RaMP Checkliste - Ransomware-Wiederherstellungsbereitschaft

Diese Checkliste für die schnelle Modernisierung (RaMP) hilft Ihnen, Ihre Organisation vorzubereiten, damit es eine geeignete Alternative zum Bezahlen des Lösegelds hat, das von Ransomware-Angreifern gefordert wird. Angreifer, die die Kontrolle über Ihre Organisation erlangt haben, haben unterschiedliche Möglichkeiten, eine Zahlung von Ihnen zu erpressen. Meist bewegen sich die Forderungen aber in den folgenden beiden Bereichen:

  • Zahlen, um den Zugriff wiederzuerlangen

    Angreifer fordern eine Zahlung basierend auf der Drohung, dass sie Ihnen sonst den Zugriff auf Ihre Systeme und Daten nicht gewähren. Hierfür werden in den meisten Fällen Ihre Systeme und Daten verschlüsselt, und es wird eine Zahlung gefordert, um den Schlüssel für die Entschlüsselung zu erhalten.

    Wichtig

    Die Zahlung des Lösegelds ist keine so einfache und saubere Lösung, wie dies vielleicht erscheint. Da Sie es mit Kriminellen zu tun haben, deren einziges Ziel der Erhalt Ihrer Zahlung ist (und die häufig Amateure sind, die ein von einer anderen Person bereitgestelltes Toolkit nutzen), ist die Unsicherheit hoch, wie gut das Zahlen des Lösegelds wirklich funktioniert. Es gibt keine rechtliche Garantie, dass die Angreifer einen Schlüssel bereitstellen, mit dem Sie Ihre gesamten Systeme und Daten vollständig entschlüsseln können, bzw. dass Sie überhaupt einen Schlüssel erhalten. Beim Prozess zum Entschlüsseln dieser Systeme werden selbst entwickelte Tools der Angreifer genutzt, und dies ist häufig mit einem umständlichen und manuellen Prozess verbunden.

  • Zahlen, um die Offenlegung zu vermeiden

    Angreifer verlangen eine Zahlung, mit der Sie verhindern sollen, dass vertrauliche oder heikle Daten im Darknet (für andere Kriminelle) oder für die Öffentlichkeit bereitgestellt werden.

Um die Zahlung zu vermeiden (die profitable Situation für Angreifer), ist die sofortige und effektive Aktion, die Sie ergreifen können, besteht darin, sicherzustellen, dass Ihre Organisation Ihr gesamtes Unternehmen aus unveränderlichem Speicher wiederherstellen kann, der noch nicht durch einen Ransomware-Angriff infiziert oder verschlüsselt wurde, was weder der Angreifer noch Sie ändern können.

Die Ermittlung der Ressourcen mit dem höchsten Vertraulichkeitsgrad und deren Schutz auf einer höheren Sicherheitsebene ist ebenfalls von entscheidender Bedeutung. Dieser Prozess erfordert aber mehr Zeit und Aufwand. Wir möchten nicht, dass Sie andere Bereiche aufnehmen, aber wir empfehlen Ihnen, den Prozess zu starten, indem Sie Unternehmen, IT und Sicherheitsbeteiligte zusammenbringen, um Fragen wie:

  • Welche Geschäftsressourcen wären mit dem größten Schaden verbunden, wenn sie kompromittiert werden? Beispielsweise, welche Vermögenswerte würden Unternehmensführung bereit sein, eine Erpressungsnachfrage zu zahlen, wenn Angreifer sie kontrollierten?
  • Wie übersetzen diese Geschäftsressourcen in IT-Ressourcen wie Dateien, Anwendungen, Datenbanken und Server?
  • Wie können wir diese Ressourcen schützen oder isolieren, damit Angreifer, die sich Zugang zur allgemeinen IT-Umgebung verschafft haben, nicht darauf zugreifen können?

Schützen der Sicherungskopien

Sie müssen sicherstellen, dass kritische Systeme und ihre Daten gesichert werden und unveränderlich sind, um vor absichtlicher Löschung oder Verschlüsselung durch einen Angreifer zu schützen. Die Sicherungen dürfen nicht bereits von einem Ransomware-Angriff infiziert oder verschlüsselt worden sein, andernfalls stellen Sie eine Reihe von Dateien wieder her, die Einstiegspunkte für die Angreifer enthalten könnten, um nach der Wiederherstellung auszunutzen.

