Kürzlich las ich in einem Technologieforum einen Beitrag, in dem ein Systemadministrator Symptome einer posttraumatischen Belastungsstörung beschrieb, nachdem sein Unternehmen Opfer eines Ransomware-Angriffs geworden war. Der jüngste Bericht zum Stand der Datensicherheit von Rubrik Zero Labs ergab sogar, dass 96 % der Betroffenen emotionale oder psychologische Auswirkungen als direkte Folge eines Cyberangriffs erlitten.
In den Antworten las ich, dass andere Personen mit derselben Tätigkeit ihre Unterstützung zum Ausdruck brachten und über ihre eigenen Erfahrungen mit Ransomware berichteten: wie ihre Unternehmensdaten wiederhergestellt wurden, wie viele Daten sie verloren haben, welche Lektionen sie gelernt haben und wie sie sich auf zukünftige Angriffe vorbereitet haben. Es war erstaunlich zu sehen, wie sich die Community um den Autor scharte und Ratschläge anbot.
Bemerkenswert ist, dass sich die Gespräche nicht auf einen einzelnen Anbieter, ein Produkt oder eine Funktion als überlegene Lösung bei Ransomware beschränkten. Stattdessen wurde etwas viel Grundlegenderes deutlich: wie wichtig es ist, Multi-Faktor-Authentifizierung sowie mehrschichtige Verteidigungsmaßnahmen anzuwenden und für zuverlässige Backups zu sorgen, auf die jederzeit zurückgegriffen werden kann. Keine wilden Behauptungen, keine Schleichwerbung und kein Schlagwort-Bingo. Kurz gesagt, die gesammelten Ratschläge der Community bildeten einen pragmatischen Ansatz für die Datensicherheit. Einen Ansatz, bei dem die Breite wichtiger ist als die Tiefe, und bei dem der wichtigste Aspekt darin besteht, vorbereitet zu sein, um Daten wiederherstellen zu können.
In diesem Blogbeitrag werden wir uns ein Beispiel an anderen Personen vom Fach nehmen und einige praktische Strategien erörtern, mit denen Sie Ihre Daten schützen und hoffentlich Ihre Nerven schonen können.
Verfolgen Sie bei der Datensicherheit einen zweiseitigen Ansatz
Als ich weitere Berichte in dem Forumsbeitrag las, wurde klar, dass viele Ransomware-Angriffe auf den Faktor „Mensch“ zurückgingen (siehe Erstzugriff). Ganz gleich, ob ein Endbenutzer auf einen schädlichen Link klickte oder ob ein Administrator eine Fehlkonfiguration vornahm, schuld war oft menschliches Versagen. Von Verizon gesammelte Daten bestätigen die anekdotischen Antworten in dem Beitrag und zeigen, dass bei 82 % der Sicherheitsverletzungen menschliche Fehler eine Rolle spielen. Wie ein Teilnehmer in Bezug auf menschliches Verhalten und Sicherheitsprobleme zusammenfasste: „Die Frage ist nicht, OB es zu einem Angriff kommen wird, sondern WANN es dazu kommen wird. Und alle Unternehmen sollten sich darauf einstellen“.
Es ist einfach, den Erfolg von Ransomware auf das Versagen von Edge-Sicherheitsgeräten, fehlende Anwendungssicherheit oder fehlenden Endpunktschutz zu schieben. In vielen Fällen können diese Lösungen jedoch nur wenig ausrichten, wenn durch menschliches Versagen im Prinzip für Angreifer eine Brücke in die Umgebung gebaut wird. Sind diese Sicherheitsmaßnahmen also überhaupt nötig? Ja, absolut. Aber ein moderner Ansatz für Datensicherheit muss zweiseitig sein. Einerseits müssen die Daten an der Peripherie oder am Endpunkt von außen nach innen geschützt werden, andererseits müssen die Daten von innen nach außen geschützt werden, indem mehrschichtige Schutzmaßnahmen näher an den Daten angewendet werden. Eine moderne Sicherheitsstrategie zu implementieren bedeutet also, dass Maßnahmen in der Annahme ergriffen werden, dass die Umgebung bereits kompromittiert ist.
Um Klarheit und Ideen für das Verhalten nach einem Zugriff zu liefern, hat The DFIR Report eine Handvoll Taktiken, Techniken und Verfahren zusammengestellt, die von Angreifern während eines Angriffs angewendet werden und die allesamt den Zeitrahmen und die potenziellen Schwachstellen veranschaulichen, nachdem Angreifer in eine Umgebung eingedrungen sind. Sie werden feststellen, dass es einige Techniken gibt, die nicht verhindert, sondern nur abgeschwächt werden können (z. B. Pass the Hash). Das ist eine kalte Realitätsdusche und unterstreicht, wie wichtig eine Defense-in-Depth-Strategie ist.
Inventarisieren Sie Ihre Systeme und Ihre Daten
Die Einführung und Pflege eines Bestandsverwaltungssystems für Ihre Hardware- und Software-Ressourcen ist für eine gute Cybersicherheitshygiene unerlässlich. Es quantifiziert nicht nur Ihre Ressourcen für finanzielle und budgetären Zwecke, sondern schafft auch eine solide Grundlage für die Disaster Recovery, indem es die bei einer Wiederherstellung nach Ransomware benötigten Ressourcen bestimmt. Ein hervorragendes Implementierungsbeispiel ist in der NIST-Sonderveröffentlichung 1800-5c zu finden, in der eine Referenzimplementierung beschrieben wird, bei der die Bestandsverwaltung mit der Integration aktiver und passiver Sensoren zur Datenerfassung und Erkennung potenziell bösartiger Ereignisse kombiniert wird. Das Vorhandensein eines Ressourceninventars und die Erkennung potenzieller Angriffe sind ein Muss für jede Datensicherheitsstrategie.
