Schützen Sie sich vor Ransomware-Angriffen
In dieser Phase erschweren Sie es Bedrohungsakteuren, in Ihre Systeme vor Ort oder in der Cloud einzudringen, indem Sie die Risiken an den Eintrittspunkten schrittweise beseitigen.
Obwohl viele dieser Änderungen bekannt und einfach umzusetzen sein werden, ist es äußerst wichtig, dass Ihre Arbeit an diesem Teil der Strategie Ihre Fortschritte bei den anderen, äußerst wichtigen Teilen nicht verlangsamt!
Hier sind die Links für den dreiteiligen Ransomware-Präventionsplan:
Remotezugriff
Der Zugriff auf das Intranet Ihrer Organisation über eine Remotezugriffsverbindung ist ein Angriffsvektor für Ransomware-Bedrohungsakteure.
Sobald ein lokales Benutzerkonto kompromittiert wurde, kann ein Bedrohungsakteur ein Intranet nutzen und Business Intelligence sammeln, Berechtigungen erhöhen und Ransomware installieren. Der Cyberangriff im Jahr 2021 auf Colonial Pipeline ist ein Beispiel.
Verantwortlichkeiten der Programm- und Projektmitglieder für den Remote-Zugriff
In dieser Tabelle wird der allgemeine Schutz Ihrer Remotezugriffslösung vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben, um Ergebnisse zu ermitteln und zu fördern.
| Lead | Implementierung | Verantwortlichkeit |
|---|---|---|
| CISO oder CIO | Führungskräfte-Sponsorship | |
| Programmlead des Teams „Zentrale IT-Abteilung – Infrastruktur/Netzwerk“ | Fördern von Ergebnissen und teamübergreifender Zusammenarbeit | |
| IT- und Sicherheitsarchitekten | Priorisieren der Komponentenintegration in Architekturen | |
| Team „Zentrale IT-Abteilung – Identität“ | Konfigurieren Sie Microsoft Entra ID und Richtlinien für den bedingten Zugriff | |
| Zentrale IT-Abteilung – Operations | Implementieren von Änderungen an der Umgebung | |
| Workloadbesitzer | Unterstützung bei RBAC-Berechtigungen für die Veröffentlichung von Apps | |
| Sicherheitsrichtlinien und -standards | Aktualisieren von Standards und Richtliniendokumenten | |
| Sicherheitscomplianceverwaltung | Überwachung zur Gewährleistung der Compliance | |
| Team „Benutzerschulung“ | Aktualisieren aller Anleitungen zu Workflowänderungen und Durchführen von Schulungen und Änderungsverwaltung |
Checkliste zur Umsetzung des Remote-Zugriffs
Wenden Sie diese bewährten Methoden an, um Ihre Remotezugriffsinfrastruktur vor Ransomware-Bedrohungsakteuren zu schützen.
| Fertig | Aufgabe | BESCHREIBUNG |
|---|---|---|
| Verwalten von Software- und Applianceupdates. Sie sollten keine Herstellerschutzmaßnahmen (Sicherheitsupdates, Supportstatus) auslassen oder ablehnen. | Bedrohungsakteure verwenden bekannte Sicherheitsrisiken, die als Angriffsvektor noch nicht gepatcht wurden. | |
| Konfigurieren Sie Microsoft Entra ID für den vorhandenen Remotezugriff, indem Sie die Benutzer- und Gerätevalidierung Zero Trust mit bedingtem Zugriff erzwingen. | Zero Trust bietet mehrere Ebenen zum Absichern des Zugriffs auf Ihre Organisation. | |
| Konfigurieren der Sicherheit für vorhandene VPN-Lösungen von Drittanbietern (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA), und mehr). | Nutzen Sie die integrierte Sicherheit Ihrer Remotezugriffslösung. | |
| Stellen Sie das Azure-P2S-VPN (Point-to-Site) für den Remotezugriff bereit. | Profitieren Sie von der Integration mit Microsoft Entra ID und Ihren bestehenden Azure-Abonnements. | |
| Veröffentlichen Sie lokale Webanwendungen mit dem Microsoft Entra-Anwendungsproxy. | Mit dem Microsoft Entra-Anwendungsproxy veröffentlichte Apps benötigen keine Remote-Zugriffsverbindung. | |
| Sichern Sie den Zugriff auf Azure-Ressourcen mit Azure Bastion ab. | Stellen Sie sichere und nahtlose Verbindung mit Ihren virtuellen Azure-Computern über SSL her. | |
| Überprüfen und überwachen Sie Ihr System, um Abweichungen von der Baseline sowie potenzielle Angriffen zu finden und zu beheben (siehe Erkennung und Reaktion). | Reduzieren des Risikos durch Ransomwareaktivitäten, die grundlegende Sicherheitsfeatures und -einstellungen sondieren. |
E-Mail und Zusammenarbeit
Implementieren Sie bewährte Methoden für E-Mail- und Zusammenarbeitslösungen, um Bedrohungsakteuren den Missbrauch zu erschweren und gleichzeitig Ihren Mitarbeitern den einfachen und sicheren Zugriff auf externe Inhalte zu ermöglichen.
