5 0 0: Bewährte Praktiken zum Schutz vor Ransomware
Übersicht
Bei Ransomware handelt es sich um eine Art von Malware, die Computer infiziert und den Benutzern den Zugriff auf ihr System oder ihre persönlichen Dateien verwehrt, indem sie ihre Daten verschlüsselt (Benutzer- und Systemdateien, z. B. Windows-Systemrücksicherungspunkte und Schattenkopien).
Benutzer können Ransomware versehentlich erlauben, über verschiedene Zugangspunkte auf einen Computer zuzugreifen, z. B. über Phishing-Spam (Phishing-E-Mail-Anhänge). Sobald sie heruntergeladen und geöffnet werden, infizieren sie Computersysteme. Ransomware kann auch auf Systeme heruntergeladen werden, wenn bösartige oder gefährdete Websites besucht werden.
Sobald die Ransomware im System ausgeführt wird, werden die Daten verschlüsselt und der Zugriff darauf ist unmöglich, es sei denn, es wird ein Lösegeld für die Entschlüsselung gezahlt. Dabei können nicht nur die Daten verloren gehen, sondern es wird auch häufig damit gedroht, wichtige Unternehmensdaten oder Authentifizierungsinformationen zu verkaufen oder weiterzugeben, wenn das Lösegeld nicht gezahlt wird.
Ransomware kann für ein Unternehmen verheerende Folgen haben, da sie Geschäftsprozesse empfindlich stören und Unternehmen daran hindern kann, geschäftskritische Dienste bereitzustellen. Sie kann auch zu Rufschädigung bei Kunden (Vertrauensverlust), zusätzlichen Kosten und mehr führen.
Daher sollte der Schutz von Informationen vor Ransomware-Angriffen für jedes Unternehmen oberste Priorität haben. Es gibt eine Reihe von Verteidigungsmaßnahmen, die Sie ergreifen können, um eine Ransomware-Infektion zu verhindern:
- Sichern und aktualisieren Sie Ihr System regelmäßig
- Speichern Sie Ihre Sicherungen auf einem separaten Gerät
- Schützen Sie Ihre persönlichen Informationen
- Seien Sie vorsichtig beim Öffnen von Links und Anhängen
Schützen Sie Ihre SEP sesam Umgebung, indem Sie die folgenden Best Practices anwenden.
Schutz von SEP sesam Server und RDS vor Ransomware
Um Ihre Umgebung vor Ransomware zu schützen, sollten Sie die folgenden Maßnahmen für SEP sesam Server und RDS ergreifen:
Hinweis | |
Mit Jaglion V2 Release können Sie SEP Immutable Storage (Unveränderlicher Speicher), auch Si-Storage oder SiS genannt, verwenden. SiS basiert auf dem Si3 NG Speicher. Die neue SiS-Funktionalität basiert auf dem File Protection Service (FPS) und bietet eingebaute Sicherheitsfunktionen zur Aufrechterhaltung der Datenintegrität, wie z.B. eine WORM-Funktion (Write-Once-Read-Many), definierbare Unveränderbarkeit, Audit-Protokolle, etc. SiS kann eine entscheidende Rolle in einem Ransomware-Szenario spielen, denn selbst mit vollem Admin-Zugriff auf den SEP sesam Sicherungsserver können die Angreifer Ihre Sicherungsdaten nicht löschen oder in irgendeiner Weise verändern oder verschlüsseln. Siehe SEP Immutable Storage - SiS (Unveränderlicher Speicher). |
- Verwenden Sie ein anderes Betriebssystem für den SEP sesam Server oder RDS (z.B. Linux in Windows Umgebungen); siehe RDS konfigurieren (Linux Beispiel). Beachten Sie, dass der SEP sesam Sicherungsserver oder RDS nicht Mitglied einer Domäne sein sollte.
- Der Backup Server sollte nicht Teil einer Windows Domäne sein.
- Der SEP sesam Sicherungsserver oder RDS sollte keine zusätzlichen Rollen, wie z.B. Domänencontroller, Mailserver o.ä. haben.
- Aktivieren Sie nicht die LDAP/AD-Authentifizierung in der GUI, um Benutzer gegen ein externes Verzeichnis zu authentifizieren. Einzelheiten finden Sie unter Konfigurieren der LDAP/AD-Authentifizierung.
