Könnte Ihr Passwort in 60 Sekunden geknackt werden?
Könnte Ihr Passwort in 60 Sekunden geknackt werden?
Wenn Ihr Passwort 7 Zeichen lang ist und eine Mischung aus Zahlen mit Groß- und Kleinbuchstaben verwendet, lautet die Antwort JA(1). Dies basiert auf Analysen, die vor August 2019 durchgeführt wurden. Daher ist die Situation heute wahrscheinlich noch schlimmer, da die Rechenleistung in den Händen von Cyberkriminellen weiter zunimmt. Passwörter werden seit den frühesten Tagen der Computertechnik mit Computern verwendet. Das 1961 am MIT eingeführte CTSS-Betriebssystem war der erste aufgezeichnete Computer, der eine Passwortanmeldung implementierte. Ebenso entwickeln sich seit vielen Jahrzehnten Tools zum Knacken von Passwörtern.
Hier werden wir uns ansehen, warum einige „Best Practices“ für Kennwörter tatsächlich der Informationssicherheit abträglich sind, und einige Methoden zum Erstellen starker Kennwörter vorschlagen, die leicht zu merken, aber schwer zu erraten sind.
Passwortverwaltung: typischerweise eine schmerzhafte Notwendigkeit
Es ist kein Geheimnis; Passwörter sind eine Qual für alle. Sie verursachen Frustration bei Mitarbeitern, Kunden und den Supportmitarbeitern, die sie verwalten müssen. Wer kann sich an die 11-stellige Kombination aus Buchstaben, Symbolen und Ziffern erinnern, die starke Passwörter vorschreiben, geschweige denn sie in erster Linie erfinden? Wenn ein Passwort verloren geht oder gestohlen wird, was häufig der Fall ist, belastet dies den Support-Desk. Laut Gartner Group werden 20-50% der Support-Anrufe für das Zurücksetzen von Passwörtern verwendet, wobei laut Forester Research durchschnittliche Kosten für die Organisation von 70 US-Dollar pro Anruf entstehen.
Hacker haben eine breite Palette von Tools entwickelt, um Ihre persönlichen Daten zu infiltrieren. Das Haupthindernis dafür, dass Ihre Informationen sicher bleiben oder nach außen dringen, ist das von Ihnen gewählte Passwort. Ironischerweise ist der beste Schutz der Menschen normalerweise der, den sie am wenigsten ernst nehmen.
Aus der Sicht des Passwortknackens verbessert die Passwortkomplexität sicherlich die Passwortstärke, wie in dem unten reproduzierten Diagramm von Hive Systems zu sehen ist, aber das Durchsetzen von "starken" Passwortregeln für Benutzer, die schwer zu merken sind, kann die Sicherheit eines Systems auf folgende Weise verringern:
- Benutzer müssen das Passwort möglicherweise aufschreiben oder elektronisch speichern, indem Sie eine unsichere Methode verwenden
- Benutzer benötigen häufigere Passwort-Resets
- Es ist wahrscheinlicher, dass Benutzer dasselbe Passwort wiederverwenden
- Ebenso erhöhen strenge Anforderungen an die Passwortstärke, wie z. B. "Groß- und Kleinbuchstaben mit Ziffern mischen" oder "monatliche Passwortänderung", den Grad, in dem Benutzer versuchen, das System zu untergraben (2).
Benutzer aufzufordern, sich ein Passwort zu merken, das aus einer Mischung aus Groß- und Kleinbuchstaben besteht, ist wie die Aufforderung, sich an eine Folge von Bits zu erinnern: schwer zu merken und nur etwas schwerer zu knacken (nur 128-mal schwerer zu knacken bei 7-Buchstaben-Passwörtern, weniger wenn der Benutzer nur einen der Buchstaben groß schreibt). Benutzer aufzufordern, sowohl Buchstaben, Ziffern als auch Symbole zu verwenden, führt oft zu leicht zu erratenden Ersetzungen wie '3' anstelle von 'E', '1' anstelle von 'l' und '@' anstelle von 'A '. All dies ist Hackern bekannt. Ähnlich ist es, das Passwort eine Tastaturzeile höher einzugeben, ein weiterer allgemein bekannter Trick.
Leicht zu merken, aber schwer zu erraten
Benutzer wählen selten Passwörter, die leicht zu merken, aber schwer zu erraten sind. Eine Studie aus dem Jahr 2004 mit dem Titel "Die Einprägsamkeit und Sicherheit von Passwörtern" (3)", um herauszufinden, wie Benutzern bei der Auswahl guter Passwörter geholfen werden kann, führten die Autoren einen kontrollierten Versuch durch, die Auswirkungen unterschiedlicher Ratschläge an die Benutzer zu untersuchen. Einige ihrer Ergebnisse stellten die etablierte Weisheit in Frage.
Sie fanden heraus, dass Passwörter, die darauf basieren, sich einen Satz zu überlegen und den ersten Buchstaben jedes Wortes zu nehmen, genauso einprägsam sind wie naiv ausgewählte Passwörter und genauso schwer zu knacken wie zufällig generierte Passwörter. Das Kombinieren von zwei nicht zusammenhängenden Wörtern ist eine weitere gute Methode. Ein persönlich entworfener "Algorithmus" zum Generieren obskurer Passwörter kann leicht auf diesen Beispielen aufbauen. Eine Möglichkeit, einen einfach zu verwendenden Algorithmus zu erstellen, könnte darin bestehen, das nicht verwandte Wortbeispiel zu verwenden, aber jedes Wort durch eine Auswahl von Symbolen zu trennen. Drei zufällige Wörter mit drei verschiedenen Symbolen könnten sicherlich ein starkes Passwort erzeugen, wobei der Benutzer nur 6 Passwortelemente zu merken hat.
Neuere Untersuchungen, die im April 2015 von mehreren Professoren der Carnegie Mellon University durchgeführt wurden, haben ergeben, dass die Wahl der Passwortstruktur oft mehreren bekannten Mustern folgt. Dadurch können Passwörter viel leichter geknackt werden, als es die mathematischen Wahrscheinlichkeiten, wie in der hier beiliegenden Grafik, sonst vermuten lassen würden. Passwörter, die beispielsweise eine Ziffer enthalten, enthalten diese überproportional am Ende des Passworts (4).
Wie werden Passwörter kompromittiert
Passwörter stellen wertvolle Unternehmenswerte dar, die von Cyberkriminellen angegriffen werden können. Passwörter können unterwegs kompromittiert werden, wenn sie Netzwerke durchqueren, aber im statischen Zustand sind sie als sitzende Ziele anfälliger, da sie in Datenbanken und Backup-Dateien gespeichert sind, die leicht gefunden und gehackt werden können. In einigen Fällen werden Kennwörter von Kollegen geteilt und in mehreren Anwendungen wiederverwendet, was sie zu leichten Zielen für Malware, Phishing-Angriffe und andere Techniken zum Diebstahl von Anmeldeinformationen macht.
Eine der einfachsten Möglichkeiten für Hacker, an Ihre Informationen zu gelangen, ist ein Brute-Force-Angriff. Dies wird erreicht, wenn ein Hacker eine speziell geschriebene Software verwendet, um systematisch alle möglichen Passwörter und Passphrasen zu überprüfen, bis das richtige gefunden wird, das Ihren Anmeldeinformationen entspricht. Andere Cracking-Techniken, die Sie vielleicht hören, sind Wörterbuchangriffe, Lookup-Tabellen, Reverse-Lookup-Tabellen und Rainbow-Tabellen. Kostenlose Tools zum Knacken von Passwörtern können leicht über jede Internetsuche abgerufen werden. Gehen Sie also nicht davon aus, dass es sich nur um ausgeklügelte cyberkriminelle Banden handelt.
Wenn Passwörter entweder einzeln oder als Teil einer Unternehmensdatenbank gestohlen werden, werden sie normalerweise online geteilt und im Dark Web zum Verkauf angeboten. Cyberkriminelle kaufen diese Listen und verwenden automatisierte Credential-Stuffing-Angriffe, die die Kombinationen von Benutzername und Passwort durchlaufen, bis eine Übereinstimmung für das Online-Konto gefunden wird, in das sie einzubrechen versuchen. Dies kann ein Online-Shop sein, in dem versucht wird, Waren über Ihre gespeicherten Zahlungsmethoden zu kaufen oder im schlimmsten Fall auf Ihre Konten bei einem Finanzinstitut zuzugreifen, um Geld zu überweisen. Sobald Hacker Zugang zu einem Online-Konto erhalten haben, können ihnen natürlich viel mehr personenbezogene Daten (PII) zur Verfügung stehen, was den Weg für einen umfassenderen Identitätsdiebstahl ebnet.
Bildung und Verschlüsselung sind deine besten Waffen
So oft ist die Cybersicherheitsschulung die mächtigste Waffe, die jedes Unternehmen einsetzen kann, um seine Systeme sicher und vertrauliche Informationen aus den Händen von Cyberkriminellen zu halten. Selbst die einfachen Tipps zur Passwortverwaltung hier können einen großen Unterschied machen. Eine weitere Aktion, die wir immer fördern, ist die Verschlüsselung sensibler Daten und insbesondere von Backup-Dateien, die nicht nur Ihre Lebensader im Katastrophenfall sind, sondern auch Ziel von Data Mining von Kriminellen sind, die nach Passworttabellen oder anderen Formen von PII suchen . Schützen Sie Ihre Backup-Volumes außerdem immer mit einer Unveränderlichkeitsfunktion wie Blocky for Veeam®, um sicherzustellen, dass Bedrohungsakteure Ihre wichtigen Dateien nicht verschlüsseln können.
Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
(1). Daten von HowSecureismyPassword.net online bezogen: https://www.hivesystems.io/blog/are-your-passwords-in-the-green?
(2). Verwalten der Netzwerksicherheit. Fred Cohen & Associates. Alle.net. Abgerufen am 31. Januar 2013 online: https://web.archive.org/web/20110126220702/http://all.net/journal/netsec/1997-09.html
(3). Yan, J.; Blackwell, A.; Anderson, R.; Grant, A. (2004). "Kennwortspeicherbarkeit und Sicherheit: Empirische Ergebnisse" (PDF). IEEE Security & Privacy Magazine online: https://ieeexplore.ieee.org/document/1341406
(4). Steinberg, Joseph (21. April 2015). „Neue Technologie knackt ‚starke‘ Passwörter – Was Sie online wissen müssen: https://www.forbes.com/sites/josephsteinberg/2015/04/21/new-technology-cracks-long-complex-passwords-what-you-need-to-know/?sh=1f430ed162df
Veeam Backup-Schutz für Zweigstellen und Remote-Standorte
Cyberkriminelle suchen nach mehreren Wegen, um ein Netzwerk zu infiltrieren, daher müssen die Cybersicherheitsmaßnahmen entsprechend umfassend sein. Im Zusammenhang mit dem Schutz von Veeam-Backupdateien und den Speichervolumes, auf denen sie gespeichert sind, gibt es viele empfohlene Best Practices. Leider sind einige dieser Maßnahmen aufgrund von Ressourcenbeschränkungen oder anderen logistischen Herausforderungen möglicherweise nicht für den Einsatz in Zweigstellen oder Remote-Standorten praktikabel. Mehrere Remote-Standorte erweitern die Angriffsfläche für Hacker. Daher werden wir uns hier einige häufige Herausforderungen ansehen und zeigen, wie die Application Fingerprinting-Technologie eine kostengünstige und einfach zu implementierende Sicherheitslösung für Remote-Office-Installationen bieten kann.
Lokale Backups sind zum primären Ziel geworden
Es ist heute alltäglich, dass ein Unternehmen einem Cyberangriff zum Opfer fällt, nur um festzustellen, dass seine Backups zusammen mit anderen für den Geschäftsbetrieb wichtigen Dateien kompromittiert wurden. Backups sollten als Versicherungspolice dienen, um die Wiederherstellung des Betriebs nach einem Angriff zu ermöglichen, aber Cyberkriminelle wissen dies natürlich und machen sich daran, Backups zuerst zu lokalisieren und zu verschlüsseln.
Zur Sicherung einer Veeam Backup & Replication-Architektur stehen zahlreiche Best-Practice-Empfehlungen zur Verfügung. Ziel ist es, Angreifern möglichst viele Hürden in den Weg zu legen. Wir haben diese in unserem vorherigen Artikel behandelt Kurztipps für Veeam® Backup Security Daher werden sie hier nicht im Detail wiederholt, sondern auf die Praktiken hingewiesen, die sich an entfernten Standorten als schwierig erweisen können oder für viele Unternehmen unerschwinglich sind.
Objektspeicherung und OS-Härtung
Die übliche Vorgehensweise für einen Backup-Prozess in der Unternehmenszentrale besteht darin, ein Veeam-Backup-Repository vor Ort zu haben, das 14 bis 30 Tage lang Backup-Daten lokal speichern kann. Dem Systemadministrator stehen dann mehrere Optionen zur Verfügung, um diese Backup-Informationen zu schützen. Eine Möglichkeit besteht darin, Kopien der primären Backup-Daten an einen S3-basierten Objektspeicher in der Cloud zu senden, der dann die Object-Lock-Technologie nutzen kann. Dies könnte eine sofortige Kopie der Backup-Daten sein oder alternativ einen Alterungsprozess verwenden, bei dem beispielsweise Backup-Daten, die älter als 14 Tage sind, in den Objektspeicher kopiert werden.
Objektspeicher werden normalerweise in der Cloud bereitgestellt, aber lokale Lösungen werden immer beliebter. Obwohl beide sicherlich solide Sicherheitsoptionen sind, werden die Kosten für diese Dienste für viele Unternehmen unerschwinglich sein.
Mit der Veröffentlichung von Veeam V11 wurde die Möglichkeit zur Replikation von Backups auf ein gehärtetes Linux-basiertes Backup-Repository verfügbar. Dies ist eine sehr beliebte Option für Unternehmen, die bereits Linux in ihrer Infrastruktur verwenden und über die entsprechenden Fähigkeiten im eigenen Haus verfügen. Da Linux als Desktop-Betriebssystem weniger als 2% weltweit verbreitet ist, zögern viele Unternehmen leider, die Lernkurve zu absolvieren oder die erforderlichen Fähigkeiten hinzuzufügen, um Linux in ihre Windows-dominierte Architektur einzuführen.
Im Kontext von Zweigstellen und Remote-Standorten ist die Verbreitung von Linux noch geringer. Zusätzliche Herausforderungen können eine nicht optimale Netzwerkkonnektivität für die Verwendung von Cloud-basierten Backup-Lösungen und ein allgemeiner Mangel an technischen Ressourcen vor Ort sein.
Ein Windows-basiertes System zu härten ist weitaus schwieriger, da es ein viel umfangreicheres Betriebssystem als Linux ist und leider ein Opfer seiner eigenen Popularität ist. Die Sicherheit eines Betriebssystems hängt in hohem Maße von der Größe seiner installierten Basis ab. Für Malware-Autoren bietet Windows ein riesiges Spielfeld, daher gibt ihnen die Konzentration darauf den größten Gewinn für ihre Bemühungen.
Härten eines Windows® Veeam Repository für Remote-Standorte
Veeam bietet einige großartige Best-Practice-Ressourcen für die Sicherung einer Backup-Umgebung, einschließlich Tipps für Ein Backup-Repository härten, das unter Windows ausgeführt wird Diese Schritte führen jedoch nie zu einer wirklich gehärteten Windows-Plattform. Wenn diese Schritte befolgt werden, wird es für Cyberkriminelle sicherlich schwieriger sein, in die Umgebung einzudringen, aber Veeam-Backup-Volumes bleiben weiterhin anfällig.
Remote-Standorte verwenden in der Regel den lokalen Speicher als Staging-Bereich für Backups mit einem Alter von bis zu einer Woche, und die Speicherung von Backups auf lokalem Speicher bietet die schnellstmögliche Wiederherstellungszeit. Während Cloud-basierter Objektspeicher effektiv ist, kann dies aufgrund der Beschränkungen der Netzwerkbandbreite an entfernten Standorten unpraktisch sein, um die Wiederherstellungszeitziele im Falle eines Cyberangriffs oder eines anderen Notfallwiederherstellungsszenarios zu erreichen.
Blocky for Veeam® bietet eine Lösung für Windows-basierte Backup-Repositorys in Remote- und Hauptbüros mit lokalem Speicher, die verhindert, dass unbefugte Systemprozesse den Inhalt bestimmter Backup-Volumes oder -Ordner ändern.
Der Systemadministrator würde auswählen, welche Speichervolumes oder Ordner der ersten Ebene geschützt werden müssen, und dann das Blocky for Veeam®-Filtertreiber-Dienstprogramm anweisen, eine Anwendungs-Fingerabdruck-Analyse der erforderlichen Veeam Backup & Replication-Anwendungsprozesse durchzuführen. Sobald der Schutz aktiviert wurde, können nur diese Prozesse mit Fingerabdruck auf die geschützten Volumes schreiben. Kein Malware-Code kann sich als Veeam-Anwendungsprozess ausgeben, da er nicht mit dem Anwendungs-Fingerabdruck übereinstimmt, der aus den echten Veeam-Prozessen erstellt wurde.
Früherkennung ist entscheidend, um den Schaden eines Cyberangriffs zu begrenzen
Malware-Payloads und anschließende Ransomware-Anforderungen werden in der Regel gestartet, nachdem die beteiligten Hacker längere Zeit unentdeckt in der IT-Infrastruktur gearbeitet haben. Dies geschieht, wenn „Zero-Day“-Schwachstellen ausgenutzt wurden, um Zugang zum Netzwerk zu erhalten. Dies kann in Form von neuen Schlupflöchern in der Betriebssystem- oder Netzwerkhardware oder einfach durch die Entwicklung neuer Malware-Codes entstehen, die unbekannt sind und daher in den aktuellen Antiviren-Definitionsdateien nicht vorhanden sind.
Auch wenn die Bereitstellung eines gehärteten Linux-basierten Veeam-Backup-Repository wirksam ist, um die Kompromittierung von Backup-Dateien zu verhindern, wird das Linux-Repository selbst nicht vor unbefugten Zugriffsversuchen oder anderen verdächtigen Netzwerkverhaltensweisen warnen.