Bedrohungsakteure gelangen häufig in die Umgebung, indem sie schädliche Inhalte getarnt in autorisierten Tools für die Zusammenarbeit einführen, z. B. E-Mail- und Dateifreigaben, und die Benutzer dazu bringen, diese Inhalte auszuführen. Microsoft hat in verbesserte Gegenmaßnahmen investiert, die den Schutz vor diesen Angriffsvektoren deutlich erhöhen.
Verantwortlichkeiten der Programm- und Projektmitglieder für E-Mail und Zusammenarbeit
In dieser Tabelle wird der allgemeine Schutz Ihrer E-Mail- und Zusammenarbeitslösungen vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben, um Ergebnisse zu ermitteln und zu fördern.
| Lead | Implementierung | Verantwortlichkeit |
|---|---|---|
| CISO, CIO oder Identity Director | Führungskräfte-Sponsorship | |
| Programmlead des Teams „Sicherheitsarchitektur“ | Fördern von Ergebnissen und teamübergreifender Zusammenarbeit | |
| IT-Architekten | Priorisieren der Komponentenintegration in Architekturen | |
| Team „Cloudproduktivität“ oder „Endbenutzer“ | Aktivieren von Defender für Office 365, Azure Site Recovery und AMSI | |
| Sicherheitsarchitektur / Infrastruktur und Endpunkt | Konfigurationsunterstützung | |
| Team „Benutzerschulung“ | Aktualisieren der Anleitung zu Workflowänderungen | |
| Sicherheitsrichtlinien und -standards | Aktualisieren von Standards und Richtliniendokumenten | |
| Sicherheitscomplianceverwaltung | Überwachung zur Gewährleistung der Compliance |
Checkliste zur Implementierung von E-Mail und Zusammenarbeit
Wenden Sie diese bewährten Methoden an, um Ihre E-Mail- und Zusammenarbeitslösungen vor Ransomware-Bedrohungsakteuren zu schützen.
| Fertig | Aufgabe | BESCHREIBUNG |
|---|---|---|
| Aktivieren Sie AMSI für Office VBA. | Erkennen Sie Office-Makroangriffen mit Endpunkttools wie Defender für Endpoint. | |
| Implementieren Sie erweiterte E-Mail-Sicherheit mit Defender für Office 365 oder einer ähnlichen Lösung. | E-Mail ist ein häufiger Einstiegspunkt für Bedrohungsakteure. | |
| Stellen Sie Regeln zur Verringerung der Angriffsfläche (Azure Site Recovery) bereit, um gängige Angriffstechniken zu blockieren, darunter: – Missbrauch von Endpunkten, z. B. Diebstahl von Anmeldeinformationen, Ransomwareaktivitäten sowie verdächtige Verwendung von PsExec und WMI. – Als Waffe verwendete Office-Dokumentaktivität, wie z. B. erweiterte Makroaktivitäten, ausführbare Inhalte, Prozesserstellung und Prozessinjektion, die von Office-Anwendungen initiiert werden. Hinweis: Stellen Sie diese Regeln zuerst im Überwachungsmodus bereit, bewerten Sie anschließend alle negativen Auswirkungen, und stellen Sie sie dann im Sperrmodus bereit. |
Azure Site Recovery bietet zusätzliche Schutzebenen, die speziell auf die Entschärfung gängiger Angriffsmethoden ausgerichtet sind. | |
| Überprüfen und überwachen Sie Ihr System, um Abweichungen von Baselines sowie potenzielle Angriffen zu finden und zu beheben (siehe Erkennung und Reaktion). | Reduziert das Risiko durch Ransomwareaktivitäten, die grundlegende Sicherheitsfeatures und -einstellungen auf die Probe stellen. |
Endpunkte
Implementieren Sie relevante Sicherheitsfeatures, und befolgen Sie für Endpunkte (Geräte) und Anwendungen streng die bewährten Methoden für die Softwarewartung, wobei Sie Anwendungen und Server-/Clientbetriebssysteme priorisieren, die direkt für Internetdatenverkehr und -inhalte verfügbar sind.
