5 Schritte zur Verbesserung der Ransomware-Resilienz

  • Alex Restrepo, Cybersicherheitsforscher bei Veritas, erläutert die wichtigsten Konzepte, auf die Unternehmen jetzt achten und die sie noch heute umsetzen sollten.

    Die Ransomware-Landschaft entwickelt sich weiter, und Ransomware ist mittlerweile eine der beliebtesten (für Cyberkriminelle) und schädlichsten Arten von Malware. Die Angriffe auf JBS, Colonial Pipeline und Kaseya sind die jüngsten prominenten Beispiele für die Auswirkungen von Ransomware und die monumentalen Folgen, die sie haben kann: Marktverschiebungen, Auswirkungen auf die Infrastruktur und sogar zu Maßnahmen auf höchster Regierungsebene führen.

    Nach diesen Angriffen und anderen Ereignissen wie dem SolarWinds-Angriff hat die Exekutive Maßnahmen in Form einer Executive Order (EO) ergriffen, die mehrere Cybersicherheitskonzepte umfasst. Diese Anordnung ermutigt Unternehmen des privaten Sektors, dem Beispiel der Bundesregierung zu folgen, um die Auswirkungen zukünftiger Vorfälle zu minimieren.

    Es gibt verschiedene Konzepte, die in der EO skizziert werden. Um Unternehmen den Einstieg zu erleichtern, habe ich einige der wichtigsten Konzepte skizziert, die Unternehmen jetzt beachten sollten, und biete ein paar Tipps, wie Sie diese Strategien noch heute umsetzen können.

    1. Eine “Zero-Security”-Haltung gegenüber Ransomware einnehmen

    Eine der Anordnungen, die mir aufgefallen ist, ist die Anforderung “Modernize and Implement Stronger Cybersecurity Standards in the Federal Government”. Diese zielt darauf ab, die Bundesregierung dazu zu bewegen, bessere Sicherheitspraktiken mit Zero-Trust-Sicherheit zu erhöhen und zu übernehmen, den Übergang zu sicheren Cloud-Diensten zu beschleunigen und den Einsatz von Multifaktor-Authentifizierung und Verschlüsselung zu fördern.

    Bei Veritas raten wir Unternehmen zu einer Haltung, die wir als “Null-Sicherheit” bezeichnen; es ist die Mentalität, dass selbst die effektivste Endpunktsicherheit durchbrochen werden kann. Es ist wichtig, einen Plan zu haben, damit Sie darauf vorbereitet sind, wenn dies geschieht.

    2. Aktiv sein, nicht passiv

    Unternehmen müssen über einen robusten Endpunkt-Datenschutz und Systemsicherheit verfügen. Dazu gehören Antiviren-Software und sogar Whitelisting-Software, mit der nur auf zugelassene Anwendungen zugegriffen werden kann. Unternehmen benötigen sowohl ein aktives Element des Schutzes als auch ein reaktives Element der Wiederherstellung.

    Unternehmen, die von einem Ransomware-Angriff betroffen sind, können fünf Tage oder länger damit verbringen, sich von einem Angriff zu erholen. Daher ist es zwingend erforderlich, dass Unternehmen vor einem Ransomware-Angriff aktiv die richtigen Backup- und Wiederherstellungsstrategien implementieren.

    3. Legen Sie nicht alle Eier in einen Korb

    Black Hats, die Ransomware entwickeln, versuchen zu verhindern, dass ein Unternehmen das Lösegeld zahlen muss. Aus diesem Grund zielen Ransomware-Angriffe auf Dateien und Systeme im Einsatz sowie auf Backup-Systeme und Cloud-basierte Daten.

    Wir empfehlen Unternehmen dringend, einen umfassenderen Backup- und Recovery-Ansatz zu implementieren, der auf dem National Institute of Standards and Technology (NIST) Cybersecurity Framework basiert. Es enthält eine Reihe von Best Practices: Die Verwendung von unveränderlichem Speicher, der verhindert, dass Ransomware Backups verschlüsselt oder löscht; die Implementierung von In-Transit- und At-Rest-Verschlüsselung, um zu verhindern, dass böse Akteure das Netzwerk kompromittieren oder Ihre Daten stehlen; und die Härtung der Umgebung durch die Aktivierung von Firewalls, die Ports und Prozesse einschränken.