Blocky for Veeam® hingegen kann über Systemprotokolldateien, E-Mail, SMTP und über das Blocky for Veeam®-Logging-Panel Warnungen über alle unbefugten Zugriffsversuche senden, wenn ein Administrator die GUI geöffnet hat. Die frühzeitige Erkennung verdächtiger Aktivitäten, insbesondere von „Zero-Day“-Bedrohungen, kann viel dazu beitragen, den durch einen Cyberangriff verursachten Schaden zu begrenzen.
Zweigniederlassungen und Außenstellen sind ein wichtiger Einstiegspunkt für Cyberangriffe. Aufgrund von Herausforderungen vor Ort können Sicherheitslösungen mit Cloud-Technologien, Bandarchiven oder einem gehärteten Linux-Betriebssystem unpraktisch sein. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
Überlegungen für einen Kommunikationsplan zur Cyberangriffskrise
In unserem früheren Artikel The Blocky for Veeam® - 5-Schritte-Anleitung für ein sichereres Netzwerk Wir haben die Bedeutung der Erstellung einer Cyber-Sicherheitsrichtlinie und eines Notfallwiederherstellungsplans hervorgehoben. Ein zentrales Element sollte dabei ein Kommunikationsplan sein, der in den Wirren der Eindämmung eines Cyberangriffs und der Wiederherstellung von IT-Systemen leicht übersehen werden kann.
Stakeholder auf dem Laufenden zu halten ist ein Bereich, in dem Unternehmen oft stolpern, insbesondere wenn ein Cyberangriff zu einer Datenschutzverletzung geführt hat. Um diese Aufgabe gut zu erfüllen, müssen Sie Pläne haben, lange bevor Ihre Sicherheit verletzt wird, aber es ist auch wichtig, diesen Plan zu proben und zu aktualisieren, um sicherzustellen, dass die am besten geeigneten Kommunikationskanäle und Sprecher immer vorbereitet sind.
In diesem Artikel werden wir einige Hinweise zur Erstellung eines Kommunikationsplans für die Cybersicherheit geben und einige der Fallstricke skizzieren, die vermieden werden können.
Identifizieren Sie Ihr Publikum
Einer der wichtigsten Schritte beim Aufbau einer Krisenkommunikationsstrategie besteht darin, die Zielgruppen zu identifizieren und zu verstehen, die das Unternehmen während eines Cyberangriffs erreichen muss. Viele potenzielle Zuschauer müssen während der Veranstaltung und der Erholungsphase informiert werden. Dazu können Mitarbeiter, IT-Mitarbeiter, Kunden, Lieferanten, Lieferanten, Investoren, Regierungsbeamte, Branchenaufsichtsbehörden und natürlich die Medien gehören. Der Kommunikationsplan sollte die Bedürfnisse jeder der Einheiten, die Kontakt benötigen, darlegen und identifizieren, wer innerhalb der Organisation als Sprecher am besten geeignet ist, um mit jedem Publikum zu kommunizieren.
Die Medieninteraktion kann im Falle eines Cyberangriffs eine wichtige Komponente sein. Die Kommunikation mit den Medien hat das Potenzial, die Reaktionen der Stakeholder positiv zu beeinflussen, aber dies hängt natürlich davon ab, wie gut die Botschaft verfasst und übermittelt wird. Eine zeitnahe und gut kalkulierte Ankündigung an die Medien kann viel dazu beitragen, Spekulationen und Gerüchte zu reduzieren und Ihren Stakeholdern zu zeigen, dass Sie die Kontrolle haben. Arbeiten Sie nach Möglichkeit mit Ihren PR-Agenturen zusammen, die Experten für Krisenkommunikation sein sollten.
Sprecher- und Kommunikationsteamzuordnung
Die Auswahl von Sprechern ist einer der wichtigsten Aspekte eines Krisenkommunikationsplans. Ein Cyberangriff löst im gesamten Unternehmen Panik aus, nicht nur in Ihrem IT-Support-Team. Dies führt zu einer hohen Wahrscheinlichkeit von Fehlern und Fehlern unter dem Druck, der die Notwendigkeit eines soliden Krisenkommunikationsplans mit spezifischen Verantwortlichkeiten für Sprecher unterstreicht. Kleinere Unternehmen entscheiden sich möglicherweise dafür, nur eine Person für die interne und externe Kommunikation zu beauftragen, oft den CEO selbst.
Es ist wichtig, dass der Sprecher für eine Cyberangriffskrise sowohl technisch versiert als auch eine Autoritätsperson im Geschäft ist. Wenn Ihr Sprecher der CEO ist, stellen Sie sicher, dass er oder sie in der Lage ist, genau und intelligent über die technischen Details des Angriffs zu sprechen. Sie möchten nicht, dass Ihr Sprecher an Glaubwürdigkeit verliert, indem er versehentlich Tatsachenelemente des Ereignisses falsch darstellt. Die Menschen müssen wissen, dass die oberste Führung die Situation unter Kontrolle hat und beherrscht.
Es kann jedoch vorzuziehen sein, für jede Abteilung einen Ansprechpartner und einen Ersatz zuzuweisen, wobei die zugewiesenen Mitglieder Teil einer eng verbundenen Gruppe sind. Darüber hinaus sollte ein Team bestimmt werden, das die gesamte externe Kommunikation überwacht, und zu diesem Team sollte der CEO gehören. Während der Krisenzeit sollte ein Team zur Verfügung stehen, um externe Telefonanrufe zu beantworten, Voicemails abzurufen, E-Mails zu beantworten, Support zu leisten und Social-Media-Konten zu verwalten.
Das nachfolgende Diagramm veranschaulicht einige der gemeinsamen Interessengruppen und die wahrscheinliche Ausrichtung der Sprecher.
Kommunikationskanäle, Vorlagen und Eindämmung von Gerüchten
Nach der Festlegung der Zielgruppen und Sprecherabstimmungen ist es wichtig zu entscheiden, wie die Kommunikation stattfinden soll. Unternehmen sollten nicht ausschließen, dass ihre E-Mail- und Telefonsysteme im Rahmen eines Angriffs angegriffen werden könnten, daher sollten andere Kommunikationsmöglichkeiten wie Mobiltelefone oder Social-Messaging-Kanäle im Rahmen des Krisenkommunikationsplans in Betracht gezogen werden. Es ist von Vorteil, vor jedem Cyberangriff vorgefertigte Kommunikationsvorlagen zur Verfügung zu haben, da sie es einfacher und schneller machen, Ihre Nachricht zum richtigen Zeitpunkt an verschiedene Gruppen zu senden. Eine Möglichkeit, Kommunikationsfehler mit Mitarbeitern zu kontrollieren, besteht darin, eine Kommunikationsleiter in Ihrem Kommunikationsplan einzurichten. Diese Kommunikationskette sollte beschreiben, wer wen in welcher Reihenfolge zu informieren hat. Es ist wichtig, unbefugte Mitarbeiter zu warnen, die Situation nicht extern zu diskutieren. Die Gerüchteküche ist gefährlich, besonders wenn sie von Mitarbeitern ausgeht. Sie sollten im Voraus gewarnt werden, Details eines Cyberangriffs nicht öffentlich zu diskutieren, auch nicht mit Freunden oder Familie und schon gar nicht mit den Medien. Stattdessen sollten sie alle Anfragen an die ernannten Sprecher oder Teams weiterleiten.
Medienmanagement
Es ist sicherlich ratsam, die Geschichte eines größeren Cyberangriffs zu veröffentlichen, bevor die Medien es tun. Es gab viele Fälle, in denen die Medien über einen Cyber-Vorfall berichteten, noch bevor der CEO darauf aufmerksam gemacht wurde. Wenn der Angriff den Betrieb beeinträchtigt hat, ist es am besten, sich dem Problem mit so vielen genauen Informationen zu stellen, wie Sie zu diesem Zeitpunkt haben. Bestimmen Sie Größe und Umfang des Problems, bevor Sie endgültige Aussagen treffen. Wenn Sie ungenaue Daten melden, z. B. das Ausmaß einer Datenschutzverletzung, laufen Sie Gefahr, frühere Aussagen rückgängig zu machen und zuzugeben, dass das Problem weitaus schlimmer war als erwartet. Auf lange Sicht wird es für Sie und alle Beteiligten von Vorteil sein, genaue Zahlen zum Umfang des Vorfalls angesichts schwieriger Fragen der Medien zu teilen. Um die Kontrolle über Ihre Geschichte zu behalten, kennen Sie Ihre Fakten und halten Sie sich daran. Sie müssen schnell die Kontrolle über Ihre Prozesse und Informationen behalten und sicherstellen, dass jeder Geschäftsbereich den Notfallplan kennt und alle Statusaktualisierungen und aufgetretenen Probleme über die entsprechenden Kanäle sendet.
