Ransomware-Abwehr: Was ein Playbook beinhalten sollte
Ein sauberer Ablaufplan, was vor, während und nach einem Ransomware-Angriff zu geschehen hat, kann im Hinblick auf die Schadensbegrenzung einen großen Unterschied machen.
Die Zunahme an Ransomware-Angriffen betrifft alle Organisationen, Unternehmen aller Branchen sowie Behörden – ganz unabhängig von ihrer Größe. Die beste Verteidigung sind vielschichtige technologische Sicherheitsmaßnahmen sowie eine gute geschulte Belegschaft. Sobald jedoch eine Infiltration entdeckt wird, ist es wichtig, spezifische Schritte zu unternehmen, um eine weitere Verbreitung zu verhindern und den Schaden zu minimieren.
Ransomware-Angriffe sind höchst unterschiedlicher Natur und gehen teils sehr gezielt vor. Als Reaktion darauf können CISO und IT-Teams ein Ransomware-Playbook erstellen, um die Abwehr- und Abhilfemaßnahmen zu definieren, die vor, während und nach einem Angriff zu ergreifen sind, um den Schaden zu begrenzen und sensible Systeme zu schützen.
Grund genug, mal einen Blick auf wichtige Bestandteile eines Ransomware-Playbooks zu werfen. Dazu gehören defensive Vorbereitungen, proaktive Reaktionen und Schritte für eine umfassende Wiederherstellung.
Die Vorsichtsmaßnahmen erweitern und ein Playbook erstellen
Üblicherweise werden bei einem Ransomware-Angriff Daten als Geiseln genommen, wodurch der normale Geschäftsbetrieb behindert wird. Sobald Geräte und Netzwerke erfolgreich infiltriert wurden, verschlüsselt Ransomware die Daten auf allen erreichbaren virtuellen oder physischen Datenträgern, so dass nicht mehr auf die Dateien zugegriffen werden kann. Die Angreifer erpressen dann eine Lösegeld für die mögliche Wiederherstellung der Daten.
Zunehmend erfolgt darüber hinaus eine zweifache- oder dreifache Erpressung. Dabei wird neben der Verschlüsselung der Daten auch mit der Veröffentlichung der erbeuteten Daten gedroht, oder Dritte, deren Daten dort enthalten sind, ebenfalls um Lösegeld angegangen.
Aber selbst wenn Lösegeld gezahlt würde, gibt es keine Garantie, dass die Kriminellen den vollen Zugriff auf die Dateien wiederherstellen. Organisationen sollten von vornherein Maßnahmen ergreifen, um sich möglichst widerstandsfähig gegen derlei Angriffe zu machen:
- Eine methodische Vorgehensweise für die Absicherung der gesamten IT-Infrastruktur wählen;
- Systematische Backups durchführen (siehe auch Backups: Das raten Experten zum Schutz vor Ransomware);
- die Sicherheitsvorkehrungen durch Schulungen der Mitarbeiter unterstützen.
Eine hohe Priorisierung von Security Awareness Trainings sowie die Nutzung der Mitarbeiter als Aktivposten in der Verteidigung sowie regelmäßige Tests können dabei signifikant helfen, zu verhindern, dass Bedrohungen in die IT-Umgebungen eindringen (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden).
Darüber hinaus müssen IT-Teams regelmäßige Systemaktualisierungen durchführen, Patches einspielen und die Security-Maßnahmen verstärken. Ein effektives Ransomware-Playbook erinnert Administratoren daran, Firewalls und andere Sicherheitslösungen wie IDS (Intrusion Detection System) oder IPS (Intrusion Prevention System) zu aktualisieren, um sich vor bekannten und unbekannten Bedrohungen zu schützen. Durch möglichst proaktive Identifizierungsmaßnahmen und angemessene Einschränkungen, können IT-Teams ihre Organisation etwas robuster gegenüber Ransomware-Szenarien machen.
Der Wert konsistenter Backups ist gar nicht hoch genug einzustufen. Backups stellen eine sichere Methode zur Systemwiederherstellung dar – um zumindest einen Teil der Erpressung zu entkräften. Sowohl die Automatisierung als auch die externe Speicherung von Daten zum Schutz vor Netzwerkzugriffen beschleunigen den Backup-Prozess. Dies kann dafür sorgen, dass sensible Daten geschützt bleiben. Sind alle diese Maßnahmen ordentlich etabliert, gilt es wachsam zu bleiben und die Systeme immer auf dem aktuellen Stand zu halten.
Auf einen laufenden Angriff reagieren
Im Rahmen eines Ransomware-Playbooks können Administratoren eine Reihe von Verteidigungsmaßnahmen für den Fall eines Angriffs festlegen. Dazu kann beispielsweise das Isolieren der infizierten Systeme gehören. Es gilt den Schweregrad des Angriffs zu beurteilen, die infizierten Geräte zu identifizieren und die betroffenen Mitglieder des IT-Teams zu benachrichtigen, damit diese entsprechend reagieren können.
Es ist wichtig Kommunikationswege zu verwenden, die verhindern, dass Angreifer frühzeitig bemerken, dass sie identifiziert wurden. So können Telefonanrufe oder Textnachrichten durchaus sinnvoll sein. Böswillige Akteure werden sich auch seitlich durch infizierte Netzwerke bewegen (Lateral Movement), um im Verborgenen zu bleiben oder Schadsoftware über Systeme zu verbreiten, bevor diese vom Netz genommen werden. Nach der Infizierung sollten sich Unternehmen auf die Eindämmung konzentrieren, um den Schaden zu begrenzen.
Wenn es nicht möglich ist, Teile eines Netzwerk oder ein Netzwerk offline zu nehmen, sollten Administratoren kompromittierte Geräte vom Netzwerk trennen, um die weitere Verbreitung von Schadsoftware zu verhindern. Es ist darüber hinaus wichtig, die Daten der betroffenen Systeme für forensische Untersuchungen aufzubewahren. Die dort zu gewinnenden Informationen sind aus mehreren Aspekten von Bedeutung.
Wichtige Schritte nach einem Angriff
Ein durchdachtes Ransomware-Playbook beschleunigt die Systemwiederherstellung, liefert Details zum Ablauf des Angriffs und hilft IT-Admins bei der Bewertung des Umfang des Angriffs. Es dient auch als Leitfaden für eine Untersuchung der Infiltration, einschließlich wichtiger Fragen zum Zeitplan/Ablauf und zeigt die Lücken, die die Angreifenden ausgenutzt haben. Ein wichtiger Schritt bei der Wiederherstellung ist das Zurückspielen der Backups, das hoffentlich vorher detailliert getestet wurde.
Sobald die Schadsoftware beseitigt ist, sollten aus den gesicherten Systemen Informationen und Beweise gesammelt und überprüft werden, um die folgenden Fragen beantworten zu können:
- Wer hat die Systeme angegriffen?
- Welche Änderungen wurden vorgenommen?
- Wie lange hatten die Angreifer Zugriff?
- Wo befanden sich die Systeme?
- Warum wurde der Angriff durchgeführt?
Formalisieren Sie in dem Ransomware-Playbook einen Zeitplan, der auf Informationen auf Beweisen aus möglichst vielen Quellen basiert. Das können zum Beispiel Systemprotokolle und Logfiles von Firewalls oder IDS-Lösungen sein.
Administratoren und Forensiker können mit Snapshots und Klone der betroffenen Systeme die Ursache eines Angriffs ermitteln. Ziel ist es Sicherheitslücken zu schließen und zu verhindern, dass dergleichen noch einmal passiert. Im Rahmen dieser Bemühungen sollten IT-Teams die Systeme vor der erneuten Bereitstellung auf Schwachstellen überprüfen und nur von zuvor erstellten, sauberen Backups wiederherstellen.
Es sollte eine abschließende Überprüfung durchgeführt werden, um eine saubere Angriffsdokumentation zu erhalten. So lässt sich auch ermitteln, wo Verbesserungen an den Sicherheitskontrollen und -prozessen vorgenommen werden müssen. Es wichtig, aus einem Vorfall zu lernen, um das Risiko künftiger Infiltrationen zu minimieren. Bewahren Sie den Zeitablauf und die Dokumentation des Vorfalls in einem speziellen Abschnitt des Ransomware-Playbooks auf, um später darauf zurückgreifen zu können.