Ransomeware Gegenmaßnahmen: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „ Entschuldige bitte das Missverständnis. Hier ist der vollständige Text mit dem letzten Punkt: ```plaintext ;Maßnahmen gegen einen Ransomware-Angriff ;1Pa…“)
 
 
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
=Patches und Updates=
 +
*Die Ausnutzung einer Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
 +
*In der Regel ist diese Schwachstelle bereits vom Hersteller behobenen
 +
*Darum sollten Updates unverzüglich nach der Bereitstellung eingespielt werden.
 +
*Dies sollte idealerweise über zentrale Softwareverteilung erfolgen.
 +
*Updates, die Schwachstellen von besonders exponierte Bereichen sollten prioisiert behandelt werden.
 +
*z. B. Firewall Produkte, Webserver
  
Entschuldige bitte das Missverständnis. Hier ist der vollständige Text mit dem letzten Punkt:
+
=Remote Zugänge=
 +
*Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.
 +
*Daher sollten auch der Zugriff von Außen abgesichert werden.
 +
*In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden.
 +
*Kein ungeschützes RDP von aussen.
  
```plaintext
+
=E-Mails und Makros=
;Maßnahmen gegen einen Ransomware-Angriff
+
*Die Darstellung von E-Mails sollte als Textdarstellung erfolgen.
 +
*So können Webadressen in der Textdarstellung nicht mehr verschleiert werden.
 +
*Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
 +
*Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.
 +
*Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:
 +
**JS/VBS: automatisches Ausführen bei Doppelklick verhindern
 +
**Makros im Client (per Gruppenrichtlinie) deaktivieren
 +
**Vertrauenswürdige Orte für Makros im AD konfigurieren
 +
**Signierte Makros verwenden
  
;1Patches und Updates
+
=Ausführen von Programmen=
* Die Ausnutzung einer (in der Regel bereits vom Hersteller behobenen) Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
+
*Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird.
* Um generell vor Infektionen durch die Ausnutzung bereits behobener Sicherheitslücken geschützt zu sein, sollten Updates unverzüglich nach der Bereitstellung durch den jeweiligen Softwarehersteller auch in die IT-Systeme - idealerweise über zentrale Softwareverteilung - eingespielt werden. Updates, die Schwachstellen von hoher Kritikalität schließen und/oder sich auf besonders exponierte Software (z. B. Firewall Produkte, Webserver) beziehen, sollten prioisiert behandelt werden.
+
*Dazu existieren eine ganze Reihe an Maßnahmen.  
* Wirkung in Phase: 1
+
*Die wichtigste dabei ist das sogenannte "Application Whitelisting".
 +
*Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden.
 +
*"Execution Directory Whitelisting" sollte mindest eingestellt werden.
 +
*Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis
  
;2Remote Zugänge
+
=Virenschutz=
* Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren. Daher sollten auch der Zugriff von Außen abgesichert werden. In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden
+
*Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt.  
* Wirkung in Phase: 1
+
*Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.  
 +
*Daher sollten bei Antivirensoftware diese Module genutzt werden.
  
;3E-Mails und Makros
+
=Administrator Accounts=
* Die Darstellung von E-Mails sollte als Textdarstellung (oft als "Nur-Text" bzw. "reiner Text" bezeichnet im Gegensatz zur Darstellung als "HTML-Mail") erfolgen. Ein weiterer sicherheitstechnischer Vorteil dieser Darstellung ist, dass Webadressen in der Textdarstellung nicht mehr verschleiert werden können (In einer HTML-E-Mail könnte ein Link mit der Bezeichnung "www.bsi.de" z. B. in Wahrheit auf die Adresse "www.schadsoftwaredownload.de" verweisen).
+
*Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.
* Ist das nicht möglich, sollte mindestens die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden, damit schadhafte Skripte in der E-Mail nicht mehr ausgeführt werden können. Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden. Das gilt besonders für Mitarbeitende aus Unternehmensbereichen, die ein hohes Aufkommen an externer Mailkommunikation (z. B. Personalgewinnung) zu bewältigen haben.