Kommunizieren Sie einen klaren Wiederherstellungspfad
Ihr Unternehmen muss Rechenschaftspflicht nachweisen und einen klaren und zeitnahen Plan für die Behebung kommunizieren. Datenverlust ist nicht nur schädlich und teuer, sondern wird auch in der Öffentlichkeit immer weniger akzeptabel. Daher müssen Sie alles tun, um die Schäden durch Datenverlust und Unterbrechungen der Geschäftskontinuität zu begrenzen. Stellen Sie sicher, dass Ihre Kommunikation deutlich macht, welche Abhilfemaßnahmen Ihr Unternehmen ergreift, damit Ihre wichtigsten Stakeholder sicher sein können, dass ihre Daten in sicheren Händen sind. Kunden stehen an erster Stelle. Beobachten Sie die Situation genau und kommunizieren Sie regelmäßig. Kommunizieren Sie sowohl die guten als auch die schlechten. Der Versuch, Informationen zu verbergen, wird nach hinten losgehen, Ihre Stakeholder und sicherlich die Medien werden nur auf die Wahrheit gut reagieren.
Aus Fehlern lernen und Korrekturen vornehmen
Es kann nicht genug betont werden, wie wichtig es ist, die Auswirkungen eines Cyberangriffs schnell an alle wichtigen Interessengruppen zu kommunizieren. Wenn ein Cyberangriff eingedämmt und behoben wurde, führen Sie unbedingt eine Nachbesprechung der Führungskräfte durch, um den Krisenkommunikationsplan und die Leistung des Unternehmens zu überprüfen. Dies ist ein entscheidender Zeitpunkt, um den Plan anzupassen, um das zu verstärken, was gut funktioniert hat, und um zu bestimmen, wie man sich in Bereichen, die schlecht abgeschnitten haben, verbessern kann. Es kann auch wertvoll sein, eine Zusammenfassung der Nachbesprechung auf hoher Ebene mit Ihren wichtigsten Interessengruppen zu teilen, damit diese sicher sein können, dass das Unternehmen in guten Händen ist. Hoffentlich hat dieser Entwurf einige nützliche Kontrollpunkte geliefert, die Sie in Ihrem Krisenkommunikationsplan berücksichtigen sollten, und Denkanstöße für diejenigen unter Ihnen, die noch keinen Plan aufgestellt haben.
Denken Sie daran, dass saubere und sichere Datensicherungen Ihre beste Verteidigung im Falle eines Cyberangriffs sind. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
Ransomware-Angriff – An wen sollten Sie sich wenden?
Wenn Sie einem Ransomware-Angriff zum Opfer gefallen sind, müssen Sie sicherlich viele Entscheidungen treffen. Wie in vielen anderen kriminellen Situationen kann es sehr einfach sein, diese "Knie-Zucken-Reaktion" durchzuführen, ohne einen Moment zurückzutreten und die Optionen zu prüfen oder tatsächlich nach Hilfe zu suchen.
Nach dem Schock über den Verlust des Zugriffs auf Dateien stellt sich das gewaltige Dilemma, ob das Lösegeld gezahlt werden soll oder nicht, um sie zurückzubekommen. In den meisten Fällen steht die Meldung des Angriffs an die zuständigen Behörden wahrscheinlich nicht ganz oben auf der Prioritätenliste. Viele Organisationen arbeiten ohne einen Vorfallplan für Cyberangriffe, sodass die meisten wahrscheinlich nicht wissen, an welche Organisation(en) sie sich in jedem Fall wenden sollten.
Leider haben wir uns zu der Annahme entwickelt, dass Vorfälle von Online-Betrug und Ransomware Probleme sind, die vom Opfer oder mit den beteiligten Banken oder Finanzinstituten gelöst werden müssen. Es fehlt das Vertrauen, dass die Meldung des Vorfalls keinen Nutzen bringt. Dies ist in einigen Ländern wahrscheinlich gerechtfertigt, da Opfern von Cyberkriminalität oft einfach geraten wird, zu einer örtlichen Polizeistation zu gehen und zu hoffen, dass jemand, der im Dienst ist, mitfühlend genug ist, um ihnen bei der Erstellung eines Kriminalberichts zu helfen.
Angesichts der massiven Zunahme der Online-Kriminalität haben Regierungen und Strafverfolgungsbehörden jedoch erkannt, dass sie wie jede andere Art von Rechtsverletzung behandelt werden muss, um eine Chance zur Eindämmung von Online-Kriminalität zu haben.
Glücklicherweise haben viele Länder diese Herausforderung ernst genommen, sodass die Meldung von Ransomware und anderen Formen von Online-Kriminalität in den USA, Großbritannien und einigen Teilen Europas viel einfacher geworden ist. Um bessere Informationen über Cyberkriminalität zu sammeln, müssen Regierungsbehörden die Öffentlichkeit und Unternehmen davon überzeugen, die jahrelange Konditionierung zu überwinden und den Strafverfolgungsbehörden mitzuteilen, was mit ihnen passiert ist. Diese Untersuchungen sind von entscheidender Bedeutung; ohne Echtzeit-Berichte ist es unmöglich, Beweise schnell genug zu sammeln, um die Täter zu fassen. Zu wissen, welche Cyberkriminalität-Banden operieren und wie sie vorgehen, ist unerlässlich, um die Verteidigung zu verbessern und nach einem Angriff fundierte Entscheidungen zu treffen.
Wo können Sie Cyberkriminalität melden und Hilfe suchen?
Die gute Nachricht ist, dass es in den USA, Großbritannien und vielen Teilen Europas immer einfacher wird, Ransomware und andere Formen der Cyberkriminalität zu melden. Tatsächlich hat das Vereinigte Königreich bereits 2009 ein Online-Meldesystem für Cyberkriminalität in Form von Aktion Betrug. Im Jahr 2016 hat die Agentur der Europäischen Union für die Zusammenarbeit bei der Strafverfolgung, besser bekannt als Europol, zusammen mit der niederländischen Polizei und mehreren führenden Cybersicherheitsfirmen ein Portal eingerichtet, das No More Ransom, das als zentrale Anlaufstelle und Beratungsportal für Opfer gedacht ist, die sich nicht sicher sind, was als nächstes zu tun ist. Ebenfalls im Jahr 2016 veröffentlichte das FBI in den USA seine erste Mitteilung, in der Ransomware-Opfer aufgefordert wurden, Angriffe detailliert über die Beschwerdestelle für Kriminalität der Agentur (IC3).
So lobenswert diese Meldeplattformen auch sind, das Bewusstsein für ihre Existenz und Bedeutung in der Öffentlichkeit ist nach wie vor gering, daher haben wir die Gelegenheit genutzt, hier die relevanten regionalen Meldeportale und andere Online-Ressourcen aufzulisten.
Ressourcen zur Meldung von Cyberkriminalität nach Region
Je nach Land, in dem Sie tätig sind, haben Sie die folgenden Möglichkeiten, um Ransomware und andere Formen der Cyberkriminalität zu melden:
Für Großbritannien besuchen Sie die Aktion Betrug Website
Für die USA besuchen Sie die Das Crime Complaint Center der FBI-Agentur (IC3).
Für Deutschland gehen Sie zum Bund Website und auch die Polizei Seiten.
Für Frankreich gehen Sie zum Agence Nationale de la Securité Website und die Le Ministère de l'Intérieur Seiten.
Für Irland gehen Sie zum Ein Garda Síochána Webseite.
Details für andere europäische Länder finden Sie auf der Europa Website und die Keine Lösegeldforderung mehr für ein Verbrechen
Besuchen Sie in Australien die Australisches Cyber Security Center Webseite.
Verwenden Sie in Kanada die Zentrum für Betrugsbekämpfung Website
Natürlich spart eine gewisse Vorbereitung vor Beginn einer Cybercrime-Meldung Zeit und gibt den Beratungsagenturen hoffentlich einige Informationen, die Ihnen helfen, Sie über die geeigneten nächsten Schritte zu informieren.
Folgende Angaben können von ihnen verlangt werden:
-
- Datum und Uhrzeit, zu der der Angriff zum ersten Mal bemerkt wurde
- Details zur Ransomware-Variante, falls bekannt
- Angaben zum Opferunternehmen
- Wie die Infektion aufgetreten ist, falls bekannt
- Umfang des Angriffs, z. B. lokalisiert oder global über Niederlassungen
- Geforderter Lösegeldbetrag
- Die Bitcoin-Wallet-Adresse des Täters
- Bereits gezahlte Lösegeldbeträge
- Gesamtschaden im Zusammenhang mit dem Vorfall
- Einzelheiten zu personenbezogenen Daten, die möglicherweise entnommen und zur Offenlegung bedroht wurden.
Ein Cyberangriff kann für jedes Unternehmen eine stressige und schwierige Zeit sein. Geschützte Backups sind ein wichtiger Abwehrmechanismus, um Lösegeldforderungen zu vermeiden. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
Häufige Cyber-Bedrohungen und wie man sie vermeidet
Cyber-Bedrohungen treten in vielen Formen auf, daher ist ein ganzheitlicher Ansatz erforderlich, um sie zu bekämpfen. Cybersicherheit ist für alle Organisationen von größter Bedeutung, daher sollte die Verantwortung nicht auf eine einzelne Abteilung fallen. Jeder innerhalb des Unternehmens spielt eine Rolle, daher beginnen wir hier mit einigen der häufigsten internen Bedrohungen für die Datensicherheit.
