8 Best Practices für Cyber-Resilienz

Begeben Sie sich mit diesen 8 Best Practices auf den Weg zu echter Cyber-Resilienz.

1. Allzeit bereit

Ihre erste Aufgabe besteht darin, ein funktionsübergreifendes Team für die Resilienz gegen Ransomware mit allen Stakeholdern aufzubauen. Vorfälle mit Ransomware betreffen das gesamte Unternehmen. Daher ist es von entscheidender Bedeutung, dass jeder seine Rolle bei einem Cyberangriff kennt. Führen Sie eine realistische Tabletop-Übung mit allen Stakeholdern durch, erstellen Sie eine unternehmensweite Ransomware-Richtlinie (und halten Sie diese aktuell), und definieren Sie Ihre Strategien für Cyber-Backups und operative Resilienz.

2. Seien Sie proaktiv

Verschaffen Sie sich ein Verständnis über Ransomware-Akteure und deren Tools, Techniken und Vorgehensweisen (TTPs), indem Sie branchenspezifische oder regionale Bedrohungsinformationen einholen. Dokumentieren Sie die Kontaktdaten aller Mitglieder Ihres Reaktionsteams und halten Sie diese auf dem neuesten Stand, idealerweise über einen separaten Kommunikationskanal. Richten Sie einen Kanal ein, um Ransomware-ähnliches Verhalten zu melden. Stellen Sie ein Team für die Reaktion auf Cyberkrisen zusammen und beauftragen Sie gegebenenfalls ein Unternehmen, das auf die Bewältigung solcher Vorfälle spezialisiert ist.

3. Reduzieren Sie die Angriffsfläche

Ermitteln und beheben Sie kritische Schwachstellen von Assets. Rüsten Sie Ihre Systeme auf und priorisieren Sie dabei die kritischen Systeme und Angriffsvektoren, die von Ransomware-Banden genutzt werden. Stellen Sie sicher, dass die Anmeldedaten und Zugriffsrechte auf allen Systemen nach dem Prinzip der geringsten Privilegien verwaltet werden. Sorgen Sie für eine Netzwerksegmentierung, um die Ausbreitung von Ransomware einzudämmen und laterale Bewegungen leichter zu erkennen. Ermitteln Sie außerdem unzureichend gesicherte Datenspeicher mit sensiblen Daten in Ihrem Unternehmen.

4. Schützen Sie Ihre Backups

Vergewissern Sie sich, dass die Backup-Systeme über ausreichendes „Air Gapping“ verfügen, getrennte Aufgaben haben und unveränderliche Datenspeicher verwenden, die verhindern, dass sie von Angreifern beschädigt oder gelöscht werden können. Verwenden Sie Multifaktor-Authentifizierung (MFA) für Backup-Administratorkonten und rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC). Erstellen und pflegen Sie Golden Masters kritischer Systeme, um den Wiederaufbau zu beschleunigen. Stellen Sie außerdem sicher, dass Ihr Backup-System die Cybersicherheitsfunktionen unterstützen kann, die für die Reaktion auf einen Ransomware-Vorfall erforderlich sind.

5. Verbessern Sie Ihren Schutz vor Ransomware

Identifizieren Sie Lücken in der Abdeckung Ihrer bestehenden präventiven und detektiven Sicherheitsmaßnahmen gegenüber den von Ransomware-Gruppen eingesetzten ATT&CK-Techniken. Implementieren Sie die Erkennung von Anomalien im Dateisystem von Endgeräten, die Ransomware- und Wiper-Angriffen entsprechen, wie z. B. die Verschlüsselung oder Löschung von Dateien. Implementieren Sie E-Mail-Gateway-Filter, um E-Mails mit bekannten bösartigen Indikatoren zu blockieren. Verwenden Sie Anwendungen, die das Auflisten/Whitelisting von kritischen Assets ermöglichen, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann.

6. Verbessern Sie die Erkennung von Ransomware

Nutzen Sie historische Daten proaktiv, um Schwachstellen zu identifizieren. Implementieren Sie einen Mechanismus für ungewöhnliche Änderungen der CPU- und Festplattenauslastung. Ermitteln Sie ungewöhnliche Netzwerkprotokolle, einschließlich I2P oder TOR, die bekanntermaßen von Ransomware-Banden verwendet werden. Identifizieren Sie Netzwerkverbindungen anhand bekannter Ports oder Ziele, die in Ransomware und Wiper Command & Control verwendet werden.

7. Reagieren Sie auf den Zwischenfall

Identifizieren und gruppieren Sie ähnliche Warnmeldungen, die sich auf die betroffenen Assets beziehen. Erstellen Sie eine erste Verlustprognose (Ausbreitungsradius) für den Vorfall. Ermitteln Sie Staging-Umgebungen, die für die Datenexfiltration genutzt werden, und isolieren Sie infizierte Hosts sowohl von kabelgebundenen als auch von drahtlosen Netzwerken. Aktivieren Sie den Clean Room, stellen Sie das letzte Backup der betroffenen Systeme wieder her, und setzen Sie vertrauenswürdige Erkennungs- und Reaktionstools innerhalb des Clean Rooms erneut auf. Suchen Sie nach Anzeichen für eine Beständigkeit und identifizieren Sie Schwachstellen in Systemen, die bei dem Angriff ausgenutzt wurden.

8. Kommunizieren Sie

Kommunizieren Sie mit internen Stakeholdern, und mit der Presse, um schädlichen Spekulationen vorzubeugen, sowie mit den betroffenen Personen unter Einhaltung der gesetzlichen und behördlichen Auflagen – und mit den Aufsichtsbehörden selbst. Informieren Sie Ihre Versicherungsgesellschaft, die Strafverfolgungsbehörden und das nationale/branchenspezifische CERT.