Bei Angriffen auf Ihre Sicherungen soll es Ihrer Organisation erschwert bzw. verhindert werden, dass eine Möglichkeit zur Reaktion besteht, ohne dass die Zahlung geleistet wird. Das Ziel sind hierbei häufig Sicherungen und wichtige Dokumentationen, die für die Wiederherstellung benötigt werden, um Sie zum Zahlen des geforderten Lösegelds zu zwingen.

Die meisten Organisationen verfügen nicht über einen Schutz ihrer Sicherungs- und Wiederherstellungsverfahren vor dieser Art von gezielten Angriffen.

Hinweis

Diese Vorbereitungsmaßnahmen führen auch zu einer verbesserten Resilienz in Bezug auf Naturkatastrophen und plötzlich auftretende Angriffe wie WannaCry und (Not)Petya.

Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware-Adressen, was vor einem Angriff zu tun ist, um Ihre kritischen Geschäftssysteme und während eines Angriffs zu schützen, um eine schnelle Wiederherstellung Ihrer Geschäftsvorgänge mithilfe von Azure Backup und anderen Microsoft-Clouddiensten sicherzustellen. Wenn Sie eine offsite-Sicherungslösung verwenden, die von einem Drittanbieter bereitgestellt wird, lesen Sie ihre Dokumentation.

Verantwortlichkeiten von Programm- und Projektmitgliedern

In dieser Tabelle wird der allgemeine Schutz Ihrer Daten vor Ransomware im Hinblick auf eine Sponsorship-/Programmverwaltungs-/Projektverwaltungshierarchie beschrieben. Sie dient als Hilfe beim Ermitteln und Erzielen von Ergebnissen.

Lead Besitzer Verantwortlichkeit
Zentrale IT-Abteilung – Operations oder CIO Sponsorship durch Führungskräfte:
Programmlead aus zentraler IT-Abteilung – Infrastruktur Fördern von Ergebnissen und teamübergreifender Zusammenarbeit
Infrastruktur-/Sicherungstechniker Ermöglichen einer Sicherung der Infrastruktur
Microsoft 365-Administratoren Implementieren von Änderungen an Microsoft 365-Mandant für OneDrive und geschützte Ordner
Sicherheitstechniker Beratung zu Konfiguration und Standards
IT-Administrator Aktualisieren von Standards und Richtliniendokumenten
Sicherheitsgovernance und/oder IT-Admin Überwachung zur Gewährleistung der Compliance
Team „Benutzerschulung“ Sicherstellen von Anleitungen für Benutzer, die die Verwendung von OneDrive und geschützten Ordnern empfehlen

Kurzfristige Bereitstellungsziele

Erfüllen Sie diese Bereitstellungsziele, um Ihre Sicherungsinfrastruktur zu sichern.

Fertig Bereitstellungsziel Besitzer
1. Schützen Sie unterstützende Dokumente, die für die Wiederherstellung erforderlich sind, z. B. Wiederherstellungsprozedurdokumente, Ihre Konfigurationsverwaltungsdatenbank (CMDB) und Netzwerkdiagramme. IT-Architekt oder Implementierung
2. Stellen Sie einen Prozess fest, um alle kritischen Systeme automatisch in einem regelmäßigen Zeitplan zu sichern und die Einhaltung zu überwachen. IT-Sicherungsadministrator
3. Richten Sie Prozess und Zeitplan ein, um Ihren Geschäftskontinuitäts-/Notfallwiederherstellungsplan (BC/DR) regelmäßig durchzuführen. IT-Architekt
4. Schließen Sie den Schutz von Sicherungen vor absichtlicher Löschung und Verschlüsselung in Ihren Sicherungsplan ein:

- Starker Schutz – Erfordern von Out-of-Band-Schritten (z. B. mehrstufige Authentifizierung oder PIN) vor dem Ändern von Onlinesicherungen (z. B. Azure Backup).

- Höchster Schutz: Speichern von Sicherungen in unveränderlichem Onlinespeicher (z. B. Azure Blob) bzw. vollständig offline oder an einem anderen Standort
IT-Sicherungsadministrator
5. Konfigurieren Sie Ihre Benutzer oneDrive-Sicherung und geschützte Ordner. Microsoft 365-Produktivitätsadministrator

Nächster Schritt

Setzen Sie die Daten-, Compliance- und Governanceinitiative mit Schritt 3 fort. Daten.