Cyberangriffe auf Unternehmenssysteme - einschließlich hybrider Identitätssysteme - sorgen immer wieder für Schlagzeilen, wie die jüngsten Angriffe auf das Gesundheitsunternehmen Henry Schein und den Hotelkonzern MGM Resorts. Abgesehen von diesen öffentlichkeitswirksamen Angriffen hat das Semperis Breach Preparedness & Response Services Team einen sprunghaften Anstieg der Anfragen von unseren Kunden (und den Kunden unserer Partner) zur Unterstützung bei der Wiederherstellung von identitätsbezogenen Angriffen verzeichnet.
Bei diesen Incident Response (IR)-Einsätzen habe ich große Unterschiede in der Wiederherstellungszeit und den Auswirkungen auf die verschiedenen Organisationen beobachtet, was mich zum Nachdenken über die Widerstandsfähigkeit dieser Unternehmen gebracht hat. Was ist der Unterschied zwischen einem Unternehmen, das sich nach einem identitätsbezogenen Angriff in relativ kurzer Zeit wieder erholt, und einem Unternehmen, dessen Wiederherstellung sich über Tage oder Wochen hinzieht und dem Unternehmen enorme Kosten verursacht? Aus eigener Erfahrung weiß ich, dass der größte Unterschied in der Fähigkeit des Unternehmens besteht, den Wiederherstellungsprozess zu orchestrieren, zu automatisieren und zu testen.
Backups sind nur der Anfang
Backups sind natürlich ein wichtiger Ausgangspunkt für die Wiederherstellung von Unternehmen. Obwohl dies heute nicht mehr der Fall sein sollte, tun sich einige Unternehmen immer noch schwer mit Offline/Offsite-Backup-Richtlinien und -Verfahren. Im Falle eines Cyberangriffs, der die Active Directory-Umgebung lahmlegt, haben wir oft gesehen, dass das erste Verschlüsselungsziel der Backup- und Wiederherstellungsserver im Unternehmensnetzwerk ist. Sobald die Angreifer das Backup-System erfolgreich verschlüsselt haben, gehen sie dazu über, den Rest des Unternehmens zu verschlüsseln.
Empfehlung: Stellen Sie sicher, dass Sie über Offline-/Offsite-Backups verfügen, auf die nicht mit denselben Anmeldedaten zugegriffen werden kann wie auf den Rest Ihres Produktionsnetzwerks.
Der Erholungsprozess kann ein Stolperstein sein
Ein kompliziertes Wiederherstellungsverfahren kann auch die Rückkehr zum normalen Geschäftsbetrieb verzögern. Der beste Ansatz für die Wiederherstellung ist "Übung macht den Meister". In vielen IR-Fällen, in die wir hineingezogen werden, wird der größte Teil der Wiederherstellungszeit damit verbracht, die richtigen Leute dazu zu bringen, den Wiederherstellungsprozess zu genehmigen. Aber auch andere Aspekte der Wiederherstellung, die offensichtlich erscheinen - wie das Führen einer Offline-Liste der wichtigsten Kontakte und die Organisation von Schichtplänen für die Experten - werden übersehen, was eine von Natur aus chaotische Situation noch komplizierter macht.
Die Gartner-Analysten Wayne Hankins und Craig Porter haben kürzlich darauf hingewiesen, wie wichtig es ist, sich schnell von einem Ransomware-Angriff zu erholen: "CISOs, die für die Vorbereitung auf Ransomware-Angriffe verantwortlich sind, müssen ihre Widerstandsfähigkeit erhöhen, indem sie eine Eindämmungsstrategie entwickeln, die sie während eines Ransomware-Angriffs umsetzen können. Wenn sie dies nicht tun, erhöht sich das Risiko einer unkoordinierten und ineffektiven Reaktion, wodurch sich die Wiederherstellungszeit verlängert."
Obwohl Gartner keine spezifischen Anweisungen für die Erstellung des Recovery Playbooks gibt, kann ich bestätigen, dass die Wiederherstellung umso schneller vonstatten geht, je mehr Details ein Unternehmen erfasst. Um diese Details aufzudecken, müssen Sie jeden Schritt auf dem Weg zur Wiederherstellung üben.
Empfehlung: Stellen Sie sicher, dass Sie über ein gut dokumentiertes IR-Verfahren verfügen, das Details zu allen Aspekten des Wiederherstellungsprozesses enthält - und stellen Sie sicher, dass auf diese Informationen auch dann zugegriffen werden kann, wenn das Netzwerk ausgefallen ist. Zu den grundlegenden Informationen (wir werden in Zukunft eine umfassendere Liste veröffentlichen und hier verlinken) gehören:
- Wer muss verschiedene Schritte im Prozess genehmigen - wer kann beispielsweise die Einleitung des Wiederherstellungsvorgangs von Active Directory autorisieren?
- Wer sind Ihre wichtigsten Anbieter (diese Liste kann für einen IR-Fall anders aussehen als für den normalen IT-Betrieb), und wo finden Sie deren Kontaktinformationen?
