Jeder Wiederherstellungsplan für Ransomware muss regelmäßige Dateisicherungen und verschlüsselte Daten mit Offline-Kopien enthalten, wie die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) kürzlich im Rahmen der Kampagne der Organisation zur Förderung des Bewusstseins für ihre Ransomware-Anleitungen und -Ressourcen erinnerte. Der Leitfaden enthält Best Practices und Checklisten, die Unternehmen bei der Formulierung ihrer Reaktionspläne auf Cyberattacken helfen.
Und obwohl Backups für jeden Wiederherstellungsplan von grundlegender Bedeutung sind, können diese Backups ein Unternehmen nicht retten, wenn der bösartige Angriff Active Directory (AD), den Identitätsverwaltungsdienst, den 90 % der Unternehmen nutzen, kompromittiert. Wie Mickey Bresman, CEO von Semperis, in "Rethinking Active Directory security" darlegte, sind Ressourcen überall in der logischen Umgebung angreifbar, sobald ein Angreifer Zugriff auf Active Directory erhält. Wenn der Angriff die Domänencontroller (DCs) eines Unternehmens infiziert, sind zusätzliche Maßnahmen erforderlich, um Active Directory wieder online zu bringen, ohne die Malware erneut einzuschleusen.
Wie Gil Kirkpatrick, Chief Architect von Semperis, in "The Dos and Don'ts of AD Recovery" erörtert, erhöht die Verbreitung von Ransomware-Angriffen die Wahrscheinlichkeit, dass IT-Teams eine vollständige Wiederherstellung des Active Directory Forest durchführen müssen, was ein schwieriges Szenario sein kann. Eine erfolgreiche Wiederherstellung hängt davon ab, dass das Team alle Systeme und Dienste, die AD in ihrer Umgebung nutzen, versteht.
Einige Backups offline zu halten ist das A und O: Beim NotPetya-Angriff von Maersk war eine Wiederherstellung nur möglich, weil während des Angriffs ein Domänencontroller durch einen Stromausfall offline ging. Dadurch gab es einen unversehrten Ausgangspunkt für die Wiederherstellung. Um sicherzustellen, dass Sie über Backups verfügen, die im Falle eines Ransomware-Angriffs den Tag retten, rät Kilpatrick, Backups auf einem Server zu speichern, der nicht mit der Domäne verbunden ist, oder Backup-Images nach Azure oder AWS Blob Storage zu kopieren.
Ressourcen zur Absicherung Ihres Active Directory-Wiederherstellungsplans
Sie sind sich nicht sicher, ob Ihr Ransomware-Wiederherstellungsplan kugelsicher ist? Befolgen Sie nicht nur den CISA-Leitfaden, sondern prüfen Sie auch diese Ressourcen, um sicherzustellen, dass Ihr Unternehmen sich von einem Angriff erholen kann, der AD als Einstiegspunkt nutzt - ein allzu häufiges Szenario:
- Webinar: Die Dos und Don'ts der Wiederherstellung von Active Directory nach einer Katastrophe mit verbrannter Erde, präsentiert von Gil Kirkpatrick (Semperis Chief Architect) und Guido Grillenmeier (Semperis Chief Technologist)
- Bericht: Wiederherstellung von Active Directory nach Cyberkatastrophen
- Webinar: A Cyber-First Approach to Disaster Recovery, präsentiert von Darren Mar-Elia (Semperis VP of Product) und John Pescatore (Director, Emerging Security Trends, SANS Institute)