Im Internet verfügbar gemachte Endpunkte sind ein gängiger Einstiegsvektor, der Bedrohungsakteuren Zugriff auf die Ressourcen der Organisation bietet. Priorisieren Sie das Blockieren gängiger Schwachstellen in Betriebssystemen und Anwendungen mit vorbeugenden Kontrollen, um die Ausführung der nächsten Phasen zu verlangsamen oder zu verhindern.
Verantwortlichkeiten von Programm- und Projektmitgliedern für Endpunkte
In dieser Tabelle wird der allgemeine Schutz Ihrer Endpunkte vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben, um Ergebnisse zu ermitteln und zu fördern.
| Lead | Implementierung | Verantwortlichkeit |
|---|---|---|
| Die Unternehmensführung ist für die geschäftlichen Auswirkungen von Ausfallzeiten und Angriffsschäden verantwortlich. | Führungskräfte-Sponsorship (Wartung) | |
| Zentrale IT-Abteilung – Operations oder CIO | Führungskräfte-Sponsorship (sonstige) | |
| Programmlead des Teams „Zentrale IT-Abteilung – Infrastruktur“ | Fördern von Ergebnissen und teamübergreifender Zusammenarbeit | |
| IT- und Sicherheitsarchitekten | Priorisieren der Komponentenintegration in Architekturen | |
| Zentrale IT-Abteilung – Operations | Implementieren von Änderungen an der Umgebung | |
| Team „Cloudproduktivität“ oder „Endbenutzer“ | Aktivieren der Verringerung der Angriffsfläche | |
| Workload-/App-Besitzer | Identifizieren von Wartungsfenstern für Änderungen | |
| Sicherheitsrichtlinien und -standards | Aktualisieren von Standards und Richtliniendokumenten | |
| Sicherheitscomplianceverwaltung | Überwachung zur Gewährleistung der Compliance |
Checkliste zur Implementierung für Endpunkte
Wenden Sie diese bewährten Methoden auf alle Windows-, Linux-, macOS-, Android-, iOS- und anderen Endpunkte an.
