S3 Ep125: Wenn Sicherheitshardware Sicherheitslücken aufweist [Audio + Text]

S3 Ep125: Wenn Sicherheitshardware Sicherheitslücken aufweist [Audio + Text]

Zeitstempel: 9. März 2023, 1:58 Uhr
Quellknoten: 2003154
by Paul Ducklin

SIE MÜSSEN DIESEN CHIP HABEN! AUCH WENN ES FEHLER HAT!

Erinnerungen an Michelangelo (das Virus, nicht der Künstler). Datenleck-Bugs in TPM 2.0. Ransomware Büste, Ransomware Warnungund Anti-Ransomware-Tipps.

Kein Audioplayer unten? Hören Direkt auf Soundcloud.

Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

DOUG.   Ransomware, noch mehr Ransomware und TPM-Schwachstellen.

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir heute?

ENTE.   Schnee und Graupel, Doug.

Es war also eine kalte Fahrt ins Studio.

Ich verwende Luft-Anführungszeichen … nicht für „Fahrt“, für „Studio“.

Es ist nicht wirklich ein Studio, aber es ist *mein* Studio!

Ein kleiner geheimer Raum im Sophos HQ zum Aufnehmen des Podcasts.

Und es ist herrlich warm hier drin, Doug!

DOUG.   Okay, falls jemand zuhört… kommt vorbei für eine Tour; Paul zeigt Ihnen gerne den Ort.

Und ich bin so aufgeregt für Diese Woche in der Technologiegeschichte, Paulus.

Diese Woche, am 06. März 1992, erwachte der schlafende Michelangelo-Bootsektorvirus zum Leben und überschrieb Sektoren auf den Festplatten seiner Opfer.

Sicherlich bedeutete dies das Ende der Welt für Computer überall, da die Medien über sich selbst stolperten, um die Menschen vor dem bevorstehenden Untergang zu warnen?

Laut dem Konferenzbericht des Virus Bulletin von 1994, und ich zitiere:

Paul Ducklin, ein energischer und unterhaltsamer Redner, ist fest davon überzeugt, dass die Aufklärungsbemühungen von Unternehmen und Medien in vielerlei Hinsicht ihr Ziel verfehlt haben..

Paul, du warst dabei, Mann!

ENTE.   Das war ich, Doug.

Ironischerweise war der 6. März der eine Tag, an dem Michelangelo kein Virus war.

An allen anderen Tagen verbreitete es sich einfach wie ein Lauffeuer.

Doch am 06. März hieß es: „Aha! Es ist Nutzlasttag!“

Und auf einer Festplatte würde es die ersten 256 Spuren durchlaufen, die ersten 4 Köpfe, 17 Sektoren pro Spur … was so ziemlich die „untere linke Ecke“ jeder Seite der meisten verwendeten Festplatten war, wenn Sie so wollen damals.

Es würde also etwa einen 8.5-MByte-Block von Ihrer Festplatte beanspruchen.

Es hat nicht nur viele Daten gezappt, sondern auch Dinge wie die Dateizuordnungstabellen ruiniert.

Sie konnten also einige Daten wiederherstellen, aber es war ein riesiger und ungewisser Aufwand für jedes einzelne Gerät, das Sie versuchen und wiederherstellen wollten.

Es ist für den zweiten Computer genauso viel Arbeit wie für den ersten, für den dritten Computer wie für den zweiten … sehr, sehr schwer zu automatisieren.

Glücklicherweise wurde es, wie Sie sagen, in den Medien sehr überbewertet.

Meines Wissens nach wurde der Virus erstmals von dem verstorbenen Roger Riordan analysiert, der in den 1990er Jahren ein berühmter australischer Antivirenforscher war, und er stieß tatsächlich im Februar 1991 darauf.

Und er unterhielt sich, glaube ich, mit einem Kumpel von ihm darüber, und sein Kumpel sagte: „Oh, der 6. März, das ist mein Geburtstag. Wussten Sie, dass heute auch Michelangelos Geburtstag ist?“

Weil ich denke, dass Leute, die am 6. März geboren sind, das zufällig wissen…

Natürlich war es ein so trendiger und cooler Name … und ein Jahr später, als er Gelegenheit hatte, sich zu verbreiten und, wie Sie sagen, oft schlummerten, kam er zurück.