- Erlauben Sie den Verwaltungszugang ssh/rdp und GUI nur über ein separates sicheres Verwaltungsnetz oder VLAN ohne Routing zum Internet.
- Beschränken Sie den ssh/rdp/GUI/REST-API-Zugang nur über die PAM-Lösung (Privileged Access Management) oder einen gesicherten Jump-Host.
- Zugriff auf ssh/rdp nur mit Multi-Faktor-Authentifizierung (Passwort und Zertifikate); siehe Über Authentifikation and Autorisierung.
- Schützen Sie das Betriebssystem von SEP sesam und RDS Server gemäß den Standard-Sicherheitsempfehlungen.
- Konfigurieren Sie ACLs, um den Zugriff nur auf diejenigen zu beschränken, die ihn benötigen. Siehe Verwendung von Zugriffskontrolllisten.
- Befolgen Sie das Prinzip des geringsten Privilegs (POLP) und erzwingen Sie das Mindestmaß an Benutzerprivilegien. Verwenden Sie für jeden SEP sesam-Dienst einen separaten Dienstbenutzer mit der niedrigsten Freigabestufe, die es den Benutzern ermöglicht, ihre Rolle auszuführen. Jeder Benutzer sollte nur die Berechtigungen haben, die notwendig sind, um eine autorisierte Aktivität durchzuführen. Der Domain Admin sollte niemals verwendet werden. Verwenden Sie stattdessen ein normales (eingeschränktes) Benutzerkonto für Ihre tägliche Arbeit.
- Sichere Datensicherung mit regelmäßigen Hardware-Snapshots auf einem Speichersystem.
- Verwenden Sie eine robuste Sicherungsstrategie und bewahren Sie mindestens 3 Kopien Ihrer Daten auf verschiedenen Medien auf, insbesondere auf einem unveränderlichen externen Speicherort. Siehe Sicherungsstrategie – Best Practices.
- Erwägen Sie den Einsatz einer HPE StoreOnce Appliance, die Datenunveränderlichkeit bietet. Während des definierten Zeitraums der Datenunveränderlichkeit können die gespeicherten Daten nicht verschlüsselt, in irgendeiner Weise geändert oder gelöscht werden, selbst im Falle eines Ransomware-Angriffs. Unternehmen können unveränderliche Sicherungen verwenden, um ihre Daten in einem Zustand rückzusichern, der noch intakt und von der Malware unbeeinflusst ist. Weitere Informationen finden Sie unter HPE StoreOnce-Konfiguration.
- Deaktivieren Sie HTTP- und FTP-Datenverkehr und wechseln Sie zu HTTPS für eine sicherere Datenübertragung. Siehe Deaktivierung unsicherer Übertragungsmodi.
- Wählen Sie den sicheren SMSSH-Zugriffsart bei der Konfiguration von SEP sesam Client(s). Siehe Zugriffsarten.
Reagieren auf eine Ransomware-Infektion
Obwohl alle diese Maßnahmen wirksam sind, ist es unmöglich, Ihr System vollständig vor Angriffen zu schützen. Um den Schaden im Falle eines Ransomware-Angriffs zu begrenzen, sollten Sie die folgenden Punkte beachten:
- Zahlen Sie kein von den Cyberkriminellen gefordertes Lösegeld. Es gibt keine Garantie, dass der Entschlüsselungs-Code geliefert wird. Sie könnten also Daten, Geld und Zeit verlieren, wenn das Lösegeld gezahlt wird.
- Isolieren Sie das/die infizierte(n) System(e), indem Sie es/sie von allen Netzwerken und dem Internet abtrennen.
- Stellen Sie sicher, dass die Sicherungsdaten offline und sicher sind.
- Wenn möglich, erstellen Sie einen Snapshot des Systemspeichers.
- Schalten Sie das System aus, um eine weitere Verbreitung der Ransomware zu verhindern.
- Melden Sie den Ransomware-Vorfall an SEP Support.
Siehe auch
SEP Immutable Storage – SiS (Unveränderlicher Speicher) – Über Authentifizierung und Autorisierung – Sicherungsstrategie – Best Practices – RDS konfigurieren (Beispiel Linux) – Verwendung von Zugriffskontrolllisten