• 3 min read

Verbessern Sie Ihre Sicherheitsmaßnahmen für Ransomwareangriffe mit Azure Firewall

By Eliran Azulai, Principal Program Manager
Um sicherzustellen, dass Kunden, die Azure nutzen, vor Ransomwareangriffen geschützt sind, hat Microsoft stark in die Azure-Sicherheit investiert und den Kunden die Sicherheitskontrollen zur Verfügung gestellt, die sie zum Schutz ihrer Azure-Cloud-Workloads benötigen. Hier möchten wir die Netzwerksicherheit näher beleuchten und klären, wie Azure Firewall Sie beim Schutz vor Ransomware unterstützen kann.

Um sicherzustellen, dass Kunden, die Azure nutzen, vor Ransomwareangriffen geschützt sind, hat Microsoft stark in die Azure-Sicherheit investiert und den Kunden die Sicherheitskontrollen zur Verfügung gestellt, die sie zum Schutz ihrer Azure-Cloud-Workloads benötigen.

Eine umfassende Übersicht über Best Practices und Empfehlungen finden Sie im E-Book "Azure Defenses for Ransomware Attack".

Hier möchten wir die Netzwerksicherheit näher beleuchten und klären, wie Azure Firewall Sie beim Schutz vor Ransomware unterstützen kann.

Ransomware ist im Grunde genommen eine Art von Schadsoftware, die entwickelt wurde, um den Zugriff auf Ihr Computersystem zu blockieren, bis eine Geldsumme bezahlt wird. Der Angreifer nutzt in der Regel ein vorhandenes Sicherheitsrisiko in Ihrem System aus, um Ihr Netzwerk zu durchdringen und die Schadsoftware auf dem Zielhost auszuführen.

Ransomware wird häufig über Phishing-E-Mails verteilt, die schädliche Anlagen enthalten, oder das sogenannte Drive-by-Downloading. Drive-by-Downloads treten auf, wenn ein Benutzer unwissentlich eine infizierte Website besucht und dann Malware heruntergeladen und installiert wird, ohne dass der Benutzer davon weiß.

Hier kommt Azure Firewall Premium- zur Hilfe. Mit dem System zur Erkennung und Verhinderung von Eindringversuchen in Netzwerke (IDPS) wird jedes Paket gründlich untersucht, einschließlich aller Header und Nutzdaten, um schädliche Aktivitäten zu identifizieren und zu verhindern, dass diese in Ihr Netzwerk eindringen können. IDPS ermöglicht es Ihnen, Ihr Netzwerk auf schädliche Aktivitäten zu überwachen, Informationen über diese Aktivitäten zu protokollieren, sie zu melden und optional zu versuchen, sie zu blockieren.

Die IDPS-Signaturen gelten sowohl für den Datenverkehr auf Anwendungs- als auch auf Netzwerkebene (Layer 4-7). Sie werden vollständig verwaltet und enthalten mehr als 65.000 Signaturen in über 50 verschiedenen Kategorien, damit sie mit der dynamischen, sich ständig verändernden Angriffslandschaft Schritt halten können:

  1. Azure Firewall erhält frühzeitig Zugriff auf Sicherheitsrisikoinformationen vom Microsoft Active Protections Program (MAPP) und Microsoft Security Response Center (MSRC).
  2. Azure Firewall veröffentlicht täglich 30 bis 50 neue Signaturen.

Heutzutage wird moderne Verschlüsselung wie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) global verwendet, um den Internetdatenverkehr zu schützen. Angreifer verwenden Verschlüsselung, um ihre schadhafte Software in das Netzwerk der Opfer zu übertragen. Daher müssen Kunden ihren verschlüsselten Datenverkehr genau wie jeden anderen Datenverkehr überprüfen.

Mit IDPS von Azure Firewall-Premium können Sie Angriffe auf alle Ports und Protokolle für nicht verschlüsselten Datenverkehr erkennen. Wenn jedoch HTTPS-Datenverkehr überprüft werden muss, kann Azure Firewall seine TLS-Inspektionsfunktion nutzen, um den Datenverkehr zu entschlüsseln und schädliche Aktivitäten zu erkennen.

Nachdem die Ransomware auf dem Zielcomputer installiert wurde, kann sie versuchen, die Daten des Computers zu verschlüsseln. Dazu benötigt sie einen Verschlüsselungsschlüssel und kann Command and Control (C&C) verwenden, um den Verschlüsselungsschlüssel von dem vom Angreifer gehosteten C&C-Server zu erhalten. CryptoLocker, WannaCry, TeslaCrypt, Cerber und Locky gehören zu den Ransomware-Beispielen, die C&C zum Abrufen der erforderlichen Verschlüsselungsschlüssel verwenden.