Es hat nicht Millionen von Computern getroffen, wie die Medien zu befürchten schienen und wie der verstorbene John McAfee gerne sagte, aber das ist ein schwacher Trost für jeden, der getroffen wurde, denn Sie haben so ziemlich alles verloren.

Nicht ganz alles, aber es würde dich ein kleines Vermögen kosten, etwas davon zurückzubekommen … wahrscheinlich unvollständig, wahrscheinlich unzuverlässig.

Und das Schlimme daran war, dass es sich auf Disketten verbreitete; und weil es sich im Bootsektor ausbreitete; und weil damals fast jeder Computer vom Diskettenlaufwerk bootete, wenn einfach nur eine Diskette drin war; und weil selbst ansonsten leere Disketten einen Bootsektor hatten und jeder Code darin ausgeführt wurde, selbst wenn alles, was dazu führte, eine Art „Nicht-Systemfestplatte oder Festplattenfehler, ersetzen und erneut versuchen“-Meldung war …

…dann war es zu spät.

Wenn Sie also versehentlich eine Diskette im Laufwerk gelassen haben, dann haben Sie beim Einschalten am nächsten Morgen zu dem Zeitpunkt, als Sie die Meldung „Nicht-Systemfestplatte oder Festplattenfehler“ gesehen haben, gedacht: „Oh, ich lege die Diskette ein aus und booten Sie neu von der Festplatte“…

…zu diesem Zeitpunkt war der Virus bereits auf Ihrer Festplatte und verbreitete sich auf jeder einzelnen Diskette, die Sie hatten.

Also, selbst wenn Sie den Virus hatten und ihn dann entfernten, wenn Sie nicht Ihren gesamten Firmenvorrat an Disketten durchsuchten, würde es da draußen eine Typhus-Mary geben, die ihn jederzeit wieder einführen könnte.

DOUG.   Es gibt eine faszinierende Geschichte.

Ich freue mich, dass du da warst, um ein bisschen beim Aufräumen zu helfen!

Und lasst uns noch etwas aufräumen.

Dieses Trusted Platform Module… manchmal umstritten.

Was passiert, wenn der zum Schutz Ihrer Maschine erforderliche Code selbst ist verletzlich, Paulus?

Ernste Sicherheit: TPM 2.0-Schwachstellen – sind Ihre supersicheren Daten gefährdet?

ENTE.   Wenn Sie diese ganze TPM-Sache verstehen wollen, die sich nach einer großartigen Idee anhört, richtig … es gibt dieses winzig kleine Daughterboard-Ding, das Sie in einen winzig kleinen Steckplatz auf Ihrem Motherboard stecken (oder vielleicht ist es vorinstalliert), und es hat einen Winziger kleiner spezieller Coprozessor-Chip, der nur diese kryptografischen Kernaufgaben erledigt.

Sicherer Startvorgang; digitale Signaturen; starker Speicher für kryptografische Schlüssel … also ist es von Natur aus keine schlechte Idee.

Das Problem ist, dass Sie sich vorstellen können, dass es, weil es so ein winzig kleines Gerät ist und nur diesen Kerncode enthält, sicherlich ganz einfach ist, es zu zerlegen und es einfach zu machen?

Nun, nur die Spezifikationen für das Trusted Platform Module oder TPM … sie haben zusammengenommen: 306 Seiten, 177 Seiten, 432 Seiten, 498 Seiten, 146 Seiten und der große böse Junge am Ende, der „Teil Vier: Unterstützende Routinen – Code“, wo die Fehler sind, 1009 PDF-Seiten, Doug.

DOUG.   [LACHT] Nur etwas leichte Lektüre!

ENTE.   [SEUCHT] Nur etwas leichte Lektüre.

Es gibt also viel Arbeit. und viel Platz für Käfer.

