Das SANS Institute veröffentlicht die Ergebnisse des „SANS 2021 Ransomware Detection and Incident Response Reports“. Die Untersuchung zeigt die Unterschiede zwischen Ransomware und anderen Cyberattacken auf und wie sich diese begegnen lassen.
Diese Unterschiede führen zu Möglichkeiten, Ransomware-Bedrohungsakteure in einem frühen Stadium des Angriffslebenszyklus zu erkennen und sicherzustellen, dass es für sie schwieriger ist, das Endstadium der Verschlüsselung von Dateien und der Sperrung von Systemen zu erreichen. IT-Sicherheitsteams, die diese Möglichkeiten erkennen, sind in der Lage, ihre Netzwerke zu sichern und bösartige Aktivitäten leichter zu erkennen.
Ransomware-Gruppen gehen in der Regel nach dem gleichen Muster vor:
- Sie suchen nach Systemen mit kritischen Pfaden und kompromittieren die Systeme, um Einfallstore zu etablieren (in der Regel Remote-Access-Lösungen).
- Sie starten eine E-Mail-Phishing-Kampagne.
- Sie nutzen bekannte Schwachstellen aus.
„Wenn ein Unternehmen einen Ransomware-Vorfall in seiner Umgebung entdeckt, ist es von größter Wichtigkeit, dass es schnell handelt, um die Bedrohung zu bewältigen. Dies bedeutet nicht, dass ein Unternehmen langsam auf eine Bedrohung reagieren würde. Sobald jedoch eine Ransomware-Nachricht eingegangen ist, tickt die Uhr. Unternehmen sollten daher im Ernstfall auf einen sechsstufigen Incident-Response-Prozess aus der Schublade zurückgreifen können“, sagt Studienautor und SANS-Instructor Matt Bromiley.
Die sechs wichtigsten Schritte eines Incident Response-Plans sind wie folgt:
- Vorbereitung des Notfallplans.
- Identifizierung der Bedrohung.
- Eindämmen der Infektion.
- Beheben und Zurückgewinnen der Systeme.
- Wiederherstellen der verlorenen Systeme und Daten.
- Lehren ziehen und in den Notfallplan überführen.
Mehr über die Studie im Webcast am 16. November: https://www.sans.org/webcasts/sans-2021-ransomware-detection-and-incident-response-report/
Gesponsert wurde die Studie von Anomali, Blue Hexagon, Cisco Secure, Corelight, Deepwatch, Egress, Palo Alto Networks, Rapid7, Recorded Future und Red Canary.
#SANS Institute