Disaster-Recovery-Strategie: Neue Herausforderungen meistern

Die neuen Bedrohungen und Risiken

Wenn Sie einen IT-DR-Plan haben, sind Sie mit der traditionellen Liste von Katastrophen – Hurrikane, Überschwemmungen, Stromausfälle und Brände – vertraut, von denen Sie sich erholen müssen. Aber was müssen Sie sonst noch als potenzielle Katastrophe in Betracht ziehen? Eine moderne Liste sollte mehrere Arten von Katastrophen im Zusammenhang mit der Cybersicherheit enthalten, wobei die Besonderheiten jeder einzelnen berücksichtigt werden sollten, um sicherzustellen, dass Sie sich korrekt davon erholen können.

Fast jedem Unternehmen sollte mittlerweile klar sein, dass die Gefahr von Ransomware-Attacken besteht. Lassen Sie uns einige spezielle Ransomware-Angriffsmethoden untersuchen, die Ihre Reaktion auf Lösegeld als Katastrophe verändern können:

• Backups sind ein Ziel. Bei der heutigen Lösegeldforderung geht es nicht mehr nur um die Verschlüsselung von Dateien. Zusätzlich zu kritischen Geschäftsdaten sind jetzt sowohl Backup-Dateitypen als auch NAS-Speichergeräte – vermutlich, weil sie wahrscheinlich Backups vor Ort beherbergen – Ziele von Ransomware. Sie sollten in Erwägung ziehen, Backups in der Cloud zu speichern, damit sie vor lokalen Lösegeld-Angriffen geschützt sind.
• Jedes System ist das Ziel. Cyberkriminelle wissen, wie wertvoll es ist, Ihren Betrieb in die Knie zu zwingen. Daher konzentrieren sich neuere Lösegeldforderungen darauf, die Anzahl der Systeme zu maximieren, die angeschlossen und verschlüsselt werden können. Dies wirkt sich darauf aus, wie viele Systeme Sie eventuell sichern möchten, um nicht nur die Wiederherstellbarkeit, sondern auch die Produktivität sicherzustellen.
• Die Angreifer werden immer geduldiger. Anstatt zu infizieren und sofort zu verschlüsseln, programmieren die Cyberkriminellen Ransomware so, dass sie auf der Lauer liegen, manchmal bis zu einigen Monaten, um sicherzustellen, dass viele Backups des infizierten Systems erstellt wurden. Dies geschieht so, dass bei einer Verschlüsselung eine Wiederherstellung auf ein sauberes Backup nahezu unmöglich ist, was die Wahrscheinlichkeit einer Auszahlung des Lösegeldes erhöht. Dies kann die Verwendung von Backup-Integrationen erfordern, die die Backups bei der Erstellung oder vor der Wiederherstellung scannen.

Es gibt eine Reihe von Taktiken bei Cyberattacken, die Ihre DR-Strategie beeinträchtigen können:

• Laterale Bewegungen werden durchgeführt. Laut dem „2019 Global Threat Report“ von Carbon Black enthalten 60 Prozent der Cyberangriffe so genannte laterale Bewegungen – die Verwendung interner und normalerweise erhöhter Berechtigungen, um sich innerhalb einer Umgebung von System zu System zu bewegen. In vielen Fällen ersetzen diese Angriffe ausführbare Dateien von Windows-Diensten, ändern Systemberechtigungen und modifizieren sogar Gruppenrichtlinien im Active Directory (AD).
• Persistenz wird hergestellt. Cyberkriminelle suchen nach Möglichkeiten, ihre Fähigkeit zu erhalten, wieder in Ihre Umgebung zurückzukehren. Indem sie einen gewissen Grad an administrativem Zugriff auf AD erlangen, in der Regel als Funktion der Suche nach privilegierten Zugangsdaten bei der seitlichen Bewegung, erstellen sie mehrere Benutzerkonten. Wenn ein gefälschtes Konto gefunden wird, gibt es viele weitere, die sie benutzen können, von denen Sie nichts wissen.
• Es werden Privilegien gewährt. Cyberangriffe modifizieren oft Gruppenmitgliedschaften, um die Persistenz zu erhöhen oder Zugang zu Ressourcen zu gewähren. In vielen Fällen werden Gruppen gebildet und tief verschachtelt, um nicht entdeckt zu werden.