Und die neuesten … nun, es gibt einige, die in den neuesten Errata erwähnt wurden, aber zwei von ihnen haben tatsächlich CVE-Nummern.

Es gibt CVE-2023-1017 und CVE-2023-1018.

Und leider sind es Bugs, Schwachstellen, die durch Befehle ausgetrickst (oder erreicht) werden können, die ein normales User-Space-Programm verwenden könnte, wie etwas, das ein Systemadministrator oder Sie selbst ausführen könnten, nur um das TPM zu bitten, es zu tun etwas Sicheres für Sie.

Sie können also Dinge tun wie: „Hey, geh und hol mir ein paar Zufallszahlen. Geh und bau mir einen kryptografischen Schlüssel. Gehen Sie weg und überprüfen Sie diese digitale Signatur.“

Und es ist schön, wenn dies in einem separaten kleinen Prozessor geschieht, an dem weder die CPU noch das Betriebssystem herumspielen können – das ist eine großartige Idee.

Aber das Problem ist, dass im Benutzermodus-Code steht: „Hier ist der Befehl, den ich Ihnen präsentiere“ …

…unglücklicherweise das Enträtseln der Parameter, die übergeben werden, um die gewünschte Funktion auszuführen – wenn Sie die Art und Weise, wie diese Parameter an das TPM übermittelt werden, austricksen, können Sie es dazu bringen, entweder zusätzlichen Speicher zu lesen (ein Pufferleseüberlauf) oder Schlimmer noch, Sachen zu überschreiben, die dem nächsten Typen gehören, sozusagen.

Es ist schwer vorstellbar, wie diese Fehler für Dinge wie Codeausführung auf dem TPM ausgenutzt werden könnten (aber, wie wir schon oft gesagt haben: „Sag niemals nie“).

Aber klar ist: Wenn es um etwas geht, das, wie Sie eingangs sagten, „das brauchen Sie, um Ihren Computer sicherer zu machen. Es dreht sich alles um kryptografische Korrektheit“…

… die Idee, dass etwas auch nur zwei Bytes der wertvollen geheimen Daten eines anderen preisgibt, die niemand auf der Welt kennen sollte?

Die Vorstellung eines Datenlecks, geschweige denn eines Pufferschreibüberlaufs in einem solchen Modul, ist in der Tat ziemlich besorgniserregend.

Das müssen Sie also patchen.

Und leider sagt das Errata-Dokument nicht: „Hier sind die Fehler; So patchen Sie sie.“

Es gibt nur eine Beschreibung der Fehler und eine Beschreibung, wie Sie Ihren Code ändern sollten.

Vermutlich wird es also jeder auf seine eigene Weise tun, und dann werden diese Änderungen zurück in die zentrale Referenzimplementierung fließen.

Die gute Nachricht ist, dass es eine softwarebasierte TPM-Implementierung gibt [libtpms] für Leute, die virtuelle Maschinen ausführen … sie haben bereits einen Blick darauf geworfen und einige Korrekturen gefunden, das ist also a guter anfang.

DOUG.   Schön.

Erkundigen Sie sich in der Zwischenzeit bei Ihren Hardwareanbietern, ob sie Updates für Sie haben.

ENTE.   Ja.

DOUG.   Wir werden weitermachen… zu den frühen Tagen von Ransomware, die voller Erpressung waren, und dann wurden die Dinge mit „doppelter Erpressung“ komplizierter.

Und ein paar Leute sind gerade gewesen verhaftet in einem doppelten Erpressungsschema, was eine gute Nachricht ist!

DoppelPaymer Ransomware-Verdächtige in Deutschland und der Ukraine festgenommen

ENTE.   Ja, das ist eine Ransomware-Bande namens DoppelPaymer. ("Doppel" bedeutet doppelt auf Deutsch.)

Die Idee ist also, dass es ein Doppelschlag ist.