+
*Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.  
* Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros (MIME/HTML-Kodierung betrachten) auf dem Client konfiguriert werden:
+
*Dafür benötigen Administratoren normale Nutzerkonten.  
  * JS/VBS: automatisches Ausführen bei Doppelklick verhindern
+
*Dies sollte technisch durchgesetzt werden.  
  * Makros im Client (per Gruppenrichtlinie) deaktivieren
+
*Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.  
  * Vertrauenswürdige Orte für Makros im AD konfigurieren
+
*Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.
  * Signierte Makros verwenden
 
* Wirkung in Phase: 1
 
  
;4Ausführen von Programmen
+
=Netzwerk segmentieren=
* Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird. Dazu existieren eine ganze Reihe an Maßnahmen. Die wichtigste dabei ist das sogenannte "Application Whitelisting". Diese lässt eine Ausführung nur von freigegeben Programmen zu. Da die Verwaltung solcher Whitelists sehr aufwendig ist, kann stattdessen auch in einem ersten Schritt nur ein "Application Directory Whitelisting" eingesetzt werden.
+
*Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.
* Mindestens sollte die Ausführung von Programmen (per Gruppenrichtlinie) nur aus nicht durch den Benutzer beschreibbaren Verzeichnissen (Execution Directory Whitelisting) erfolgen können, was eine effektive Maßnahme zum Schutz vor der initialen Infektion darstellt.
 
* Wirkung in Phase: 1
 
  
;5Virenschutz
+
=Backups und Datensicherungskonzept=
* Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt. Die meisten Infektionen mit neuen Varianten von Ransomware werden durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt. Daher sollten bei Antivirensoftware diese Module genutzt werden.
+
* Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.
* Wirkung in Phase: 1
+
*Die Daten müssen in einem Offline-Backup gesichert werden.  
 +
*Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
 +
*Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.  
 +
*Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.
  
;6Administrator Accounts
+
=Netzlaufwerke=
* Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden. Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden. Dafür benötigen Administratoren normale Nutzerkonten. Dies sollte technisch durchgesetzt werden. Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden. Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.
+
*Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind.  
* Wirkung in Phase: 2
+
*Wichtige Dokumente sollten nie nur lokal abgelegt werden.
 +
*Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können.  
 +
*Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte
  
;7Netzwerk segmentieren
+
=Notfallplan=
* Eine saubere Netzsegmentierung hilf Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann. Hierbei ist insbesondere auch die sichere Verwendung von Administrator Accounts (siehe vorhergehende Maßnahme) notwendig, da ansonsten ein zentraler Bestandteil des Sicherheitskonzepts untergraben wird.
+
* Eine umfassende Notfallplanung sollte für das Worst-Case-Szenario existieren, in dem alle Systeme im Netzwerk verschlüsselt sind und ein Erpressungsschreiben vorliegt.
* Wirkung in Phase: 3
+
* Regelmäßige Übungen der Reaktions- und Wiederherstellungsprozesse sind entscheidend, um sicherzustellen, dass das Team effektiv auf einen Ransomware-Angriff reagieren kann.
 
+
* Die vorherige Identifikation aller geschäftskritischen Systeme ist essenziell, um eine gezielte und effiziente Reaktion auf einen potenziellen Angriff zu ermöglichen.
;8Backups und Datensicherungskonzept
+
* Vorbereitung von alternativen Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks, um einen reibungslosen Informationsaustausch während eines Angriffs sicherzustellen.
* Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann. Die Daten müssen in einem Offline-Backup gesichert werden. Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
+
* Wichtige Telefonnummern und Ansprechpartner sollten in physischer Form offline (Papier) vorgehalten werden, um im Ernstfall auf kritische Informationen zugreifen zu können.
* Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten. Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.
+
=Quellen=
* Wirkung in Phase: 5
+
*https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/Top-10-Ransomware-Massnahmen/top-10-ransomware-massnahmen.html
 
 
;9Netzlaufwerke
 
* Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Wichtige Dokumente sollten nie nur lokal abgelegt werden.