Interne Datensicherheit und Mitarbeiterfehler
Die größten Sicherheitsrisiken gehen oft nicht von Cyberkriminellen aus, sondern von den Mitarbeitern, die wir mit der Datenverwaltung beauftragen. Mitarbeiter mit Zugriff auf geschäftskritische und personenbezogene Daten (PII) haben die Möglichkeit, diese Daten böswillig oder in den meisten Fällen unbeabsichtigt offenzulegen oder zu beschädigen.
Um das Schadensrisiko zu begrenzen, sollten die Prinzipien des „least Privilege“ angewendet werden, um sicherzustellen, dass Mitarbeiter nur auf die Datenquellen zugreifen können, die für ihre berufliche Rolle relevant sind. Neben der Zugriffskontrolle auf Benutzerebene können Datenmengen auch durch die Anwendungskontrolle vor ungewollter Veränderung geschützt werden. Blocky for Veeam® bietet eine Application Fingerprinting-Technologie, die es nur autorisierten Systemprozessen erlaubt, auf geschützte Volumes zu schreiben. Benutzer können keine direkten Änderungen vornehmen oder Dateien innerhalb geschützter Volumes löschen, es sei denn, sie tun dies über eine zugelassene Anwendung. Im Falle eines geschützten Volumes, das Backup-Dateien von Veeam Backup und Replication enthält, kann ein Benutzer Backup-Dateien verwalten, wenn er über Anmeldeberechtigungen für die Veeam Management Console verfügt. Die direkte Änderung von Dateien innerhalb eines geschützten Volumes durch andere Prozesse wie den Windows-Datei-Explorer würde jedoch blockiert.
Mitarbeiter sind auch eine der Hauptursachen für Datenschutzverletzungen, da sie routinemäßig Fehler machen, die der Öffentlichkeit sensible Informationen preisgeben oder Cyberkriminellen nützliche Ressourcen zur Verfügung stellen können. Häufige Beispiele sind E-Mails, die extern an die falschen Personen gesendet werden, und unternehmensweite interne E-Mails, die Empfänger in das Cc-Feld kopieren, anstatt Bcc zu verwenden, was dazu führen kann, dass ein vollständiges E-Mail-Verzeichnis des Unternehmens in die falschen Hände gerät, wenn die E-Mail extern offengelegt wird. Diese Art der internen E-Mail-Exponierung bietet Hackern eine großartige Kontaktdatenbank, um ein Unternehmen mit gefälschten E-Mails, die als Phishing bezeichnet werden, anzugreifen.
Bildung ist der Schlüssel zur Minimierung dieser Arten von Bedrohungen durch die Bereitstellung von E-Mail-Leitfäden für bewährte Verfahren, Schulungen und regelmäßige Bewertungen.
Social Engineering
In unserem früheren Artikel The Blocky for Veeam® - 5-Schritte-Anleitung für ein sichereres Netzwerk Wir haben hervorgehoben, dass 98 % der Cyberangriffe auf Social Engineering beruhen. Dies ist eine Art von Angriff, bei der Kriminelle eine vertrauenswürdige Einheit wie eine Person oder eine Organisation imitieren.
Phishing ist die häufigste Form von Social Engineering, die normalerweise per E-Mail durchgeführt wird. Dabei handelt es sich um gefälschte Nachrichten, die dringende Anfragen enthalten und in der Regel ein Problem bei der Servicebereitstellung einer Organisation oder den Anmeldedaten des Benutzers hervorheben.
Je nach Angriffsmethode besteht die Absicht darin, den Benutzer dazu zu bringen, sensible Daten weiterzugeben, einen schädlichen Dateianhang herunterzuladen oder den Zugriff auf ein eingeschränktes Netzwerk oder einen physischen Standort zu gewähren.
Einige Phishing-Betrügereien enthalten Links, die Benutzer zu einer Nachbildung der legitimen Website leiten, sodass die Kriminellen den Benutzernamen, das Passwort und die Bankdaten der Person erfassen können. Andere enthalten bösartige Anhänge, die den Computer des Empfängers mit Malware infizieren.
Obwohl es sich bei den meisten Phishing-Angriffen um E-Mail-Nachrichten handelt, sind ähnliche Taktiken auch in sozialen Medien, am Telefon und in SMS-Textnachrichten üblich.
Malware
Malware bezieht sich auf „bösartige Software“, bei der es sich um Codeteile handelt, die auf Computern und Netzwerken platziert werden, um bestimmte Aktivitäten auszuführen.
Zu den Arten von Malware gehören Adware, die Popup-Werbung verwendet, um Einnahmen durch Klicks zu erzielen, Spyware, die die Aktivität auf einem infizierten Gerät überwacht, und Viren, die sich an Programme, Skriptdateien und Dokumente anhängen, um sich so weit wie möglich zu verbreiten wie möglich.
Eine der berüchtigtsten Arten von Malware ist jedoch Ransomware.
Ransomware
Ransomware ist bösartige Software, die Ihren Computer infiziert und Meldungen anzeigt, in denen eine Gebühr verlangt wird, damit Ihr System wieder funktioniert. Es hat die Fähigkeit, einen Computerbildschirm zu sperren oder wichtige vorbestimmte Dateien zu verschlüsseln. Ransomware-Angriffe basieren auf einer einfachen Prämisse: Unternehmen benötigen Zugriff auf ihre Dateien, um zu funktionieren und Einnahmen zu erzielen. Wenn diese Dateien gesperrt sind, ist eine Lösegeldzahlung oft der günstigste Weg, um das Geschäft wieder betriebsbereit zu machen.
Diese Dateien sind jedoch nur dann wertvoll, wenn sie die einzige Kopie sind. Sie können die Forderungen von Kriminellen vermeiden, wenn Sie einen Backup-Plan für den Fall haben, dass Ihr Unternehmen infiziert ist. Backups sollten regelmäßig basierend auf Ihrer Risikoanalyse und Ihren Wiederherstellungspunktzielen erstellt werden, aber was noch wichtiger ist, Backups sollten sicher und unveränderlich gemacht werden.
DDoS-Angriffe
DDoS-Angriffe (Distributed Denial-of-Service) treten auf, wenn Hacker ein Netzwerk kompromittierter Computer, ein sogenanntes Botnet, verwenden, um eine Zielsite mit Datenverkehr zu überlasten. Die Site kann dann ein so hohes Anfrageaufkommen nicht verarbeiten und stürzt entweder ab oder wird unbrauchbar.
DDoS-Angriffe sind daher keine Cyberangriffe, die darauf abzielen, Daten zu stehlen, sondern die Zielorganisation zu stören. Daher werden sie normalerweise durchgeführt, wenn der Hacker einen politischen oder persönlichen Grund zum Angriff hat.
Es gab jedoch Fälle, in denen DDoS-Angriffe durchgeführt wurden, um ein Unternehmen abzulenken, während Hacker einen weiteren Angriff durchführen. Daher ist es sehr wichtig, den Schaden nach einem DDoS-Angriff zu beurteilen, sobald Sie wieder online sind.
Hoffentlich haben Ihnen die hier beschriebenen Tipps und Trends einige neue Bereiche aufgezeigt, die Sie auf Ihrem Weg zur Cybersicherheit in Betracht ziehen sollten. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
Kurztipps für Veeam® Backup Security
Cyber-Angriffe haben in der Regel zwei übergeordnete Ziele: Das erste besteht darin, den Geschäftsbetrieb durch die Verschlüsselung wichtiger Produktionsdaten lahmzulegen, und der zweite neuere Trend ist die Erfassung und Verletzung sensibler persönlicher Identifizierungsinformationen (PII). Backups spielen eine Schlüsselrolle bei der Abwehr von Cyberangriffen und ermöglichen möglicherweise die Wiederherstellung von Systemen zu einem bekannten sicheren Betriebszeitpunkt; Sie bieten jedoch auch einen „One-Stop-Shop“ für den Erwerb von PII.
Die Definition von PII ist weit gefasst, kann aber als Information zusammengefasst werden, die bei Verlust, Kompromittierung oder Offenlegung zu erheblichen Schäden, Peinlichkeiten, Unannehmlichkeiten oder Ungerechtigkeit gegenüber einer Person führen könnte. Darüber hinaus können aufgedeckte PII von Kriminellen verwendet werden, um Identitätsdiebstahl, Erpressung, Stalking oder andere Verbrechen gegen ihre Opfer durchzuführen.
Häufig sind Vorfälle mit Datenschutzverletzungen so schwerwiegend, dass sie auf den Titelseiten erscheinen und den beteiligten Unternehmen irreparable Reputationsschäden zufügen. In diesem Artikel werden wir uns einige wichtige Bereiche ansehen, die berücksichtigt werden müssen, um sicherzustellen, dass Backups sicher aufbewahrt werden und um zu vermeiden, dass sie zu einer einfachen Quelle für Datenverletzungskampagnen werden.
Veeam Backup-Verschlüsselung
Verschlüsselung ist die wichtigste Taktik bei den meisten Ransomware-Angriffen. Schauen wir uns also zunächst die Veeam-Verschlüsselungsmöglichkeiten an, um Cyberkriminelle auf eigene Faust zu besiegen.
