Ransomeware Gegenmaßnahmen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Patches und Updates

  • Die Ausnutzung einer Schwachstelle in einem Softwareprogramm gehört zu den drei häufigsten Einfallsvektoren von Ransomware-Gruppen.
  • In der Regel ist diese Schwachstelle bereits vom Hersteller behobenen
  • Darum sollten Updates unverzüglich nach der Bereitstellung eingespielt werden.
  • Dies sollte idealerweise über zentrale Softwareverteilung erfolgen.
  • Updates, die Schwachstellen von besonders exponierte Bereichen sollten prioisiert behandelt werden.
  • z. B. Firewall Produkte, Webserver

Remote Zugänge

  • Häufig versuchen Angreifer Ransomware über kompromittierte Remote-Zugänge auf Systemen zu installieren.
  • Daher sollten auch der Zugriff von Außen abgesichert werden.
  • In der Regel sollten diese nur über VPNs, zusammen mit einer Zwei-Faktor-Authentisierung, genutzt werden.
  • Kein ungeschützes RDP von aussen.

E-Mails und Makros

  • Die Darstellung von E-Mails sollte als Textdarstellung erfolgen.
  • So können Webadressen in der Textdarstellung nicht mehr verschleiert werden.
  • Wenn dies nicht möglich, sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
  • Mitarbeitende sollten im Rahmen von Sensibilisierungsmaßnahmen praxisnah über die Risiken im Umgang mit Mails geschult werden.
  • Folgende Einstellung sollten für den Umgang mit MS-Office-Dokumenten-Makros auf dem Client konfiguriert werden:
    • JS/VBS: automatisches Ausführen bei Doppelklick verhindern
    • Makros im Client (per Gruppenrichtlinie) deaktivieren
    • Vertrauenswürdige Orte für Makros im AD konfigurieren
    • Signierte Makros verwenden

Ausführen von Programmen

  • Ein Großteil aller Infektionen könnte verhindert werden, wenn die Ausführung unerwünschter Software grundsätzlich verhindert wird.
  • Dazu existieren eine ganze Reihe an Maßnahmen.
  • Die wichtigste dabei ist das sogenannte "Application Whitelisting".
  • Wenn dies zu Aufwendig ist sollte "Application Directory Whitelisting" eingesetzt werden.
  • "Execution Directory Whitelisting" sollte mindest eingestellt werden.
  • Also ausführen von Dateien aus einem nicht beschreibbaren Verzeichnis

Virenschutz

  • Neue Versionen von Schadsoftware werden nur selten sofort über lokale AV-Signaturen erkannt.
  • Neue Varianten von Ransomware werden oft durch die Intrusion Prevention (IPS)-Module und Cloud-Dienste der AV-Software erkannt.
  • Daher sollten bei Antivirensoftware diese Module genutzt werden.

Administrator Accounts

  • Grundsätzlich sollten mit privilegierten Accounts nur Administratorentätigkeiten durchgeführt werden.
  • Es sollten mit diesen Accounts keine E-Mails gelesen und nicht im Internet gesurft werden.
  • Dafür benötigen Administratoren normale Nutzerkonten.
  • Dies sollte technisch durchgesetzt werden.
  • Ein solches privilegiertes Konto sollte immer über eine Zwei-Faktor-Authentisierung geschützt werden.
  • Für die Administration von Clients sollten keine Domänen-Administrationskonten verwendet werden.

Netzwerk segmentieren

  • Eine saubere Netzsegmentierung hilft Schäden zu begrenzen, da die Ransomware damit nur die Systeme in unmittelbarer Nachbarschaft erreichen kann.

Backups und Datensicherungskonzept

  • Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.
  • Die Daten müssen in einem Offline-Backup gesichert werden.
  • Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerkes getrennt und sind daher vor Angriffen und Verschlüsselung geschützt.
  • Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.
  • Diese Planungen sollten auch einem Praxistest unterzogen werden, um Komplikationen und Herausforderungen in der Rücksicherung bereits vor einem Ernstfall zu erkennen.

Netzlaufwerke

  • Nutzer sollten wichtige Daten immer auf Netzlaufwerken ablegen, die in eine zentrale Datensicherung eingebunden sind. Wichtige Dokumente sollten nie nur lokal abgelegt werden.
  • Netzlaufwerke bieten als Vorteil, dass Zugriffsrechte auf Need-to-know Basis vergeben werden können. Auch ist es möglich, diese nachträglich zu verändern. So können zum Beispiel den Nutzern die Schreibrechte auf archivierte

Notfallplan

  • Für das Worst-Case Szenario (alle Systeme im Netzwerk sind verschlüsselt und ein Erpressungsschreiben liegt vor) sollte eine Notfallplanung existieren und die Prozesse zur Reaktion und Wiederherstellung geschäftskritischer Systeme in regelmäßigen Abständen geübt werden. Insbesondere müssen vorab die geschäftskritischen Systeme identifiziert werden und alternative Kommunikationsmöglichkeiten (außerhalb des kompromittierten Netzwerks) vorbereitet sein. Wichtige Telefonnummern und Ansprechpartner sollten offline (Papier) vorgehalten werden.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Ransomeware_Gegenmaßnahmen&oldid=51316