Wenn wir uns jedoch eingehender mit dem DFIR-Bericht befassen, der ein Eindringen beschreibt, wird deutlich, dass auch eine Bestandsaufnahme der Daten erforderlich ist. Dem Bericht zufolge verschaffte sich ein bestimmter Angreifer Zugang zu mehreren sensiblen Dokumenten mit Informationen über Cyber-Versicherungen sowie zu Dokumenten mit Umgebungskennwörtern. Außerdem bewegte er sich auch lateral, um auf die Konsole des Backup- und Wiederherstellungsservers zuzugreifen. Glücklicherweise wurde der Eindringling entdeckt und aus der Umgebung entfernt, nachdem weitere Enumerationsversuche in der Umgebung unternommen wurden.
In Anbetracht der Zugangsebene, die der Angreifer erreichte, wäre der Schaden, der durch einen Angriff auf die Umgebung entstanden wäre, wahrscheinlich erheblich gewesen. Der Angreifer hätte sensible Daten exfiltrieren können, Daten verschlüsseln können, um die Umgebung zu schwächen, und Backup-Kopien löschen oder verschlüsseln können, um die Möglichkeit einer Wiederherstellung auszuschließen oder eine doppelte Erpressung möglich zu machen. Dies zeigt deutlich, wie wichtig es ist, ein Inventar Ihrer Daten und Ihrer Systeme zu pflegen, um sicherzustellen, dass sensible Daten für einen Angreifer nicht offen zugänglich sind.
Darüber hinaus wird deutlich, dass Angreifer im Rahmen ihrer Kampagne weiterhin versuchen, Backups in einer Umgebung ausfindig zu machen. Indem sie ihren Opfern die Möglichkeit nehmen, ihre Daten wiederherzustellen, erhöhen sie die Wahrscheinlichkeit, dass sie eine Zahlung erhalten. Daher ist es extrem wichtig, eine Backup-Lösung mit zusätzlichen Schutzmechanismen auszustatten, z. B. mit Multi-Faktor-Authentifizierung, rollenbasierter Zugriffskontrolle und möglicherweise einer Netzwerksegmentierung, um den Zugriff auf Backup-Daten einzuschränken. Letztlich geht es um den Prozess der Sicherung von Daten durch die Annahme einer anstehenden Sicherheitsverletzung.
Wenden Sie das Paretoprinzip an
Um auf den Forumsbeitrag zurückzukommen: Der einleuchtendste Vorschlag der Community lautet, eigene Backup-Kopien gründlich zu verwalten, zu testen und zu schützen. In den meisten der in diesem Thread erwähnten Ransomware-Fälle – abgesehen von der etwas merkwürdigen Geschichte, bei der während eines Angriffs Kabel physisch von einem zentralen Switch abgezogen wurden – mussten Unternehmen auf Backups zurückgreifen, um Kopien ihrer Daten wiederherzustellen. Ähnlich wie beim Paretoprinzip sind die Bemühungen um den Schutz Ihrer Backup-Daten ein äußerst effektiver Schritt, um darauf vorbereitet zu sein, Daten nach einem Ransomware-Angriff wiederherzustellen. In diesem kürzlich erschienenen Blogbeitrag werden die Maßnahmen, die bei der Überarbeitung Ihrer Datensicherheitsstrategie zu berücksichtigen sind, kurz und bündig beschrieben.
Auch wenn dies in den Forumsbeiträgen nicht häufig erwähnt wird, ist die Passworthygiene ein Punkt mit hoher Priorität und geringem finanziellem Aufwand, der angegangen werden muss. Am einfachsten lässt sich die Verwendung schwacher Passwörter für Benutzer- und Service-Konten beheben. Schwache Passwörter sind anfälliger für Kerberoasting, da die Wahrscheinlichkeit höher ist, dass Offline-Brute-Force-Versuche erfolgreich durchgeführt werden. Wenn Ihre Backup-Lösung auf Active Directory angewiesen ist, ist es ratsam, eine isolierte Domäne zu erstellen, in der sie arbeiten kann. Umständlich? Ja, aber es könnte durchaus eine lohnende Möglichkeit sein, um einen Angreifer auszubremsen.
Was jetzt?
Kurzfristig wird es wahrscheinlich keinen Mangel an Arbeit geben, während Sie Ihr Unternehmen dabei unterstützen, sich auf neue Cyberbedrohungen und Ransomware-Angriffe vorzubereiten. Während Sie mit dem Aufbau einer Datensicherheitsstrategie beginnen oder damit fortfahren, lassen Sie uns einige der wichtigsten Punkte in diesem Beitrag zusammenfassen:
Erstens: Verfolgen Sie einen zweiseitigen Ansatz für die Datensicherheit; gehen Sie davon aus, dass es zu einer Sicherheitsverletzung kommen wird.
Zweitens: Nehmen Sie eine Bestandsaufnahme Ihrer Systeme UND Ihrer Daten vor. Sie können nur das schützen, von dessen Existenz Sie wissen.
Wenden Sie schließlich das Paretoprinzip auf die Datensicherheit an und priorisieren Sie immer Ihre Wiederherstellungsfähigkeit.
Wenn Sie Ihren Ransomware-Reaktionsplan gerne in der Praxis erproben möchten, sind unsere nächsten Save the Data-Workshops für Sie genau das Richtige. Bei diesen Simulations-Workshops schlüpfen Sie in die Rolle der Hauptakteure und -beteiligten eines Ransomware-Angriffsszenarios, sodass Sie ein besseres Verständnis für alle Aspekte erlangen, die Teil eines Ransomware-Wiederherstellungsplans sind.