| Fertig | Aufgabe | Beschreibung |
|---|---|---|
| Blockieren Sie bekannte Bedrohungen durch Regeln zur Verringerung der Angriffsfläche, Manipulationsschutz und Blockieren beim ersten Auftreten. | Lassen Sie nicht zu, dass die fehlende Verwendung dieser integrierten Sicherheitsfeatures der Grund dafür ist, dass ein Angreifer in Ihre Organisation eindringen kann. | |
| Wenden Sie Sicherheitsbaselines an, um Windows-Server, Windows-Clients und Office-Anwendungen mit Internetzugriff zu härten. | Schützen Sie Ihre Organisation mit dem minimalen Sicherheitsniveau, und fahren Sie von dort aus fort. | |
| Pflegen Sie Ihre Software so, dass sie: – Aktualisiert: Schnelle Bereitstellung wichtiger Sicherheitsupdates für Betriebssysteme, Browser und E-Mail-Clients – Unterstützt: Aktualisieren Sie Betriebssysteme und Software stets auf die von den Anbietern unterstützten Versionen. |
Angreifer zählen darauf, dass Sie Herstellerupdates und -upgrades auslassen oder ablehnen. | |
| Unsichere Systeme und Protokolle, einschließlich nicht unterstützte Betriebssysteme und veraltete Protokolle sollten Sie isolieren, deaktivieren oder stilllegen. | Angreifer verwenden bekannte Sicherheitsrisiken von älteren Geräten, Systemen und Protokollen als Einstiegspunkte in Ihre Organisation. | |
| Blockieren Sie unerwarteten Datenverkehr mit hostbasiertem Firewall- und Netzwerkschutz. | Einige Angriffe mit Schadsoftware nutzen nicht angefordertem eingehenden Datenverkehr zu Hosts, um eine Verbindung für einen Angriff herzustellen. | |
| Überprüfen und überwachen Sie Ihr System, um Abweichungen von Baselines sowie potenzielle Angriffen zu finden und zu beheben (siehe Erkennung und Reaktion). | Reduziert das Risiko durch Ransomwareaktivitäten, die grundlegende Sicherheitsfeatures und -einstellungen auf die Probe stellen. |
Konten
Ebenso wie die einfachen Haustürschlüssel das Haus nicht vor einem modernen Einbrecher schützen, können Kennwörter keine Konten vor häufigen Angriffe schützen, wie sie heutzutage vorkommen. Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) war einmal ein mühsamer zusätzlicher Schritt; heute verbessert die kennwortlose Authentifizierung die Anmeldeerfahrung mit biometrischen Ansätzen, bei denen die Benutzer*innen sich kein Kennwort merken oder eines eingeben müssen. Darüber hinaus werden bei einer Zero Trust-Infrastruktur Informationen zu vertrauenswürdigen Geräten gespeichert, um die Anzahl von störenden Aufforderungen zu Out-of-Band-MFA-Aktionen zu reduzieren.
Halten Sie sich, ausgehend von Administratorkonten mit hohen Rechten, strikt an diese bewährten Methoden für Kontosicherheit, beispielsweise der Verwendung von kennwortloser Authentifizierung oder MFA.
Verantwortlichkeiten der Programm- und Projektmitglieder für Konten
In dieser Tabelle wird der allgemeine Schutz Ihrer Konten vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben, um Ergebnisse zu ermitteln und zu fördern.
| Lead | Implementierung | Verantwortlichkeit |
|---|---|---|
| CISO, CIO oder Identity Director | Führungskräfte-Sponsorship | |
| Programmlead des Teams „Identitäts- und Schlüsselverwaltung“ oder „Sicherheitsarchitektur“ | Fördern von Ergebnissen und teamübergreifender Zusammenarbeit | |
| IT- und Sicherheitsarchitekten | Priorisieren der Komponentenintegration in Architekturen | |
| Identitäts- und Schlüsselverwaltung oder Zentrale IT-Abteilung – Operations | Implementieren von Konfigurationsänderungen | |
| Sicherheitsrichtlinien und -standards | Aktualisieren von Standards und Richtliniendokumenten | |
| Sicherheitscomplianceverwaltung | Überwachung zur Gewährleistung der Compliance | |
| Team „Benutzerschulung“ | Aktualisieren von Kennwort- oder Anmeldeanleitungen und Durchführen von Schulungen und Änderungsverwaltung |
Checkliste zur Implementierung für Konten
Wenden Sie diese bewährten Methoden an, um Ihre Konten vor Ransomwareangreifern zu schützen.
