Cyber-Wiederherstellung ist keine normale Disaster Recovery

Leider gibt es keinen „einfachen Button“ zur Wiederherstellung nach einem Cyberangriff. Es gibt auch keine magische Menüoption „Alles wiederherstellen“. Als proaktive Führungskraft ist es wichtig zu verstehen, dass Cyber-Recovery aufwändiger ist als die typische Disaster Recovery. Sie erfordert eine vorausschauende Planung und die Zusammenarbeit der internen Sicherheitsteams. Ihre Liste der Überlegungen umfasst:

• Eindämmung, um den Zugriff zu unterbinden

• Forensik, um den Einstiegspunkt des Angreifers zu verstehen

• Bewertung zur Ermittlung betroffener Systeme

• Datendekontaminierung, um sicherzustellen, dass Sie während der Wiederherstellung keine neuen Bedrohungen einschleppen

Eine wirksame Wiederherstellung nach einem Cybervorfall erfordert einen ganzheitlichen Ansatz in allen IT-Disziplinen, einschließlich Sicherheit, Business Continuity und herkömmlicher Infrastrukturdienste, einschließlich Backup und Recovery.

Wiederherstellungs-Ansätze

Beginnen wir mit einem traditionellen Disaster-Recovery-Ansatz aus dem Backup. Bei einem nicht böswilligen Vorfall, etwa einem Hardwarefehler oder versehentlichem Löschen, ist die Backup-Plattform kein Ziel. Die Wiederherstellung ist mit einer aktuellen Sicherungskopie unkompliziert. Sie können schnell zum ursprünglichen oder einem alternativen Standort zurückkehren. Einfach. Die von Ihnen verwendeten Systeme funktionieren und sind vertrauenswürdig.

Im Gegensatz dazu zielt ein Cyberangriff böswillig auf alles und jeden ab, was die Wiederherstellung komplex macht. Ihre Priorität liegt in der Eindämmung. Dabei geht es darum, den Zugriff des Angreifers sofort zu unterbinden und weiteren Schaden zu verhindern. Durch die Isolierung der betroffenen Systeme oder Netzwerke können Sie die Ausbreitung des Angriffs minimieren und schneller mit der Wiederherstellung beginnen. Die Eindämmung geht über Firewalls und Netzwerke hinaus. Denken Sie unbedingt auch an die Anmeldeinformationen. In der Praxis haben Angreifer kompromittierte Anmeldedaten verwendet, um an Telefonkonferenzen teilzunehmen oder Gruppenchats abzuhören. Sie haben es nun mit Vertrauensproblemen zwischen den Teams und den Systemen zu tun, auf die Sie sich verlassen, was die Wiederherstellungsvorgänge zusätzlich erschwert und verlangsamt. Forensik-Teams arbeiten daran, herauszufinden, wie sich der Angreifer Zugang verschafft hat, Schwachstellen und Malware zu finden und eine erneute Infektion zu verhindern, indem sie diagnostizieren, welche Systeme potenziell betroffen waren.

Gleichzeitig mit Eindämmungs- und forensischen Maßnahmen müssen Sie sich mit sich entwickelnden geschäftlichen Komplikationen befassen. Im Falle von Ransomware können spezialisierte Firmen oder sogar Regierungsbehörden eingreifen, um mit den Angreifern zu verhandeln. Ihre Führungs-, Finanz-, Öffentlichkeits- und Investor-Relations-Teams werden sich wahrscheinlich stündlich treffen, um die Auswirkungen auf den Kunden zu beurteilen, zu entscheiden, wer informiert werden soll, und um mit Versicherungsträgern zusammenzuarbeiten.

Gleichzeitig müssen die auf Datenschutz und Compliance spezialisierten Rechtsteams festlegen, wen sie wann benachrichtigen müssen. In der Zwischenzeit müssen die internen Kommunikationsteams die Mitarbeiter über das Geschehen informieren. In einigen Fällen wird die Personalabteilung eingeschaltet, wenn der Angriff die rechtzeitige Lohnabrechnung beeinträchtigt oder zu anderen Problemen bei den Mitarbeitern führt.