Veeam Backup & Replication bietet eine integrierte Verschlüsselung zum Schutz von Daten in Backups. Daher ist es wichtig, dass Unternehmen diese Funktion in Betracht ziehen. Die Verschlüsselung innerhalb von Veeam Backup & Replication funktioniert auf folgenden Ebenen: Backup-Job, Backup-Kopier-Job, VeeamZIP und für Bänder in Medienpools. Es gibt jedoch einige Vorbehalte und Nuancen, die verstanden werden müssen, bevor die Backup-Verschlüsselung aktiviert wird.
Ein wichtiger Punkt ist, dass die Verschlüsselung in Veeam Backup & Replication nicht rückwirkend ist. Wenn die Verschlüsselung für einen bestehenden Backup-Job aktiviert ist, verschlüsselt Veeam Backup & Replication die vorher mit diesem Job erstellte Backup-Kette nicht. Sie können daher eine neue Kette beginnen, damit die unverschlüsselte vorherige Kette auf andere Weise getrennt und gesichert werden kann. Wenn Sie die Verschlüsselung für einen bestehenden Job aktivieren, erstellt Veeam Backup & Replication während der nächsten Jobsitzung eine vollständige Sicherungsdatei.
Die Verschlüsselung wirkt sich auch negativ auf die Deduplizierungsraten aus, wenn Sie eine deduplizierende Speicher-Appliance als Ziel verwenden. Für jede Jobsitzung wird ein anderer Verschlüsselungsschlüssel verwendet, daher erscheinen verschlüsselte Datenblöcke, die an deduplizierende Speichergeräte gesendet werden, als unterschiedlich, obwohl sie möglicherweise doppelte Daten enthalten. Durch das Deaktivieren der Datenverschlüsselung wird eine höhere Deduplizierungsrate erreicht, jedoch auf Kosten einer verringerten Sicherheit. Unternehmen müssen daher ihre eigenen Risikobewertungen durchführen, um fundierte Entscheidungen bezüglich ihrer Cybersicherheit zu treffen.
Veeam bietet hier Best Practices zum Aktivieren der Verschlüsselung in Veeam Backup & Replication.
Verschlüsselung der Veeam-Datenbankkonfiguration
Eine weitere Quelle von Sicherheitsrisiken ist die Backup & Replication-Konfigurationsdatenbank, die Anmeldeinformationen speichert, um eine Verbindung zu virtuellen Servern und anderen Systemen in der Backup & Replication-Infrastruktur herzustellen. Alle in dieser Datenbank gespeicherten Passwörter sind verschlüsselt, jedoch könnte ein Benutzer mit Administratorrechten auf dem Backup-Server die Passwörter entschlüsseln, was eine potenzielle Bedrohung darstellt.
Um die Backup & Replication-Konfigurationsdatenbank zu sichern, befolgen Sie diese Richtlinien:
- Stellen Sie sicher, dass nur autorisierte Benutzer auf den Backup-Server und den Server zugreifen können, der die Veeam Backup & Replication-Konfigurationsdatenbank hostet (wenn die Datenbank auf einem Remote-Server läuft).
- Aktivieren Sie die Datenverschlüsselung für die Konfigurationssicherung, um sensible Daten zu schützen, die in der Konfigurationsdatenbank gespeichert sind.
Weitere Informationen finden Sie in der Veeam-Ressource:Erstellen verschlüsselter Konfigurationssicherungen.
Verschlüsselung von Netzwerkdaten
Um vollständige Sicherheit zu gewährleisten, müssen Daten sowohl während der Übertragung als auch im Ruhezustand geschützt werden. Backup-Daten, die verschlüsselt und auf ein Backup-Zielvolume geschrieben werden, sind sicher und gelten als ruhende Daten, aber diese Daten müssen möglicherweise auch auf ihrem Transportweg von der Quelle zum Backup-Repository-Server geschützt werden. Das Abfangen von Daten während einer Übertragung ist eine gängige Taktik bei der Cyberkriminalität, daher ist auch die Verschlüsselung von Daten während der Übertragung von entscheidender Bedeutung.
Veeam Backup & Replication verschlüsselt standardmäßig Daten, die zwischen öffentlichen Netzwerken übertragen werden. Dies gilt jedoch nicht für Daten, die innerhalb desselben Netzwerks übertragen werden. Wenn Sie Ihren internen Netzwerkverkehr verschlüsseln möchten, müssen Sie eine Netzwerkverkehrsregel für dieses Netzwerk erstellen und die Datenverschlüsselung innerhalb dieser Regel aktivieren.
Physische Sicherheit
Die Sicherheit des physischen Zugriffs auf IT-Assets und -Netzwerke des Unternehmens ist natürlich ein großes Thema, und die verfügbaren Techniken hängen von der Größe des Unternehmens und dem verfügbaren physischen Raum für die Lagerung von Geräten ab. Hier sind einige Richtlinien, die in den meisten Szenarien implementiert werden können:
Wenn Sie Geräteracks verwenden, sei es in einem Rechenzentrum vor Ort in Ihrem Büro, sperren Sie diese Racks standardmäßig.
Seien Sie schlau bei der Platzierung der physischen Ausrüstung. Platzieren Sie beispielsweise den/die Veeam Repository-Server nicht in demselben Rack oder in denselben Racks wie Ihren Produktionsspeicher oder andere Hypervisor-Hardware.
Implementieren Sie rollenbasierte physische Zugriffskontrollen, indem Sie dem Prinzip der geringsten Rechte folgen. Geben Sie den Menschen die richtigen physischen Zugriffsrechte, um ihre Arbeit zu erledigen. Beispielsweise benötigt ein Web-Entwicklungsteam keinen Zugriff auf Racks mit Backup-Servern und ebenso braucht ein Backup-Systemadministrator keinen Zugriff auf Entwicklungsplattformen.
Natürlich sind viele Unternehmen nicht in der Lage, ein eigenes Rechenzentrum zu haben oder wollen den Aufwand für die Wartung eines Rechenzentrums. Unabhängig davon, ob Sie Rechenzentrumsfläche mieten oder nur ein Infrastructure as a Service (IaaS)-Modell verwenden, überprüfen Sie immer, wie die physische Sicherheit angeordnet ist, um sicherzustellen, dass sie mit Ihrer Sicherheitsrichtlinie übereinstimmt.
Infrastrukturhärtung
Die Aufgabe, die potenzielle Chance für einen Cyberangriff zu verringern, wird als Verringerung der Angriffsfläche bezeichnet. Dabei werden so viele potenzielle Schwachstellen wie möglich in Ihrem IT-Ökosystem beseitigt. Dazu gehört der oben beschriebene physische Zugriff sowie Netzwerk- und Anwendungsschwachstellen.
In unserem früheren Artikel The Blocky for Veeam® - 5-Schritte-Anleitung für ein sichereres Netzwerk Wir haben uns die Probleme rund um das Microsoft Remote Desktop Protocol angesehen und wie dies in einigen Fällen Cyberkriminellen Tür und Tor öffnen könnte. Um die Backup-Sicherheit zu verbessern, ist es wichtig, so viele unerwünschte Softwareanwendungen, Protokolle und unnötige Anwendungsfunktionen wie möglich zu entfernen, um Ihre Angriffsfläche weiter zu reduzieren.
Das Entfernen aller nicht wesentlichen Anwendungen und Funktionen innerhalb Ihrer Veeam-Implementierung ist Teil des Infrastructure Hardening-Prozesses und sollte auf Veeam Backup & Replication-Installationen angewendet werden.
Während viele Dienstprogramme dem Backup-Administrator nützliche Funktionen bieten können, sollten sie entfernt werden, wenn sie einen "Hintertür"-Zugriff auf das System ermöglichen. Ziehen Sie auch zusätzliche Software wie Webbrowser und Java auf Ihren Repository-Servern in Betracht. Elemente, die nicht zum Betriebssystem oder zu aktiven Veeam-Komponenten gehören, sollten entfernt werden. Dadurch wird auch die Wartung auf Software-Patch-Ebene viel einfacher.
Für den Veeam Backup & Replication Server sollten mindestens die folgenden Härtungsverfahren in Betracht gezogen werden:
-
- Entfernen Sie die Backup & Replication-Konsole vom Veeam Backup & Replication-Server. Die Konsole wird standardmäßig lokal auf dem Backup-Server installiert.
- Schalten Sie den Veeam vPower NFS-Dienst aus, wenn Sie die folgenden Veeam-Funktionen nicht verwenden möchten: SureBackup, Instant Recovery oder Other-OS File Level Recovery (FLR)-Vorgänge.
Beachten Sie, dass die Backup & Replication Console nicht über das Installationsprogramm oder mithilfe von Hinzufügen/Entfernen in Windows entfernt werden kann. Außerdem müssen Sie zuerst alle Veeam Explorer deinstallieren, bevor Sie die Konsole entfernen. Weitere Informationen finden Sie in der Veeam Help Center-Dokumentation für Ihre aktuelle Version von Veeam Backup & Replication.
Ein weiteres Ziel für den Härtungsprozess ist der Veeam Backup Enterprise Manager (Enterprise Manager), eine Verwaltungs- und Berichtskomponente, mit der Sie mehrere Veeam Backup & Replication-Installationen von einer einzigen Webkonsole aus verwalten können. Wenn Enterprise Manager nicht verwendet wird, deinstallieren Sie ihn auf ähnliche Weise und entfernen Sie ihn aus Ihrer Umgebung, um die Sicherheit zu erhöhen.
