Was sollten Organisationen tun, anstatt ein Lösegeld zu zahlen?
Ilia Sotnikov, Sicherheitsstratege und VP of User Experience, Netwrix gibt uns einen Einblick in den Umgang mit einem Ransomware-Angriff.
Laut dem National Cyber Security Center (NCSC) Cyberangriffe sind auf einem Allzeithoch und es hat im Laufe des Jahres 2021 eine Zunahme von Ransomware-Angriffen in Großbritannien verzeichnet. Das NCSC hat einen Anstieg der Fälle um 7.5 % bis August 2021 bearbeitet und rät Unternehmen, nicht zu zahlen. Die führende britische Spionageagentur GCHQ sagt, die Zahl der Ransomware-Angriffe auf britische Institutionen habe zugenommen im vergangenen Jahr verdoppelt.
Was sollten Unternehmen tun, wenn Angriffe wie dieser schnell zunehmen? Sollen sie zahlen und auf das Beste hoffen oder sich weigern und weitere Angriffe riskieren? Man konnte nur hoffen, diese Wahl zu vermeiden. Hier sind einige Gebote und Verbote, um das Risiko einer fast unvermeidlichen Ransomware zu bewältigen.
Zahlen Sie das Lösegeld nicht
Das FBI nennt drei Gründe, niemals ein Lösegeld zu zahlen. Erstens gibt es keine Garantie, dass das Opfer den Entschlüsselungsschlüssel erhält, sobald das Geld bezahlt wurde. Selbst wenn Sie den Schlüssel erhalten, gibt es keine Garantie dafür, dass Sie den Betrieb über Nacht wiederherstellen.
Zweitens, wenn Unternehmen zahlen, hält nichts Hacker davon ab, sie wiederholt anzugreifen, und jede Lösegeldforderung könnte höher sein als die letzte. In den NCSCs Wöchentlicher Bedrohungsbericht (3. Dezember), ein weiterer Trend berichten von Group IB zeigt seit 935 einen Anstieg der Ransomware-Angriffe mit doppelter Erpressung um 2020 %.
Drittens fördern Unternehmen durch die Zahlung eines Lösegelds das Ransomware-Geschäftsmodell und setzen andere Organisationen einem erhöhten Risiko aus. Deshalb die Idee von die Zahlung eines Lösegeldes illegal machen gewinnt an Schwung.
Umgang mit dem Risiko von Ransomware-Angriffen
Diese Medaille hat zwei Seiten: Sie möchten die Wahrscheinlichkeit eines erfolgreichen Angriffs verringern, und Sie müssen den möglichen Schaden minimieren, wenn es dazu kommt. Die Schlüsselkonzepte sind daher ein mehrschichtiger Sicherheits- und ein tiefgreifender Verteidigungsansatz. Wir werden im Folgenden über einige seiner Komponenten sprechen.
Aber damit ein Sicherheitsprogramm funktioniert, sollten sich die Mitarbeiter zumindest der Sicherheitsgrundlagen bewusst sein. Daher sind Investitionen in Aus- und Weiterbildung von entscheidender Bedeutung, und das Bewusstsein für Cybersicherheit beim Personal sollte eine der obersten Prioritäten einer Organisation sein.
Allerdings kann selbst die umfassendste Schulung nicht garantieren, dass die Mitarbeiter immer die besten Sicherheitspraktiken befolgen. Nur ein einziger unvorsichtiger Klick auf einen Link in einer Phishing-E-Mail kann Ransomware in einer gesamten IT-Umgebung freisetzen. Jedes Unternehmen sollte davon ausgehen, dass es eine Ransomware-Infektion erleiden wird, und darauf vorbereitet sein, darauf zu reagieren. Ein effektiver Plan erfordert eine schnelle Erkennung, Reaktion und Datenwiederherstellung.
Inventurdaten
Um das Risiko zu verringern, den Zugang zu sensiblen Daten zu verlieren, wie z. B. den personenbezogenen Daten von Mitarbeitern und Bürgern, müssen Organisationen genau wissen, welche Arten von Daten sie speichern. Sie müssen die Daten ihrem Wert entsprechend sichern. Die automatisierte Datenklassifizierung trägt dazu bei, ein besseres Bewusstsein für die vorhandenen Daten zu schaffen, wer darauf Zugriff hat und wie sensibel sie sind. Das bedeutet, dass die Organisation Maßnahmen ergreifen kann, um wichtige Vermögenswerte zu schützen. Einfach gesagt, Sie können nicht alle Daten schützen, also konzentrieren Sie sich auf das, was wirklich wichtig ist.
Da sich Ransomware häufig auf die Zugriffsrechte des Benutzerkontos verlässt, das sie kompromittiert hat, minimiert die kontinuierliche Durchsetzung der Prinzipien der geringsten Rechte die Datenmenge, die bei einem Angriff verschlüsselt werden kann.
Erkennung von Anomalien
Unternehmen müssen das Benutzerverhalten in allen kritischen Systemen und Daten überwachen, sowohl lokal als auch im Internet Cloud. Rechtzeitig entdeckte ungewöhnliche Aktivitäten können auf einen Angriff hindeuten. Änderungen an der Liste der eingeschränkten Dateierweiterungen oder eine erhöhte Häufigkeit von Dateiänderungen sind Grund zur Sorge. Die Datenexfiltration oder -verschlüsselung erfolgt nicht sofort; beides kostet Zeit, insbesondere in verteilten heterogenen Umgebungen mit großen Datenmengen.
Rechtzeitiges Erkennen und Gegenmaßnahmen im Frühstadium von Cyberangriffen sind unerlässlich, um den Schaden so gering wie möglich zu halten.
Incident-Reaktionsplan
Organisationen müssen die Schritte zur Reaktion auf Anzeichen eines Angriffs dokumentieren, einschließlich der Frage, wer für was und auf welcher Ebene verantwortlich ist. Da sich das Personal, die IT-Umgebung und die Bedrohungslandschaft ständig ändern, muss der Plan regelmäßig getestet und bei Bedarf aktualisiert werden.
Sicherung und Wiederherstellung aufeinander abstimmen
Unternehmen müssen ihre Backups optimieren, um sicherzustellen, dass die wichtigsten Daten und Dienste schnell wiederhergestellt werden können. Danach sollten IT-Teams mit den detaillierten Informationen darüber, welche Dateien während eines Ransomware-Angriffs geändert oder gelöscht wurden, nur das wiederherstellen, was gelitten hat. Dies reduziert den erforderlichen Aufwand, beschleunigt den Wiederherstellungsprozess und minimiert Serviceunterbrechungen.
Lesen Sie mehr:
- Der Azure Active Directory-Papierkorb rettet Sie nicht bei einer Cyberkatastrophe
- Ransomware, die größte Bedrohung für Unternehmen im Jahr 2022
- Schützen Sie Ihre Daten mit einem mehrstufigen Ansatz
- Cyberangriffswelle trifft SPAR-Märkte; Wer ist verantwortlich?
Keine Organisation möchte zwischen der Zahlung eines Lösegeldes oder einem ernsthaften Schaden wählen, nachdem sie die Zahlung verweigert hat. Stattdessen können Unternehmen so viele Ransomware-Infektionen wie möglich verhindern, indem sie die Benutzer aufklären und sich auf das Worst-Case-Szenario vorbereiten. Unternehmen vertrauen darauf, dass sie den Zugriff auf Systeme und Daten schnell wiederherstellen können, und müssen nie wieder Lösegeld zahlen.
Klicken Sie hier, um mehr von unseren Podcasts zu entdecken
Folge uns auf LinkedIn und Twitter