- Welche SLAs haben Sie mit Ihren Anbietern vereinbart?
Zeit ist der entscheidende Faktor für den Erfolg der Erholung
Nachdem wir die Backups abgerufen haben und das Wiederherstellungsverfahren genehmigt wurde, ist die nächste Herausforderung die Zeit. Die Zeit ist der einzige Faktor, der gegen Sie arbeitet. Ich würde behaupten, dass jede Umgebung wiederhergestellt werden kann, wenn genug Zeit und Zugang zu gültigen Backups vorhanden ist. Aber ein zu langer Zeitraum für die Wiederherstellung kann dem Unternehmen irreparablen Schaden zufügen. Es besteht ein direkter Zusammenhang zwischen der betrieblichen Ausfallzeit und den Schadenskosten für das Unternehmen. Es kommt zwar nicht häufig vor, dass die Wiederherstellungsbemühungen vollständig fehlschlagen, aber die Kosten, die mit übermäßigen Ausfallzeiten verbunden sind, können verheerend sein.
Eine genaue Bewertung der Gesamtkosten von Ausfallzeiten ist bekanntermaßen schwierig, und die endgültige Summe hängt von der Größe des Unternehmens und der Branche ab. Die Schätzung von Gartner aus dem Jahr 2014, dass IT-Ausfallzeiten Unternehmen im Durchschnitt 5.600 Dollar pro Minute kosten, wird immer noch als Maßstab verwendet. Gartner hat vor kurzem berichtet, dass die Kosten für die Wiederherstellung nach Ransomware-Angriffen im Jahr 2023 im Vergleich zu 2022 um 20% gestiegen sind.
Aber auch hier können die Kosten für Ausfallzeiten stark variieren: Laut Forbes verliert der durchschnittliche Automobilhersteller 22.000 Dollar pro Minute, wenn die Produktionslinie stillsteht. Die entscheidende Frage ist nicht, wie hoch die durchschnittlichen Ausfallkosten in der Branche sind. Entscheidend ist, wie viel Ausfallzeiten Ihr Unternehmen kosten - nicht nur in Form von harten Kosten, sondern auch in Form von Rufschädigung, rechtlichen und behördlichen Schäden.
Empfehlung: Stellen Sie sicher, dass Sie den Wiederherstellungsprozess so weit wie möglich orchestrieren und automatisieren. Die orchestrierte Wiederherstellung komplexer Systeme kann den Unterschied zwischen Tagen und Wochen der Wiederherstellungszeit und Minuten und Stunden ausmachen. So benötigte Maersk nach dem NotPetya-Angriff allein neun Tage, um sein Active Directory wiederherzustellen. In der gleichen Umgebung, aber mit einer orchestrierten Lösung, kann die Wiederherstellungszeit auf 30 Minuten reduziert werden.
Sicherheit nach einem Einbruch verhindert Folgeangriffe
Sobald die Wiederherstellung abgeschlossen ist, müssen Sie sicherstellen, dass die Umgebung sicher und vertrauenswürdig ist - das ist der letzte große Schritt im Wiederherstellungsprozess. Das Letzte, was Sie wollen, ist, die wiederhergestellte Umgebung zu früh freizugeben, was Angreifern Tür und Tor öffnen könnte, um sofort zurückzukehren und sie wieder zu zerstören. Bevor Sie die Systeme wieder in Betrieb nehmen, müssen Sie verbleibende Malware identifizieren und beseitigen.
Empfehlung: Stellen Sie sicher, dass Ihr IR-Prozess ein klar definiertes Verfahren zur Sicherung der Umgebung nach der Wiederherstellung umfasst. Das Verfahren sollte das Scannen aller Systeme auf Indikatoren für eine Gefährdung (IOEs), Indikatoren für eine Kompromittierung (IOCs) und potenzielle Indikatoren für einen Angriff (IOAs) umfassen.
Konzentrieren Sie sich auf die Reduzierung von Ausfallzeiten, um die Cyber-Resilienz zu verbessern
Die Vorbereitung auf den schlimmsten Fall ist der erste Schritt, um sicherzustellen, dass Ihr Unternehmen eine Cyber-Katastrophe überleben kann. Die Anzahl und Schwere der Angriffe auf Unternehmen jeder Größe, jedes vertikalen Marktes und jedes geografischen Standorts steigt von Monat zu Monat.
Aufgrund meiner Erfahrung in der Unterstützung von Unternehmen bei der Wiederherstellung nach verheerenden Angriffen empfehle ich allen Unternehmensleitern, der Entwicklung eines vollständig getesteten Notfallplans für den Fall eines Cyberangriffs Priorität einzuräumen. Sie können zwar nicht jeden Cyberangriff verhindern, aber Sie können die Zeit bis zur Wiederherstellung drastisch verkürzen. Diese kürzere Ausfallzeit könnte darüber entscheiden, ob Ihr Unternehmen überlebt.