| Fertig | Aufgabe | BESCHREIBUNG |
|---|---|---|
| Erzwingen Sie eine sichere MFA- oder kennwortlose Anmeldung für alle Benutzer. Beginnen Sie mit Administrator- und Prioritätskonten mit mindestens einem der folgenden Optionen: – Kennwortlose Authentifizierung mit Windows Hello oder der Microsoft Authenticator-App. - Multi-Faktor-Authentifizierung. - Eine MFA-Lösung eines Drittanbieters. |
Erschweren Sie einem Angreifer die Kompromittierung von Anmeldeinformationen durch bloßes Ermitteln des Kennworts eines Benutzerkontos. | |
| Kennwortsicherheit erhöhen: - Verwenden Sie für Microsoft Entra-Konten den Microsoft Entra Kennwortschutz, um bekannte schwache Kennwörter und zusätzliche schwache Begriffe, die spezifisch für Ihre Organisation sind, zu erkennen und zu blockieren. - Für lokale Active Directory Domain Services (AD DS)-Konten Erweitern Sie den Microsoft Entra-Kennwortschutz auf AD DS-Konten. |
Stellen Sie sicher, dass Angreifer keine gängigen Kennwörter oder Kennwörter basierend auf dem Namen Ihrer Organisation erraten können. | |
| Überprüfen und überwachen Sie Ihr System, um Abweichungen von Baselines sowie potenzielle Angriffen zu finden und zu beheben (siehe Erkennung und Reaktion). | Reduziert das Risiko durch Ransomwareaktivitäten, die grundlegende Sicherheitsfeatures und -einstellungen auf die Probe stellen. |
Implementierungsergebnisse und Zeitachsen
Versuchen Sie, diese Ergebnisse innerhalb von 30 Tagen zu erzielen:
100 % der Mitarbeiter nutzen aktiv MFA
Bereitstellung einer höheren Kennwortsicherheit zu 100 %
Zusätzliche Ressourcen zu Ransomware
Wichtige Informationen von Microsoft:
Moonstone Sleet entsteht als neuer nordkoreanischer Bedrohungsakteur mit neuen Tricks, Microsoft Blog, Mai 2024
Microsoft Digital Defense-Bericht 2023 (siehe Seiten 17 bis 26)
Bericht zur Bedrohungsanalyse Ransomware: Eine weit verbreitete und fortlaufende Bedrohung im Microsoft Defender-Portal
Microsoft Incident Response Team (früher DART) – Ransomware-Ansatz und Fallstudie
Microsoft 365:
- Bereitstellen von Schutz vor Ransomware für Ihren Microsoft 365-Mandanten
- Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
- Wiederherstellen nach einem Ransomware-Angriff in Microsoft Office 365
- Schutz vor Schadsoftware und Ransomware in Microsoft 365
- Schützen Ihres Windows 10-PCs vor Ransomware
- Behandeln von Ransomware in SharePoint Online
- Analyseberichte zur Bedrohung durch Ransomware im Microsoft Defender-Portal
Microsoft Defender XDR:
Microsoft Azure:
- Azure-Schutzmaßnahmen für Ransomware-Angriffe
- Maximieren der Resilienz gegen Ransomware mit Azure und Microsoft 365
- Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware
- Schutz vor Ransomware mit Microsoft Azure Backup (26-minütiges Video)
- Wiederherstellen nach kompromittierter Systemidentität
- Erweiterte mehrstufige Angriffserkennung in Microsoft Sentinel
- Fusion-Erkennung für Ransomware in Microsoft Sentinel
Microsoft Defender for Cloud-Apps:
Blogbeiträge des Microsoft-Sicherheitsteams:
3 Schritte zum Verhindern von und Wiederherstellen nach Ransomware-Angriffen (September 2021)
Ein Leitfaden zur Bekämpfung von durch Menschen verursachter Ransomware: Teil 1 (September 2021)
Wichtige Schritte dazu, wie das Detection and Response Team (DART) von Microsoft Untersuchungen zu Ransomware-Vorfällen durchführt.
Ein Leitfaden zur Bekämpfung von durch Menschen verursachter Ransomware: Teil 2 (September 2021)
Empfehlungen und bewährte Methoden.
-
Weitere Informationen finden Sie im Abschnitt Ransomware.
Von Menschen durchgeführte Ransomware-Angriffe: Ein vermeidbarer Notfall (März 2020)
Enthält Analysen der Angriffskette für tatsächliche Angriffe.
Reaktion auf Ransomware – zahlen oder nicht zahlen? (Dezember 2019)
Transparente Reaktion auf Ransomware-Angriffe von Norsk Soll (Dezember 2019)