Zusätzlich zu den IOCs und den Warnmeldungen der Sicherheitstools ist es wichtig, auch darauf zu achten, was „nicht passiert“. Wenn Backup-Zeitpläne geändert oder gestoppt werden, steigen Backup-Volumen oder Änderungsraten unerwartet an. Schattenkopien, die auf bestimmten Rechnern deaktiviert sind, oder Sicherheitstools, die nicht mehr auf den Rechnern laufen, könnten darauf hindeuten, dass sich ein Angreifer innerhalb des Unternehmens befindet.
Bösewichte können Tage bis Monate damit verbringen, sich in Ihrem Netzwerk einzugraben und sich dort zu bewegen. Kompromittierte Rechner erhalten Anweisungen über Befehls- und Kontrollkanäle. DNS-Sicherheit, sichere Web-Gateways und NDR-Lösungen können diese Kanäle erkennen und blockieren. Endpunkt-Firewalls, die Segmentierung von Netzwerken und ein starkes Schwachstellen- und Patch-Management tragen dazu bei, die Möglichkeiten des Angreifers zu begrenzen.
Endpunktschutzplattformen (EPPs), EDR und Lösungen zur Abwehr mobiler Bedrohungen (MTD) sollten als Teil der Abwehr eingesetzt werden. Wenn die internen Teams nicht über die erforderlichen Fähigkeiten oder die nötige Bandbreite verfügen, sollten sie EDR durch verwaltete Dienste ergänzen (siehe Marktleitfaden für verwaltete Erkennungs- und Reaktionsdienste).
SRM-Verantwortliche sollten ihre Sicherheitsstrategien auf die von den Angreifern verwendeten Muster und Techniken abstimmen. Das MITRE ATT&CK-Framework kann verwendet werden, um den Schutz einer Organisation gegen jede Phase zu bewerten und zu beurteilen. Auf seiner Website bietet MITRE auch MITRE Engage an, ein Rahmenwerk für die Planung und Erörterung von Operationen zur Bekämpfung von Angreifern.
Infrastructure-as-a-Service- (IaaS) und Platform-as-a-Service- (PaaS) Umgebungen sind gleichermaßen anfällig für Ransomware-Angriffe. Vom Konzept her sollten sie auf dieselbe Weise angegangen werden. Was sich ändert, sind die taktischen Aktivitäten, die zur Isolierung der betroffenen Geräte oder Netzwerksegmente durchgeführt werden müssen.
Entwicklung von Reaktionsverfahren
SRM-Verantwortliche müssen auf einen erfolgreichen Ransomware-Angriff vorbereitet sein und über Pläne, Prozesse und Verfahren verfügen. Diese Pläne müssen die IT-Aspekte und Kommunikationspläne sowohl für interne Mitarbeiter als auch für Partner und Lieferanten umfassen (siehe Vorbereitung auf und Reaktion auf Geschäftsunterbrechungen nach aggressiven Cyberangriffen). Es ist wichtig, dass SRM-Führungskräfte das Problem schnell und klar kommunizieren. Informieren Sie regelmäßig über den Stand der Dinge und darüber, wann die Systeme so weit wiederhergestellt sein werden, dass sie wieder genutzt werden können. Verschiedene Tools zur Simulation von Cyber-Krisen können dabei helfen, Lücken in Verfahren, Rollen und Zuständigkeiten zu ermitteln.
Diese Pläne variieren je nach Ausmaß und Erfolg eines Ransomware-Angriffs. Möglicherweise ist nur ein kleiner Teil eines Unternehmens betroffen, und die Auswirkungen könnten minimal sein. Bei größeren Angriffen können die Auswirkungen über das Unternehmen hinausgehen und Kunden und Partner betreffen. Als Teil der Vorbereitung können regelmäßige Brandschutzübungen oder Table-Top-Übungen von Vorteil sein, um eine Reaktion zu proben. Im Idealfall decken diese Übungen sowohl die geschäftlichen als auch die technischen Reaktionsaktivitäten ab.