All das kann überwältigend sein, vor allem, wenn Sie vor einem aktiven Cyberangriff keinen Wiederherstellungsplan erstellt haben. Gehen wir einige der Schritte durch, die vor, während und nach einem Vorfall zu beachten sind, damit Sie einem Cyberangriff standhalten und sich davon erholen können.

Vor einem Cyberangriff

Je mehr Sie im Voraus tun, desto einfacher wird die Genesung. Die Stärkung Ihrer Sicherheitslage – Ihre Fähigkeit und Bereitschaft, einen Vorfall zu erkennen, darauf zu reagieren und sich davon zu erholen – ist für die Vorbereitung entscheidend. Sie erhalten nicht nur ein besseres Verständnis Ihrer Umgebung, sondern können auch Ihre Reaktionen priorisieren.

Inventarisieren, klassifizieren und erfassen von Daten

Erfahren Sie, was Sie in Ihrer Umgebung schützen müssen. Machen Sie eine Bestandsaufnahme aller Ihrer Daten und ermitteln Sie, wo Lücken in der Schutzpolitik bestehen. Finden und beseitigen Sie Schatten-IT und dunkle Daten in Ihrer gesamten Umgebung. Klassifizieren und erfassen Sie primäre Produktionsdaten, um zu beurteilen, was geschäftskritisch ist, und führen Sie eine Analyse sensibler Daten durch.

Daten schützen

Erstellen Sie Schutz- und Aufbewahrungsrichtlinien. Verbessern Sie Ihre Lage mithilfe von Sicherheitsmessgeräten, Scorecards und Prüfungen. Reduzieren Sie die Komplexität durch den Einsatz von Automatisierung und KI/ML. Stellen Sie sicher, dass Sie alle Produktionssysteme gesichert haben und diese umgehend wiederherstellen können, um SLAs einzuhalten.

Bewerten und verstärken Sie den Datenschutz

Nutzen Sie Zero-Trust-Prinzipien, um den Datenschutz zu verbessern. Verstärken Sie die Zugriffskontrollen, implementieren Sie Multi-Faktor-Authentifizierung (MFA) und Mehrpersonen-Authentifizierung (MPA), um Backup-Zeitplan und Aufbewahrungsfristen zu kontrollieren. Nutzen Sie die rollenbasierte Zugriffssteuerung (RBAC) für Benutzer- und Prozessberechtigungen. Daten bei der Übertragung und im Ruhezustand verschlüsseln.

Isolierung wichtiger Daten

Implementieren Sie die moderne 3-2-1-Backup-Strategie. Erstellen Sie eine unveränderliche, unauslöschliche isolierte Kopie der Daten und implementieren Sie eine isolierte Wiederherstellungsumgebung (IRE) oder SaaS-Datenisolierung.

Definieren Sie einen Wiederherstellungsplan

Erstellen Sie einen orchestrierten Wiederherstellungsplan für alle Daten und alle Teams in Ihrer Umgebung. Das ist der entscheidende und heutzutage oft schwierigste Teil der Recovery. Führen Sie unterbrechungsfreie Wiederherstellungstests und -proben durch, einschließlich Tabletop-Tests. Bilden Sie geschäfts-, sicherheits- und betriebsübergreifende Teams, um geeignete Wiederherstellungspläne für bestimmte Funktionen zu ermitteln. Automatisieren Sie so viel wie möglich. Legen Sie Ihr Recovery Time Objective (RTO) fest, die maximale Zeit, in der Ihre unternehmenskritischen Anwendungen nach einer Katastrophe oder einem Cyberangriff ausfallen können. Definieren Sie Ihr Recovery Point Objective (RPO), also den Umfang des Datenverlusts, den Sie bei einer Katastrophe oder einem Cyberangriff tolerieren können.

3 Schlüsselaktionen während eines Angriffs

Bewerten Sie die Benutzeraktivität

• Verstehen Sie jederzeit, was in Ihrem Datenbestand geschieht.

• Setzen Sie ein Dashboard ein, um jegliche anomale Benutzeraktivität zu beobachten, die auf einen aktiven Angriff hinweisen könnte.