Alle oben genannten Taktiken haben zur Folge, dass sich das Active Directory nach einer Datenverletzung nicht mehr in einem bekannt sicheren Zustand befindet. Sie haben keine Ahnung, ob zusätzliche Konten existieren, welche Privilegien gewährt wurden oder ob ein Angreifer noch eindringen und noch mehr Schaden anrichten kann.

Sollte es zu einer Datenverletzung kommen, müssen Sie die Wiederherstellung des Active Directory in einen Zustand vor dem Angriff als Teil Ihrer aktualisierten DR-Strategie aufnehmen.

Das sollten Sie unbedingt in ihrer Disaster-Recovery-Strategie überprüfen

Bewerten Sie Ihren Plan mit den gleichen Schritten, mit denen Sie ihn erstellt haben. Beginnen Sie mit einer Business-Impact-Analyse (BIA) und einer Risikobewertung, fügen Sie diese neuen potentiellen Störfälle ein und formulieren Sie dann eine Aktualisierung, um alle identifizierten Risiken anzugehen.

Der Zweck einer BIA besteht darin, diejenigen Vorgänge zu identifizieren, auf die das Unternehmen nicht verzichten kann, zum Beispiel die Verfügbarkeit einer kritischen Anwendung. Zu den zu stellenden Fragen sollten die folgenden gehören:

• Auf welche Funktionen verlässt man sich täglich?
• Welches Ausmaß an Datenverlust ist akzeptabel?
• Welches Ausmaß an Betriebsverlusten ist akzeptabel?

Was aber, wenn eine Teilmenge der Daten, auf die sich die Anwendung verlässt, als Teil eines Lösegeldangriffs verschlüsselt oder als Teil einer Insider-Bedrohung manipuliert wird? Daten, die normalerweise einfach als Teil einer kritischen Anwendung oder Arbeitslast betrachtet werden, müssen nun möglicherweise eine eigene kritische Geschäftsfunktion getrennt von der Anwendung sein.

Normalerweise verbleibt die DR-Planung auf der Ebene einer Geschäftsfunktion, die nicht unbedingt die spezifischen Systeme und Daten berücksichtigt, um die es geht. Da diese neuen Arten von Ransomware-Angriffen jedoch absichtlich auf Backups und Backup-Speicher abzielen, ist es ratsam, die Geschäftsfunktionen bis zu einem gewissen Grad in die Anwendung, die die Geschäftsfunktion bedient, und die Daten, die die Anwendung unterstützen, zu trennen und dann die geschäftlichen Auswirkungen zu messen.

Bei der Risikobewertung sollten die Katastrophen, die Sie für wahrscheinlich halten, überprüft und dann mit den Geschäftsfunktionen in der BIA abgeglichen werden, um die Szenarien zu ermitteln, für die Sie planen müssen. Wenn die letzte Version der Risikobewertung keine Cyberangriffe enthält, fügen Sie diese hinzu und überlegen Sie, wie jeder dieser Angriffe Ihre Umgebung technisch verändern und zu einem neuen Wiederherstellungsszenario führen wird, das zu berücksichtigen ist.

Sie sollten sich eine Vorstellung von den Schwachstellen machen, die in Ihren derzeitigen Wiederherstellungsfähigkeiten bestehen. Dies wird Ihnen dabei helfen, aktualisierte DR-Strategien zu implementieren, um die in der Risikobewertung skizzierten Unterbrechungen zu minimieren.

