Recovery Time Objectives (RTOs) sind derzeit Dauerthema. Man kann es nicht oft genug sagen: Eine der wichtigsten Möglichkeiten, die Wiederherstellungszeit nach einem Ransomware- oder Cybersicherheitsangriff zu verkürzen, besteht darin, gut vorbereitet und bereit zu sein, schnell und effektiv zu handeln. Dies ist eine der vielen Variablen, die vollständig der Kontrolle des Kunden unterliegen, und der Schlüssel zu einem schnelleren und effizienteren Wiederherstellungsprozess.
Ein Ransomware-Angriff kann eines der stressigsten Ereignisse sein, mit denen ein Unternehmen und seine Mitarbeiter konfrontiert werden. Außerdem werden die Auswirkungen von Ransomware-Vorfällen immer gravierender und die Angriffe selbst werden immer raffinierter. Mehrere zentrale Bedrohungstrends sind zu beachten, um diese Herausforderung darzustellen:
Cybersecurity Ventures schätzt, dass Ransomware die Weltwirtschaft im Jahr 2022 20 Mrd. USD gekostet hat – ein Anstieg um das 57-Fache gegenüber 2015.
Nach Angaben von IBM beliefen sich die durchschnittlichen Kosten eines Ransomware-Angriffs im letzten Jahr auf 4,54 Mio. USD. (X-Force)
Laut dem Bericht zum Stand der Datensicherheit von Rubrik Zero Labs gaben 98 % der Befragten an, dass ihnen ein Cyberangriff auf ihr Unternehmen im letzten Jahr bekannt ist.
Die durchschnittliche Anzahl von Cyberangriffen, die im gleichen Zeitraum der Leitung eines Unternehmens gemeldet wurden, lag im vergangenen Jahr bei 47.
52 % dieser Unternehmen waren im letzten Jahr von einer Datenschutzverletzung und 51 % von einem Ransomware-Vorfall betroffen.
Derselbe Bericht ergab, dass 76 % der Unternehmen die Zahlung einer Lösegeldforderung in Betracht ziehen würden, und mehr als die Hälfte (52 %) würden eine Lösegeldforderung mit großer bis sehr großer Wahrscheinlichkeit bezahlen.
Angreifer haben in der Regel bereits seit 4,5 bis 5 Tagen Zugriff auf eine Umgebung, bevor sie die Ransomware aktivieren.
Microsoft schätzt, dass ein Angreifer im Durchschnitt 1 Stunde und 12 Minuten braucht, um sich Zugang zu den privaten Daten eines Unternehmens zu verschaffen, nachdem ein Benutzer auf einen bösartigen Link oder eine Datei in einer Phishing-E-Mail geklickt hat.
Die Agentur der Europäischen Union für Cybersicherheit schätzt, dass bei Ransomware-Angriffen durchschnittlich mehr als 10 TB an Daten pro Monat gestohlen werden.
Diese Daten zeigen, dass Sie einen Ransomware-Angriff als zu erwartendes Ereignis und nicht als Anomalie betrachten sollten. Bedrohungsakteure werden eine Umgebung wahrscheinlich mehrere Tage lang durchforsten, bevor sie Ransomware aktivieren, wobei sie versuchen werden, Daten zu stehlen und zu verschlüsseln. Und wenn sie erfolgreich sind, verursachen sie erhebliche Kosten für ein Unternehmen.
Wenn ein Unternehmen nicht auf einen Angriff vorbereitet ist, wendet man dort wertvolle Zeit dafür auf, herauszufinden, was zu tun ist, oder man ist sich der grundlegenden Prozesse nicht bewusst und weiß beispielsweise nicht, welches die ersten Reaktionsmaßnahmen sind, welche Teams oder wer innerhalb der Teams zuständig ist und sogar wie die grundlegende Zusammenarbeit zwischen diesen Teams und den vertrauenswürdigen Anbietern des Unternehmens ablaufen soll. Wir empfehlen, sich auf mehrere Schlüsselbereiche zu konzentrieren, um die Wiederherstellungsmaßnahmen effizienter zu gestalten. Insbesondere die Reaktion auf Vorfälle, die Identifizierung und Neutralisierung von Bedrohungen, die Risikominderung sowie die Planung und Durchführung von Wiederherstellungsmaßnahmen müssen allen bekannt sein. Anforderungen, Abhängigkeiten und Abläufe müssen im Hinblick auf die übergreifende Reaktion und den Wiederherstellungs-Workflow berücksichtigt werden.
Reaktions- und Wiederherstellungsprozess
Erstellen Sie einen umfassenden Plan, der auch dann jederzeit verfügbar ist, wenn Ihre Infrastruktur offline ist. Testen und verfeinern Sie ihn regelmäßig mit praktischen und realistischen Tabletop-Übungen.
