Die 10 besten Cybersecurity-Praktiken zur Bekämpfung von Ransomware

  • Unveränderlicher Speicher und mehr: Sonya Duffin, Datenschutzexpertin bei Veritas Technologies, stellt die 10 wichtigsten Schritte zum Aufbau eines mehrschichtigen Resilienzprofils vor.

    Wenn es Ihnen wie den meisten IT-Fachleuten geht, hält Sie die Bedrohung durch einen Ransomware-Angriff vielleicht nachts wach. Und Sie haben einen berechtigten Grund zur Sorge – Ransomware macht keinen Unterschied. Unternehmen aller Branchen, ob öffentlich oder privat, sind potenzielle Opfer, wenn sie es nicht schon waren.

    Jüngste Untersuchungen von Veritas Technologies haben ergeben, dass ein durchschnittliches Unternehmen in den letzten 12 Monaten 2,57 Ransomware-Angriffe erlebt hat, die zu erheblichen Ausfallzeiten geführt haben. 10 Prozent der Unternehmen mussten sogar mehr als fünfmal mit Ausfallzeiten rechnen.

    Obwohl Ransomware Ihrem Unternehmen und Ihrem Ruf schweren Schaden zufügen kann, ist sie nicht unbesiegbar. Vielmehr ist sie nur so stark wie das schwächste Glied in Ihrem Unternehmen. Die gute Nachricht ist, dass es klare Schritte gibt, die Ihr Unternehmen unternehmen kann, um zu verhindern, dass es zum Ziel von Cyberkriminalität wird, und um die Wahrscheinlichkeit zu verringern, dass ein Angriff Ihr Unternehmen zu Fall bringt.

    Sehen wir uns die 10 wirkungsvollsten Best Practices an, die Sie heute umsetzen können, um Ihre Daten zu schützen und die Widerstandsfähigkeit Ihres Unternehmens zu gewährleisten.

    1. Zeitnahe System-Upgrades und Software-Updates

    Die Verwendung veralteter Software kann Angreifern die Möglichkeit geben, unentdeckte Sicherheitslücken auszunutzen. Um die Angriffsfläche zu verringern, sollten Sie sicherstellen, dass Sie alle Infrastrukturen, Betriebssysteme und Softwareanwendungen regelmäßig mit Patches versehen und aktualisieren. Es ist auch wichtig, Ihre Backup-Anwendung zu aktualisieren. Bekämpfen Sie die Ransomware von heute nicht mit der Technologie von gestern.

    2. Implementieren Sie die 3-2-1-1-Backup-Regel

    Wenn Sie Ihre Daten, Systemabbilder und Konfigurationen regelmäßig sichern, haben Sie immer einen aktuellen Ort, an dem Sie den Betrieb wieder aufnehmen können, falls Ransomware zuschlägt. Gehen Sie sogar noch einen Schritt weiter und vermeiden Sie einen einzigen Ausfallpunkt, indem Sie Ihre Daten mit der 3-2-1-Backup-Regel verteilen.

    Dies bedeutet, dass Sie drei oder mehr Kopien an verschiedenen Orten aufbewahren, zwei verschiedene Speichermedien verwenden und eine Kopie außerhalb des Unternehmens aufbewahren. Dadurch wird die Wahrscheinlichkeit verringert, dass ein Angreifer Zugriff auf alle Daten erhält. Dieser 3-2-1-Ansatz stellt auch sicher, dass eine Schwachstelle in einer der Kopien nicht alle Kopien gefährdet, und er bietet Optionen, falls ein Angriff ein ganzes Rechenzentrum ausschaltet.

    Viele Unternehmen gehen jetzt noch einen Schritt weiter zu 3-2-1-1, indem sie mindestens eine Kopie auf unveränderlichem (kann nicht geändert werden) und unauslöschlichem (kann nicht gelöscht werden) Speicher aufbewahren.

    3. Implementierung des Null-Vertrauensmodells

    Das Null-Vertrauensmodell ist eine Denkweise, die sich darauf konzentriert, Geräten – oder Benutzern – nicht zu vertrauen, selbst wenn sie sich standardmäßig innerhalb des Unternehmensnetzwerks befinden.

    Anstatt nur ein Passwort zu verlangen (ja, auch wenn es lang und kompliziert ist), sollten Sie auch eine Multi-Faktor-Authentifizierung (MFA) und eine rollenbasierte Zugriffskontrolle (RBAC) verlangen, bösartige Aktivitäten überwachen und abschwächen und Daten sowohl während des Flugs als auch im Ruhezustand verschlüsseln, was exfiltrierte Daten unbrauchbar macht.

    Es ist gerechtfertigt, laut und offen zu sagen, dass Sie niemals und nirgendwo Fabrikpasswörter verwenden sollten.

    Wenn Sie den Zugriff auf Backups einschränken, schalten Sie auch die häufigste Eintrittsmethode für Ransomware aus. Viele Unternehmen gehen zu einer Just-in-Time (JIT)-Sicherheitspraxis über, bei der der Zugriff nur bei Bedarf oder für einen bestimmten Zeitraum gewährt wird, was bei wichtigen und geschäftskritischen Daten in Betracht gezogen werden sollte.

    4. Netzwerk-Segmentierung

    Angreifer lieben ein einziges zusammenhängendes, flaches Netzwerk. Das bedeutet, dass sie sich mit Leichtigkeit in Ihrer gesamten Infrastruktur ausbreiten können.

    Eine wirksame Methode, um Angreifer zu stoppen und ihre Angriffsfläche deutlich zu verringern, ist die Netzwerksegmentierung und Mikrosegmentierung. Bei diesem Modell werden Netzwerke in mehrere Zonen kleinerer Netzwerke unterteilt, und der Zugriff wird verwaltet und begrenzt, insbesondere auf Ihre wichtigsten Daten.

    Es ist auch eine gängige Best Practice, die wichtigsten Infrastrukturfunktionen vom Internet fernzuhalten. Darüber hinaus sollten Sie im Rahmen des Null-Vertrauensmodells Ihres Unternehmens die Segmentierung von Drittanbietern in Erwägung ziehen, da es in der Vergangenheit viele bemerkenswerte Angriffe auf Lieferketten gab, die auf Missmanagement bei den Anbietern zurückzuführen waren. Der Sunburst-Hack und der Angriff auf Colonial Pipeline sind zwei gute Beispiele dafür.

    5. Sichtbarkeit der Endpunkte

    Die meisten Unternehmen haben einen gravierenden Mangel an Transparenz bei entfernten Endpunkten. Es ist mittlerweile gängige Praxis, dass böswillige Akteure die Sicherheitskontrollen umgehen und sich dort aufhalten – und zwar so lange, bis sie Schwachstellen ausfindig machen und einen günstigen Zeitpunkt für einen Angriff finden. Es ist von entscheidender Bedeutung, dass Sie Tools implementieren, die einen vollständigen Überblick über Ihre gesamte Umgebung bieten, Anomalien erkennen und nach bösartigen Aktivitäten in Ihrem Netzwerk suchen und Sie davor warnen, so dass Ransomware keinen Platz zum Verstecken hat. Auf diese Weise können Sie sowohl Bedrohungen als auch Schwachstellen entschärfen, bevor die Angreifer die Möglichkeit haben, aktiv zu werden.

    6. Unveränderliche und unauslöschliche Speicherung

    Wie bereits erwähnt, besteht eine der besten Möglichkeiten, Ihre Daten vor Ransomware zu schützen, in der Implementierung eines unveränderlichen und unauslöschlichen Speichers, der sicherstellt, dass die Daten für einen bestimmten Zeitraum nicht geändert, verschlüsselt oder gelöscht werden können. Der Begriff “unveränderliche Speicherung” ist heutzutage jedoch zu einem Modewort unter den Sicherungsanbietern geworden. Achten Sie auf Unveränderlichkeit, die nicht nur logisch, sondern auch physisch unveränderlich ist, und achten Sie auf integrierte Sicherheitsschichten.

    Die Branche entwickelt sich in Richtung zweier Arten von Unveränderlichkeit. Bei Veritas nennen wir sie Enterprise Mode und Compliance Mode. Der Unternehmensmodus ist als “Vier-Augen-Ansatz” bekannt, d. h. Sie benötigen zwei Augenpaare, um jede Änderung zu validieren. Das erste Augenpaar ist beispielsweise das des Backup-Administrators und das zweite Augenpaar ist das des Sicherheitsadministrators. Ohne die Zustimmung beider ist keine Änderung möglich. Der Konformitätsmodus bezieht sich auf die unveränderliche Unveränderbarkeit, d. h. Daten, die unter keinen Umständen geändert werden können. Beide Modi beinhalten eine vom Betriebssystem völlig unabhängige Compliance-Uhr, so dass eine Fälschung der Betriebssystemuhr keinen Einfluss auf die Freigabe der Daten hat.

    7. Schnelle Wiederherstellung

    Die meisten Ransomware-Angreifer hoffen auf zwei Dinge: Zeit, damit sich der Angriff ausbreiten kann, und Geld (von Ihnen), damit er gestoppt wird. In der Vergangenheit konnte die Wiederherstellung Wochen oder sogar Monate dauern, da es sich um einen extrem manuellen und arbeitsintensiven Prozess handelte, der sich über mehrere Beteiligte innerhalb eines Unternehmens erstreckte. Heute kann die Wiederherstellung mit flexiblen und alternativen Optionen orchestriert und automatisiert werden – z. B. durch die schnelle Einrichtung eines Rechenzentrums bei einem öffentlichen Cloud-Anbieter -, die die Ausfallzeit verkürzen und Alternativen zur Zahlung eines Lösegelds bieten können. Mit den richtigen Systemen lassen sich die Wiederherstellungszeiten bei Bedarf auf Sekunden reduzieren.

    8. Regelmäßige Tests und Validierung

    Mit der Erstellung eines umfassenden Datenschutzplans ist die Arbeit noch nicht getan. Testen stellt sicher, dass Ihr Plan funktioniert, wenn Sie ihn brauchen. Und obwohl erste Tests bestätigen können, dass alle Aspekte des Plans tatsächlich funktionieren, ist es wichtig, regelmäßig zu testen, da IT-Umgebungen ständig in Bewegung sind.

    Wichtig ist, dass jeder Plan nur so gut ist wie das letzte Mal, als er getestet wurde, und wenn Sie nicht testen, gibt es keine Garantie, dass Sie sich schnell wiederherstellen können! Außerdem ist es wichtig, Lösungen zu implementieren, die in einer isolierten Wiederherstellungs- oder Sandbox-Umgebung ohne Unterbrechung getestet werden.

    9. Geschulte Mitarbeiter

    Es ist allgemein bekannt, dass Mitarbeiter oft das Einfallstor für einen Angriff sind. Geben Sie Ihren Mitarbeitern nicht die Schuld – Fehler passieren. Moderne Phishing-Angriffe und Social Engineering sind inzwischen so weit fortgeschritten, dass sie Sicherheitsexperten oft täuschen.

    Konzentrieren Sie sich stattdessen darauf, Ihre Mitarbeiter darin zu schulen, Phishing- und Social-Engineering-Taktiken zu erkennen, sichere Passwörter zu erstellen, sicher zu surfen, MFA zu verwenden und immer sichere VPNs und niemals öffentliches Wi-Fi zu nutzen. Stellen Sie außerdem sicher, dass die Mitarbeiter wissen, was sie zu tun haben und wen sie benachrichtigen müssen, wenn sie zum Opfer werden.

    10. Spielbücher für Cyberangriffe

    Stellen Sie sich vor, jeder in Ihrem Unternehmen wüsste genau, was im Falle eines Ransomware-Angriffs wann zu tun ist. Das ist nicht unmöglich, wenn Sie ein Standard-Cyberattack-Playbook erstellen, das die Rollen klärt und funktionsübergreifende Teams mit klaren Kommunikationspfaden und Reaktionsprotokollen für Notfälle ausstattet und befähigt.

    Ein guter Ratschlag ist die Einrichtung eines Notfall-Kommunikationskanals auf einer sicheren Texting-App für die Führungskräfte Ihres Unternehmens, um im Falle eines Cyberangriffs zu kommunizieren, da die E-Mail- oder Chatsysteme des Unternehmens infolge des Angriffs ebenfalls ausfallen können. Es ist auch eine gute Idee, eine externe Agentur zu beauftragen, die die Strategie Ihres Teams überprüft und Ihre Arbeit kontrolliert.

    Sie haben es in der Hand, wichtige Schritte zur Bekämpfung von Ransomware zu unternehmen und den Spieß gegen Cyberkriminelle umzudrehen. Indem Sie eine mehrschichtige Strategie zur Abwehr von Ransomware entwickeln, die die oben genannten bewährten Verfahren und eine tadellose Cybersicherheitshygiene umfasst, können Sie Angreifer stoppen, bevor sie Fuß fassen können.

    Sonya Duffin ist eine Expertin für Ransomware und Datenschutz bei Veritas Technologies.

    Weitere Einblicke der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com