Incident Response Playbook: Besser vorbereitet auf Ransomware-Attacken

Incident Response

Ransomware-Angriffe auf Unternehmen haben quer durch alle Branchen in den letzten Jahren weiter zugenommen. Sie werden immer ausgefeilter und zielen häufig speziell auf Speicher- und Cloud-Infrastruktur ab. Damit soll ein möglichst hoher Schaden verursacht werden, um den Druck für Lösegeldforderungen zu erhöhen.

Solche Ransomware-Angriffe nutzen bekannte Schwachstellen in Speichersystemen aus, wodurch die gesamte IT-Umgebung gefährdet wird. Daher betreffen sie auch immer stärker den Verantwortungsbereich von Storage Managern. Im vergangenen Jahr gab es laut aktueller Berichte 623 Millionen Ransomware-Angriffe, doppelt so viele wie 2020[i]. Selbst Finanzinstitute, Fertigungsunternehmen, Behörden oder medizinische Einrichtungen mit hohen Sicherheitsstandards werden immer wieder zu Opfern solcher Angriffe. Statt also zu hoffen, dass in nächster Zeit nichts passiert oder dann aus der Not heraus zu reagieren, raten Sicherheitsexperten dazu einen Plan auszuarbeiten, um die Folgen eines Ransomware-Angriffs abzumildern. Ein solcher Incident Response Plan oder Playbook für Storage-Verantwortliche kann mit den IT- und Cybersicherheitsteams geteilt werden, um sicherzustellen, dass alle an einem Strang ziehen. Sicherheitsspezialist ProLion zeigt, wie sich ein solcher Plan mit wenigen Schritten entwickeln lässt.

Anzeige

Angriffe gegen Unternehmen werden heute immer professioneller. Hacker nehmen Organisationen gezielt ins Visier und setzen sogar Ransomware as a Service (RaaS)-Kartelle und -Gruppen ein, um ihre Erfolgschancen zu erhöhen. Angreifer verwenden zudem immer häufiger mehrstufige Erpressungsmethoden (double und triple extortion). Dabei drohen Angreifer damit, die Daten offenzulegen, wenn das „Lösegeld“ nicht bezahlt wird, und Distributed-Denial-of-Service-Angriffe (DDoS) gegen die Opfer einzusetzen. Ein vorhandener Plan zur Reaktion auf Sicherheitsvorfälle kann die Kosten einer Datenschutzverletzung Studien zufolge um mehrere Millionen Euro senken[ii]. Was also verbirgt sich hinter dem Begriff Incident Response und warum ist sie so wichtig?

Incident Response (IR) bezeichnet die Schritte, die ein Unternehmen einleiten sollte, wenn es mit einer Kompromittierung seiner IT-Sicherheit konfrontiert wird. Häufig wird nach der Art des Angriffs und der Kompromittierung unterschieden. Eine wirkungsvolle IR beinhaltet die Entwicklung von Playbooks und Checklisten, um die Reaktion der angegriffenen Organisation zu erleichtern und die Verantwortlichkeiten klar zu definieren. Durch einen IR-Plan wissen Teams und Abteilungen genau, was zu tun ist und wer es tun sollte, was den möglichen Schaden eines Angriffs verringern und im Fall von Ransomware die Anzahl der betroffenen Dateien und Assets begrenzen kann.

Entwicklung eines Incident Response-Plans in 8 Schritten

Bei der Entwicklung eines IR-Playbooks ist es wichtig darauf zu achten, dass die Maßnahmen schnell umsetzbar und klar vermittelbar sind – ohne dass dazu ein komplexes Dokument studiert werden muss. Besonders wichtig ist dabei, dass jeder, der am IR-Prozess beteiligt ist, genau versteht, was er zu tun hat.

Schritt 1: Vorbereitung

Bevor Maßnahmen ergriffen werden können, ist es wichtig zu definieren, wer welche Aufgaben ausführen wird. Dies geht über die Zuständigkeit des IT-Teams hinaus, insbesondere bei Ransomware-Angriffen, die mehrere Organisationen betreffen können. Bei der Entwicklung des Playbooks muss daher beachtet werden, welche Teams und Einzelpersonen für die nachfolgenden Aktionselemente verantwortlich sein sollen. Diese Definitionen können je nach Ausmaß des Ransomware-Angriffs stark variieren. Sie sollten zudem auch die interne sowie externe Kommunikation berücksichtigen und Entscheidungsträger einbeziehen, die wichtige Maßnahmen absegnen müssen.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Schritt 2: Angriffserkennung

Bei einem Ransomware-Angriff ist es wichtig, die Infektion an allen Stellen zu erkennen, um die Eindämmungs- und Isolationsbemühungen zu verbessern. Dafür können alle Cybersicherheits- und IT-Abteilungen sowie alle Tools oder Technologien genutzt werden, die darauf ausgelegt sind, unbefugte Eindringlinge oder Malware in Unternehmens-Umgebungen zu identifizieren. Zudem muss festgestellt werden, ob sich ein Angreifer noch im Netzwerk befindet oder Zugriff hat, da dies die Gegenreaktion von Unternehmen beeinflussen kann. Die Investition in Erkennungstools, die speziell nach Verhaltensmustern von Angreifern suchen, beispielsweise durch Nutzung von Live-Daten von NetApp FPolicy, kann hilfreich sein. Andernfalls kann ein Angreifer kompromittierte Backups nutzen oder die Umgebung des Unternehmens erneut infiltrieren.