 
* Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte
 
 
 
;10Notfallplan
 
* Für das Worst-Case Szenario (alle Systeme im Netzwerk sind verschlüsselt und ein Erpressungsschreiben liegt vor) sollte eine Notfallplanung existieren und die Prozesse zur Reaktion und Wiederherstellung geschäftskritischer Systeme in regelmäßigen Abständen geübt werden. Insbesondere müssen vorab die geschäftskritischen Systeme identifiziert werden und alternative Kommunikationsmöglichkeiten (außerhalb des kompromittierten Netzwerks) vorbereitet sein. Wichtige Telefonnummern und Ansprechpartner sollten offline (Papier) vorgehalten werden.
 

Aktuelle Version vom 25. Januar 2024, 17:02 Uhr

Patches und Updates

  • Die Ausnutzung einer Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
  • In der Regel ist diese Schwachstelle bereits vom Hersteller behobenen
  • Darum sollten Updates unverzüglich nach der Bereitstellung eingespielt werden.
  • Dies sollte idealerweise über zentrale Softwareverteilung erfolgen.
  • Updates, die Schwachstellen von besonders exponierte Bereichen sollten prioisiert behandelt werden.
  • z. B. Firewall Produkte, Webserver

Remote Zugänge

  • Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.
  • Daher sollten auch der Zugriff von Außen abgesichert werden.
  • In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden.
  • Kein ungeschützes RDP von aussen.

E-Mails und Makros

  • Die Darstellung von E-Mails sollte als Textdarstellung erfolgen.
  • So können Webadressen in der Textdarstellung nicht mehr verschleiert werden.
  • Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
  • Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.
  • Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:
    • JS/VBS: automatisches Ausführen bei Doppelklick verhindern
    • Makros im Client (per Gruppenrichtlinie) deaktivieren
    • Vertrauenswürdige Orte für Makros im AD konfigurieren
    • Signierte Makros verwenden

Ausführen von Programmen

  • Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird.
  • Dazu existieren eine ganze Reihe an Maßnahmen.
  • Die wichtigste dabei ist das sogenannte "Application Whitelisting".
  • Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden.
  • "Execution Directory Whitelisting" sollte mindest eingestellt werden.
  • Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis

Virenschutz

  • Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt.
  • Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.
  • Daher sollten bei Antivirensoftware diese Module genutzt werden.

Administrator Accounts

  • Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.
  • Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.
  • Dafür benötigen Administratoren normale Nutzerkonten.
  • Dies sollte technisch durchgesetzt werden.
  • Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.
  • Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.

Netzwerk segmentieren

  • Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.

Backups und Datensicherungskonzept

  • Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.
  • Die Daten müssen in einem Offline-Backup gesichert werden.
  • Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
  • Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
  • Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.

Netzlaufwerke

  • Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind.
  • Wichtige Dokumente sollten nie nur lokal abgelegt werden.
  • Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können.
  • Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte

Notfallplan

  • Eine umfassende Notfallplanung sollte für das Worst-Case-Szenario existieren, in dem alle Systeme im Netzwerk verschlüsselt sind und ein Erpressungsschreiben vorliegt.
  • Regelmäßige Übungen der Reaktions- und Wiederherstellungsprozesse sind entscheidend, um sicherzustellen, dass das Team effektiv auf einen Ransomware-Angriff reagieren kann.
  • Die vorherige Identifikation aller geschäftskritischen Systeme ist essenziell, um eine gezielte und effiziente Reaktion auf einen potenziellen Angriff zu ermöglichen.
  • Vorbereitung von alternativen Kommunikationsmöglichkeiten außerhalb des kompromittierten Netzwerks, um einen reibungslosen Informationsaustausch während eines Angriffs sicherzustellen.
  • Wichtige Telefonnummern und Ansprechpartner sollten in physischer Form offline (Papier) vorgehalten werden, um im Ernstfall auf kritische Informationen zugreifen zu können.

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Ransomeware_Gegenmaßnahmen&oldid=51319