ProLion Team, November 2022

Wie man in wenigen Schritten ein Incident Response Playbook erstellt

Table of contents

Newsletter

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Ransomware-Angriffe gegen Unternehmen haben seit der Pandemie drastisch zugenommen. Sie werden immer ausgefeilter und richten sich gezielt gegen Ihre Storage- und Cloud-Infrastruktur, um den Schaden zu maximieren und die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen. Diese Ransomware-Angriffe werden mit mehr Recherche durchgeführt und nutzen bekannte Schwachstellen in Storage Systemen aus, was Ihre Umgebung gefährdet.

Sie müssen einen Plan haben, um die Folgen eines Ransomware-Angriffs zu mildern. Dieser Incident Response Plan oder auch Incident Response Playbook sollte mit Ihren IT- und Cybersicherheitsteams geteilt werden, um sicherzustellen, dass alle auf dem gleichen Stand sind.

Was ist Incident Response und warum ist es wichtig?

Die Implementierung eines Incident Response Plans kann die Kosten einer Data Breach tatsächlich um mehr als 300.000 US-Dollar senken, wie einige Schätzungen besagen.

Also was genau ist das?

Incident Response (IR) bezieht sich auf die Schritte, die eine Organisation unternehmen sollte, wenn sie mit einer Cybersecurity Kompromittierung konfrontiert wird. Eine ordnungsgemäße IR beinhaltet die Entwicklung von Playbooks und Checklisten – häufig nach Art des Angriffs und der Kompromittierung differenziert – um die organisatorische Reaktion zu erleichtern und Verantwortlichkeiten klar zu definieren.

Durch die Implementierung eines IR-Plans wissen Teams und Abteilungen genau, was zu tun ist und wer es tun soll, was den Schaden eines Angriffs begrenzen kann und im Falle von Ransomware die Anzahl der betroffenen Dateien und Vermögenswerte einschränkt.

Wie Ransomware eine Organisation verwüsten kann

Ransomware-Angriffe haben im Vergleich zu früheren Jahren dramatisch zugenommen. Böswillige Hacker zielen präziser auf Organisationen ab und setzen sogar Ransomware-as-a-Service (RaaS)-Gruppen und Kartelle ein, um ihre Erfolgsaussichten zu erhöhen.

Angreifer nutzen auch „Double Extortion“ und „Triple Extortion“ Angriffe. Dabei drohen sie damit, Daten zu veröffentlichen oder preiszugeben, wenn das Lösegeld nicht gezahlt wird, und setzen Distributed Denial-of-Service (DDoS)-Angriffe gegen das Opfer ein, um dem Unternehmen weiteren Schaden zuzufügen.

Wenn Ransomware Ihre Speicherumgebung erreicht, könnte dies das Unternehmen lahmlegen, die Website des Unternehmens abschalten und Ihnen den Zugriff auf wichtige Dateien verwehren. Aus diesem Grund ist ein IR-Plan notwendig.

Entwicklung eines Incident Response Plans in 8 Schritten

Bei der Entwicklung eines IR-Playbooks ist es wichtig, handlungsorientiert zu sein, ohne ein übermäßig komplexes Dokument zu erstellen. Am wichtigsten ist, dass alle am IR-Prozess Beteiligten auf das Playbook verweisen und leicht verstehen können, was sie tun müssen. Hier sind einige Schritte zur Entwicklung dieser Richtlinie.

1. Vorbereitung

Bevor Maßnahmen ergriffen werden können, ist es wichtig festzulegen, wer was tut. Dies geht über das IT-Team hinaus, insbesondere bei Ransomware-Angriffen, die mehrere Organisationen betreffen können. Beim Erarbeiten des restlichen Playbooks, überlegen Sie, welche Teams und Einzelpersonen für die nachfolgenden Aufgaben verantwortlich sein sollen.

Diese Definitionen sollten weitgehend vom Ausmaß des Ransomware-Angriffs abhängen, aber Sie müssen auch die interne und externe Kommunikation sowie die Entscheidungsträger berücksichtigen, die die wichtigsten Maßnahmen absegnen müssen.

2. Erkennung 

Während eines Ransomware-Angriffs ist es entscheidend, die Infektion an allen Punkten zu erkennen, um die Eindämmungs- und Isolierungsmaßnahmen zu verbessern. Ihre Cybersecurity- und IT-Abteilungen sollten ebenso genutzt werden wie Tools oder Technologien, die entwickelt wurden, um nicht autorisierte Eindringlinge oder Malware in Ihrer Umgebung zu identifizieren und zu erkennen.

Sie sollten auch herausfinden, ob sich ein Angreifer noch in Ihrem Netzwerk befindet oder Zugang hat, da dies Ihre Reaktion beeinflussen kann. Investitionen in Erkennungstools, die speziell nach Verhaltensmustern von Angreifern suchen, z. B. durch Nutzung von Live-Daten aus NetApp FPolicy, können helfen. Andernfalls kann ein Angreifer kompromittierte Backups ausnutzen oder erneut in die Umgebung des Unternehmens eindringen.

3. Umfang und Prävention 

In diesem Schritt sollten Ihre verantwortlichen Teams die Bewertung des Schadens ausweiten, um zu verstehen, welche Daten derzeit betroffen und welche Daten gefährdet sind. Dazu müssen Sie wissen, welche Sicherheitskontrollen und welche Netzwerksegmentierung vorhanden sind und wo der Ransomware-Angriff stattfindet. Stellen Sie sicher, dass Sie so gründlich wie möglich vorgehen und alle Server, Festplatten und Cloud-Speicher nach einer Infektion absuchen.