Schritt 3: Umfangsermittlung und Vorbeugungsmaßnahmen

Während dieses Schritts sollten die verantwortlichen Teams die Schadensbewertung prüfen, um zu verstehen, welche Daten betroffen bzw. gefährdet sind. Dazu müssen sie erkennen, welche Sicherheitskontrollen und Netzwerksegmentierungen vorhanden sind und wo der Ransomware-Angriff stattfindet. Es ist dabei besonders wichtig, so gründlich wie möglich vorzugehen und auf allen Servern, Festplatten und Cloud-Speichern nach einer Infektion zu suchen. Zu wissen, welche Bereiche betroffen sein könnten, hilft auch bei Präventivmaßnahmen, um weitere Infektionen zu verhindern. Tools und Technologien die Datenzugriffsinformationen aufzeichnen helfen dabei, das Ausmaß einer Infektion zu ermitteln.

Schritt 4: Schadensbegrenzung

Um zu verhindern, dass sich die Ransomware-Infektion auf den Rest der IT-Umgebung ausbreitet, sollten alle betroffenen Assets schnellstmöglich vom Netzwerk getrennt und damit dem Angreifer der Zugriff entzogen werden. Hilfreich können hier Tools sein, die verdächtige Nutzer automatisch markieren und blockieren. Zudem sollten Unternehmen diese verdächtigen Benutzer auch sofort ihrer IT-Sicherheitsabteilung melden und eng mit ihr zusammenarbeiten, um weiteren Schaden zu verhindern.

Schritt 5: Entfernung und Entschlüsselung

Sobald sichergestellt ist, dass die Ransomware keinen weiteren Schaden anrichten kann, können Maßnahmen eingeleitet werden, um den Bedrohungsakteur und die Ransomware zu entfernen. Hier wird meist die IT-Sicherheitsabteilung eingreifen, um den Angreifer vollständig auszuschalten, wenn er sich noch im Netzwerk befindet. Merkt der Angreifer, dass man Gegenmaßnahmen einleitet, kann er einer Erkennung entgegenwirken oder eine Hintertür installieren, was die Wiederherstellung betroffener Daten insgesamt erschwert. Bei ausgefeilteren Methoden verwenden Hacker möglicherweise einen Ransomware-Stamm mit einem vorhandenen Dekodierungsschlüssel. Daher ist es wichtig, die Malware eindeutig zu identifizieren. Ohne Dekodierungsschlüssel müssen meist Forensik- und Ransomware-Experten von Drittanbietern hinzugezogen werden, um betroffene Dateien zu entschlüsseln.

Je nach Schwierigkeit und Schadenseinschätzung muss das Management entscheiden, ob es sich dafür entscheidet, das Lösegeld zu zahlen. Es gibt jedoch wichtige Argumente gegen die Zahlung von Lösegeld: Es könnte zu weiteren Angriffen führen und es ermutigt Täter, weiterhin Ransomware-Angriffe einzusetzen. Zudem gibt keine Garantie, dass die Daten nicht doch veröffentlicht werden.

Schritt 6: Wiederherstellung

Organisationen haben mehrere Möglichkeiten, ihre Dateien nach einem Ransomware-Angriff wiederherzustellen. Neben der Entschlüsselung sollte man prüfen, welche Dateien sich aus Backups wiederherstellen lassen. Möglicherweise lohnt es sich sogar, die Speicherumgebung in den Zustand vor dem Angriff zurückzuversetzen. Es kann sich jedoch als schwierig erweisen, genau zu ermitteln, welche Dateien betroffen waren. Es gibt allerdings Tools, die speziell von Ransomware betroffene Dateien untersuchen, identifizieren und wiederherstellen können, um Datenverluste zu minimieren.

Schritt 7: Analyse

Die Untersuchung, wie es zu dem Angriff kam, ist entscheidend, um sicherzustellen, dass er sich nicht wiederholt. Dies wird wahrscheinlich auf Abteilungsebene geschehen. Es ist jedoch wichtig zu beurteilen, ob vorhandene Sicherheitstechnologien oder Sicherheitskontrollen versagt haben. Wenn der Angriffsvektor oder Exploit in der IT-Umgebung einer Organisation aufgetreten ist, ist es wichtig zu wissen, ob er vermeidbar war oder ob er zusätzliche IT-Sicherheitsmaßnahmen oder -technologie erfordert.

Schritt 8: Mängelbeseitigung

In enger Zusammenarbeit mit dem IT-Sicherheitsteam sollten alle Dokumentationen und relevanten Analysen bereitgestellt werden, um die Reparaturmaßnahmen bestmöglich zu unterstützen. Dies umfasst auch die Behebung bekannter Schwachstellen oder die Identifizierung von Sicherheitslücken, die möglicherweise zusätzliche Tools oder Technologien erfordern.

„Prävention ist immer noch der beste Schritt gegen Ransomware“, betont Robert Graf, Gründer & CEO bei ProLion. „Insbesondere wenn Speicherumgebungen betroffen sind, kann Ransomware ganze Unternehmen lahmlegen und enorm viel Extraarbeit verursachen. Daher ist es wichtig, in präventive Maßnahmen und Technologie zu investieren, die Angriffe frühzeitig erkennt und stoppt.“

prolion.com

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.