Alle zuständigen internen Teams sollten an diesen Übungen teilnehmen.
Beziehen Sie alle Arten von Workloads in Ihre Wiederherstellungsübungen ein und führen Sie Validierungen durch.
Sie sollten Full-Stack-, Anwendungs- und Geschäftszweigwiederherstellungen einschließen.
Stellen Sie einen besseren Einblick in die Wiederherstellungsvorgänge und -funktionen bereit, bevor ein tatsächlicher Ransomware-Vorfall eintritt. Dadurch wird sichergestellt, dass die kritischen Teilnehmer die verfügbaren Optionen und die Transparenz kennen, geschult werden und vor kritischen Momenten Einschränkungen erkennen können.
Ermitteln Sie die wichtigsten Entscheidungsträger und ihre jeweiligen Entscheidungen und dokumentieren Sie sie entsprechend.
Informieren Sie sich über Meldepflichten sowohl im Hinblick auf unberechtigtes Eindringen als auch im Hinblick auf Datenprobleme abhängig von der Region, von Branchenrichtlinien und von staatlichen Vorschriften.
Identifizieren Sie die wichtigsten Geschäftsfunktionen sowie Technologiesysteme und Datenelemente, die diesen Funktionen zugeordnet sind. Dies ermöglicht eine Priorisierung der Wiederherstellungsmaßnahmen und gibt Aufschluss über Umfang und Abhängigkeiten.
Wiederherstellungsinfrastruktur
Bestimmen Sie einen Wiederherstellungsort für die Wiederherstellung von Systemen und Daten.
Identifizieren Sie forensische Umgebungen, in denen beschädigte Daten zur weiteren Analyse wiederhergestellt werden können.
Diese Infrastrukturstandorte sollten auch bei Tabletop-Übungen verwendet werden; sie sind entscheidend für tatsächliche Ransomware-Wiederherstellungen.
Risiko proaktiv senken
Identifizieren Sie veraltete Architekturen und entfernen Sie sie aus Produktionsumgebungen, um sie als Angriffsfläche für Bedrohungen auszuschalten.
Überprüfen Sie den Speicherort und den Umfang von sensiblen/kritischen Daten. Auf diese Weise erhalten Reaktionsteams einen genauen Überblick darüber, wo sie ihre Bemühungen priorisieren müssen und wie sie das Risiko einer versehentlichen Offenlegung sensibler Daten während eines Ransomware-Vorfalls verringern können.
Bereiten Sie sich auf die Möglichkeit einer Datenexfiltration vor und gehen Sie davon aus, dass das Ziel des Bedrohungsakteurs darin besteht, ein Datenleck zu Erpressungszwecken zu verursachen. Dazu gehört auch die Suche nach Bedrohungen in Form von lateralen Datenverschiebungen und unerwarteten Datenübertragungsvorgängen und die Identifizierung von Benutzern mit Zugang zu kritischen Daten.
Anbieter des Vertrauens hinzuziehen
Bauen Sie eine vertrauensvolle Zusammenarbeit mit einem kompetenten Anbieter von Infrastruktursicherheit auf. Kontaktieren Sie gleich bei den ersten Anzeichen eines Angriffs oder einer Sicherheitsverletzung Ihren Anbieter und Rubrik. Zögern Sie es nicht hinaus!
Schaffen Sie für diese Anbieter im Voraus Zugang zu Wiederherstellungstechnologien, bevor deren Einsatz als Reaktion auf einen Vorfall erforderlich ist.
Sorgen Sie dafür, dass Anbieter auf wichtige Plattformen zugreifen können und die festgelegten Playbooks und Prozessabläufe kennen.
Bereiten Sie die Anbieter, mit denen Sie zusammenarbeiten, darauf vor, nach ersten Zeichen für unberechtigtes Eindringen, Datendiebstahl und andere auf ein Eindringen hinweisenden Aktivitäten zu suchen, die über den reinen Verschlüsselungsvorfall hinausgehen. Dazu gehört auch, wie die Bedrohungssuche in einer verschlüsselten Umgebung erfolgen soll, wie Kompromittierungsindikatoren im Unternehmen weitergegeben werden sollen und wie die teamübergreifende Arbeit funktionieren soll.
Kommunikation
Out-of-Band-Kommunikation: Stellen Sie sicher, dass Sie die Handynummern und privaten E-Mail-Adressen Ihrer wichtigsten Mitarbeiter kennen. Bei einem schwerwiegenden Angriff fällt höchstwahrscheinlich die E-Mail-Kommunikation im Unternehmen aus, möglicherweise sogar die Telefone. Seien Sie darauf vorbereitet und berücksichtigen Sie es in Ihrem Playbook.
