie zu gewährleisten zur Abwehr von Bedrohungen und Sicherheitslücken?

Die Architektur von Microsoft Cloud App Security

Cloud App Security Architektur

Die Architektur von MCAS ist so aufgebaut, dass die in einem Unternehmen verwendeten Cloud Apps aus den manuell oder automatisch hochgeladenen Traffic Logfiles der Firewalls und Proxies ausgewertet werden. Mit dem Cloud App Katalog können Sie festlegen, welche Apps in Ihrer Organisation gesperrt oder blockiert werden sollen. Weitere APIs von Cloud-App-Anbietern bieten die Möglichkeit, zusätzlichen Schutz für weitere Apps zu integrieren. Risikobehaftete Sessions werden von Azure AD zum Reverse Proxy umgeleitet, um App-Restriktionen durchzusetzen.

Durch User & Entity Behaviour Analytics schädliche Ransomware enttarnen

Advanced Threat Analytics (ATA) nutzt Entity Behaviour Analytics (UEBA). Dabei wird das Verhalten von Benutzern und Dateien untersucht und mit einem „Normalverhalten“ verglichen. Durch das Sammeln von Daten von Benutzern und anderen Entitites werden Verhaltensprofile erstellt.

Wenn bösartige Software in einem Netzwerk Fuß fasst und sich von einem kompromittierten Computer auf andere Computer im Netzwerk ausbreitet, wird eine anomale Verhaltenserkennung ausgelöst. Warum? Eine Abweichung von der „Norm“ der Aktivität für das Konto weist auf eine Wahrscheinlichkeit des Kompromisses hin: Diese Erkennung und Warnung informiert den Administrator sofort.

Ebenso kann Cloud App Security ein ungewöhnliches Dateiverhalten in den Cloud-Anwendungen eines Mandanten erkennen. Cloud App Security identifiziert in kurzer Zeit große Mengen von Löschungen und Dateisynchronisierungen. In Verbindung mit Hinweisen, dass Dateien Ransomware-verschlüsselt sind (z. B. durch Dateierweiterungsänderungen), wird das System bei diesen Anomalien durch vollständig anpassbare Aktivitätsrichtlinien alarmieren. Die Geschwindigkeit der Erkennung ist hier von entscheidender Bedeutung: Da die Dateilöschung sofort erkannt werden kann, ist die Wahrscheinlichkeit, dass Originaldateien abgerufen werden (die sofort durch verschlüsselte Ransomware-gesteuerte Dateien ersetzt werden), stark erhöht.

Da sich Ransomware weiterentwickelt, stellen wir eine Verschiebung der Verschlüsselungstaktiken fest – anstatt die bekannte Methode der Verschlüsselung der ersten Maschine zu verwenden, verwenden einige Angreifer den anfänglichen Computer als Sprungbrett, um Ransomware auf irgendeine zugreifbare Maschine im Netzwerk zu verbreiten. Sowohl Advanced Threat Analytics (ATA) als auch Cloud App Security (MCAS) spielen in diesem Szenario eine wichtige Rolle: ATA erkennt das kompromittierte Konto, das zur Verbreitung der Ransomware verwendet wird, und MCAS erkennt das anormale Dateiverhalten in Cloud-Apps.

Hinter der Anatomie eines Angriffs: Erkennung durch Datei- und Protokollabnormalitäten

Ransomware-Angreifer können einige Netzwerkprotokolle (z. B. SMB/Kerberos) mit nur geringen Abweichungen von der normalen Implementierung in einer Umgebung implementieren. Diese Abweichungen können darauf hinweisen, dass ein Angreifer versucht hat, kompromittierte Anmeldeinformationen zu nutzen oder bereits erfolgreich nutzt. In einigen bekannten Ransomware-Kampagnen wurden solche Abweichungen festgestellt. Advanced Threat Analytics erkennt diese Auffälligkeiten in der Umgebung eines Benutzers und warnt sofort einen Administrator, damit geeignete Maßnahmen ergriffen werden können, um die betroffenen Assets zu schützen.

Denken Sie daran, es wäre keine Ransomware ohne eine Lösegeldforderung. Daher können Cloud App Security-Dateirichtlinien verwendet werden, um in den Cloud-Anwendungen der Benutzer nach Lösegeldanmerkungen zu suchen. Wenn eine Lösegeldforderung zurückgelassen wird, werden in der Regel spezifische Download-Anweisungen, Navigations- und Bitcoin-Zahlungsbedingungen angegeben. Mit diesen Arten von Indikatoren können Cloud App Security-Dateirichtlinien beispielsweise auf das Vorhandensein von TXT- oder RTF- oder HTML-Dateien hinweisen, die eine Kombination aus „.onion“ und „Bitcoin“ oder „Tor Browser“ und „Lösegeld“ in ihrer Konstruktion enthalten.

