Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Ransomware-Reaktionsplan: Wie man sich nach dem Angriff erholt

Ransomware macht vor niemandem Halt. Mittelständische Unternehmen, Schulen, Bibliotheken und sogar Krankenhäuser - alle sind von Ransomware-Angriffen betroffen, die so häufig wie alle elf Sekunden auftreten.

Die Wahrscheinlichkeit, von Ransomware getroffen zu werden, ist niemals null, unabhängig von der Sicherheitslage eines Unternehmens. Mit anderen Worten, es ist nicht die Frage, ob, sondern wann der Angriff stattfinden wird.

Die Verbreitung von Ransomware macht es für jedes Unternehmen unerlässlich, einen starken Reaktionsplan zu haben. Ohne diesen wird eine erfolgreiche Infiltration unweigerlich Chaos in der gesamten Organisation anrichten.

Der folgende Artikel skizziert einen Ransomware-Reaktionsplan, dem jede Organisation im Nachgang zu einem Ransomware-Angriff folgen kann. Er wurde von Experten bei Object First, einem Unternehmen, das sich ausschließlich der Bekämpfung von Ransomware widmet, vorbereitet und geprüft.

Was ist ein Ransomware-Reaktionsplan?

Ein Ransomware-Reaktionsplan ist eine Reihe von Schritten, die den Schlag der Ransomware abfedern. Er weist Administratoren an und erinnert sie daran, was sie tun können und sollten, um die Folgen des Angriffs zu minimieren.

Warum sollten Administratoren überhaupt einen Ransomware-Reaktionsplan haben? Weil Ransomware immer plötzlich und erschütternd ist und selbst die erfahrensten Experten in Panik versetzen kann. Ein guter Plan bietet einen Leitfaden für den Notfall und Trost in der Zeit der Not.

Ransomware ist kein Todesurteil - trotz aller gegenteiliger Anzeichen. Es ist hilfreicher, es als eine Flut zu betrachten. Untätigkeit lässt es nur weiter verbreiten, während angemessene Gegenmaßnahmen es eindämmen und manchmal sogar umkehren können.

Gründe für die Erstellung eines Ransomware-Reaktionsplans

Der Leitfaden geht von dem schlimmsten Szenario aus, in dem Ransomware Backups verschlüsselt. Das ist nicht unwahrscheinlich. Die Täter haben längst erkannt, dass Backups ihre kriminellen Bemühungen zunichte machen, weshalb sie zunehmend auch diese ins Visier nehmen.

Dieser Ransomware-Incident-Response-Plan wird helfen, selbst diejenigen ohne ein unveränderliches Backup wiederherzustellen. Durch das Abhaken der Punkte in diesem Plan wird eine Organisation in der Lage sein:

  • Ressourcen zu schützen;
  • die Bedrohung zu lokalisieren;
  • den Ruf zu bewahren;
  • Wiederholungen zu verhindern.

Ransomware-Incident-Response-Plan in fünf Phasen

1. Reaktion

Die erste Regel der Notfallreaktion: keine Panik. Angst ist natürlich, aber unkontrolliert führt sie zu übereilten Entscheidungen und schnellen Urteilen. Eine kurze Meditation oder ein Spaziergang im Park kann viel dazu beitragen, den Geist zu beruhigen. Danach zögere nicht, aktiv zu werden.

