Schnelle Bereitstellung von Ransomware-Präventionen

Hinweis

Dieser Leitfaden wird jeweils aktualisiert, sobald neue Informationen verfügbar sind.

Die Bereitstellung von Ransomware-Schutz und die Abschwächung von Erpressungsangriffen ist eine Priorität für große und kleine Organisationen aufgrund der hohen Auswirkungen dieser Angriffe und der steigenden Wahrscheinlichkeit, dass eine Organisation einen solchen erleben wird.

Hinweis

Wenn Sie eine Ransomware-Definition benötigen, lesen Sie die Übersicht hier.

Einrichten des Ransomware-Schutzes

Konkrete Anweisungen, wie Sie Ihre Organisation am besten von vielen Formen von Ransomware und Erpressung vorbereiten können.

Diese Anleitung ist in priorisierten Phasen organisiert. Jede Phase ist mit einem separaten Artikel verknüpft. Die Prioritätsreihenfolge soll sicherstellen, dass Sie das Risiko in jeder Phase so schnell wie möglich reduzieren, wobei eine Annahme von großer Dringlichkeit zugrunde gelegt wird, die die normalen Sicherheits- und IT-Prioritäten außer Kraft setzt, um diese verheerenden Angriffe zu vermeiden oder zu mindern.

Wichtiger Hinweis: Dieser Leitfaden ist in Phasen mit unterschiedlicher Priorität unterteilt, die Sie in der vorgegebenen Reihenfolge durcharbeiten sollten. Gehen Sie wie folgt vor, um diesen Leitfaden am besten an Ihre Situation anzupassen:

1. Einhalten der empfohlenen Prioritäten

   Verwenden Sie die Phasen als ersten Plan für die Aufgaben, die zuerst, dann als Nächstes und zu späteren Zeitpunkten durchgeführt werden müssen, damit die Schritte mit den größten Auswirkungen zuerst abgearbeitet werden können. Diese Empfehlungen wurden mit dem Zero Trust Prinzip der Annahme einer Verletzung priorisiert. Dies zwingt Sie, sich auf die Minimierung des Geschäftsrisikos zu konzentrieren, indem Sie davon ausgehen, dass die Angreifer mit einer oder mehreren Methoden erfolgreich Zugriff auf Ihre Umgebung erhalten können.

2. Proaktiv und flexibel sein (aber wichtige Aufgaben nicht überspringen)

   Überprüfen Sie die Implementierungschecklisten für alle Abschnitte aller drei Phasen, um festzustellen, ob Es Bereiche und Aufgaben gibt, die Sie schnell erledigen können (z. B. haben Sie bereits Zugriff auf einen Clouddienst, der nicht verwendet wurde, aber schnell und einfach konfiguriert werden könnte). Achten Sie beim Durchgehen des gesamten Plans genau darauf, dass durch diese späteren Bereiche und Aufgaben die Durchführung von kritischen Maßnahmen, z. B. Sicherungen und privilegierter Zugriff, nicht verzögert wird!

3. Paralleles Ausführen von Schritten

   Es kann überwältigend erscheinen, wenn alles auf einmal durchgeführt werden soll, aber die parallele Ausführung einiger Schritte bietet sich immer an. Mitarbeiter in verschiedenen Teams können gleichzeitig an Aufgaben arbeiten (z. B. Sicherungsteam, Endpunktteam, Identitätsteam), während gleichzeitig die Phasen in prioritärer Reihenfolge abgeschlossen werden.

Die Punkte in den Implementierungsprüflisten sind in der empfohlenen Priorisierungsreihenfolge aufgeführt, nicht in der Reihenfolge der technischen Abhängigkeiten. Nutzen Sie die Prüflisten, um Ihre vorhandene Konfiguration je nach Bedarf zu bestätigen und zu ändern, und setzen Sie sie so ein, wie dies für Ihre Organisation am besten geeignet ist. Beispielsweise kann es sein, dass Sie unter dem wichtigsten Sicherungselement einige Systeme sichern, die aber nicht offline oder unveränderlich sind. Es kann auch sein, dass Sie nicht alle Wiederherstellungsverfahren des Unternehmens testen, oder Sie verfügen ggf. nicht über Sicherungen kritischer Geschäftssysteme oder IT-Systeme, z. B. AD DS-Domänencontroller (Active Directory Domain Services).

Hinweis

Eine zusätzliche Zusammenfassung dieses Prozesses finden Sie im Beitrag 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021) des Blogs zur Microsoft-Sicherheit.

Phase 1. Vorbereiten des Wiederherstellungsplans

In dieser Phase soll der monetäre Anreiz für Ransomware-Angreifer minimiert werden, indem Folgendes durchgeführt wird:

• Deutliches Erschweren des Zugriffs auf und der Störung von Systemen oder der Verschlüsselung/Beschädigung von wichtigen Daten der Organisation
• Vereinfachen des Verfahrens für Ihre Organisation, mit dem nach einem Angriff die Wiederherstellung durchgeführt werden kann, ohne das Lösegeld zu zahlen

Hinweis

Obwohl die Wiederherstellung vieler oder aller Unternehmenssysteme ein schwieriges Unterfangen ist, ist die Alternative, einen Angreifer für einen Wiederherstellungsschlüssel zu bezahlen, den er möglicherweise liefert oder nicht, und die Verwendung von Tools, die von den Angreifern geschrieben wurden, um Systeme und Daten wiederherzustellen.

