6 month post-acquisition update
Our CEO Sanjay Poonen talks about the product roadmap.
Auch wenn Sie über einen Plan zur Notfallwiederherstellung verfügen, erfordert die Wiederherstellung nach zerstörerischen Cyberangriffen einen anderen Ansatz. Der Grund: Sie müssen in der Lage sein, sofort zu reagieren, den Vorfall effektiv zu untersuchen und Bedrohungen zu entschärfen, um eine sichere Wiederherstellung zu gewährleisten.
Befolgen Sie diese acht bewährten Methoden und Sie sind auf dem besten Weg zu echter Cyber-Resilienz.
Ihre erste Aufgabe besteht darin, ein funktionsübergreifendes Team für die Resilienz gegen Ransomware mit allen Stakeholdern aufzubauen. Vorfälle mit Ransomware betreffen das gesamte Unternehmen. Daher ist es von entscheidender Bedeutung, dass jeder seine Rolle bei einem Cyberangriff kennt. Führen Sie eine realistische Tabletop-Übung mit allen Stakeholdern durch, erstellen Sie eine unternehmensweite Ransomware-Richtlinie (und halten Sie diese aktuell), und definieren Sie Ihre Strategien für Cyber-Backups und operative Resilienz.
Gewinnen Sie Einblicke in Ransomware-Betreiber und deren Tools, Techniken und Vorgehensweisen (TTPs) durch Informationsbeschaffung in Ihrer Branche oder Region. Dokumentieren Sie die Kontaktdaten aller Mitglieder Ihres Reaktionsteams und halten Sie diese auf dem neuesten Stand, idealerweise über einen separaten Kommunikationskanal. Richten Sie einen Kanal ein, um ransomwareähnliches Verhalten zu melden. Stellen Sie ein Team für die Reaktion auf Cyberkrisen zusammen und beauftragen Sie gegebenenfalls ein Unternehmen, das auf die Bewältigung solcher Vorfälle spezialisiert ist.
Ermitteln und beheben Sie kritische Schwachstellen von Assets. Rüsten Sie Ihre Systeme und priorisieren Sie dabei die kritischen Systeme und Angriffsvektoren, die von Ransomware-Banden genutzt werden. Stellen Sie sicher, dass die Anmeldedaten und Zugriffsrechte auf allen Systemen nach dem Prinzip der geringsten Privilegien verwaltet werden. Sorgen Sie für eine Netzwerksegmentierung, um die Ausbreitung von Ransomware einzudämmen und die Wahrscheinlichkeit zu erhöhen, seitliche Bewegungen zu erkennen. Und ermitteln Sie unzureichend gesicherte Repositorys mit sensiblen Daten in Ihrem Unternehmen.
Vergewissern Sie sich, dass die Backup-Systeme über ausreichendes „Air Gapping“ verfügen, getrennte Aufgaben haben und unveränderliche Datenspeicher verwenden, die verhindern, dass sie von Angreifern beschädigt oder gelöscht werden können. Verwenden Sie Multifaktor-Authentifizierung (MFA) für Backup-Administratorkonten und rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC). Erstellen und pflegen Sie Golden Masters kritischer Systeme, um den Wiederaufbau zu beschleunigen. Und stellen Sie sicher, dass Ihr Backup-System die Cybersicherheitsfunktionen unterstützen kann, die für die Reaktion auf einen Ransomware-Vorfall erforderlich sind.
Identifizieren Sie Lücken in der Abdeckung Ihrer bestehenden präventiven und detektiven Sicherheitsmaßnahmen gegenüber den von Ransomware-Gruppen eingesetzten ATT&CK-Techniken. Implementieren Sie die Erkennung von Anomalien im Dateisystem von Endgeräten, die Ransomware- und Wiper-Angriffen entsprechen, wie z. B. die Verschlüsselung oder Löschung von Dateien. Implementieren Sie E-Mail-Gateway-Filter, um E-Mails mit bekannten bösartigen Indikatoren zu blockieren. Verwenden Sie Anwendungen, die das Auflisten/Whitelisting von kritischen Assets ermöglichen, um sicherzustellen, dass nur autorisierte Software ausgeführt werden kann.
Nutzen Sie historische Daten, um proaktiv nach Schwachstellen zu suchen. Implementieren Sie einen Mechanismus für ungewöhnliche Änderungen der CPU- und Festplattenauslastung. Ermitteln Sie ungewöhnliche Netzwerkprotokolle, einschließlich I2P oder TOR, die bekanntermaßen von Ransomware-Banden verwendet werden. Identifizieren Sie Netzwerkverbindungen anhand bekannter Ports oder Ziele, die in Ransomware und Wiper Command & Control verwendet werden.
Identifizieren und gruppieren Sie ähnliche Warnmeldungen, die sich auf die betroffenen Assets beziehen. Erstellen Sie eine erste Verlustprognose (Ausbreitungsradius) für den Vorfall. Ermitteln Sie Staging-Umgebungen, die für die Datenexfiltration genutzt werden, und isolieren Sie infizierte Hosts sowohl von kabelgebundenen als auch von drahtlosen Netzwerken. Aktivieren Sie den Clean Room, stellen Sie das letzte Backup der betroffenen Systeme wieder her, und setzen Sie vertrauenswürdige Erkennungs- und Reaktionstools innerhalb des Clean Rooms erneut auf. Suchen Sie nach Anzeichen für eine Beständigkeit und identifizieren Sie Schwachstellen in Systemen, die bei dem Angriff ausgenutzt wurden.
Kommunizieren Sie mit internen Stakeholdern, und mit der Presse, um schädlichen Spekulationen vorzubeugen, sowie mit den betroffenen Personen unter Einhaltung der gesetzlichen und behördlichen Auflagen – und mit den Aufsichtsbehörden selbst. Informieren Sie Ihre Versicherungsgesellschaft, die Strafverfolgungsbehörden und das nationale/branchenspezifische CERT.
Weitere Informationen zu den einzelnen Schritten finden Sie im
© 2025 Cohesity, Inc. Alle Rechte vorbehalten.
Cohesity, das Cohesity-Logo, SnapTree, SpanFS, DataPlatform, DataProtect, Helios und andere Cohesity-Marken sind Warenzeichen oder eingetragene Warenzeichen von Cohesity, Inc. in den USA und/oder international. Andere Unternehmens- oder Produktnamen können Warenzeichen der jeweiligen Unternehmen sein, mit denen sie verbunden sind. Dieses Material (a) soll Ihnen Informationen über Cohesity und unser Geschäft und unsere Produkte liefern, (b) wurde zum Zeitpunkt der Erstellung für wahrheitsgemäß und korrekt gehalten, unterliegt aber Änderungen ohne vorherige Ankündigung und (c) wird ohne Gewähr zur Verfügung gestellt. Cohesity lehnt alle ausdrücklichen oder impliziten Bedingungen, Zusagen und Gewährleistungen jeglicher Art ab.
cohesity.com
1-855-926-4374
2625 Augustine Drive, Santa Clara, CA 95054
9100083-001-EN