Dort verschlüsseln sie alle Ihre Dateien und sagen: „Wir verkaufen Ihnen den Entschlüsselungsschlüssel. Und übrigens, nur für den Fall, dass Sie glauben, dass Ihre Backups ausreichen, oder nur für den Fall, dass Sie uns sagen, dass wir uns verirren und uns das Geld nicht zahlen sollen, seien Sie sich bewusst, dass wir auch zuerst alle Ihre Dateien gestohlen haben. ”

„Also, wenn Sie nicht zahlen, und Sie selbst entschlüsseln *können* und Ihr Geschäft retten *können*, werden wir Ihre Daten durchsickern lassen.“

Die gute Nachricht in diesem Fall ist, dass einige Verdächtige verhört und festgenommen und viele elektronische Geräte beschlagnahmt wurden.

Auch wenn dies, wenn Sie so wollen, ein schwacher Trost für Menschen ist, die damals DoppelPaymer-Angriffe erlitten haben, bedeutet es zumindest, dass die Strafverfolgung nicht einfach aufgibt, wenn Cybergangs den Kopf zu senken scheinen.

Allein in den USA erhielten sie offenbar bis zu 40 Millionen Dollar an Erpressungszahlungen.

Und sie gingen notorisch nach der Universitätsklinik in Düsseldorf in Deutschland.

Wenn es einen Tiefpunkt bei Ransomware gibt …

DOUG.   Im Ernst!

ENTE.   …nicht, dass es gut wäre, wenn jemand getroffen wird, aber die Vorstellung, dass man tatsächlich ein Krankenhaus, insbesondere ein Lehrkrankenhaus, ausschaltet?

Ich schätze, das ist das niedrigste vom niedrigsten, nicht wahr?

DOUG.   Und wir haben einige Ratschläge.

Nur weil diese Verdächtigen festgenommen wurden: Rufen Sie Ihren Schutz nicht zurück.

ENTE.   Nein, tatsächlich gibt Europol mit ihren Worten zu: „Berichten zufolge hat sich Doppelpaymer seitdem [als Ransomware-Bande] mit dem Namen ‚Grief‘ umbenannt.“

Das Problem ist also, wenn Sie einige Leute in einer Cybergang festnehmen, finden Sie vielleicht nicht alle Server …

…wenn Sie die Server beschlagnahmen, können Sie nicht unbedingt rückwärts zu den Personen arbeiten.

Das macht zwar eine Delle, bedeutet aber nicht, dass Ransomware vorbei ist.

DOUG.   Und dazu: Fixieren Sie sich nicht nur auf Ransomware.

ENTE.   In der Tat!

Ich denke, dass Gangs wie DoppelPaymer das deutlich machen, oder?

Als sie kommen, um Ihre Dateien zu verschlüsseln, haben sie sie bereits gestohlen.

Wenn Sie also tatsächlich den Ransomware-Teil erhalten, haben sie bereits N andere Elemente der Cyberkriminalität durchgeführt: das Einbrechen; das Umschauen; wahrscheinlich ein paar Hintertüren öffnen, damit sie später wieder reinkommen oder den Zugang an den nächsten Typen verkaufen können; usw.

DOUG.   Was sich in den nächsten Ratschlag einfügt: Warten Sie nicht, bis Bedrohungswarnungen in Ihrem Dashboard angezeigt werden.

Das ist vielleicht leichter gesagt als getan, je nach Reifegrad der Organisation.

Aber es gibt Hilfe!

ENTE.   [LACHT] Ich dachte, du wolltest es erwähnen Sophos Managed Detection and Response für einen Moment da, Doug.

DOUG.   Ich habe versucht, es nicht zu verkaufen.

Aber wir können helfen!

Da draußen gibt es Hilfe; Lass uns wissen.

ENTE.   Grob gesagt, je früher Sie dort ankommen; je früher Sie es bemerken; desto proaktiver ist Ihre präventive Sicherheit…

…desto unwahrscheinlicher ist es, dass Gauner bis zu einem Ransomware-Angriff vordringen können.

Und das kann nur gut sein.

DOUG.   Und last but not least: Kein Urteil, aber zahlen Sie nicht, wenn Sie es vermeiden können.

ENTE.   Ja, ich denke, wir sind irgendwie verpflichtet, das zu sagen.