Die Erkennung von Cloud-App-Sicherheitsbedrohungen verwendet auch Dateirichtlinien, um nach bestimmten Dateierweiterungen zu suchen, die eindeutig oder nicht standardkonform sind. Dies kann so einfach sein wie eine Richtlinie, die nach „.locky“ oder etwas Abstraktem wie „.xyz“ oder „.rofl“ sucht. Cloud App Security bietet außerdem eine integrierte Vorlage für potenzielle Ransomware-Aktivitäten. Diese Vorlage enthält viele der am häufigsten verwendeten Erweiterungstypen und ist vollständig anpassbar. Die Richtlinienvorlage ermöglicht auch Governance-Aktionen zum Suspendieren verdächtiger Benutzer, wodurch der Angriff gemildert wird, indem die weitere Verschlüsselung der meisten Benutzerdateien in Office 365, Box oder Dropbox verhindert wird.

Wieder die Kontrolle erhalten

Advanced Threat Analytics und Cloud App Security ersetzen nicht die Endpunkt-Ransomware-Erkennung oder Netzwerk-Intrusion-Detection-Systeme (IDS) und Intrusion Prevention-Systeme (IPS). Vielmehr erweitern sie intelligente Support- und Erkennungsfunktionen auf Ihre allgemeine Sicherheitsabdeckung und beschleunigen, wie schnell Ihre Sicherheitsoperationsteams auf feindliche Ereignisse reagieren können. EMS ist bestrebt, den Benutzern den bestmöglichen Schutz, sowie eine schnelle Erkennung und die passende Reaktion zu bieten, um den sich ständig weiterentwickelnden Bedrohungen zu begegnen und Sie dabei zu unterstützen, eines der größten Cyber-Sicherheitsprobleme zu bewältigen: Ransomware.

Cloud App Security Vorteile

Aufgepasst…! Worin liegen die Unterschiede zwischen Microsoft Cloud App Security und Office 365 Cloud App Security?

Microsoft Cloud App Security

Microsoft Cloud App Security bietet Ihnen Transparenz und Kontrolle über die Cloud-Apps, die Ihre Mitarbeiter verwenden. Sie können das Gesamtbild der genutzten Cloud-Apps in Ihrem Netzwerk sehen, einschließlich nicht genehmigter Apps, die Ihre Mitarbeiter möglicherweise verwenden. Das Erkennen von Schatten IT-Apps kann Ihnen helfen, unkontrollierte Wege von Bedrohungen in Ihr Netzwerk hinein oder Datenverlust aus diesem heraus zu verhindern.

 

Office 365 Cloud App Security

Office 365 Cloud App Security bietet speziell für Office 365 eine verbesserte Transparenz und Kontrolle. Dies umfasst die Erkennung von Bedrohungen (threat protection), die auf User Activity Logs (Auswertung der Logfiles von den Benutzeraktivitäten) basieren und die Erkennung von Schatten- IT für Anwendungen, die ähnliche Funktionen wie Office 365-Angebote aufweisen und App-Berechtigungen für Office 365 steuern.

Vergleich der Microsoft Cloud App Security und Office 365 Cloud App Security

 

Funktionsbereiche Feature Microsoft Cloud App Security Office 365 Cloud App Security
Cloud Discovery Discovered apps 16000+ Cloud Apps 750+ Cloud Apps – Cloud Apps mit ähnlicher Funktion wie Office 365
Bereitstellung für die Erkennungsanalyse (deployment for discovery analysis) Manueller und automatischer Log Upload Manual log upload
Log Anonymisierung für User Privacy ja

 

Zugriff auf den vollständigen Cloud-App-Katalog ja
Cloud App Risikobewertung ja
Cloud-Nutzungsanalysen pro App, User, IP Adresse ja

 

laufende Analyse und Berichterstattung ja
Anomalie-Erkennung für entdeckte Apps ja
Information Protection Data Loss Prevention (DLP) Support Cross-SaaS DLP und Data Sharing Control  verwendet bestehendes Office DLP (in Office E3 und E5)
App-Berechtigungen und die Möglichkeit, den Zugriff zu widerrufen  ja  ja
Richtlinien festlegen und durchsetzen  ja
Integration mit Azure Information Protection  ja
Integration mit Third-Party DLP Lösungen  ja
Threat Protection Anomalie-Erkennung und Verhaltensanalyse für Cross-SaaS Apps einschließlich Office 365  für Office 365 Apps
Manuelle und automatische Sanierung bei Alarm  ja  ja
SIEM Connector  ja, Alarm- und Activity-Logs für Cross-SaaS Apps  ja, nur Office 365 Alarm
Integration in Microsoft Intelligent Security Graph  ja  ja
Activity Policies  ja  ja

Transparenz, Datenschutz und Datenspeicherdauer

Microsoft legt großen Wert auf transparenten Umgang mit Daten. Sie erfahren von Microsoft, wo Ihre Daten gespeichert sind und Microsoft versichert Ihnen, die Daten lediglich für die Erbringung vereinbarter Dienstleistungen zu verwenden. Strenge Kontrollen beschränken den Zugriff auf Kundendaten und nur die niedrigste Berechtigungsstufe für den Zugriff, die zur Erledigung wichtiger Aufgaben notwendig ist, wird gewährt.

