Cyberkriminelle wissen, dass Backups die letzte Verteidigungslinie gegen Ransomware sind, daher ist es wichtig, dass sie angemessen geschützt sind.
In einer idealen Welt wären sie durch Luftlücken geschützt, aber in der aktuellen Ära der Hyperkonnektivität ist dies der Fall kann sich als etwas unpraktisch erweisen. Wir haben mit Bret Piatt, CEO von CyberFortress, gesprochen, um die Notwendigkeit des Schutzes von Backups und die Strategien dafür zu besprechen.
BN: Es ist allgemein anerkannt, dass Backups die letzte Verteidigungslinie gegen Ransomware sind. Welche Techniken verwenden Cyberkriminelle, um die Backups anzugreifen?
BP: Sie sind sehr raffiniert geworden. Sobald sie in ein Netzwerk eingedrungen sind, warten sie Wochen, manchmal Monate, bevor sie beginnen, Daten zu verschlüsseln. Während dieser Zeit untersuchen sie das Netzwerk, häufig mithilfe von KI, um Sicherungsdateien zu finden. Aus diesem Grund ist es wichtig, Backups nicht in derselben Domäne oder Arbeitsgruppe wie das Produktionsnetzwerk aufzubewahren.
Außerdem können sie Spear-Phishing-Angriffe auf Administratoren anwenden, um sie dazu zu bringen, ihre Zugangsdaten preiszugeben. Mithilfe von KI können sie alle Informationen, die sie benötigen, aus Datenquellen im Internet sammeln, um E-Mails so klingen zu lassen, als kämen sie möglicherweise von einem Chef oder einer anderen Autoritätsperson innerhalb der Verwaltung. Außerdem können sie so ihre Spear-Phishing-Bemühungen skalieren. Wenn das Unternehmen also keine Multi-Faktor-Authentifizierung (MFA) – vorzugsweise eine starke MFA – verwendet, ist es nur einen guten Spear-Phishing-Angriff davon entfernt, dass alle seine Backups gelöscht werden, selbst wenn sie in einem Cloud-Repository gespeichert sind.
BN: Macht es Sinn, eine echte physische Luftlücke zwischen Backups und dem Produktionsnetzwerk zu schaffen?
BP: Nicht wirklich. Sicherlich können Organisationen ihre Backups auf Band speichern, die sie dann in einer Einrichtung irgendwo außerhalb des Unternehmens aufbewahren, und das bietet definitiv maximalen Schutz vor Ransomware. Aber – es sei denn, Sie können sich schnell erholen, ist es fast so schlimm wie überhaupt keine Backups zu haben. Die Wiederherstellung vom Band ist langsam, besonders wenn Sie sie von einem externen Standort transportieren müssen, und das ist ein Problem.
Viele große Unternehmen sind mit dieser Situation konfrontiert, in der Ransomware alle ihre Daten verschlüsselt hat, und zwar währenddessen Sie haben Backups, sie hatten sich nicht richtig auf eine schnelle Wiederherstellung vorbereitet. Sie haben nachgerechnet und festgestellt, dass es weniger kosten würde, Lösegeld zu zahlen, vorausgesetzt, die Cyberkriminellen würden den Verschlüsselungsschlüssel tatsächlich bereitstellen. Ihre Begründung ist, dass die Entschlüsselung der Daten viel schneller als die Wiederherstellung wäre und die zusätzliche Ausfallzeit katastrophale Auswirkungen auf ihr Geschäft hätte.
Colonial Pipeline ist wahrscheinlich das prominenteste Beispiel. Das Unternehmen verfügte mit ziemlicher Sicherheit über Backups, stellte jedoch fest, dass es weitaus schädlicher wäre, auf eine vollständige Wiederherstellung zu warten, als das Lösegeld in Höhe von mehreren Millionen Dollar zu zahlen. Danach kam es im Südosten der USA zu einer Gaspanik – und dies wurde zu einem nationalen Sicherheitsproblem.
