Ransomware-Survival-Checkliste

Stufe 1: Vorbereitung und Vorbeugung

1. Schützen Sie sensible Daten: Sensiblen Daten sollten nicht an exponierten Orten aufbewahrt werden. Je weniger exponiert die Daten sind, desto schwieriger ist es für einen Angreifer, sie in die Finger zu bekommen. Hilfreich sind beispielsweise SaaS-Anwendungen, die maschinelles Lernen anwenden, um die Klassifizierung sensibler Daten zu automatisieren, wie beispielsweise personenbezogene Daten, Patientenakten und Zahlungsverkehrsdaten. 

2. Implementieren Sie ein ganzheitliches, funktionsübergreifendes Instant-Response-Team: Experten aus den Bereichen Netzwerk, Storage, Informationssicherheit, Business Continuity Management und PR sollten in keinem Team fehlen.

3. Das Instant-Response-Team trainieren: simulierte Übungen können durchgeführt werden. Die meisten Unternehmen sind verpflichtet, jährlich zu testen, aber Rubrik empfiehlt, vierteljährlich eine informelle Tabletop-Sitzung durchzuführen, um das Team vorzubereiten.

Stufe 2: Wiederherstellung nach einem Ransomware-Angriff

1. Keine Panik! Das Team ist geschult und bereit für den Ernstfall

2. Zuständige Verantwortlichen müssen alamiert werden

3. Nomoreransom.org ist ein herstellerübergreifend unterstütztes Projekt, bei dem Entschlüsselungssoftware gepostet wird. Nutzen Sie die Website, um zu sehen, ob es einen Decryptor gibt.

4. Wo ist die Sicherheitslücke? (Phishing, Hacking, Internet-seitige Schwachstellen etc.)
   
   

   • Setzen Sie ein entsprechendes Tool ein, um durch einfache, intuitive Visualisierungen schnell zu erkennen, welche Dateien betroffen sind und wo sie sich befinden. Auf der Benutzeroberfläche können Sie durch die gesamte Ordnerhierarchie blättern und tiefer einsteigen, um zu untersuchen, was auf Dateiebene hinzugefügt, gelöscht oder geändert wurde.
   • Unter Verwendung der ermittelten Angriffsinformationen muss Ihr Incident-Response-Team den Eintrittspunkt der Verletzung finden und feststellen, wie die Hacker eingedrungen sind.
   • Beginnen Sie mit der Ermittlung. Viele Unternehmen nutzen hierfür einen externen Managed Service Provider mit forensischen Fähigkeiten.

5. Sobald die Sicherheitslücke geschlossen ist, sollte das Unternehmen wieder auf die Beine kommen
   
   

   • Nutzen Sie unveränderliche Backups, um Ihre geschäftskritischen Anwendungen wiederherzustellen. Angreifer können weder lesen noch Daten überschreiben, die in das unveränderliche Dateisystem geschrieben wurden.
   • Ermitteln Sie die Dateien, die von dem Angriff betroffen waren. Wählen Sie die Daten aus, die Sie wiederherstellen müssen, und den Speicherort, an dem Sie sie wiederherstellen möchten.
   • Stellen Sie Ihre Dateien mit einem einzigen Klick wieder her, um die Ausfallzeiten des Unternehmens durch den Angriff zu minimieren. Reduzieren Sie Ihre Wiederherstellungszeit drastisch, indem Sie nur betroffene Dateien statt Ihres gesamten Systems wiederherstellen.

6. Strafverfolgungsbehörden alamieren, Kunden und alle anderen notwendigen Behörden

Stufe 3: Umgebung wieder sicher machen

Sobald Sie einmal angegriffen wurden, besteht eine hohe Wahrscheinlichkeit, dass Sie von ähnlichen Gruppen mit ähnlichen Zielen erneut ins Visier genommen werden.

1. Erkenntnisse aus forensischen und internen Untersuchungen auswerten
2. Schwachstellen beheben und Sicherheitslösung modifizieren
3. Informationen aus den entsprechenden Tools überprüfen, um die Datenexposition zu identifizieren und zu sperren, ohne die Produktion zu beeinträchtigen