Azure Firewall Premium verfügt über Hunderte von Signaturen, die entwickelt wurden, um C&C-Konnektivität zu erkennen und zu blockieren, damit so verhindert wird, dass der Angreifer die Daten der Kunden verschlüsselt.

Firewallschutz vor Ransomwareangriffen über den Befehls- und Kontrollkanal.

Abbildung 1: Firewallschutz vor Ransomwareangriffen über den Befehls- und Steuerungskanal

Ein umfassender Ansatz zur Abwehr von Ransomwareangriffen

Es wird empfohlen, einen ganzheitlichen Ansatz zur Abwehr von Ransomwareangriffen zu verfolgen. Azure Firewall wird im Standardmodus "Verweigern" ausgeführt und blockiert den Zugriff, es sei denn, der Administrator erlaubt dies explizit. Wenn Sie das Feature Threat Intelligence (TI) im Warnungs-/Benachrichtigungsmodus aktivieren, wird der Zugriff auf bekannte schädliche IPs und Domänen blockiert. Der Microsoft Threat Intel-Feed wird basierend auf neuen und neuen Bedrohungen fortlaufend aktualisiert.

Die Firewallrichtlinie kann für die zentralisierte Konfiguration von Firewalls verwendet werden. Dies hilft bei der schnellen Reaktion auf Bedrohungen. Kunden können Threat Intel und IDPS mit nur wenigen Klicks über mehrere Firewalls hinweg aktivieren. Mithilfe von Webkategorien können Administratoren den Benutzerzugriff auf Websitekategorien, z. B. Glücksspiel- oder Social Media-Websites, zulassen oder verweigern. Die URL-Filterung ermöglicht einen eingeschränkten Zugriff auf externe Websites und kann das Risiko noch weiter verringern. Anders ausgedrückt: Azure Firewall hat alles, was Unternehmen benötigen, um sich umfassend gegen Schadsoftware und Ransomware zu schützen.

Die Erkennung ist ebenso wichtig wie die Prävention. Mit der Azure Firewall Lösung für Microsoft Sentinel erhalten Sie sowohl Erkennung als auch Prävention in Form einer einfach bereitzustellenden Lösung. Durch die Kombination von Prävention und Erkennung können Sie sicherstellen, dass Sie komplexe Bedrohungen nach Möglichkeit verhindern und gleichzeitig eine "Mentalität mit Annahme einer Sicherheitsverletzung" beibehalten, um Cyberangriffe zu erkennen und schnell darauf zu reagieren.

Erfahren Sie mehr über Azure Firewall Premium und den Schutz vor Ransomware

Um sicherzustellen, dass Kunden, die Azure nutzen, vor Ransomwareangriffen geschützt sind, hat Microsoft stark in die Azure-Sicherheit investiert und den Kunden die Sicherheitskontrollen zur Verfügung gestellt, die sie zum Schutz ihrer Azure-Cloud-Workloads benötigen.

Eine umfassende Übersicht über Best Practices und Empfehlungen finden Sie im E-Book "Azure Defenses for Ransomware Attack".

Hier möchten wir die Netzwerksicherheit näher beleuchten und klären, wie Azure Firewall Sie beim Schutz vor Ransomware unterstützen kann.

Ransomware ist im Grunde genommen eine Art von Schadsoftware, die entwickelt wurde, um den Zugriff auf Ihr Computersystem zu blockieren, bis eine Geldsumme bezahlt wird. Der Angreifer nutzt in der Regel ein vorhandenes Sicherheitsrisiko in Ihrem System aus, um Ihr Netzwerk zu durchdringen und die Schadsoftware auf dem Zielhost auszuführen.

Ransomware wird häufig über Phishing-E-Mails verteilt, die schädliche Anlagen enthalten, oder das sogenannte Drive-by-Downloading. Drive-by-Downloads treten auf, wenn ein Benutzer unwissentlich eine infizierte Website besucht und dann Malware heruntergeladen und installiert wird, ohne dass der Benutzer davon weiß.

Hier kommt Azure Firewall Premium- zur Hilfe. Mit dem System zur Erkennung und Verhinderung von Eindringversuchen in Netzwerke (IDPS) wird jedes Paket gründlich untersucht, einschließlich aller Header und Nutzdaten, um schädliche Aktivitäten zu identifizieren und zu verhindern, dass diese in Ihr Netzwerk eindringen können. IDPS ermöglicht es Ihnen, Ihr Netzwerk auf schädliche Aktivitäten zu überwachen, Informationen über diese Aktivitäten zu protokollieren, sie zu melden und optional zu versuchen, sie zu blockieren.