  • Sicher kommunizieren. Halte den Eindringling im Dunkeln und kommuniziere ausschließlich über Telefonanrufe. Mobilfunkdienste operieren außerhalb von Unternehmensnetzwerken und bleiben unter dem Radar der Ransomware.
  • Snapshot der Cloud. Erstelle eine Kopie der Cloud-Ressourcen des Unternehmens und quarantänisiere sie für forensische Untersuchungen.
  • Identifizieren und isolieren. Finde heraus, welche Systeme betroffen sind, und isolierte sie vom Rest. Wenn das Abtrennen auf Schalterebene fehlschlägt, trenne sie physisch vom Netzwerk, indem du Kabel abziehst oder das WLAN ausschaltest.
  • Geräte ausschalten. Wenn ein System sich der Trennung widersetzt, schalte es aus. Beachte jedoch, dass dies ein Mittel der letzten Wahl ist. Das Herunterfahren von Hardware löscht potenzielle Beweise aus dem Arbeitsspeicher.
  • Systeme nach Wichtigkeit einstufen. Die Priorisierung wird die spätere Wiederherstellung leiten. Wenn verfügbar, beziehe dich auf die vordefinierte Liste kritischer Dienste der Organisation.
  • Präventionssysteme überprüfen. Überprüfe die Antiviren-, EDR- und Systemprotokolle auf Spuren von Vorläuferbedrohungen - die Art von Malware, die Ransomware vorausgeht und sie ermöglicht. Beispiele sind Bumblebee, Dridex und Anchor. Entferne sie, um weitere Exposition gegenüber Ransomware zu verhindern.
  • Die Infiltration kartieren. Untersuche mögliche Angriffswege. Die Erkenntnisse über Eintrittspunkte und Infiltrationswege werden zukünftige Präventionsstrategien informieren und die Sicherheitslage verbessern.
  • Die Bedrohung erkennen. Achte besonders auf Active Directory-Konten, neue Anmeldungen, Änderungen an Endpunkten, Remote Monitoring und Management-Software (RRM), PowerShell und PsTools, Endpunkt-zu-Endpunkt-Kommunikation sowie alle Aktivitäten rund um Windows-Systemtools und Domain-Admins. Alles Ungewöhnliche sollte eine genauere Untersuchung nach sich ziehen, die zur Malware hinter der Verschlüsselung führt.

2. Berichterstattung

Das Auslösen des Alarms folgt unmittelbar auf die erste Reaktion. Dieser Schritt ist unerlässlich, auch wenn er unangenehm ist. Informationen über den Angriff zu teilen, ermöglicht es den betroffenen Parteien, wachsam zu bleiben und gegebenenfalls Hilfe anzubieten.

  • Intern informieren. Zu diesem Zeitpunkt sollten alle betroffenen Parteien, einschließlich der Stakeholder, über die Verletzung und die ergriffenen Maßnahmen informiert werden. Sie sollten auch regelmäßige Updates erhalten, während sich die Situation entwickelt.
  • Breach Counsel kontaktieren. Ein Breach Counsel ist ein externes Expertenteam, das Unternehmen unterstützt, die von Ransomware betroffen sind. Versicherungsunternehmen führen in der Regel eine Liste von Breach Counsels in ihren Policen oder auf ihren Websites.
  • Behörden alarmieren. Ransomware stellt in vielen Rechtsordnungen eine Straftat dar, sodass Organisationen möglicherweise verpflichtet sind, die Strafverfolgungsbehörden und Regierungsstellen darüber zu informieren.

In den USA, ziehe in Betracht, zu kontaktieren:

In Europa, konsultiere diese Liste von Europol.

Ungeachtet der gesetzlichen Anforderungen können staatliche Organisationen zusätzliche Ressourcen gegen die Bedrohung bereitstellen - beispielsweise Entschlüsselungsmechanismen oder forensische Analysen von Datenproben.

  • Kunden benachrichtigen. Unternehmen ziehen es vor, Ransomware-Vorfälle geheim zu halten, aus Angst vor Rufschädigung. Aber die Nachricht über den Angriff wird früher oder später ans Licht kommen, und die Kunden sollten besser von dem Unternehmen darüber erfahren als von jemand anderem. Die externe Kommunikation über den Vorfall sollte dessen Umfang und begleitende Risiken, wie Datenlecks, erwähnen.

3. Eindämmung

Fokussiere dich mit intensiven Ermittlungen auf den Täter. Mobilisiere das Cybersicherheitsteam des Unternehmens und arbeite mit externen Fachleuten zusammen, um den Angreifer zu bekämpfen.

  • Daten zur Analyse isolieren.

WARNUNG: Dies ist eine heikle Operation, die am besten von oder mit Unterstützung von Sicherheitsexperten, wie dem Breach Counsel oder CISA, durchgeführt wird. Gehe vorsichtig vor.

Extrahiere Datenproben aus betroffenen Systemen. Konzentriere dich auf relevante und verdächtige Elemente, wie Protokolle, spezifische Binärdateien, Registrierungseinträge und IP-Adressen. Sammle temporäre Daten, bevor sie verschwinden - beispielsweise Windows-Sicherheitsprotokolle oder Firewall-Protokollpuffer.

