SANS Studie: Ransomware-Infektion mit Incident Response stoppen, Schritt für Schritt

matt-bromiley_SANS-Institute

Das SANS Institute, der weltweit führende Anbieter von Cybersecurity-Trainings und -Zertifizierungen, veröffentlicht die Ergebnisse des SANS 2021 Ransomware Detection and Incident Response Reports. Die Untersuchung zeigt die Unterschiede zwischen Ransomware und anderen Cyberattacken auf und wie sich diese begegnen lassen.

Diese Unterschiede führen zu Möglichkeiten, Ransomware-Bedrohungsakteure in einem frühen Stadium des Angriffslebenszyklus zu erkennen und sicherzustellen, dass es für sie schwieriger ist, das Endstadium der Verschlüsselung von Dateien und der Sperrung von Systemen zu erreichen. IT-Sicherheitsteams, die diese Möglichkeiten erkennen, sind in der Lage, ihre Netzwerke zu sichern und bösartige Aktivitäten leichter zu erkennen.

Ransomware-Gruppen gehen in der Regel nach dem gleichen Muster vor:

  • sie suchen nach Systemen mit kritischen Pfaden und kompromittieren die Systeme, um Einfallstore zu etablieren (in der Regel Remote Access-Lösungen).
  • sie starten eine E-Mail-Phishing-Kampagne.
  • sie nutzen bekannte Schwachstellen aus.

„Wenn ein Unternehmen einen Ransomware-Vorfall in seiner Umgebung entdeckt, ist es von größter Wichtigkeit, dass es schnell handelt, um die Bedrohung zu bewältigen. Dies bedeutet nicht, dass ein Unternehmen langsam auf eine Bedrohung reagieren würde. Sobald jedoch eine Ransomware-Nachricht eingegangen ist, tickt die Uhr. Unternehmen sollten daher im Ernstfall auf einen sechsstufigen Incident Response-Prozess aus der Schublade zurückgreifen können“, sagt Studienautor und SANS Instructor Matt Bromiley.

Die sechs wichtigsten Schritte eines Incident Response-Plans sind wie folgt:

  • Vorbereitung des Notfallplans
  • Identifizierung der Bedrohung
  • Eindämmen der Infektion
  • Beheben und Zurückgewinnen der Systeme
  • Wiederherstellen der verlorenen Systeme und Daten
  • Lehren ziehen und in den Notfallplan überführen

Mehr über die Studie erfahren Sie im Webcast am 16. November: https://www.sans.org/webcasts/sans-2021-ransomware-detection-and-incident-response-report/