Denn das Auszahlen von Geldern ist mit Sicherheit die nächste Welle von Cyberkriminalität, große Zeit.

Und zweitens erhalten Sie möglicherweise nicht das, wofür Sie bezahlen.

DOUG.   Nun, gehen wir von einem kriminellen Unternehmen zum anderen über.

Und genau das passiert, wenn ein kriminelles Unternehmen alles nutzt Werkzeug, Technik und Verfahren im Buch!

FBI-Agenten warnen vor richtiger Royal-Ransomware-Ransomware, die die ganze Bandbreite von TTPs abdeckt

ENTE.   Dies ist von CISA – den USA Agentur für Cybersicherheit und Infrastruktursicherheit.

Und in diesem Fall, im Bulletin AA23 (das ist dieses Jahr) Strich 061A-für-Alpha, sprechen sie über eine Bande namens Royal Ransomware.

Royal mit einem großen R, Doug.

Das Schlimme an dieser Bande ist, dass ihre Werkzeuge, Techniken und Verfahren „bis zu und einschließlich allem, was für den aktuellen Angriff notwendig ist“, zu sein scheinen.

Sie malen mit einem sehr breiten Pinsel, aber sie greifen auch mit einer sehr tiefen Schaufel an, wenn Sie verstehen, was ich meine.

Das sind die schlechten Nachrichten.

Die gute Nachricht ist, dass es eine Menge zu lernen gibt, und wenn Sie alles ernst nehmen, erhalten Sie eine sehr umfassende Prävention und einen Schutz nicht nur vor Ransomware-Angriffen, sondern auch vor dem, was Sie zuvor im Doppelpaymer-Segment erwähnt haben: „Don't Fixieren Sie sich nicht nur auf Ransomware.“

Sorgen Sie sich um all die anderen Dinge, die dazu führen: Keylogging; Datendiebstahl; Hintertürimplantation; Passwortdiebstahl.

DOUG.   Okay, Paul, lass uns einige der Erkenntnisse aus dem CISA-Ratschlag zusammenfassen, beginnend mit: Diese Gauner brechen mit altbewährten Methoden ein.

ENTE.   Tun sie!

Die Statistiken von CISA deuten darauf hin, dass diese spezielle Bande das gute alte Phishing verwendet, das bei 2/3 der Angriffe erfolgreich war.

Wenn das nicht gut funktioniert, suchen sie nach ungepatchten Sachen.

Außerdem können sie in 1/6 der Fälle immer noch mit RDP hineinkommen … gute alte RDP-Angriffe.

Weil sie nur einen Server brauchen, den Sie vergessen haben.

Übrigens berichtete CISA auch, dass sie, wenn sie erst einmal drin sind, selbst wenn sie RDP nicht verwendet haben, immer noch feststellen, dass viele Unternehmen eine eher liberalere Politik in Bezug auf den RDP-Zugriff haben * innerhalb* ihres Netzwerks.

[LACHT] Wer braucht schon komplizierte PowerShell-Skripte, mit denen Sie sich einfach mit dem Computer eines anderen verbinden und es auf Ihrem eigenen Bildschirm überprüfen können?

DOUG.   Einmal drin, versuchen die Kriminellen, Programme zu vermeiden, die offensichtlich als Malware erscheinen könnten.

Das nennt man auch „vom Land leben“.

ENTE.   Sie sagen nicht nur: „Nun gut, verwenden wir das PsExec-Programm von Microsoft Sysinternal und verwenden wir dieses eine besonders beliebte PowerShell-Skript.

Sie haben eine beliebige Anzahl von Tools, um eine beliebige Anzahl verschiedener Dinge zu tun, die sehr nützlich sind, von Tools, die IP-Nummern ermitteln, bis hin zu Tools, die Computer aus dem Ruhezustand bringen.

Alles Tools, die ein gut informierter Systemadministrator haben und regelmäßig verwenden kann.

Und, grob gesagt, es gibt nur ein bisschen reine Malware, die diese Gauner einbringen, und das ist das Zeug, das die endgültige Verschlüsselung übernimmt.