Cybersicherheit kann bei so vielen Schlupflöchern eine entmutigende Aufgabe sein, aber mit einem systematischen Ansatz können Sie ein hohes Maß an Schutz für Ihre Backup-Umgebung erreichen. Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.
The Blocky for Veeam ® - 5-Schritte-Anleitung für ein sichereres Netzwerk
Die Häufigkeit von Cybersicherheitsvorfällen steigt stetig. Ransomware-Angriffe, die Unternehmen daran hindern, ohne Zahlung einer Gebühr auf ihre Dateien und Daten zuzugreifen, haben sich in den letzten 12 Monaten verdreifacht. Darüber hinaus zeichnet sich ein neuer Trend ab, bei dem Hacker drohen, sensible Informationen preiszugeben, wenn kein Geld ausgehändigt wird. Dies birgt für Unternehmen das zusätzliche Risiko hoher Bußgelder, wenn Datenschutzverletzungen gegen Datenschutzrichtlinien wie die DSGVO verstoßen.
Wie bei vielen Dingen im Leben ist es manchmal leicht, selbstgefällig in Bezug auf Risiken zu werden, die mit bestimmten Ereignissen verbunden sind, es sei denn, wir sind selbst Opfer geworden oder haben das Ergebnis als genauer Beobachter miterlebt. Cybersicherheit fällt in diese Kategorie.
Während die meisten Unternehmen und Einzelpersonen der Meinung sind, dass sie genug getan haben, um einen Cyberangriff zu verhindern, indem sie eine grundlegende Netzwerk-Firewall und Antiviren-Scanner installieren und warten; Nur sehr wenige nehmen sich die Zeit, eine echte Risikobewertung ihrer Gefährdung durch Cyberkriminalität durchzuführen.
Cybersicherheit ist ein breites und komplexes Thema. Obwohl wir niemals versuchen könnten, in einem kurzen Artikel eine umfassende und narrensichere Cybersicherheitsstrategie zu beschreiben, können wir Ihnen einige sehr nützliche Hinweise geben, die einen großen Beitrag dazu leisten sollten, die wichtigen Daten und den Betrieb eines Unternehmens vor unerwünschten Angriffen zu schützen.
Schritt 1 Erstellen Sie eine Sicherheitsrichtlinie und einen Notfallwiederherstellungsplan
Wie bei so vielen unerwünschten Situationen ist die beste Vermeidungsmethode die Prävention, aber um zu verhindern, dass etwas passiert, müssen wir zunächst verschiedene Wege in Betracht ziehen, die möglichen Wege zu blockieren, die zu unserem befürchteten Ergebnis führen.
"Indem Sie sich nicht vorbereiten, bereiten Sie sich darauf vor, zu scheitern." - Benjamin Franklin
Es ist alarmierend, wie viele Unternehmen es versäumen, eine angemessene Sicherheitsrichtlinie zu erstellen und aufrechtzuerhalten oder einen Reaktionsplan für Vorfälle und ein Verfahren zur Notfallwiederherstellung einzurichten.
Die Zunahme der Heimarbeit hat dazu geführt, dass viel mehr Endgeräte Zugriff auf Unternehmensnetzwerke über Remoteverbindungen benötigen, was die Notwendigkeit einer robusten Sicherheitsrichtlinie noch weiter verstärkt.
Aus diesem Grund hat das britische National Cyber Security Centre (NCSC) ein Toolkit für Cyber-Resilienz mit Unterstützung des British Retail Consortium (BRC), um dem Einzelhandel zu mehr Sicherheit zu verhelfen. Dieser umfassende Leitfaden kann jedoch eine solide Ressource für jedes Unternehmen sein, das seine Cyber-Sicherheitsrichtlinie erstellen oder verbessern möchte. Dieser Leitfaden richtet sich sowohl an Rollen auf strategischer als auch auf Direktorenebene, die keine technischen Experten sind, deren Rolle und Verantwortlichkeiten jedoch zunehmend die Cybersicherheitsstrategie oder -praxis umfassen.
Ein Notfallreaktions- und Wiederherstellungsplan ist auch ein wesentlicher Schritt, um die Auswirkungen eines Cyberangriffs zu begrenzen und den Geschäftsbetrieb nach einem Ereignis wiederherzustellen. Einige der Fragen, die dies beantworten sollte, sind:
- Wer sollte nach einem Cyberangriff kontaktiert werden? Regierungsbehörden, Strafverfolgungsbehörden, externe Sicherheitsdienstleister?
- Wenn eine Ransomware-Anforderung gestellt wird, wer innerhalb oder außerhalb der Organisation für die Kommunikation mit den Hackern verantwortlich sein sollte; oder sollte mich überhaupt kontaktieren?
Vielleicht haben Sie das im Internet kursierende komische Mem gesehen, das einen IT-Geräteschrank mit Glasfront mit der Überschrift "Im Falle eines Cyber-Angriffs Glas zerbrechen und Kabel ziehen" zeigt.
Obwohl dies auf einen sehr nüchternen und reaktiven Ansatz hindeutet, hat es einige Vorteile, wonach jede Organisation Verfahren zur Begrenzung weiterer Schäden durch die Sicherung wichtiger Datenbestände und die vorübergehende Sperrung des Zugriffs auf Teile des Unternehmensnetzwerks einführen und testen sollte.
Passwortverwaltung und bewährte Verfahren sind ein weiteres wichtiges Element jeder Cybersicherheitsrichtlinie. Viele Unternehmenssysteme verlassen sich auf benutzergenerierte Passwörter, die es den Mitarbeitern erschweren, sich mehrere Passwörter zu merken und sicherzustellen, dass sie nicht an andere weitergegeben werden. Sie werden vielleicht überrascht sein zu hören, dass viele gängige Maßnahmen zur Verbesserung der Komplexität von Benutzerkennwörtern gedacht sind und tatsächlich kontraproduktiv sind.
Diese Mechanismen belasten das Personal zusätzlich, fördern die Wiederholung von Passwörtern in allen Systemen, belasten die Systemadministratoren zusätzlich, wenn Passwörter vergessen werden, und können in einigen Fällen die Erkennung einer Sicherheitsverletzung verschleiern. Die folgenden Passwortrichtlinien sollten vermieden werden:
- Erzwingen Sie keine Anforderungen an die Kennwortkomplexität
- Erzwingen Sie kein regelmäßiges Ablaufen des Passworts
Stattdessen sollte der Schwerpunkt auf der Bereitstellung von Anleitungen zur Passworterstellung liegen, beispielsweise durch die Einführung der Technik der „drei zufälligen Wörter“, die Benutzern helfen kann, entsprechend komplexe Passphrasen zu verwenden, die sie sich tatsächlich merken können. Im Idealfall sollte nach Möglichkeit Technologie eingesetzt werden, um das Personal zu reduzieren und dabei zu helfen, mit der Passwortüberlastung umzugehen.
Das NCSC bietet ausgezeichnete Anleitungen zu Passwortstrategien die Ihrem Unternehmen helfen können, sicher zu bleiben.
Schritt 2 Informieren Sie Ihr Team über Cybersicherheit
98% der Cyberangriffe basieren auf Social Engineering. Der einfachste Weg für Hacker, eine Malware-Nutzlast zu übermitteln oder an private Informationen zu gelangen, besteht darin, einen Mitarbeiter eines Unternehmens dazu zu bringen, einem schädlichen Link zu folgen, einen Anhang zu öffnen oder sensible Informationen oder Daten wie Benutzernamen, Passwörter oder Bankdaten preiszugeben.
Die Tarnung als vertrauenswürdige Instanz in einer elektronischen Kommunikation mit böswilliger Absicht fällt unter den allgemein bekannten Oberbegriff „Phishing“. Es gibt jedoch viele Formen von Phishing, die mit Labels wie „Spear Phishing“ und „Whaling“ versehen sind, die vielen Mitarbeitern möglicherweise weniger bekannt sind. Schulungen, die den Mitarbeitern helfen sollen, die wahrscheinlichen Formen von Phishing-Angriffen zu erkennen, sind eine sehr wertvolle Übung für jedes Unternehmen. Dies kann nur in Lehrbuchform sein, aber ein effektiverer Ansatz wäre, simulierte Phishing-Angriffe durchzuführen, die entweder intern oder über ein externes Unternehmen durchgeführt werden.
Es gibt viele Phishing-Simulator-Tools auf dem Markt, die das Phishing-Training unterstützen. Infosec Resources ist eine hervorragende Online-Informations- und Schulungsressource für Cybersicherheit, die Folgendes bietet: der Infosec IQ Security Awareness Training & Anti-Phishing Simulator sowie ein zusammenfassender Artikel, der die aktuellen Die 9 besten Phishing-Simulatoren.
Schritt 3 Betriebssystem-Sicherheitspatches und Malware-Definitionsdateien immer aktualisieren
Cyber-Angriffe suchen nach Schwachstellen, die in jeder Schicht des Technologie-Stacks existieren, dies reicht von der physischen Netzwerkinfrastruktur in den unteren Schichten bis hin zu den Geschäftsanwendungen an der Spitze. Die Rolle eines jeden Systemadministrators im Kontext der Cybersicherheit ist ein ständiger Wettlauf gegen die Bösen, bei dem die Hacker immer die Oberhand haben.