Ein Großteil Ihres zugrunde liegenden DR-Plans – einschließlich seiner Ziele, definierten Rollen, Anforderungen und Verfahren – wird sich nicht allzu sehr ändern. Aber es gibt Prozesse, die Sie vielleicht hinzufügen möchten, einschließlich einiger, die sich auf Ihre Datensicherungsumgebung auswirken werden.

Da das Unternehmen seine eigene Entwicklung durchläuft, haben Sie vielleicht Änderungen geplant, die sich im Laufe der Zeit ergeben werden. Dabei handelt es sich in erster Linie um Änderungen der Recovery Point Objectives (RPO) und Recovery Time Objectives (RTO), die häufigere Backups, den Einsatz von Replikation oder sogar einen Wechsel zur Nutzung einer Cloud-Infrastruktur erfordern, um die gewünschte Verfügbarkeit zu gewährleisten.

Möglicherweise müssen Sie auch den normalen „Wir müssen die Fähigkeit zur Wiederherstellung des Active Directory oder der Berechtigungen einbauen“-Teil Ihrer DR-Strategie durch etwas ergänzen, das Ihnen vielleicht etwas unangebracht erscheint: ein Sicherheitsteam, das Systeme identifiziert, die möglicherweise von einem Cyberzwischenfall betroffen sind.

Wenn Ihre Organisation zum Beispiel Opfer eines Cyberangriffs wurde und das Sicherheitsteam feststellte, dass der Angreifer sieben Systeme kompromittiert, Konten im Active Directory erstellt und sich über Gruppenmitgliedschaften Privilegien für bestimmte Datenbanken gewährt hat, müssen Sie wissen, welche Systeme wiederhergestellt werden müssen und wann die Änderungen vorgenommen wurden.

Auf diese Weise können Sie alles in einen Zustand vor dem Angriff wiederherstellen, da die Cyberangreifer möglicherweise einen Trojaner für den Fernzugriff installiert haben, um weiteren externen Zugriff zu ermöglichen. In einigen Fällen müssen Sie möglicherweise eine Wiederherstellung auf Objektebene durchführen, um bestimmte Änderungen rückgängig zu machen, und nicht eine pauschale Wiederherstellung des Active Directory eines früheren Datums.

Unternehmen, die es mit ihrer DR-Strategieplanung ernst meinen, sollten auch Tests einbeziehen, ob es sich nun um Schritt-für-Schritt-Tests, Wiederherstellungssimulationen oder etwas dazwischen handelt. Stellen Sie sicher, dass Sie für jedes neue Wiederherstellungsszenario, das Sie sich ausdenken, DR-Plankontrollen festgelegt haben, um den größtmöglichen Erfolg zu gewährleisten.

Aus früheren Plänen für die Zukunft lernen

Der Beginn eines neuen Jahres oder einer Dekade ist oft die Zeit, wenn die Menschen über das nachdenken, was bisher in ihrem Leben geschehen ist, und über Veränderungen nachdenken, die zu einem besseren Ergebnis führen könnten. Für Organisationen ist das nicht anders. Es ist durchaus möglich, dass Ihre DR-Strategie veraltet ist und nicht mehr dem aktuellen Stand der Bedrohungen und den daraus resultierenden Aktionsplänen entspricht.

Indem Sie Ihre DR-Pläne auf ihre Bereitschaft für alle Bedrohungen der Geschäftsverfügbarkeit überprüfen, verbessern Sie die Chancen Ihres Unternehmens, den Betrieb schnell wieder aufzunehmen. Sparen Sie nicht an den Details. Der Erfolg Ihrer Überprüfung hängt davon ab, wie gründlich Sie Ihre DR-Strategie von Anfang bis Ende prüfen. Und angesichts der potenziellen Auswirkungen, die einige dieser neuen Cyberangriffe auf ein Unternehmen haben können, ist es von entscheidender Bedeutung, sicherzustellen, dass Sie über eine angemessene Reaktion verfügen.