Wenn Sie wissen, was betroffen sein könnte, können Sie Präventivmaßnahmen ergreifen, um eine weitere Infektion zu verhindern, und auch die Kommunikation und Berichterstattung entsprechend gestalten. Tools und Technologien, die Datenzugriffsinformationen aufzeichnen, können Ihnen helfen, ein Gefühl für das Ausmaß einer Infektion zu bekommen.

4. Eindämmung 

Um zu verhindern, dass sich die Ransomware-Infektion auf den Rest Ihrer Umgebung ausbreitet, trennen Sie alle infizierten Ressourcen von Ihrem Netzwerk und entfernen Sie den Zugang eines infizierten Benutzers. Tools, die verdächtige Benutzer automatisch markieren und blockieren, können hier hilfreich sein. Außerdem sollten Sie diese verdächtigen Benutzer sofort Ihrer IT-Sicherheitsabteilung melden und eng mit ihr zusammenarbeiten, um weiteren Schaden zu verhindern.

 5. Entfernung und Entschlüsselung

Sobald Sie sicher sind, dass die Ransomware keinen weiteren Schaden anrichten kann, ist es an der Zeit, Schritte zur Beseitigung des Angreifers und der Ransomware-Infektion zu unternehmen.

Möglicherweise müssen Sie mit Ihrer IT-Sicherheitsabteilung zusammenarbeiten, um den Angreifer sorgfältig ausfindig zu machen, wenn er sich noch in Ihrer Umgebung und Ihrem Netzwerk befindet. Wenn ein Angreifer weiß, dass Sie versuchen, seinen Zugang zu entfernen, kann er andere Schritte unternehmen, um die Entdeckung zu umgehen oder eine Hintertür zu installieren, was die Wiederherstellung insgesamt erschwert.

Wenn ein Hacker raffiniertere Methoden anwendet, verwendet er möglicherweise einen Ransomware-Stamm mit einem bereits vorhandenen Decryption Key, den Sie nach Möglichkeit identifizieren sollten. Wenn er jedoch nicht bekannt ist, müssen Sie möglicherweise externe Forensiker und Ransomware-Experten hinzuziehen, die Ihnen bei der Entschlüsselung Ihrer Dateien helfen.

Je nach Schwierigkeit und Herausforderung müssen Sie mit dem Vorstand und der Geschäftsleitung über die damit verbundenen Kosten sprechen und darüber, ob es sich lohnt, das Lösegeld zu zahlen. Wenn Sie jedoch Teil dieses Entscheidungsprozesses sind, empfehlen wir Ihnen dringend, sich aus mehreren Gründen gegen die Zahlung des Lösegelds auszusprechen:

  • Es könnte zu weiteren Angriffen gegen Sie ermutigen (sogar durch denselben Bedrohungsakteur)
  • Es wird die Bedrohungsakteure ermutigen, weiterhin Ransomware-Angriffe durchzuführen.
  • Es gibt keine Garantie, dass Ihre Daten freigegeben werden.

6. Wiederherstellung 

Unternehmen haben mehrere Möglichkeiten, ihre Dateien nach einem Ransomware-Angriff wiederherzustellen. Parallel zu den Entschlüsselungsbemühungen sollten Sie prüfen, ob sich die betroffenen Dateien mit Hilfe von Backups wiederherstellen lassen. Möglicherweise möchten Sie auch Ihre Speicherumgebung auf einen zuvor nicht betroffenen Zustand zurücksetzen.

Es kann schwierig sein, genau zu wissen, welche Dateien betroffen waren. Daher ist es möglicherweise hilfreicher, Tools zu verwenden, die speziell die von Ransomware betroffenen Dateien identifizieren und wiederherstellen, um den Datenverlust zu minimieren.

7. Analyse 

Um sicherzustellen, dass sich ein solcher Angriff nicht wiederholt, ist es wichtig zu untersuchen, wie es zu dem Angriff kam. Dies wird wahrscheinlich auf Abteilungsebene geschehen, aber es kann auch wichtig für Sie sein, zu prüfen, ob eine vorhandene Sicherheitstechnologie oder Sicherheitskontrolle in Ihrer Umgebung nicht funktioniert hat. Wenn der Angriffsvektor oder das Exploit in Ihrer Umgebung stattgefunden hat, ist es wichtig zu wissen, ob er vermeidbar war oder ob zusätzliche Sicherheitsmaßnahmen oder -technologien erforderlich sind.

Eine Kompromittierung hat stattgefunden, daher ist es wichtig zu prüfen, ob ein Sicherheitswerkzeug nicht wie versprochen funktioniert hat.

8. Verbessungsarbeit 

Sie müssen eng mit dem IT-Sicherheitsteam zusammenarbeiten und Unterlagen sowie relevante Analysen zur Verfügung stellen, um die Abhilfemaßnahmen zu optimieren. Dazu kann es erforderlich sein, bekannte Schwachstellen zu beheben oder Sicherheitslücken zu ermitteln, die zusätzliche Tools oder Technologien erfordern.

Prävention ist immer noch der beste Schutz gegen Ransomware

Insbesondere gegen Storage Umgebungen kann Ransomware lähmend wirken und zusätzliche Arbeitsstunden, Abteilungsdruck und sicherheitsbezogene Verantwortlichkeiten verursachen.

Im Falle einer Kompromittierung sollte ein regelmäßig aktualisierter Incident Report in jeder Organisation an erster Stelle stehen. Daher ist es wichtig, proaktiv zu sein und in präventive Technologien zu investieren, die Angriffe frühzeitig erkennen und stoppen können.

Um mehr über eine Ransomware Lösung zu erfahren, die Angriffe schnell erkennt und blockiert, die versuchen, auf Ihre Daten zuzugreifen, und betroffene Benutzer in Echtzeit isoliert, besuchen Sie ProLion’s CryptoSpike.