Vorbereiten auf Ransomware: Tabletop- und Red-Team-Übungen

Wenn es um Ransomware geht, kann es fast genauso wichtig sein, wie gut Ihr Unternehmen auf einen laufenden Angriff reagiert, wie gut Sie sich dagegen schützen. Laut dem Bericht von Mimecast State of Email Security nehmen schädliche Ransomware-Angriffe weiter zu und werden im Jahr 2021 75 % der Unternehmen betreffen.

Tabletop-Übungen

Bei Ransomware-Tabletop-Übungen kommen Stakeholder und Vertreter von Sicherheits-, IT-, Rechts-, Personal-, PR- und Incident-Response-Teams zusammen, um ihre Rollen bei Ransomware-Angriffsszenarien zu diskutieren. Bei einer typischen Übung kann ein Einbruchsszenario simuliert oder einfach eine Bedrohungsanalyse präsentiert werden, gefolgt von einer Diskussion darüber, wie die Dinge gemäß dem Notfallplan Ihres Unternehmens ablaufen sollten. 

Auch wenn alle Tabletop-Übungen einige Probleme gemeinsam haben, können sich die Notfallpläne und -praktiken je nach Branche erheblich unterscheiden. Hat es das Incident-Response-Team mit einem Ransomware-Angriff auf verschlüsselte Bankdaten oder auf Gesundheitsdaten zu tun? Die Übung muss plausible Szenarien aufzeigen, die auf die Branche, die Größe, die Personalausstattung und die besonderen Schwachstellen eines Unternehmens abgestimmt sind. 

Eine Tabletop-Übung kann Diskussionen über wichtige Aspekte der Bereitschaft für einen Ransomware-Angriff und Notfallmaßnahmen zur Sicherstellung einer schnellen Wiederherstellung und der Geschäftskontinuität eröffnen, wie z. B.:  

• Werden Sie mit den Kriminellen verhandeln? 
• Werden Sie das Lösegeld bezahlen, sich einfach auf Ihre Datensicherungen verlassen oder eine alternative Strategie wählen? 
• Wie sieht die Kommandostruktur im Falle eines erfolgreichen Angriffs aus?
• Versteht jeder seine Rolle bei der Übung? 
• Wie wird Ihr Unternehmen den Vorfall an Mitarbeiter, Partner, Aufsichtsbehörden, Kunden und Medien kommunizieren? 

Einige Unternehmen wenden sich an Berater, die sie bei der Durchführung von Tabletop-Übungen unterstützen, oder verlassen sich auf Rahmenwerke wie die Exercise in a Box des U.K. National Cyber Security Centre,[1] , um ihre Ransomware-Übungen zu strukturieren. 

Tabletop-Übungen haben bekannte Vor- und Nachteile. Einerseits mangelt es ihnen an Realismus, z. B. an Zeitdruck, wenn Vermögenswerte oder Leben auf dem Spiel stehen. Andererseits ermöglichen sie es den Teams, Aktionspläne für Zwischenfälle und Notfallszenarien in einer stressarmen Umgebung zu diskutieren. Durch die Aufzeichnung der Übungen und das Hinzufügen eines Zeitelements zur Problemlösung können die Teilnehmer ihre Reaktionszeiten messen und die Wirksamkeit ihrer Vorbereitungen bewerten. 

Letztendlich bieten Tabletop-Übungen jedoch einen relativ kostengünstigen Ansatz, um das Verständnis eines Teams für Ransomware zu vertiefen und die Beteiligten über ihre Rolle in einer Krise auf die gleiche Seite zu bringen. 

Red-Team-Übungen

Durch die Simulation der Angriffsmuster eines hochqualifizierten Ransomware-Angreifers testet ein rotes Team die Cyberabwehr eines Unternehmens, ähnlich wie eine kontrollierte Verbrennung die Widerstandskraft von Feuerwehrleuten zum Schutz eines Waldes testet.

Ein rotes Team, das sich aus einem internen Team oder angeheuerten Beratern zusammensetzt, kann Penetrationstests (auch als "Pen-Test" bezeichnet) für Infrastruktur, Anwendungen, Clouds und Netzwerke durchführen. Mit Hilfe von Tools wie dem MITRE ATT&CK Framework, das das Verhalten von Angreifern abbildet, wird das Team Erkenntnisse gewinnen, die einem Unternehmen helfen, seine Sicherheitslage und seine Widerstandsfähigkeit im Internet zu verbessern. So kann ein Red Team beispielsweise die Ransomware-Anfälligkeit eines Unternehmens für Social Engineering oder Phishing aufdecken, die häufig per E-Mail erfolgt. 

Viele Unternehmen setzen ein internes blaues Team ein, das dem roten Team entgegenwirkt und das Unternehmen gegen die simulierten Cyberangriffe und deren Auswirkungen verteidigt. Auf der Grundlage dieser Übungen nehmen die blauen Teams in der Regel eine Feinabstimmung der Sicherheitssoftware vor, bewerten ihren Plan zur Reaktion auf Zwischenfälle und beheben zuvor unentdeckte Schwachstellen. Spoiler-Alarm: Rote Teams gewinnen in der Regel, aber das Sicherheitsprogramm verbessert sich. 

Die Beauftragung von Drittanbieter-Red-Teams kann bei Ransomware-Übungen mehrere Vorteile bieten: 

• Red-Team-Services bringen frische Augen, Werkzeuge und Erfahrungen mit, die selbst sehr talentierten internen Experten oder Beratern fehlen können.
• Die Red-Team-Berater kennen sich mit bestimmten Compliance-Regeln und Branchenpraktiken bestens aus und können so effizient nach bekannten Schwachstellen in Cloud-basierten Anwendungen oder Diensten suchen.
• Die roten Teams beherrschen verschiedene Angriffssimulationen, die Ausnutzung von Malware, das Auffinden ungepatchter Netzwerkdienste oder Phishing zur Verbreitung von Ransomware. 

Es überrascht nicht, dass rote und blaue Teams oft zusammenarbeiten, zumindest nach der ersten Übung. Wenn sie die ganze Zeit zusammenarbeiten, nennt man sie "violette Teams", und die Teammitglieder wechseln die Rollen, um ihr Fachwissen bei Angriff und Verteidigung eines Unternehmens zu vertiefen. Betrachten Sie lila Teams als eine Form des Wissenstransfers, denn die roten und blauen Teams arbeiten kurz zusammen, tauschen Informationen aus und wenden sich dann in der Regel der nächsten Herausforderung zu. 

Die Quintessenz

Tabletop- und Red-Team-Übungen tragen dazu bei, die Sicherheitsvorkehrungen Ihres Unternehmens zu verbessern und auf Angriffe zu reagieren, die sich ihnen entziehen könnten. Unternehmen müssen Übungen zu Ransomware als Teil eines regelmäßigen Plans einplanen, der ihrem Geschäfts-, Regulierungs- und Sicherheitsprofil entspricht. Lesen Sie mehr über Mimecast Mailbox Continuity, eine Option zur Minimierung von Ausfallzeiten aufgrund von Cyberangriffen. 

[1] "Effektive Schritte zur Erstellung von Cyber-Übungen," U.K. National Cyber Security Centre