Haben Sie Angst vor Ransomware-Angriffen? Das beste, was Sie im Moment tun können, ist sicherzustellen, dass Ihr Backup-System bereit ist. [...]
Vor kurzem betraf ein beunruhigender Ransomware-Angriff den gesamten deutschsprachigen Raum. German Wiper, nennt sich die neue Art von Schadsoftware, die Daten nicht verschlüsselt, um von deren Besitzern Geld zu erpressen, sondern diese gleich vollständig überschreibt und damit dauerhaft zerstört. Dies ist eine weitere Erinnerung daran, dass sowohl öffentliche als auch private Unternehmen ihre Möglichkeiten zur Wiederherstellung nach solchen Angriffen überprüfen müssen. Das beginnt mit einer richtigen Backup-Strategie.
Angreifer untersuchen oft, wie das Netzwerk aufgebaut ist und welche Prozesse das Unternehmen für Backup-Lösungen einsetzt. In erster Linie zielen Angreifer auf die Backup-Standorte ab, um sicherzustellen, dass sie unauffällig und schnell die Backups auf lokalen NAS-Geräten löschen und die Geräte mit 1s und 0s überschreiben, um zu gewährleisten, dass das Backup vollständig gelöscht wird und nicht ohne große Kosten wiederhergestellt werden kann.
Sie zielen oft zuerst auf Online-Backups ab. Anstatt die Backups zu verschlüsseln, versuchen die Angreifer, den Ort, an dem sich die Backups befinden, zu löschen und zu überschreiben, damit sie nicht wiederhergestellt werden können. Dann richten sie sich an Virtualisierungsgäste, Virtualisierungshosts, Arbeitsplatzdaten und schließlich an die Domain-Controller. Dabei verwenden sie für jeden Server und jede Workstation unterschiedliche Verschlüsselungscodes und verlangen für jeden Wiederherstellungsschlüssel eine Gebühr, wodurch sie sich aus den Softwarelizenzgebührenmodellen heraushalten.
Best Practices für Backup und Ransomware-Wiederherstellung für Azure
Der entscheidende Punkt ist, es den Angreifern nicht zu leicht zu machen, und das tun wir zu oft. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen für gewisse Maßnahmen ausgesprochen. Die wichtigste Handlung ist die Sicherung Ihrer Systeme. Auch das kann in der heutigen gewerblichen Wirtschaft schwierig sein. Die Fragmentierung der Verantwortlichkeiten kann dazu führen, dass ein Team denkt, dass sich das andere Team um eine Schlüsselaufgabe kümmert und dass es am Ende durch das Raster fällt. Zu oft habe ich gesehen, wie Backups eingerichtet, aber nicht überwacht wurden. Es gibt nichts Schlimmeres, als zu denken, dass ein Backup durchgeführt wird, wenn es nicht wirklich der Fall ist.
Befolgen Sie die folgenden Schritte, um sicherzustellen, dass Ihre Backups den Tag retten können, an dem es zu Ransomware oder anderen Angriffen kommt.
- Überprüfen Sie, wie Ihre Warnmeldungen eingerichtet sind. Neben der Einrichtung von Warnmeldungen, die Sie darüber informieren, wenn Backups fehlschlagen, sollten Sie auch Benachrichtigungen berücksichtigen, in denen Sie über erfolgreiche Backups informiert werden. Finden Sie heraus, welche Alternative Sie haben, um bei Backup-Problemen zu alarmieren. Überprüfen Sie, ob die Backup-Lösungen Fehlerbenachrichtigungen per SMS oder auf andere Weise versenden, damit die Ausfälle auffälliger sind.
- Informieren Sie sich, wo sich die Backup-Protokolldateien befinden, und überprüfen Sie sie regelmäßig auf ungewöhnliche Ereignisse. Im Falle von Azure können Sie das Cloud-Backup-operative Ereignisprotokoll auf dem Client einsehen. Die wichtigsten Protokolldateien für Azure Backup befinden sich in C: Programme\Microsoft Azure Recovery Services Agent\Temp. Sie werden die unten aufgeführten Protokolle überprüfen müssen:
- C:\Programme\Microsoft Azure Recovery Services Agent\Temp\CBEngineCurr.errlog
- C:\Programme\Microsoft Azure Recovery Services Agent\Temp\CBUI0Curr.errlog
- C:\Programme\Microsoft Azure Recovery Services Agent\Temp\CBCmdlet0Curr.errlog
- Stellen Sie immer sicher, dass das Benutzerkonto für Backups nicht eingeloggt ist und sich auch nicht einloggen wird. Sie sollten die Backup-Ziele in einem völlig separaten Netzwerk erstellen, auf das der Rest Ihrer Infrastruktur keinen Zugriff hat, und sich ausschließlich als iSCSI-Geräte nur auf Ihrem Backup-Server präsentieren. Überprüfen Sie, ob die Backup-Software über eine Möglichkeit verfügt, die Anmeldung zu „privatisieren“ und eine separate Benutzer-/Berechtigungsstruktur zu verwenden.
- Verwenden Sie Skripte oder andere Tools, um zu bestätigen, dass die Backups abgeschlossen sind. Überprüfen Sie erneut, ob die SQL-Datenbank-Backups auch mit Hilfe von Skripten abgeschlossen werden. Häufig ist das übersehene Backup, das nicht funktionierte, dasjenige, das Sie am meisten benötigen.
- Vergessen Sie nicht, auch die altmodische Papier-Dokumentation zu berücksichtigen. Zu oft platzieren die Menschen die gesamte Netzwerkdokumentation und -information auf einer digitalen Plattform, die ein Angreifer selbst verschlüsseln kann. Drucken Sie die wichtigsten Unterlagen aus und bewahren Sie sie an einem sicheren Ort auf.
- Stellen Sie sicher, dass Sie alternative Kommunikationsmethoden wie die Anmeldung auf einer anderen E-Mail-Plattform geplant haben, um sicherzustellen, dass Sie mit den Teammitgliedern kommunizieren können.
- Schließlich sollten Sie die Backup-Wiederherstellung immer regelmäßig testen, wobei Sie bedenken sollten, dass Sie dann unter Umständen Ihr gesamtes Netzwerk von Grund auf wiederherstellen. Denken Sie daran, was Sie tun würden, wenn Ihnen das Schlimmste zustoßen würde. Sind Sie bereit dafür? Planen Sie, wann, nicht ob.
*Susan Bradley schreibt unter anderem für CSOonline.com.
Be the first to comment