Bedrohungen erkennen

• Verwenden Sie die KI-gestützte Anomalieerkennung, um festzustellen, ob Sicherungsdaten Anzeichen eines bevorstehenden Ransomware-Angriffs aufweisen.

• Spawn-Benachrichtigungen über Sicherheitseinsätze.

• Beginnen Sie mit dem Malware-Scan, um den Alarm einzuteilen.

Führen Sie eine Impact-Analyse durch

• Lokalisieren Sie potenziell kompromittierte und abgerufene Daten.

4 Prioritäten nach einem Angriff

Sobald Sie mit der Wiederherstellung beginnen können, ist es wichtig, dass Sie Ihre Daten nicht erneut infizieren. Möglicherweise verspüren Sie den Druck, den Geschäftsbetrieb so schnell wie möglich wieder zu normalisieren. Wenn Sie jedoch versehentlich eine Schwachstelle oder eine Datei mit Schadsoftware wiederherstellen, müssen Sie den gesamten Vorgang erneut starten.

Nutzen Sie integrierte Malware- und Schwachstellenscans, um Ihre Backup zu bewerten, während das Sicherheitsteam aktive Bedrohung behebt. Durch ein paralleles Vorgehen können Dekontaminierung und Wiederherstellung erheblich beschleunigt werden.

Forensische Analysen

Ihre Backup können oft als eine Art Zeitmaschine dienen. Bewerten Sie die Auswirkungen des Vorfalls auf Dateien, Apps, Computer und Speicher. Prüfen Sie alles. Bereiten Sie sich darauf vor, allen Teams, die die betroffenen Systeme nutzen, Bericht zu erstatten. Bewerten Sie, wo es zu Teilauswirkungen oder einem Totalverlust gekommen ist. Entscheiden Sie, wer die schwierigen Priorisierungsentscheidungen trifft. Priorisieren Sie die Wiederherstellung basierend auf den gesamten geschäftlichen Auswirkungen, den Kosten und der Zeitdauer.

*In einem IRE wiederherstellen und Daten bereinigen

Identifizieren Sie das letzte bekannte funktionierende Backup, um sicherzustellen, dass Sie saubere Daten zur Wiederherstellung haben. Bereinigen Sie die Daten und suchen Sie anschließend nach verbleibenden oder zusätzlichen Schwachstellen und Bedrohungen. Auch hier geht es darum, sicherzustellen, dass Sie keine verbleibenden Spuren einer Infektion wieder einschleppen.

Active Directory und Identitätsdienste wiederherstellen

Möglicherweise müssen Sie grundlegende Dienste wie Active Directory oder Ihr Domain Name System neu starten.

Wiederherstellung der Produktion

Setzen Sie schnelle, flexible und orchestrierte Wiederherstellungen und Verfahren ein, um primäre Dienste und Anwendungen wiederherzustellen.

Priorisieren Sie die proaktive Vorbereitung

Der Schlüssel zum Erfolg liegt in der Planung und Automatisierung Ihres Wiederherstellungsplans zusammen mit Ihren Sicherheitsteams. Dann heißt es: üben, üben, üben. Wenn Sie über ein Playbook verfügen und wissen, dass Ihre Teams auf einen Angriff vorbereitet sind, sind Sie in der Lage, einen tatsächlichen Vorfall zu bewältigen. Die Arbeit, die Sie in die Planung der Wiederherstellung nach einem Angriff investieren, hilft Ihnen auch dabei, routinemäßige Wiederherstellungsherausforderungen wie Ausfall oder Anwendung besser zu bewältigen.

Veritas hilft Ihnen, Datenverlust zu verhindern, Systemausfall zu begrenzen und eine zuverlässige und schnelle Wiederherstellung durchzuführen, um die Ausfallsicherheit Ihres Unternehmens zu stärken. Erfahren Sie mehr über Veritas 360 Defense, einen ganzheitlichen Ansatz, der Datenschutz, Sicherheit und Governance mit einem wachsenden Ökosystem von Cybersicherheitspartnern kombiniert.