Und es kann noch mehr getan werden, um Ransomware-Risiken während der Ferienzeit und an Wochenenden zu verringern:
- Eine gute Sicherheitshygiene im Arbeitsalltag. Dazu gehören beispielsweise die Einführung eines Programms zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen, die regelmäßige Aktualisierung von Betriebssystemen und anderer Software sowie der Einsatz der branchenweit besten Sicherheitslösungen im Netzwerk.
- Gewährleistung der Erreichbarkeit wichtiger Akteure zu jeder Tageszeit, da sich kritische Reaktionsmaßnahmen an Wochenenden/Feiertagen sonst verzögern können. Es kann vorkommen, dass relevante Personen E-Mails im Zusammenhang mit einem Angriff aufgrund von Systemproblemen nicht erhalten. Oder sie gehen nicht an ihr Telefon, weil es keine klare Vorgabe gibt, dass sie im Falle eines Ereignisses die Kommunikation im Auge behalten müssen. Eine klare Zuweisung von Bereitschaftsdiensten für Sicherheitsvorfälle außerhalb der Geschäftszeiten ist hier entscheidend.
- Die regelmäßige Durchführung von Übungen unter Einbeziehung von Personen, die nicht zum Sicherheitsteam gehören. Dies betrifft beispielsweise die Rechtsabteilung, die Personalabteilung, den IT-Support und die gesamte Führungsetage. Nur, wenn alle Beteiligten wissen, was im Falle eines Angriffs zu tun ist, kann eine reibungslose Reaktion auf einen Vorfall erfolgen.
- Klar definierte Isolierungsmaßnahmen, um ein weiteres Eindringen in das Netzwerk oder die Ausbreitung der Ransomware auf andere Geräte zu verhindern. Die Teams sollten Dinge wie das Trennen eines Hosts, das Sperren eines kompromittierten Kontos und das Blockieren einer bösartigen Domain reibungslos beherrschen. Es wird empfohlen, diese Verfahren mindestens vierteljährlich mit geplanten oder außerplanmäßigen Übungen zu testen, um sicherzustellen, dass alle Abläufe richtig funktionieren.
- Prüfung des Einsatzes von Managed Security Services Providern (MSSP), wenn im Unternehmen Personal- oder Fachkräfte fehlen. Außerdem sollten mit diesen Anbietern vorab vereinbarte Reaktionsverfahren festgelegt werden, damit sie anhand dieser im Falle eines Falles Sofortmaßnahmen ergreifen können.
- Evaluieren der Sperrung kritischer Konten über das Wochenende/den Urlaub. Der übliche Weg, den Angreifer bei der Verbreitung von Ransomware in einem Netzwerk nutzen, ist die Eskalation der Privilegien auf die Admin-Domänenebene und die anschließende Verbreitung der Ransomware. Die Konten mit den höchsten Privilegien werden in vielen Fällen während des Wochenendes oder der Feiertage kaum benötigt. Teams sollten im Active Directory hochsichere, auf Notfälle beschränkte Konten einrichten, die nur verwendet werden, wenn andere betriebliche Konten als Vorsichtsmaßnahme vorübergehend deaktiviert werden oder während eines Ransomware-Angriffs nicht zugänglich sind.
- Einsatz von EDR an allen Endpoints. Laut Peter Firstbrook von Gartner ist die schnellste Abhilfe gegen die Ransomware-Plage für Unternehmen des öffentlichen und privaten Sektors die Implementierung von EDR auf den Endgeräten. Dennoch verfügen laut Firstbrook nur 40 Prozent der Endpoints über EDR. Noch besser ist der Einsatz von XDR (Extended Detection and Response). XDR erkennt nicht nur netzwerkübergreifend verdächtige Verhaltensmuster, sondern setzt sie auch in Beziehung zueinander, sodass größer angelegte Angriffe schnell erkannt werden.
- Sicherung aller Daten und regelmäßige Tests dieser Backups. Führen Sie Backups von wichtigen Dateien durch und überprüfen Sie regelmäßig, ob die Backups wiederhergestellt werden können. Bewahren Sie die Backup-Dateien offline auf. Denn Hacker versuchen, zugängliche Backups zu löschen.
- Verzicht auf den Download von Raubkopien oder kostenpflichtiger Software, die “kostenlos” angeboten wird. Denken Sie daran: Wenn ein kostenpflichtiges Produkt kostenlos angeboten wird, sind Sie das eigentliche Produkt.
- Laden Sie keine Software aus dubiosen Quellen herunter.
- Öffnen Sie keine E-Mail-Anhänge von unbekannten oder unerwarteten Absendern.
www.cybereason.com