Sobald die Wiederherstellung im Gange ist, müssen genügend Informationen gesammelt werden, um die Ursache des Angriffs zu verstehen und herauszufinden, welche Kontrollen versagt haben oder nicht vorhanden waren. Auch hier spielen spezialisierte Dienste für digitale Forensik und Incident Response eine wichtige Rolle bei dieser Analyse. Sobald die Systeme wiederhergestellt sind, ist es wichtig, die gewonnenen Erkenntnisse umzusetzen und in die Vorbereitungsphase zurückfließen zu lassen.
Entwicklung eines Ransomware-Playbooks
Ransomware ist mit keinem anderen Sicherheitsvorfall vergleichbar. Sie setzt die betroffenen Unternehmen auf einen Countdown-Timer. Jede Verzögerung im Entscheidungsfindungsprozess führt zu einem zusätzlichen Risiko.
Während eines Ransomware-Ereignisses sind Unternehmensleiter gezwungen, wichtige Entscheidungen mit sehr wenigen Informationen zu treffen. Zusätzliche Rollen – wie etwa ein Zeitnehmer – müssen zugewiesen werden. Der Zeitwächter ist dafür verantwortlich, die verbleibende Reaktionszeit gemäß der Ransomware-Forderung zu verfolgen. Wird die Zeit nicht im Auge behalten, kann dies zur Offenlegung von Daten und zur Erhöhung des Lösegelds führen.
Eine Anleitung für die Entscheidung „zahlen oder nicht zahlen“ sollte ebenfalls enthalten sein. Dienste von Drittanbietern, wie etwa Ransomware-Verhandlungsunternehmen, müssen identifiziert und die erforderlichen Kontaktinformationen zur Verfügung gestellt werden. Ein Ransomware-Playbook bietet einen Leitfaden für den Umgang mit einem Ransomware-Ereignis.
Seien Sie ehrlich zu sich selbst und erkennen Sie die Grenzen Ihrer Organisation bei der Überwachung, Erkennung und Reaktion auf Sicherheitsvorfälle. Viele Unternehmen benötigen Unterstützung bei der Eindämmung, Erkennung und Wiederherstellung nach einem Angriff. Spezialisierte Reaktionsteams können eine wichtige Rolle spielen, und die Beauftragung eines Reaktionsteams kann die Kosten und die Geschwindigkeit der Reaktion reduzieren.
Die taktischen Wiederherstellungsschritte variieren je nach Unternehmen und Ausmaß der Ransomware, umfassen aber Folgendes:
- Wiederherstellung von Daten aus Sicherungskopien, einschließlich der Überprüfung der Integrität dieser Sicherungskopien und der Feststellung, welche Daten, wenn überhaupt, verloren gegangen sind.
- Nach der Kompromittierung: Einsatz von EPP- und EDR- sowie MTD-Lösungen als Teil der Abhilfemaßnahmen zur Beseitigung und Isolierung der Bedrohung. Die Wiederherstellung geht über die Wiederherstellung der Daten hinaus. Infizierte Rechner können „gesperrt“ sein und erfordern möglicherweise physischen Zugriff. Während der Vorbereitungsphase ist es wichtig, zu verstehen und zu planen, wie dies erreicht werden kann.
- Validierung der Integrität eines Geräts, bevor es wieder ins Netz gelassen wird.
- Aktualisieren oder Entfernen kompromittierter Anmeldeinformationen. Andernfalls kann sich der Angreifer erneut Zugang verschaffen.
- Durchführung einer gründlichen Ursachenanalyse, um herauszufinden, was passiert ist und wie es dazu gekommen ist – einschließlich der Erfassung aller Daten, die exfiltriert worden sind (Doxxing). Doxxing liegt vor, wenn Angreifer damit drohen, gestohlene Informationen zu veröffentlichen. Dies wird zunehmend zu einer sekundären Erpressungsmethode, wenn ein Opfer sich entscheidet, das Lösegeld nicht zu zahlen.
- Hinzuziehen von Experten – Sie können es nicht allein schaffen.