Nach Ereignissen wie dem Cyberangriff auf MGM müssen sich Unternehmen auf die Wiederherstellung von Daten konzentrieren, um ihre kritische Betriebsfunktionen zu gewährleisten. Ein Kommentar von Steven Stone, Head of Rubrik Zero Labs zum MSG-Hack.
Entscheidungen bei der Wiederherstellung sind essenziell: Diese Wiederherstellungsmaßnahmen werden entweder durch Sichtbarkeit, Priorisierung und dem Verständnis des aktuellen Angriffs geleitet oder sie werden „blind“ durchgeführt. Unternehmen, die eine blinde Wiederherstellung durchführen, müssen damit rechnen, dass sie zu viele Daten verlieren. Gründe dafür können sein, dass sie möglicherweise Daten von einem viel früheren Zeitpunkt als notwendig wiederherstellen oder die Angreifer erneut in ihr System einschleusen, wenn sie den Zustand nach dem Zugriff der Kriminellen wiederherstellen.
Eine erfolgreiche und rechtzeitige Wiederherstellung hängt von drei Faktoren ab: Zunächst kommt es auf gute Entscheidungen über die Reihenfolge der Wiederherstellung an, weil nicht alles auf einmal wiederhergestellt werden kann. Außerdem muss sichergestellt werden, dass die Angreifer den Zugriff auf die Systeme verlieren, indem ein Zustand vor ihrem Eindringen wiederhergestellt wird. Gleichzeitig sollte der Datenverlust so gering wie möglich ausfallen, indem die Wiederherstellung eines Zustands so nah wie möglich am Zeitpunkt des Eindringens erfolgt. Die erfolgreichsten Unternehmen in dieser Situation sind jene, die Sichtbarkeit ihrer Daten in unveränderlichen Offline-Speichern mit Wissen über das Eindringen kombinieren können.
Eine orchestrierte Wiederherstellung zahlt sich aus
Unternehmen mit einem bereits existierenden Wiederherstellungsplan erholen sich viel schneller, weil sie nur einen Prozess ausführen. Unternehmen ohne Notfallplan müssen in einer Krisensituation mit deutlich eingeschränkter Sichtbarkeit zuerst das Ausmaß des Angriffs untersuchen und diese auf Arbeitsprozesse abbilden. Das kostet Zeit. Damit Organisationen sich schnell von einem derartigen Cyberangriff erholen, sollten Sie Wiederherstellungspläne entwickeln und testen, um die Tragfähigkeit ihrer Pläne zu gewährleisten und sie anhand der aus Tests gewonnenen Erkenntnisse anzupassen.
Unternehmen sind eher auf Verschlüsselung als auf Erpressung vorbereitet
Immer mehr Ransomware-Gruppen setzen sowohl auf die Erpressung durch Verschlüsselung als auch auf die Drohung, gestohlene Daten zu veröffentlichen. Die meisten Unternehmen sind in gewissem Maße auf die Verschlüsselung durch Angreifer vorbereitet, jedoch nicht auf die anschließende Erpressung mit gestohlenen Daten. Dies ist vor allem dann eine Herausforderung, wenn eine Umgebung aktiv verschlüsselt wurde und/oder ein Angreifer in sie eingedrungen ist. Die Fähigkeit zu beurteilen, ob Daten gestohlen wurden, was diese Daten enthalten und wie das Unternehmen mit einer potenziellen Erpressung mit den verlorenen Daten umgeht, erweist sich im Angesicht der modernen Ransomware-Angriffe als essenziell.
#Rubrik