Der Grund dafür ist, dass die meisten traditionellen Sicherheitstools wie Firewalls, Anti-Malware und Anti-Viren-Scanner auf einem sogenannten „Blacklisting“-Ansatz basieren, bei dem Listen bekannter Schwachstellen und Malware-Codes ständig aktuell gehalten werden müssen. Natürlich wurden diese Schwachstellen bereits ausgenutzt, wenn sie auf einer Blacklist erscheinen. Daher ist dieser traditionelle Ansatz ein sehr reaktiver Ansatz, der Hackern in der Zeit zwischen Malware-Erkennung und Definitionsdatei-Updates immer die Tür offen lässt.
Die meisten Betriebssysteme und Blacklisting-basierten Sicherheitstools bieten automatische Updates, die für maximalen Schutz aktiviert werden sollten. Viele Organisationen mit unzureichend ausgestatteten IT-Abteilungen oder begrenzten Budgets, wie der öffentliche Sektor, verfügen jedoch oft über veraltete Systeme und Sicherheitstools, die ein leichtes Ziel für Cyberkriminalität darstellen.
Application Whitelisting ist das proaktive Gegenteil von Sicherheitstools, die Blacklisting verwenden, und basiert auf der Prämisse, dass kein Anwendungscode ohne vorherige Autorisierung auf eine Netzwerkressource zugreifen kann. Auf Whitelisting basierende Sicherheitstools können einen schützenden Ringzaun um wichtige Netzwerkressourcen bilden und letztendlich die Grundlage für einen „Zero-Trust“-Ansatz für die IT-Sicherheit bilden. Zero-Trust ist ein Paradigmenwechsel in der Cybersicherheit, der aufgrund der erhöhten Sicherheitsrisiken durch die Verlagerung zur Fernarbeit immer stärker in den Fokus rückt.
Dieser nützliche Artikel von TechBeacon beschreibt, wie Whitelisting und Blacklisting passen am besten in eine Sicherheitsstrategie einbinden und wie sie effektiv zusammenarbeiten können.
Schritt 4 Sicherheitslücken schließen
Abgesehen von den in Schritt 3 beschriebenen Netzwerkschwachstellen, die normalerweise das Ergebnis eines Versehens bei der Softwareentwicklung sind, ist der andere häufigste Einstiegspunkt für Cyberangriffe, wenn die Türen zu Netzwerken weit offen gelassen wurden.
Da Microsoft Windows das am häufigsten installierte Betriebssystem ist, das weltweit auf 77 bis 87.8% geschätzt wird, ist es nicht überraschend die am meisten gezielte Plattform. Remote Desktop Protocol (RDP) ist eine vorinstallierte Microsoft Windows-Anwendung, die es Ihren Mitarbeitern erleichtert, sich per Fernzugriff mit Arbeits- oder Heimcomputern zu verbinden, und wird von Millionen verwendet. Da RDP so weit verbreitet ist, ist es ein häufiges Ziel für Man-in-the-Middle-Cyberangriffe.
Mit dem gestiegenen Bedarf an Fernzugriff als Folge von COVID-19 haben Cyberangriffe, insbesondere auf RDP-Server, deutlich zugenommen.
Obwohl RDP auf einem verschlüsselten Kanal arbeitet, gibt es in früheren Versionen von RDP eine bekannte Schwachstelle in der Verschlüsselungsmethode, die es zu einem bevorzugten Gateway von Hackern macht. Microsoft schätzt, dass derzeit fast 1 Million Geräte durch RDP-Sicherheitsrisiken anfällig sind. Das Unternehmen hat einen Legacy-Patch für seine veralteten Plattformen herausgegeben, darunter Windows XP, Windows Server 2008, Windows 2003 und Windows 2007. (RDP wird auf diesen Legacy-Plattformen als Terminaldienste bezeichnet). Windows 8, 10 und neuere Betriebssysteme sind auf diese Weise nicht anfällig.
Nach dem Anstieg der EPLR-Nutzung in diesem Jahr, Microsoft hat Sicherheitsleitfäden für die Einführung von Remotedesktops herausgegeben.
Um den Fernzugriff weiter zu sichern, sollten Mechanismen wie die 2-Faktor-Authentifizierung aktiviert werden, sofern verfügbar, um die Identität von Personen zu überprüfen, die versuchen, auf das Unternehmensnetzwerk zuzugreifen oder andere Aufgaben wie Aktualisierungen personenbezogener Daten oder Transaktionsanfragen ausführen.
Sicherheitsexperten empfehlen Unternehmen, mindestens einmal pro Quartal eine Netzwerkschwachstellenbewertung durchzuführen. Dies ist nicht nur aus Sicherheitsgesichtspunkten eine sehr vorteilhafte Aufgabe, sondern kann auch eine Voraussetzung sein, um bestimmte Branchenzertifizierungen zu erfüllen.
Schwachstellenbewertungen identifizieren und beheben alle Sicherheitsrisiken, weisen diesen Schwachstellen Schweregrade zu und empfehlen bei Bedarf Behebung oder Minderung. Scan-Tools werden verwendet, um alle IP-Adressen im Netzwerk zu scannen und Schwachstellen wie veraltete Software und Patches zu identifizieren. Je nach Umfang können die Bewertungen ein internes Netzwerk einer Organisation, eine externe Grenze oder beides abdecken.
Ein Bericht zur Schwachstellenbewertung zeigt eine detaillierte Netzwerkkarte aller Endpunkte, die mit dem IT-Asset-Register des Unternehmens referenziert werden können. Alle inoffiziell zum Netzwerk hinzugefügten Geräte würden dann identifiziert. Diese betrügerischen Geräte werden selten gehärtet oder gesichert und stellen daher ein unerwünschtes Risiko für das Netzwerk dar.
Das NCSC bietet nützliche Anleitungen, die Unternehmen helfen, auf Schwachstellen zuzugreifen und sie zu priorisieren.
Schritt 5 Sicherung & Sperrung
Die Einhaltung eines Backup-Zeitplans für wichtige operative und sensible Geschäftsdaten ist ein wesentlicher Schutz vor Cyberangriffen. Die Möglichkeit, Systeme aus einem Backup von einem bekannten "sicheren" Zeitpunkt wiederherzustellen, verbessert und beschleunigt Ihre Wiederherstellungschancen nach einem Cyberangriff und verringert hoffentlich die Notwendigkeit, Ransomware-Anforderungen zu erfüllen.
Hacker wissen das natürlich, daher suchen die ausgeklügelteren Angriffe zuerst nach Backup-Dateien, um diese zu verschlüsseln, bevor sie die Live-Produktionsumgebung gefährden. Natürlich können Malware-Codes Verzeichnisstrukturen durchsuchen, um nach zu verschlüsselnden Backup-Dateierweiterungen zu suchen, aber die meisten der größeren Angriffe werden von Menschen gesteuert.
Datenträger, auf denen Sicherungsdateien gespeichert sind, müssen daher vor unbefugtem Zugriff gesichert werden. Blocky for Veeam® verwendet die in Schritt 3 beschriebene Anwendungs-Whitelisting-Technologie, um Backup-Volumes vor Änderungen zu schützen, die nicht der Liste der Systemprozesse entsprechen, die vom Systemadministrator vordefiniert wurden. Im Fall von Veeam® könnte die Anwendung Veeam Backup & Replication als einziger Prozess festgelegt werden, der in der Lage ist, auf ein geschütztes Backup-Volume zu schreiben.
Blocky for Veeam® verwendet Application-Fingerprinting-Techniken, die es einem Malware-Code praktisch unmöglich machen, sich als genehmigte Anwendung auszugeben und die Kontrolle über Backup-Volumes zu erlangen.
Natürlich ist eine frühzeitige Erkennung von Cyber-Angriffen unerlässlich, um den Zeitpunkt zu bestimmen, an dem Ihre Backups „sicher“ und frei von Malware-Infektionen sind. Möglicherweise haben Sie schon seit einiger Zeit infizierte Daten zur Sicherung gesendet.
Das Whitelisting von Anwendungen sollte für jeden wichtigen Datenspeicher in Betracht gezogen und in Verbindung mit herkömmlichen Sicherheitstools als Teil einer Gesamtstrategie verwendet werden.
Die 3-2-1 Regel ist ein Best-Practice-Leitfaden für Backups, der vorschlägt, dass drei verschiedene Kopien Ihrer Produktionsdaten mit zwei verschiedenen Arten von Speichermedien erstellt werden sollten, von denen eine außerhalb des Standorts sein sollte. Um den Schutz vor Ransomware weiter zu verringern, schlägt Veeam® vor, der Regel, dass eines der Medien offline ist, eine weitere "1" hinzuzufügen.
Beispiele für Offline-Speicher sind Bänder, Wechselfestplatten und Cloud-verbundener unveränderlicher Speicher. Die in der 3-2-1-Regel vorgeschlagenen Offsite- und Offline-Techniken sind sicherlich sehr effektiv, aber für einige Unternehmen könnten die zusätzliche Komplexität und die zusätzlichen Kosten die ihnen zur Verfügung stehenden Ressourcen übersteigen.