    4. Erstellen Sie ein Playbook für Cyber-Vorfälle

    Der andere Aspekt des EO, auf den ich eingehen möchte, ist der Aufruf zur “Erstellung eines Standard-Playbooks für die Reaktion auf Cyber-Vorfälle.” Die Bundesregierung plant, ein Playbook für Bundesbehörden zu erstellen, das auch als Vorlage für den privaten Sektor dienen soll, um Unternehmen dabei zu helfen, die richtigen Schritte zu unternehmen, um eine Bedrohung zu identifizieren und zu entschärfen.

    Da die Zeit drängt, sind hier einige wichtige Schritte aufgeführt, an die Unternehmen denken sollten, wenn es darum geht, ihr eigenes Playbook zu erstellen, bevor das Playbook der Bundesregierung vorliegt:

    • Digitales Runbook: Einen Plan auf Papier zu haben, ist ein Anfang, aber einen digitalen Plan zu haben, der mit einem einzigen Klick eingesehen und ausgeführt werden kann, ist unerlässlich. Je komplexer ein Plan auszuführen ist, desto länger dauert es, sich von einem Angriff zu erholen.
    • Testen, testen, testen: Das Testen stellt sicher, dass Ihr Plan funktioniert, wenn Sie ihn brauchen. Anfängliche Tests sind wichtig, um sicherzustellen, dass alle Aspekte des Plans funktionieren, aber IT-Umgebungen sind ständig in Bewegung, daher ist es entscheidend, regelmäßig zu testen.
    • Single Points of Failure entfernen: Die 3-2-1-Praxis ist die Idee, dass Sie drei oder mehr Kopien Ihrer Daten haben sollten, damit ein einziger Fehler Ihren Plan nicht zum Scheitern bringt. Dass Sie mindestens zwei verschiedene Speichermedien haben, damit eine Schwachstelle in einem Medium nicht alle Kopien gefährdet. Mindestens eines dieser beiden Medien sollte offsite oder eine luftgekoppelte Kopie sein, damit Sie Optionen haben, falls ein Angriff ein ganzes Rechenzentrum auslöscht.
    • Haben Sie Optionen für eine schnelle Wiederherstellung: Wenn ein Angriff ein komplettes Rechenzentrum ausschaltet, kann sich die Wiederherstellung verlangsamen, da sich die Herausforderungen in Bezug auf Hardware, Netzwerk, Arbeitslasten und die Daten selbst häufen. Eine alternative Option wie die schnelle Wiederherstellung eines Rechenzentrums bei einem öffentlichen Cloud-Anbieter kann die Ausfallzeit verkürzen und Alternativen zur Zahlung eines Lösegelds bieten.

    5. Denken Sie daran: Ransomware ist ein Wettrüsten

    Die Vorbereitung Ihres Unternehmens auf einen unvermeidlichen Ransomware-Angriff wird von Tag zu Tag wichtiger. Der Angriff auf die Colonial Pipeline hat neue Anforderungen an die Cyber-Resilienz gestellt. Als Sicherheitsverantwortliche haben wir eine entscheidende Rolle dabei, sicherzustellen, dass wir alles tun, um wertvolle und sensible Daten zu schützen und zu sichern.

    Ransomware wird nicht “gelöst” werden. Ich sehe es als ein Wettrüsten, bei dem wir alle ständig wachsam sein müssen, insbesondere im Hinblick auf Elemente, die außerhalb unserer Kontrolle liegen. Keine einzelne Lösung oder Sicherheitskontrolle wird Ransomware stoppen, aber mit einem mehrschichtigen Sicherheitsansatz können Sie die Auswirkungen von Ransomware abmildern und sehr schnell wieder einsatzbereit sein.

    Alex Restrepo ist Teil des Virtual Data Center Solutions Teams bei Veritas.

    Weitere Erkenntnisse der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com