Natürlich hat das Zahlen von Lösegeld zusätzliche Nachteile, auch wenn es mit der Verschlüsselung schneller geht, Daten zurückzubekommen Schlüssel. Sobald Cyberkriminelle wissen, dass Sie einmal Lösegeld gezahlt haben, setzen sie Sie als Ziel fest, das dies wahrscheinlich wieder tun wird, und sie wissen bereits, wie sie Ihre Verteidigung durchdringen können. Tatsächlich versteckt sich möglicherweise Ransomware an einer anderen Stelle in Ihrem Netzwerk, bereit für einen zweiten Angriff. Eine kürzlich durchgeführte Studie zeigt, dass vier von fünf Unternehmen, die von Ransomware betroffen sind und Lösegeld zahlen, erneut getroffen werden, oft von derselben kriminellen Bande, die es beim ersten Mal getan hat.
BN: Wie kann die IT a physischen Luftspalt zum Schutz von Backups, wenn sie in einer Offsite-Cloud-Umgebung gespeichert werden?
BP: Es ist möglich. Eine Möglichkeit besteht darin, Backups in einem schreibgeschützten Format zu speichern, sodass sie unveränderlich sind und nicht verschlüsselt werden können. Das hat natürlich seine eigenen technischen Herausforderungen, nicht zuletzt der Speicherplatz, aber es lohnt sich trotzdem, sich damit zu befassen. Eine andere Technik besteht darin, „vorläufiges Löschen“ zu implementieren, sodass, wenn die Backup-Dateien gelöscht werden, eine Kopie in einen Papierkorb in einer anderen Domäne geworfen wird.
Am praktischsten ist es, Backups in einer separaten Domäne zu speichern und Standort, auf den nur mit starker MFA zugegriffen werden kann. Verlassen Sie sich nicht auf Passwörter und E-Mail-oder Textüberprüfung. Es ist zu einfach, herumzukommen. Sie möchten wirklich irgendeine Form von Hardware wie einen Dongle oder eine biometrische Identifizierung.
BN: Welche Fehler machen Unternehmen so langsam oder verhindern, dass sie sich nach einem Ransomware-Angriff vollständig erholen?
BP: Der größte Fehler besteht darin, die Planung für die Genesung zu vernachlässigen. Es ist überraschend, wie viele Unternehmen denken, dass sie geschützt sind, solange sie Backups haben. Aber das ist überhaupt nicht der Fall. Ausfallzeiten sind tödlich, daher muss eine schnelle Wiederherstellung oberste Priorität haben. Die IT muss die kritischsten Workloads priorisieren, damit sie zuerst wieder hochgefahren werden, und sie muss einen Plan zur Wiederherstellung aller Ressourcen haben, von denen sie abhängt. Diese CRM-Anwendung wieder online zu bringen, wird nicht viel nützen, wenn Active Directory immer noch ausgefallen ist und niemand darauf zugreifen kann.
Obwohl es definitiv die beste Vorgehensweise ist, Backups zu verschlüsseln, um die darin enthaltenen Informationen zu schützen, Der Schlüssel muss außerhalb der primären Domäne in einem sicheren Dienst gespeichert werden. Andernfalls, wenn ein Ransomware-Angriff Ihre Daten verschlüsselt, verschlüsselt er auch den Schlüssel, den Sie für den Zugriff auf Ihre Backups benötigen, und lässt Sie auf dem Trockenen sitzen.
BN: Wie oft sollten Unternehmen ihre Wiederherstellungsfähigkeit testen und welche Form sollten diese Tests haben?
BP: Idealerweise führen Sie mindestens einmal im Jahr eine vollständige Simulation durch, mit Tabletop-Tests einmal im Quartal. Es ist wichtig, regelmäßig zu testen und zu proben. Wenn Sie sich gerade von einem Angriff erholen und die C-Suite Ihnen im Nacken sitzt, um alles so schnell wie möglich wiederherzustellen, muss das Team genau wissen, was zu tun ist, um darauf vertrauen zu können, dass die Systeme wie erwartet reagieren. Sie möchten es nicht zum ersten Mal tun, wenn es wirklich darauf ankommt.
Bildnachweis: baburkina/depositphotos.com