Der Datenschutz wird durch das Nichtspeichern der Dateiinhalte bei der Inhaltsprüfung erzwungen. Es werden nur die Metadaten der Dateidatensätze und gefundene Übereinstimmungen gespeichert. Die Daten der Aktivitätsprotokolle werden von der Microsoft Cloud App Security 180 Tage, die Ermittlungsdaten 90 Tage und Warnungen 180 Tage lang gespeichert.

Weitere Informationen in den Nutzungsbedingungen für Onlinedienste und zur Transparenz.

Weitere Produktinformationen auf der Microsoft Website.

Wussten Sie schon, dass Conditional Access App Control in MCAS jetzt allgemein erhältlich ist?

An einem modernen Arbeitsplatz ist es wichtig, dass Ihre Benutzer von jedem Ort und von jedem Gerät aus arbeiten können und ihnen der Zugriff auf Cloud-Anwendungen ermöglicht wird, und die Anforderungen an die Zusammenarbeit müssen von außen geteilt werden. Gleichzeitig müssen Sie die Daten und Ressourcen Ihres Unternehmens schützen.

Es ist wichtig, eine flexible Umgebung bereitzustellen, in der Sie bestimmen können, wie auf die Daten Ihres Unternehmens zugegriffen werden kann, um notwendigen Schutz und Produktivität auszubalancieren. Microsoft Cloud App Security bietet diese Funktionen in einer ganzheitlichen und integrierten Umgebung mit Conditional Access App Control, die direkt in die Conditional Access-Richtlinien von Azure AD integriert ist.

Mit dieser Funktion können Sie granular definieren, welches Risiko in Ihrer Organisation besteht sowie Sichtbarkeit aller Benutzersitzungen erlangen, die dieser Definition entsprechen. Wenn beispielsweise ein Business-to-Business (B2B) – Benutzer Zugriff auf einige Ihrer Daten hat und als Ergebnis versucht, von einem nicht verwalteten Gerät aus auf unternehmenskritische Ressourcen zuzugreifen, können Sie den Download dieser Ressourcen in Echtzeit sperren oder verschlüsseln. So verhindern Sie, dass vertrauliche Informationen aus Ihrer Organisation entwendet werden. Diese Steuerelemente können für jede SAML-Anwendung verendet werden, die in Ihrer Organisation mit Single Sign-On konfiguriert wurde.

Aktuell unterstützte Apps:

  • Salesforce
  • Box
  • G Suite
  • Workday
  • Slack
  • Workplace by Facebook
  • ServiceNow
  • JIRA/Confluence
  • AWS
  • Workiva
  • CornerStone on Demand
  • DocuSign
  • HighQ
  • Concur
  • Tableau
  • Dropbox
  • Egnyte
  • GitHub

Microsoft Cloud App Security unverbindlich testen

Ist es möglich, Cloud App Security zu testen? Es müssen ein paar Voraussetzungen erfüllt sein, insbesondere muss ein Office 365 Tenant vorhanden sein bzw. Sie müssen einen einrichten lassen.

Hier erhalten Sie eine kostenlose 30-Tage-Testversion von Microsoft.

Voraussetzungen für Microsoft Cloud App Security (MCAS)

Sie benötigen keine Office 365 Lizenz für Microsoft Cloud App Security.

  • Nach dem Erwerb der Lizenz für Cloud App Security werden Sie eine E-Mail mit Aktivierungsinformationen und einem Link zum Cloud App Security-Portal erhalten.
  • Um Cloud App Security einzurichten, müssen Sie in Azure Active Directory oder Office 365 globaler Administrator, Compliance-Administrator oder ein Benutzer mit Leseberechtigung für Sicherheitsfunktionen sein. Sie müssen wissen, dass ein Benutzer, dem eine Administratorrolle zugewiesen ist, in allen Cloud-Apps, die Ihre Organisation abonniert hat, über die gleichen Berechtigungen verfügt. Dies ist unabhängig davon, ob Sie die Rolle im Office 365-Portal, im klassischen Azure-Portal oder mithilfe des Azure AD-Moduls für Windows PowerShell zuweisen.
    Weitere Informationen finden Sie unter Zuweisen von Administratorrollen in Office 365 und Zuweisen von Administratorrollen in Azure Active Directory (Azure AD).
  • Um das Cloud App Security-Portal auszuführen, verwenden Sie Internet Explorer 11, Microsoft Edge (neueste Version), Google Chrome (neueste Version), Mozilla Firefox (neueste Version) oder Apple Safari (neueste Version).
Recent Posts
Kontaktformular

Wir werden Sie so schnell wie möglich kontaktieren.

Start typing and press Enter to search