Ransomware

SANS Studie: Ransomware-Infektion mit Incident Response stoppen

, Bethesda, MD, SANS Institute | Autor: Herbert Wieler

SANS Studie: Ransomware-Infektion mit Incident Response stoppen

Die sechs wichtigsten Schritte eines Incident Response-Plans

Das SANS Institute, der weltweit führende Anbieter von Cyber Security-Trainings und -Zertifizierungen, veröffentlicht die Ergebnisse des SANS 2021 Ransomware Detection and Incident Response Reports. Die Untersuchung zeigt die Unterschiede zwischen Ransomware und anderen Cyberattacken auf und wie sich diese begegnen lassen.

Diese Unterschiede führen zu Möglichkeiten, Ransomware-Bedrohungsakteure in einem frühen Stadium des Angriffslebenszyklus zu erkennen und sicherzustellen, dass es für sie schwieriger ist, das Endstadium der Verschlüsselung von Dateien und der Sperrung von Systemen zu erreichen. IT-Sicherheitsteams, die diese Möglichkeiten erkennen, sind in der Lage, ihre Netzwerke zu sichern und bösartige Aktivitäten leichter zu erkennen.

Ransomware-Gruppen gehen in der Regel nach dem gleichen Muster vor:

  • sie suchen nach Systemen mit kritischen Pfaden und kompromittieren die Systeme, um Einfallstore zu etablieren (in der Regel Remote Access-Lösungen).
  • sie starten eine E-Mail-Phishing-Kampagne.
  • sie nutzen bekannte Schwachstellen aus.
Matt Bromiley, Studienautor und SANS Instructor

„Wenn ein Unternehmen einen Ransomware-Vorfall in seiner Umgebung entdeckt, ist es von größter Wichtigkeit, dass es schnell handelt, um die Bedrohung zu bewältigen. Dies bedeutet nicht, dass ein Unternehmen langsam auf eine Bedrohung reagieren würde. Sobald jedoch eine Ransomware-Nachricht eingegangen ist, tickt die Uhr. Unternehmen sollten daher im Ernstfall auf einen sechsstufigen Incident Response-Prozess aus der Schublade zurückgreifen können“, sagt Studienautor und SANS Instructor Matt Bromiley.

Die sechs wichtigsten Schritte eines Incident Response-Plans sind wie folgt:

  • Vorbereitung des Notfallplans
  • Identifizierung der Bedrohung
  • Eindämmen der Infektion
  • Beheben und Zurückgewinnen der Systeme
  • Wiederherstellen der verlorenen Systeme und Daten
  • Lehren ziehen und in den Notfallplan überführen

Mehr über die Studie erfahren Sie im Webcast am 16. November: https://www.sans.org/webcasts/sans-2021-ransomware-detection-and-incident-response-report/

Gesponsert wurde die Studie von Anomali, Blue Hexagon, Cisco Secure, Corelight, Deepwatch, Egress, Palo Alto Networks, Rapid7, Recorded Future und Red Canary.