Vergessen Sie übrigens nicht, dass Sie als Ransomware-Krimineller nicht einmal Ihr eigenes Verschlüsselungs-Toolkit mitbringen müssen.

Sie könnten, wenn Sie wollten, ein Programm wie zum Beispiel WinZip oder 7-Zip verwenden, das eine Funktion zum „Erstellen eines Archivs, Verschieben der Dateien“ enthält (was bedeutet, dass Sie sie löschen, sobald Sie sie in das Archiv gelegt haben). „und mit einem Passwort verschlüsseln.“

Solange die Gauner die einzigen Personen sind, die das Passwort kennen, können sie Ihnen immer noch anbieten, es an Sie zurückzuverkaufen …

DOUG.   Und nur um der Wunde noch ein wenig Salz hinzuzufügen: Bevor die Dateien verschlüsselt werden, versuchen die Angreifer, Ihren Weg zur Wiederherstellung zu erschweren.

ENTE.   Wer weiß, ob sie neue geheime Administratorkonten erstellt haben?

Absichtlich installierte fehlerhafte Server?

Patches absichtlich entfernt, damit sie wissen, wie sie beim nächsten Mal wieder reinkommen?

Zurückgelassene Keylogger, wo sie irgendwann in der Zukunft aktiviert werden und dafür sorgen, dass Ihre Probleme wieder von vorne beginnen?

Und sie tun dies, weil es sehr zu ihrem Vorteil ist, dass Sie sich nach einem Ransomware-Angriff nicht vollständig erholen.

DOUG.   In Ordnung, wir haben einige hilfreiche Links am Ende des Artikels.

Ein Link, über den Sie mehr erfahren können Sophos Managed Detection and Response [MDR], und ein weiterer, der Sie zu den führt Active-Adversary-Playbook, ein Stück, das von unserem eigenen John Shier zusammengestellt wurde.

Einige Tipps und Erkenntnisse, die Sie nutzen können, um Ihren Schutz zu verbessern.

Kenne deinen Feind! Erfahren Sie, wie Angreifer der Cyberkriminalität eindringen…

ENTE.   Das ist wie eine Meta-Version dieses CISA-„Royal Ransomware“-Berichts.

Es gibt Fälle, in denen das Opfer nicht bemerkte, dass Angreifer in seinem Netzwerk waren, bis es zu spät war, dann Sophos Rapid Response anrief und sagte: „Oh Gott, wir glauben, dass wir von Ransomware getroffen wurden … aber was ist sonst noch passiert? ”

Und das haben wir tatsächlich im wirklichen Leben bei einer Vielzahl von Angriffen durch eine Reihe von oft nicht verwandten Gaunern gefunden.

Es gibt Ihnen also eine sehr, sehr breite Vorstellung von der Bandbreite der TTPs (Werkzeuge, Techniken und Verfahren), die Sie kennen müssen und gegen die Sie sich wehren können.

Denn die gute Nachricht ist, dass, indem man die Gauner dazu zwingt, all diese separaten Techniken anzuwenden, so dass keiner von ihnen alleine einen massiven Alarm auslöst …

… geben Sie sich eine kämpferische Chance, sie früh zu entdecken, wenn Sie [A] nur wissen, wo Sie suchen müssen, und [B] die Zeit dafür finden.

DOUG.   Sehr gut.

Und wir haben einen Leserkommentar zu diesem Artikel.

Naked Security-Leser Andy fragt:

Wie schlagen sich die Sophos Endpoint Protection-Pakete gegen diese Art von Angriff?

Ich habe aus erster Hand gesehen, wie gut der Datei-Ransomware-Schutz ist, aber wenn er deaktiviert wird, bevor die Verschlüsselung beginnt, verlassen wir uns wohl größtenteils auf den Manipulationsschutz?

ENTE.   Nun, ich hoffe nicht!

Ich hoffe, dass ein Sophos Protection-Kunde nicht einfach sagt: „Nun, lassen Sie uns nur den winzigen Teil des Produkts ausführen, der da ist, um Sie als eine Art Last-Chance-Limousine zu schützen … was wir CryptoGuard nennen.