Interne Kommunikation: Stellen Sie sicher, dass alle Ihre Teams (einschließlich der Führungsebene und der nichttechnischen Teams) einbezogen werden und in der Lage sind, effektiv zu kommunizieren. Dies kann Bestandteil der Tabletop-Übungen sein.
Kommunikation mit Anbietern: Während eines tatsächlichen Angriffs- und Wiederherstellungsszenarios sollten Sie die Anbieter Ihres Vertrauens regelmäßig auf den neuesten Stand bringen. Helfen Sie uns, Ihnen zu helfen!
Fördern Sie die Interaktion und Zusammenarbeit zwischen Anbietern. Rubrik hat sehr viel Erfahrung in der Zusammenarbeit mit Anbietern für Infrastruktursicherheit und anderen Drittanbietern im Datenwiederherstellungsprozess.
Seien Sie bereit, Daten in Kommunikationssystemen oder -plattformen wiederherzustellen, wenn der ursprüngliche Zugang während des Ransomware-Vorfalls verloren geht. Wenn beispielsweise ein Chat-Programm für die Reaktion auf Vorfälle erforderlich ist, rechnen Sie damit, dass die Daten in dieser Anwendung verschlüsselt werden oder dass dem Unternehmen der Zugriff darauf verweigert wird. Es wird sowohl ein eigenständiges Kommunikationstool als auch die Wiederherstellung von Daten in diesen Kommunikationsmechanismen erforderlich sein.
Rubrik Best Practices
Nutzen Sie Rubrik Security Cloud (RSC) und unsere vollständige Suite an Funktionen der Enterprise Edition. Diese sind unschätzbare Hilfsmittel beim täglichen Betrieb und vor allem beim Wiederherstellungsprozess.
Stellen Sie sicher, dass auf Ihren Rubrik-Clustern aktuelle Versionen von CDM laufen. Geraten Sie nicht mit Upgrades ins Hintertreffen.
Multi-Faktor-Authentifizierung: Diese ist für alle Administratorkonten unbedingt erforderlich.
Zwei-Personen-Regel: Diese Regel stellt sicher, dass kein Benutzer allein Schlüsseloperationen (bei denen Daten zerstört werden) durchführen kann. Zum Abschluss festgelegter Schlüsselvorgänge ist die Zustimmung eines festgelegten sekundären Genehmigers erforderlich. Bei Rollen in den Bereichen Sicherheit/Betrieb/Rechtliches muss der zugewiesene Prüfer/Genehmiger den Änderungen zustimmen, bevor der Vorgang wirksam werden kann. Das Aktivieren dieser Funktion schützt Ihre SLAs nicht nur vor Bedrohungen von außen, sondern auch vor böswilligen oder unbeabsichtigten internen SLA-Änderungen.
Erstellen Sie Rubrik-Konten getrennt von der Active Directory-Architektur für den Fall, dass diese Funktion während eines Ransomware-Vorfalls beeinträchtigt wird.
Erstellen Sie bereits vor einem Vorfall Threat Hunting-Konten für interne Teams und Anbieter-Teams. Stellen Sie außerdem sicher, dass alle Benutzer geschult und darauf vorbereitet sind, bei Bedarf Threat Hunting-Maßnahmen auf die Daten-Backups anzuwenden.
Erstellen Sie bereits vor einem Vorfall Konten für sensible Daten für interne Teams und Anbieter-Teams. Stellen Sie außerdem sicher, dass alle Benutzer geschult und darauf vorbereitet sind, bei Bedarf Datenerkennungs- und Governance-Aktionen sowie Aktionen zum Melden von Datenbeschädigungen auf die Daten-Backups auszuführen.
Schon jetzt mit der Vorbereitung auf einen Angriff beginnen
Die wichtigste Botschaft hinter all diesen Informationen lautet: Vorbereitung ist der Schlüssel zum Erfolg. Schon vor einem Cybervorfall gut vorbereitet zu sein, macht den entscheidenden Unterschied zwischen einer schleppenden und einer erfolgreichen Wiederherstellung aus.
Rubrik bietet „Save the Data“-Workshops an, bei denen Sie einen simulierten Ransomware-Angriff durchlaufen, die verschiedenen beteiligten Rollen kennenlernen und letztendlich alle Erfahrungen einer Wiederherstellung nach einem Ransomware-Angriff sammeln können, allerdings ohne jedes Risiko. Hier erhalten Sie Informationen zu einigen unserer nächsten Save the Data-Veranstaltungen, live oder virtuell.