Ransomware Prävention und Hilfe
Da ich in den letzten Monaten mehrfach bei Unternehmen unterstützen durfte die Opfer von Ransomware Attacken wurden die einen Großteil Ihres Systems, sowie auch das Backup betroffen haben, möchte ich ein paar Tipps zum Schutz gegen diese und andere Attacken posten.
1. Endpoint Protection ist nur ein Teil der Security Strategie
Verlassen Sie sich bitte nicht blind auf Ihre Endpoint Protection Lösung, sondern sichern Sie sich mehrfach ab. In den meisten Fällen wurden diese (teils namhaften) Lösungen umgangen.
2. Backup und Restore überprüfen
Stellen Sie sicher das Ihr Backup, sowie der Restore der nötigen Daten funktioniert. Ich war oft genug dabei als es hieß: "Von diesen Daten haben wir leider keine aktuelle Sicherung…"
3. Backup Identity Integration
Stellen Sie sicher, dass Ihr Backup System nicht über Active Directory Benutzerkonten administriert werden kann. In den meisten Fällen wird über die Ransomware zuerst Active Directory übernommen, und mit den so gewonnenen Benutzern dann auch das Backup bzw. andere Systeme.
Optimalerweise haben Sie aber Ihr Active Directory über die Implementierung der Tiering Struktur abgesichert, und es kommt gar nicht erst zur Übernahme. Besonders wichtig ist es hierbei die administrativen Systeme vom produktiven Active Directory Forest zu entkoppeln.
4. Virtualisierungssystem
Der oben genannte Punkt gilt genau so für alle anderen Systemen, vor allem auch Ihrer Virtualisierungsschicht (z.B. VMWare, Microsoft Hyper-V, …). Allzu oft wird diese in Active Directory integriert um single-sign-on (sso) für die Administratoren zu ermöglichen.
Damit haben dann aber indirekt auch alle Active Directory Admins Zugriff auf den Hypervisor.
5. Password Re-use
Verwenden Sie Passwörter nicht mehrfach.
Es ist zwar super, wenn ich mit einem schlecht abgesicherten Domänen Admin nicht auf das Backup oder Virtualisierungssystem zugreifen kann.
Wenn dort aber dasselbe Passwort verwendet wird, das ich bereits in der Domäne geknackt habe, hilft diese Abschottung leider nichts mehr.
6. Logfile Zentralisierung
Stellen Sie sicher, dass Sie mitbekommen was in Ihrer Umgebung passiert, und sei es auch nur im Nachhinein.
In den meisten Fällen können wir anhand fehlender Logdateien nicht nachvollziehen was genau geschehen ist.
Somit steht die betroffene Firma vor der Frage entweder alles komplett neu aufzubauen, oder mit einem undefinierten Risiko zu leben.
Für Logfile-Zentralisierung gibt es kostengünstige bzw. sogar gratis Lösungen. Sie müssen nur die richtigen Audit Events aktivieren, diese zentralisieren, und lange genug vorhalten um sie (spätestens) im Bedarfsfall auswerten (lassen) zu können.
Falls Sie zu den genannten Themen Unterstützung benötigen, sind wir gerne für Sie da.
7. Sicherheitsupdates einspielen
Falls Sie die oben genannten Punkte umgesetzt haben, dann sei noch erwähnt, dass diese leider teilweise durch Software Buggs umgangen werden können.
Deshalb gehört das zeitnahe Einspielen von Sicherheitsupdates nach wie vor zum kleinen IT-Einmaleins.
8. Alte Systeme ersetzen oder speziell abschotten
Auch hier könnte ich Gruselgeschichten von Altsystemen erzählen, durch die ganze Netzwerke offen wie das sprichwörtliche Scheunentor standen.
Und dabei geht es nicht nur um Windows Server 2003 Systeme. Nein, auch Server 2008 R2, 2012 R2 und 2016 haben keinen Mainstream Support mehr, und bergen Schwachstellen.
Falls Sie solche Systeme im Netzwerk behalten müssen, sichern Sie diese Systeme speziell ab.
Diese Liste ist sicherlich nicht vollständig, aber wenn die Punkte umgesetzt gewesen wären, hätten sich die betroffenen Firmen eine Menge an Zeit, Geld und schlechter Presse erspart. Kontaktieren Sie mich für ein Beratungsgespräch.