Das ist das Modul, das sagt: "Hey, jemand oder etwas versucht, eine große Anzahl von Dateien auf eine Weise zu verschlüsseln, die ein echtes Programm sein könnte, aber einfach nicht richtig aussieht."

Selbst wenn es echt ist, wird es wahrscheinlich die Dinge durcheinander bringen, aber es ist mit ziemlicher Sicherheit jemand, der versucht, Ihnen Schaden zuzufügen.

DOUG.   Ja, CryptoGuard ist wie ein Helm, den Sie tragen, wenn Sie über den Lenker Ihres Fahrrads fliegen.

Die Dinge sind ziemlich ernst geworden, wenn CryptoGuard in Aktion tritt!

ENTE.   Die meisten Produkte, einschließlich Sophos, verfügen heutzutage über ein Element des Manipulationsschutzes, das versucht, noch einen Schritt weiter zu gehen, sodass sogar ein Administrator durch Hürden springen muss, um bestimmte Teile des Produkts auszuschalten.

Das macht es schwieriger, es überhaupt zu tun und schwieriger zu automatisieren, es für alle auszuschalten.

Aber man muss darüber nachdenken…

Wenn Cyberkriminelle in Ihr Netzwerk eindringen und sie wirklich „Sysadmin-Äquivalenz“ in Ihrem Netzwerk haben; wenn sie es geschafft haben, effektiv die gleichen Befugnisse zu erlangen, die Ihre normalen Systemadministratoren haben (und das ist ihr wahres Ziel; das ist es, was sie wirklich wollen) …

Da die Systemadministratoren, die ein Produkt wie das von Sophos ausführen, die Umgebungseinstellungen konfigurieren, dekonfigurieren und festlegen können …

…dann, wenn die Gauner Systemadministratoren *sind*, ist es so, als hätten sie bereits gewonnen.

Und deshalb müssen Sie sie im Voraus finden!

Also machen wir es so schwer wie möglich und bieten so viele Schutzschichten wie möglich, um hoffentlich zu versuchen, dieses Ding zu stoppen, bevor es überhaupt hereinkommt.

Und wo wir gerade dabei sind, Doug (ich möchte nicht, dass das wie ein Verkaufsschlager klingt, aber es ist nur eine Funktion unserer Software, die ich ziemlich mag) …

Wir haben das, was ich eine „aktive Gegner-Gegner“-Komponente nenne!

Mit anderen Worten, wenn wir in Ihrem Netzwerk ein Verhalten feststellen, das stark auf Dinge hindeutet, die beispielsweise Ihre Systemadministratoren nicht ganz oder gar nicht so tun würden …

… „aktiver Gegner Gegner“ sagt: „Weißt du was? Gerade im Moment werden wir den Schutz auf ein höheres Niveau anheben, als Sie normalerweise tolerieren würden.“

Und das ist eine großartige Funktion, denn wenn Gauner in Ihr Netzwerk eindringen und versuchen, unangemessene Dinge zu tun, müssen Sie nicht warten, bis Sie es bemerken und *dann* entscheiden: "Welche Zifferblätter sollen wir ändern?"

Doug, das war eine ziemlich lange Antwort auf eine scheinbar einfache Frage.

Aber lassen Sie mich nur vorlesen, was ich in meiner Antwort auf den Kommentar zu Naked Security geschrieben habe:

Unser Ziel ist es, immer wachsam zu sein und so früh, so automatisch, so sicher und so entschieden wie möglich einzugreifen – bei allen Arten von Cyberangriffen, nicht nur bei Ransomware.

DOUG.   Okay, gut gesagt!

Vielen Dank, Andy, für die Einsendung.

Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.

Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Medien besuchen: @NakedSecurity.

Das ist unsere Show für heute; vielen dank fürs zuhören.

Für Paul Ducklin bin ich Doug Aamoth, um Sie daran zu erinnern. Bis zum nächsten Mal, bis …

BEIDE.   Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit