Ransomware und die IT-Infrastruktur: gut vorbereitet sein
Beim Thema Ransomware geht es oft um Schutz und Wiederherstellung der Daten. IT-Teams müssen aber darauf vorbereitet sein, was mit den Admin-Tools und der Infrastruktur passiert.
Die Beschreibung eines Ransomware-Angriffs springt oft vom Vorfall direkt zur Wiederherstellung aus Backups oder zur Zahlung des Lösegelds. Aber es ist die Arbeit, die die IT-Abteilung zwischen diesen Ereignissen leistet, die die Wiederherstellung von Ransomware erleichtert.
Die Notwendigkeit von Prävention und Schutz ist ein wesentlicher Bestandteil der Auseinandersetzung mit Ransomware. Die IT-Abteilung muss nicht nur wissen, was Ransomware anrichtet, sondern auch, wie sie mögliche Probleme verhindern kann. Nachfolgend haben wir die Schritte zusammengefasst, die IT-Teams unternehmen können, um sich auf Ransomware-Angriffe auf kritische IT-Infrastrukturen vorzubereiten und sich davon zu erholen.
Infrastruktur-Ransomware verstehen
Ransomware ist eine Art von Malware, die auf alles abzielt, in das sie eindringen kann - einschließlich Backups - um so schnell wie möglich so viele Daten wie möglich zu stehlen oder zu verschlüsseln. Datendiebstahl ist bei einem Ransomware-Angriff keine Seltenheit, sondern in der Regel sogar das beabsichtigte Ergebnis. Und wenn Ransomware auf kritische IT-Infrastrukturen abzielt, können die Folgen katastrophal sein.
IT-Systeme sind zwar widerstandsfähig gegenüber Strom- und Hardwareausfällen, weisen aber häufig erhebliche Schwachstellen in Ost-West-Richtung auf. Der einheitliche Ansatz der heutigen GUI-Dashboards und Verwaltungskonsolen hat in modernen Rechenzentren zu unvorhergesehenen Komplexitäten geführt.
Die erste Reaktion nach der Entdeckung verdächtiger Aktivitäten, die auf Ransomware hindeuten könnten, sollte das Stoppen des Datenflusses sein. Bei Infrastruktur-Ransomware sind die üblichen Schritte jedoch möglicherweise nicht durchführbar.
Bei einem Ransomware-Angriff beispielsweise loggen sich viele IT-Administratoren zunächst in das Switch-Verwaltungsportal ein - nur um dann festzustellen, dass der Server, auf dem die Anwendung gehostet wird, ein verschlüsselter Klotz geworden ist. Um sich direkt bei den Switches anzumelden, müssen die Administratoren die genauen IP-Adressen und Logins kennen. In den meisten Unternehmen sind diese Informationen auf einem gemeinsam genutzten Laufwerk gespeichert, das die Ransomware ebenfalls zu einem unlesbaren Datenspeicher verschlüsseln kann.
IT-Tools richtig schützen
Bei einem Ransomware-Angriff auf die Infrastruktur besteht der unmittelbare Drang in der Regel darin, wichtige Verwaltungstools oder Konsolen wiederherzustellen, bevor etwas anderes angefasst wird. Oberflächlich betrachtet sieht der Prozess einfach aus: Installieren Sie die Software, verbinden Sie sich mit der Infrastruktur und dann können Sie loslegen.
Aber in vielen Fällen werden die für die Verwaltung der Infrastruktur verwendeten Tools nicht wie herkömmliche Anwendungsserver unterstützt. Die meisten Anwendungsserver verfügen über festgelegte Prozessabläufe und Ausweichmöglichkeiten. Infrastrukturserver hingegen werden in der Regel nach Bedarf und nicht in regelmäßigen Abständen aufgerüstet. Dies hat zur Folge, dass Prozesse und Sicherungsmaßnahmen vernachlässigt werden.
Die Tools und Softwareversionen, die ein Unternehmen zur Verwaltung seiner Rechenzentren einsetzt, sind wichtiger als die benutzerseitigen Anwendungen. Trotzdem unterliegen die Infrastruktur-Tools oft nicht denselben Richtlinien und Verfahren, die IT-Teams für benutzerseitige Anwendungen verwenden. Stattdessen werden sie in der Regel wiederholt ohne beigefügte Dokumentation aktualisiert.
Die meisten IT-Profis überwachen die Versionsnummern ihrer Tools nicht, nicht einmal die, die sie täglich verwenden - oft gibt es keinen Grund dafür. Aber genau in diesem Wissensvakuum schlägt Ransomware am stärksten zu.
Da Infrastruktur-Ransomware alles, worauf sie zugreift, in einer schnellen Kaskade sperren kann, müssen IT-Teams wichtige Tools vom IT-Ökosystem ihres Unternehmens trennen und Methoden entwickeln, um die Kontrolle über kritische Toolsätze zu behalten. Backups sind wichtig, aber alle Daten oder Architekturen, die online gehostet werden, können gefährdet sein. Air Gapping ist ideal, aber es kostet Zeit und Mühe.
Viele IT-Systeme verwenden gemeinsame Anmeldedaten, wie beispielsweise aus dem Active Directory (AD). Wenn die Infrastruktur-Ransomware diese Daten angreift, können die Verluste beträchtlich sein - und die Wiederherstellung erheblich erschweren.
Wichtige Tools klonen
Das Klonen von Daten auf externe Medien alle paar Monate ist ein hilfreicher Ausgangspunkt für die Vorbereitung auf Ransomware-Angriffe auf kritische IT-Infrastrukturen. Daten, die drei bis sechs Monate veraltet sind, sind besser als gar keine Daten, und sie können eine lebensrettende Ressource für Unternehmen sein, die alles verloren haben, einschließlich der Desktop-Funktionalität aufgrund eines kritischen Systemstillstands.
Virtualisierte Tools bieten einen erheblichen Vorteil. Klonen Sie die wichtigsten VMs auf einen eigenständigen lokalen Speicherhost ohne AD-Integration oder Verbindung zur externen Infrastruktur, um Kopien der kritischen Infrastrukturserver zu speichern. Obwohl diese Klone das Rechenzentrum nicht von einem einzigen Host aus wiederherstellen können, bieten sie ein wichtiges Backup von Tools, mit denen IT-Administratoren einen Wiederherstellungsplan erstellen können.
Selbst wenn ein Unternehmen das Lösegeld bezahlt oder einen Freischaltcode hat, sind Entschlüsselungsprogramme in der Regel nicht benutzerfreundlich. Üblicherweise benötigen sie eine gewisse Infrastruktur und Werkzeuge, um zu funktionieren. Es ist zwar nicht möglich, umfangreiche Tools wie massive Überwachungssoftware zu klonen, aber IT-Teams können Switch-Verwaltung, SAN-Verwaltung, Storage-Portale, DNS, Wireless- und Netzwerkverwaltungsserver klonen.
Obwohl die geklonten Versionen dieser Tools schon seit Monaten veraltet sein können, können IT-Administratoren Änderungen an Switches oder Storage vornehmen, sobald die Infrastruktur eingerichtet ist. Da der Server die Daten aus dem physischen Gerät liest, ist es unwahrscheinlich, dass eine veraltete Version ein großes Problem darstellt. Dass man nach einem Cyberangriff nicht bei Null anfangen muss, ist die Stunden wert, die man jedes Quartal braucht, um Klone zu erstellen.
Ransomware ist ein weit verbreitetes und wachsendes Problem, und IT-Admins-Tools werden für einen sicheren und erfolgreichen Rechenzentrumsbetrieb immer wichtiger. Bei der Planung von Ransomware-Angriffen auf die Infrastruktur müssen IT-Teams nicht nur den Datenverlust, sondern auch den Verlust der Infrastrukturverwaltungsfunktionen berücksichtigen. Wenn ein Unternehmen davon ausgeht, dass seine Verwaltungs- und Betriebstools sicher sind - oder sie überhaupt nicht berücksichtigt -, haben bösartige Akteure einen großen Vorteil.