Vorbereiten auf einen Ransomware-Angriff

Dieser Artikel enthält azurespezifische Anleitungen zum Vorbereiten Ihrer Organisation, um sich vor Ransomware-Angriffen zu verteidigen und wiederherzustellen.

Tipp

Dieser Artikel konzentriert sich auf azurespezifische Vorbereitungen. Umfassende Anleitungen finden Sie unter Schutz Ihrer Organisation vor Ransomware und Erpressung.

Einführen eines Cybersicherheitsframeworks

Ein guter Ausgangspunkt ist die Einführung des Microsoft Cloud Security Benchmarks (MCSB), um die Azure-Umgebung zu schützen. Die Microsoft Cloud Security Benchmark ist das Framework für Sicherheitskontrollen in Azure, das auf branchenüblichen Frameworks für Sicherheitskontrollen wie NIST SP800-53 und CIS Controls v7.1 basiert.

Screenshot der Sicherheitssteuerung

Die Microsoft Cloud Security Benchmark bietet Organisationen Anleitungen zum Konfigurieren von Azure und Azure-Diensten sowie zum Implementieren der Sicherheitskontrollen. Organisationen können Microsoft Defender für Cloud verwenden, um ihren Live-Azure-Umgebungsstatus mit allen MCSB-Steuerelementen zu überwachen.

Letztendlich zielt das Framework darauf ab, Cybersicherheitsrisiken zu reduzieren und besser zu verwalten.

Microsoft Cloud Security Benchmark-Stapel
Netzwerksicherheit (NS)
Identitätsverwaltung (IM)
Privilegierter Zugriff (PA)
Datenschutz (DP)
Ressourcenverwaltung
Protokollierung und Bedrohungserkennung
Reaktion auf Vorfälle (IR)
Status- und Sicherheitsrisikomanagement
Endpunktsicherheit (ES)
Sicherung und Wiederherstellung (BR)
DevOps-Sicherheit
Governance und Strategie (GS)

Technische Azure-Steuerelemente für Ransomware-Schutz

Azure bietet eine Vielzahl von systemeigenen technischen Steuerelementen zum Schutz, Erkennen und Reagieren auf Ransomware-Vorfälle mit Schwerpunkt auf der Prävention. Organisationen, die Workloads in Azure ausführen, sollten diese systemeigenen Azure-Funktionen nutzen:

Erkennungs- und Präventionstools für Azure

  • Microsoft Defender für Cloud – Einheitliche Sicherheitsverwaltung, die Bedrohungsschutz für Azure-Workloads bereitstellt, einschließlich VMs, Containern, Datenbanken und Speicher
  • Azure Firewall Premium – Firewall der nächsten Generation mit IDPS-Funktionen zum Erkennen und Blockieren der C&C-Kommunikation von Ransomware
  • Microsoft Sentinel – Cloud-native SIEM/SOAR-Plattform mit integrierter Ransomware-Erkennungsanalyse und automatisierter Reaktion
  • Azure Network Watcher – Netzwerküberwachung und -diagnosefunktionen zum Erkennen anomaler Datenverkehrsmuster
  • Microsoft Defender für Endpunkt – Für Azure-VMs mit Windows oder Linux

Datenschutz für Azure-Ressourcen

  • Azure Backup mit Unveränderlichkeit und weichem Löschen für Azure-VMs, SQL-Datenbanken und Dateifreigaben
  • Unveränderliche Azure Storage-Blobs – WORM (Einmal schreiben, Viele lesen) Speicher, der nicht geändert oder gelöscht werden kann
  • Azure role-based access control (RBAC) – Prinzip der geringsten Berechtigungen für den Azure-Ressourcenzugriff
  • Azure-Richtlinie – Erzwingen von Sicherungsrichtlinien und Sicherheitskonfigurationen in Azure-Abonnements
  • Regelmäßige Überprüfung der Sicherung mithilfe von Azure Site Recovery für Notfallwiederherstellungstests

Umfassende Anleitungen zur Behandlung von Vorfällen finden Sie unter Vorbereiten Ihres Ransomware-Wiederherstellungsplans.

Azure-Sicherungs- und Wiederherstellungsfunktionen

Stellen Sie sicher, dass Sie über geeignete Prozesse und Verfahren für Azure-Workloads verfügen. Fast alle Ransomware-Vorfälle führen dazu, dass kompromittierte Systeme wiederhergestellt werden müssen. Geeignete und getestete Sicherungs- und Wiederherstellungsprozesse sollten für Azure-Ressourcen vorhanden sein, zusammen mit geeigneten Eindämmungsstrategien, um die Verbreitung von Ransomware zu verhindern.

Die Azure-Plattform bietet mehrere Sicherungs- und Wiederherstellungsoptionen über Azure Backup und integrierte Funktionen in verschiedenen Azure-Datendiensten und -Workloads:

Isolierte Sicherungen mit Azure Backup

Azure Backup bietet unveränderliche, isolierte Sicherungen mit vorläufigem Löschen und MFA-Schutz für:

  • Azure-virtuelle Maschinen
  • Datenbanken in Azure VMs: SQL, SAP HANA
  • Azure-Datenbank für PostgreSQL
  • Lokale Windows-Server (Sichern in der Cloud mit dem MARS-Agent)

Operationelle Sicherungen

  • Azure Files – Momentaufnahmen freigeben mit zeitpunktbezogener Wiederherstellung
  • Azure Blobs – Vorläufiges Löschen, Versionsverwaltung und unveränderlicher Speicher
  • Azure-Datenträger: Inkrementelle Schnappschüsse

Integrierte Sicherungen von Azure-Datendiensten

Datendienste wie Azure SQL-Datenbank, Azure-Datenbank für MySQL/MariaDB/PostgreSQL, Azure Cosmos DB und Azure NetApp Files bieten integrierte Sicherungsfunktionen mit automatisierten Zeitplänen.

Ausführliche Anleitungen finden Sie unter Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware.

Nächste Schritte

Umfassende Richtlinien zum Schutz vor Ransomware auf allen Microsoft-Plattformen und -Diensten finden Sie unter Schutz Ihrer Organisation vor Ransomware und Erpressung.

Andere Artikel zu Azure Ransomware:

  • Last updated on