  • Finde den Ursprung. Durchsuche alle Systeme und Konten, einschließlich E-Mail, um den ursprünglichen Eintrittspunkt zu identifizieren.
  • Endpunkte sichern. Schließe alle Endpunkte und nach außen gerichteten Schnittstellen wie VPNs, Remote-Access-Server, Single-Sign-On-Ressourcen usw. Andernfalls bleiben sie ein potenzieller Zugang zu deinen Systemen.
  • Persistenzmechanismen beseitigen. Finde und neutralisiere alle langfristigen Prozesse, die die Angreifer möglicherweise hinterlassen haben, wie verlängerte Authentifizierungen, Hintertüren, Ausnutzung von Schwachstellen usw.

4. Beseitigung

Der Perimeter ist gesichert. Jetzt bringe die Systeme zurück in den Betriebszustand, indem du alles reinigst und zurücksetzt, was mit Malware in Kontakt gekommen sein könnte. Dies ist der einzige Weg, um schädliche Rückstände aus der Infrastruktur zu entfernen.

  • Betroffene Systeme löschen. Es mag verlockend sein, nur infizierte Daten zu entfernen, damit das gesamte System nicht geopfert wird, aber es ist das Risiko einer Auslassung nicht wert. Für maximale Sicherheit wische alles Infizierte sauber.
  • Von Bildern neu laden. Ersetze kompromittierte Dienste durch ihre frischen Bilder gemäß der Prioritätenliste. Verlasse dich bei der Cloud auf Infrastructure-as-Code für denselben Prozess.
  • Passwörter zurücksetzen. Die Angreifer können sich nicht erneut infizieren, wenn sie die möglicherweise gestohlenen Anmeldeinformationen nicht verwenden können.

5. Prävention

Jetzt, da die Bedrohung vorüber ist, verringere die Wahrscheinlichkeit, dass sie erneut auftritt. Es gibt einige Dinge, die eine Organisation tun kann, um ihre Widerstandsfähigkeit gegen Ransomware zu stärken:

  • Bildung. Organisiere Schulungen zu Best Practices in Datensicherheit für alle Mitarbeiter, damit sie wissen, wie sie die Fallstricke von Social Engineering vermeiden und frühe Anzeichen von Bedrohungen erkennen können.
  • Audit. Untersuche die Systeme hinsichtlich ihrer Widerstandsfähigkeit gegen bösartige Software.
  • Sichern. Setze Remote Desktop Ports (RDPs) so, dass sie nur vertrauenswürdige Hosts akzeptieren, und schalte immer inaktive aus. Wende strenge Sicherheitseinstellungen auf alle Endpunkte an.
  • Segmentieren. Teile das Netzwerk physisch und mit VPN auf - trenne nach innen gerichtete Netzwerkelemente von nach außen gerichteten. Wende Zero Trust-Prinzipien auf das Zugriffsmanagement an.
  • Aktualisieren. Halte alles immer auf dem neuesten Stand. Selbst eine geringe Verzögerung bei Updates kann Hackern ein Fenster öffnen, um einzudringen.
  • Durchsetzen. Bereite eine robuste Backup-Strategie mit Unveränderlichkeit im Mittelpunkt vor und befolge sie.

Nützliche Ressourcen

Eine robuste Ransomware-Abwehrstrategie verringert die Wahrscheinlichkeit zukünftiger Angriffe, aber es ist immer sinnvoll, konkrete Ressourcen bereit zu haben. Ziehe in Betracht, die folgenden Informationen zu erstellen, zu pflegen und regelmäßig zu aktualisieren:

  • Incident-Response-Team. Liste die Personen auf, die für die Behebung eines Angriffs verantwortlich sind.
  • Asset-Inventar. Spezifizieren Sie Hardware- und Software-Ressourcen, idealerweise in Form eines Diagramms. Es wird einen sofortigen Überblick über die Infrastruktur des Unternehmens bieten.
  • Liste kritischer Dienste. Definiere eine hierarchische Liste digitaler Ressourcen, wie Anwendungen, Datensätze und Backups.
  • Kontaktliste. Notiere die Kontaktdaten von Mitgliedern der Organisation, die unter den Folgen eines Ransomware-Angriffs leiden könnten.
  • Schulungsmöglichkeiten. Detailliere die theoretischen und praktischen Übungen, wie Kurse, Workshops und Vorfallsimulationen, die den Mitarbeitern zur Verfügung stehen und vorzugsweise nach Schwierigkeitsgrad kategorisiert sind, um mit dem richtigen Erfahrungsgrad übereinzustimmen.
  • Erfahrungen aus vergangenen Vorfällen. Sammle Erkenntnisse aus vergangenen Angriffen und Sicherheitsübungen, um zukünftige Minderung zu unterstützen.
  • Ransomware-Incident-Response-Plan. Erstelle einen detaillierten Ransomware-Reaktionsaktionsplan, um die Schadensbegrenzung zu optimieren.

Unveränderliches Backup gegen Ransomware

Ein Backup ist unveränderlich, wenn niemand - einschließlich Administratoren und Root - es ändern oder löschen kann. Diese Backups basieren auf dem Write-Once-Read-Many-Mechanismus (WORM), der auf Software- oder Hardwareebene implementiert ist.

Softwarebasierte Unveränderlichkeit ist flexibler und kostengünstiger, da sie zeitlich definiert sein kann und durch neue Daten ersetzt werden kann, wenn ihre Schutzzeit abläuft.

Unveränderliche Backups widerstehen der Verschlüsselung, was sie zur perfekten Versicherung gegen Ransomware macht. Wenn ein Angriff erfolgt, folge unserem Ransomware-Incident-Response-Plan, um die Malware loszuwerden, und fahre dann mit der Wiederherstellung von unveränderlichen Backups fort.

Ootbi—out-of-the-box-immutability für Veeam

Ootbi von Object First ist ein zweckgebundenes Backup-Gerät, das für Veeam maßgeschneidert ist. Es bietet unveränderliche Funktionen direkt nach der Installation, läuft auf S3 Object Lock und nutzt Objektspeicher, um große Datenpools besser zu unterstützen. In weniger als fünfzehn Minuten installiert, integriert sich Ootbi nahtlos in jede Veeam-Instanz, unterstützt alle Veeam-Protokolle und erfordert keine technischen Kenntnisse für die Einrichtung.

Fazit

Ransomware erweist sich als eine der größten Sicherheitsbedrohungen des aktuellen Jahrzehnts. Unternehmen, die sicher und relevant bleiben wollen, müssen einen Ransomware-Reaktionsplan entwickeln oder mit erheblichen Ausfallzeiten und Datenverlust konfrontiert werden, die normalerweise aus einem Angriff resultieren.

Unveränderliche und luftdicht abgeschottete Backup-Geräte wie Ootbi treten als letzte Verteidigungslinie und seltene Garantie gegen Ransomware auf. Der Plan und das Backup bieten die beste Ransomware-Schutz , die ein Unternehmen erhoffen kann.

FAQ

Was ist ein Ransomware-Reaktionsplan?

Ein Ransomware-Reaktionsplan listet die Schritte auf, die im Falle eines Ransomware-Vorfalls zu unternehmen sind. Er ermöglicht es Organisationen, schnell auf den Angriff zu reagieren und ihn einzudämmen, wodurch der Schaden auf ein Minimum reduziert wird.

Was ist die beste Praxis bei der Ransomware-Reaktion?

Experten sind sich einig, dass der beste Weg, Ransomware zu verhindern und zu bekämpfen, regelmäßige Backups sind. Letztendlich garantieren jedoch nur unveränderliche Backups Seelenfrieden, da niemand mit ihnen herumspielen kann.

Was ist die 3-2-1-Regel der Ransomware?

Die 3-2-1-Regel der Ransomware empfiehlt, dass jede Organisation auf drei Backups zurückgreift. Zwei sollten auf unterschiedlichen Medientypen gespeichert werden, und eines sollte außerhalb des Standorts sein.

Eine Variation der Regel erweitert sie auf 3-2-1-1-0 - die zusätzliche 1 und 0 stehen für eine luftdicht abgeschottete und unveränderliche Kopie sowie null Fehler bei der Backup-Prüfung.

Produktnachrichten

Durch das Absenden dieses Formulars bestätige ich, dass ich die Hinweis zum Datenschutz gelesen habe und ihr zustimme.