Die IDPS-Signaturen gelten sowohl für den Datenverkehr auf Anwendungs- als auch auf Netzwerkebene (Layer 4-7). Sie werden vollständig verwaltet und enthalten mehr als 65.000 Signaturen in über 50 verschiedenen Kategorien, damit sie mit der dynamischen, sich ständig verändernden Angriffslandschaft Schritt halten können:

  1. Azure Firewall erhält frühzeitig Zugriff auf Sicherheitsrisikoinformationen vom Microsoft Active Protections Program (MAPP) und Microsoft Security Response Center (MSRC).
  2. Azure Firewall veröffentlicht täglich 30 bis 50 neue Signaturen.

Heutzutage wird moderne Verschlüsselung wie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) global verwendet, um den Internetdatenverkehr zu schützen. Angreifer verwenden Verschlüsselung, um ihre schadhafte Software in das Netzwerk der Opfer zu übertragen. Daher müssen Kunden ihren verschlüsselten Datenverkehr genau wie jeden anderen Datenverkehr überprüfen.

Mit IDPS von Azure Firewall-Premium können Sie Angriffe auf alle Ports und Protokolle für nicht verschlüsselten Datenverkehr erkennen. Wenn jedoch HTTPS-Datenverkehr überprüft werden muss, kann Azure Firewall seine TLS-Inspektionsfunktion nutzen, um den Datenverkehr zu entschlüsseln und schädliche Aktivitäten zu erkennen.

Nachdem die Ransomware auf dem Zielcomputer installiert wurde, kann sie versuchen, die Daten des Computers zu verschlüsseln. Dazu benötigt sie einen Verschlüsselungsschlüssel und kann Command and Control (C&C) verwenden, um den Verschlüsselungsschlüssel von dem vom Angreifer gehosteten C&C-Server zu erhalten. CryptoLocker, WannaCry, TeslaCrypt, Cerber und Locky gehören zu den Ransomware-Beispielen, die C&C zum Abrufen der erforderlichen Verschlüsselungsschlüssel verwenden.

Azure Firewall Premium verfügt über Hunderte von Signaturen, die entwickelt wurden, um C&C-Konnektivität zu erkennen und zu blockieren, damit so verhindert wird, dass der Angreifer die Daten der Kunden verschlüsselt.

Firewallschutz vor Ransomwareangriffen über den Befehls- und Kontrollkanal.

Abbildung 1: Firewallschutz vor Ransomwareangriffen über den Befehls- und Steuerungskanal

Ein umfassender Ansatz zur Abwehr von Ransomwareangriffen

Es wird empfohlen, einen ganzheitlichen Ansatz zur Abwehr von Ransomwareangriffen zu verfolgen. Azure Firewall wird im Standardmodus "Verweigern" ausgeführt und blockiert den Zugriff, es sei denn, der Administrator erlaubt dies explizit. Wenn Sie das Feature Threat Intelligence (TI) im Warnungs-/Benachrichtigungsmodus aktivieren, wird der Zugriff auf bekannte schädliche IPs und Domänen blockiert. Der Microsoft Threat Intel-Feed wird basierend auf neuen und neuen Bedrohungen fortlaufend aktualisiert.

Die Firewallrichtlinie kann für die zentralisierte Konfiguration von Firewalls verwendet werden. Dies hilft bei der schnellen Reaktion auf Bedrohungen. Kunden können Threat Intel und IDPS mit nur wenigen Klicks über mehrere Firewalls hinweg aktivieren. Mithilfe von Webkategorien können Administratoren den Benutzerzugriff auf Websitekategorien, z. B. Glücksspiel- oder Social Media-Websites, zulassen oder verweigern. Die URL-Filterung ermöglicht einen eingeschränkten Zugriff auf externe Websites und kann das Risiko noch weiter verringern. Anders ausgedrückt: Azure Firewall hat alles, was Unternehmen benötigen, um sich umfassend gegen Schadsoftware und Ransomware zu schützen.

Die Erkennung ist ebenso wichtig wie die Prävention. Mit der Azure Firewall Lösung für Microsoft Sentinel erhalten Sie sowohl Erkennung als auch Prävention in Form einer einfach bereitzustellenden Lösung. Durch die Kombination von Prävention und Erkennung können Sie sicherstellen, dass Sie komplexe Bedrohungen nach Möglichkeit verhindern und gleichzeitig eine "Mentalität mit Annahme einer Sicherheitsverletzung" beibehalten, um Cyberangriffe zu erkennen und schnell darauf zu reagieren.

Erfahren Sie mehr über Azure Firewall Premium und den Schutz vor Ransomware