Phase 2. Begrenzen des Schadensumfangs

Erzielen Sie eine deutliche Erhöhung des Aufwands, der von Angreifern betrieben werden muss, um Zugriff auf mehrere unternehmenskritische Systeme über Rollen mit privilegiertem Zugriff zu erhalten. Indem Sie es für Angreifer erschweren, privilegierten Zugriff zu erhalten, können diese weniger leicht von einem Angriff auf Ihre Organisation profitieren. Dies erhöht die Wahrscheinlichkeit, dass sie aufgeben und sich andere Ziele suchen.

Phase 3 Erschweren des Zugangs

Diese letzte Gruppe von Aufgaben ist wichtig, um Eindringversuche zu erschweren. Die Durchführung dauert aber einige Zeit und ist Teil des weiteren Ausbaus der Sicherheitsmaßnahmen. Das Ziel dieser Phase besteht darin, die Arbeit der Angreifer erheblich zu erschweren, da sie versuchen, an den verschiedenen gemeinsamen Einstiegspunkten Zugriff auf Ihre lokalen oder Cloudinfrastrukturen zu erhalten . Hierfür müssen viele Aufgaben erledigt werden. Daher ist es wichtig, Ihre Arbeit an dieser Stelle basierend darauf zu priorisieren, wie schnell Sie diese Aufgaben mit Ihren derzeitigen Ressourcen abarbeiten können.

Viele davon sind zwar vertraut und leicht zu erledigen, aber es ist von entscheidender Bedeutung, dass Ihre Arbeit an Phase 3 Ihren Fortschritt in den Phasen 1 und 2 nicht verlangsamen sollte!

Ransomware-Schutz auf einen Blick

Eine Übersicht über die Phasen und ihre Implementierungsprüflisten als Schutzstufen gegen Ransomwareangreifer finden Sie auch auf dem Poster Schützen Ihrer Organisation vor Ransomware.

Nächster Schritt

Beginnen Sie mit Phase 1, um Ihre Organisation auf die Wiederherstellung nach einem Angriff vorzubereiten, ohne das Lösegeld bezahlen zu müssen.

Zusätzliche Ressourcen zu Ransomware

Wichtige Informationen von Microsoft:

• Die wachsende Bedrohung durch Ransomware, Blogbeitrag auf Microsoft On the Issues vom 20. Juli 2021
• Von Menschen platzierte Ransomware
• Microsoft Digital Defense Bericht 2021 (siehe Seiten 10 bis 19)
• Ransomware: Ein allgegenwärtiger und fortlaufender Bedrohungsanalysebericht im Microsoft 365 Defender-Portal
• Microsofts Erkennungs- und Reaktionsteam (DART) Ransomware-Ansatz und Fallstudie

Microsoft 365:

• Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
• Schutz vor Schadsoftware und Ransomware in Microsoft 365
• Schützen Ihres Windows 10-PCs vor Ransomware
• Behandeln von Ransomware in SharePoint Online
• Bedrohungsanalyseberichte für Ransomware im Microsoft 365 Defender-Portal

Microsoft 365 Defender:

• Suchen nach Ransomware mit erweitertem Hunting

Microsoft Azure:

• Azure-Schutzmaßnahmen für Ransomware-Angriffe
• Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
• Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
• Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
• Wiederherstellen nach kompromittierter Systemidentität
• Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
• Fusion-Erkennung für Ransomware in Microsoft Sentinel

Microsoft Defender for Cloud Apps:

• Erstellen von Anomalieerkennungsrichtlinien in Defender für Cloud Apps

Blogbeiträge des Microsoft-Sicherheitsteams:

• 3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021)

• Ein Leitfaden zur Bekämpfung der vom Menschen betriebenen Ransomware: Teil 1 (September 2021)

  Wichtige Schritte zur Durchführung von Ransomware-Incident-Untersuchungen durch das Erkennungs- und Reaktionsteam (DART) von Microsoft.

• Ein Leitfaden zur Bekämpfung der vom Menschen betriebenen Ransomware: Teil 2 (September 2021)

  Empfehlungen und bewährte Methoden.

• Resilienz durch Verstehen von Cybersicherheitsrisiken: Teil 4 – Umgang mit aktuellen Bedrohungen (Mai 2021)

  Weitere Informationen finden Sie im Abschnitt Ransomware.

• Von Menschen durchgeführte Ransomware-Angriffe: Ein vermeidbarer Notfall (März 2020)

  Enthält Analysen der Angriffskette für tatsächliche Angriffe.

• Ransomware-Antwort - zu bezahlen oder nicht zu bezahlen? (Dezember 2019)

• Transparente Reaktion auf Ransomware-Angriffe von Norsk Soll (Dezember 2019)