www.quorum.at Protect - detect - recover ... SORGEN | PERSPEKTIVENWECHSEL BEI RANSOMWARE
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
3 - 2 - 1 - 0 ... SORGEN | PERSPEKTIVENWECHSEL BEI RANSOMWARE Protect - detect - recover www.quorum.at
Es gibt zwei Arten von Unternehmen –
die die gehackt wurden und die die es nicht wissen (John T. Chambers, ex CEO Cisco)
Quelle: https://www.derstandard.at/story/2000125235381/
nach-exchange-hack-erpresser-fordern-von-acer-50-millionen-dollar
Quelle: https://futurezone.at/digital-life/dearcry-erste-ransomware-nutzt-
microsoft-exchange-luecke-aus/401217654
BKA - Cybercrime Report 2019
Quelle: https://bundeskriminalamt.at/306/files/Cybercrime_2019.pdf
Quelle: https://www.heise.de/news/
www.quorum.at Hacker-veroeffentlichen-Daten-nach-Cyberangriff-auf-staedtische-IT-in-Oesterreich-4727538.html
AGENDA
o 14:00 Uhr – Willkommen | Alexander Paral
o 14:05 Uhr – Erfahrungsbericht mit dem Thema Ransomware am Beispiel eines Kunden
Erik Rusek, Thomas Kastner (PwC)
o 15:00 Uhr – Protect – Detect – Recover | Ralf Damerau (Veritas)
o 15:30 Uhr – Vorfälle und Bedrohungen aus der Infrastruktur Perspektive
Markus Trimmel (ANEO)
o 16:00 Uhr – Q & A
www.quorum.at
Ransomware am Beispiel eines Kunden April 2021
Ransomware am Beispiel eines Kunden April 2021 PwC
Aktuelles
Aktuell vermehrt Beispiele erfolgreicher Cyberangriffe durch “human operated
ransomware” auf Unternehmen in Österreich mit erheblichen Auswirkungen
Das Risiko, Opfer einer Cyberattacke zu werden, bleibt weiterhin
sehr hoch. Beispiele der jüngeren Vergangenheit zeigen, dass selbst
Unternehmen mit “guter IT” davon nicht verschont bleiben.
Die Auswirkungen sind meiste verheerend. Die betroffenen Betriebe
stehen meist über mehrere Wochen teilweise oder komplett still.
Darüber hinaus entstehen möglicherweise Schäden an Marke,
Reputation oder Kunden springen ab.
Beispiele aus der jüngeren Vergangenheit
● 08/2020 Garmin
● 10/2020 Emco
● 11/2020 Mayr-Melnhof Holz
● 11/2020 Weltweites Catering Unternehmen
● 12/2020 Facility Management Unternehmen
● 01/2021 ATX Unternehmen
Die aktuelle Cyberlage zeigt das Bedrohungspotential in Europa
Ransomware am Beispiel eines Kunden April 2021
PwC
Big Business Cyberkriminalität
Top 5 globale Risiken in Bezug auf die
Eintrittswahrscheinlichkeit laut Weltwirtschaftsforum
Cybersecurity
failure
IT infrastructure
breakdown
Ransomware am Beispiel eines Kunden April 2021
PwC 3
Source: https://www.weforum.org/reports/the-global-risks-report-2021
Cyber threats keep CEOs up at night
Frage:
Wie besorgt sind Sie über
jede dieser potenziellen
wirtschaftlichen, politischen,
sozialen, ökologischen und
geschäftlichen Bedrohungen
für die Wachstumsaussichten
Ihres Unternehmens?
*Die Balken zeigen nur Antworten
mit der Bewertung "extrem besorgt"
Source: PwC, 24rd Annual Global CEO Survey
Ransomware am Beispiel eines Kunden April 2021
PwC 6
Cybercrime als Business Modell
Das Risiko, erwischt zu Für Kriminelle entstehen neue
werden, ist gering. Möglichkeiten und Geschäftsmodelle.
Warum ist dieses
Business Model so
lukrativ?
Da
ru
m
Cyberkriminalität ist sehr Es gibt einen etablierten !
profitabel. Markt für den Kauf von
Modulen.
Verkauf von illegalen Waren $ 860 Mrd.
Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum $ 500 Mrd.
Handel mit gestohlenen Daten $ 160 Mrd.
Software für Cybercrime $ 1,6 Mrd.
Ransomeware-Angriffe $ 1 Mrd.
Summe ~ $ 1,5 Bio.
Source: “Into the Web of Profit - An in-depth study of cybercrime, criminals and money”, Dr. Mike McGuire, April 2018
Ransomware am Beispiel eines Kunden April 2021
PwC 7Cybercrime im Vergleich
zu den Top 5 größten Unternehmen weltweit...
Verkauf von illegalen Waren $ 860 Mrd.
Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum $ 500 Mrd.
Handel mit gestohlenen Daten $ 160 Mrd.
Software für Cybercrime $ 1,6 Mrd.
Ransomeware-Angriffe $ 1 Mrd.
Summe ~ $ 1,5 Bio.
Walmart ~ $ 524 Mrd.
Sinopec Group ~ $ 407 Mrd.
State Grid ~ $ 384 Mrd.
China National Petroleum ~ $ 379 Mrd.
Royal Dutch Shell ~ $ 352 Mrd.
Summe ~ $ 2 Bio.
Source: https://fortune.com/global500/
Ransomware am Beispiel eines Kunden April 2021
PwC 8Cybercrime im Vergleich zu Bidens Wirtschaftspaket
= 1.9 Billionen in Deutsch
Ransomware am Beispiel eines Kunden https://www.washingtonpost.com/ April 2021
PwC 9Cybercrime im Vergleich zum weltweiten, illegalen
Drogenhandel
$1,5 Bio. $400 Mrd.
„Web of Profit“ “Room for improvement”
Dr. Michael McGuire cybercrime study: Cybercrime has United Nations Office on Drugs and Crime: "With
evolved into an entire economy rife with professionalization estimates of $100 billion to $110 billion for heroin, $110
and filled with parallels to legitimate industries. The billion to $130 billion for cocaine, $75 billion for cannabis
emergence of a complex and multi-layered cybercrime and $60 billion for synthetic drugs, the probable global
economy has also begun to suggest a fundamental shift in figure for the total illicit drug industry would be
the very nature of crime itself. In this context, overt acts of approximately $360 billion. Given the conservative bias in
crime become less central features of the criminal some of the estimates for individual substances, a turnover
ecosystem when compared to the services and platforms of around $400 billion per annum is considered realistic."
that feed off and support crime – which become
increasingly low-investment, high-yield and low-risk
operations.
Cyberkriminalität am Beispiel Ransomware April 2021
PwC Österreich 10Comparing 1,5 trillion USD to...
Cybercrime, eine jährlich 1,5 Billionen USD Umsatz generierende
Industrie
- vergleichbar mit dem BIP von Spanien
Source: https://www.imf.org/external/datamapper/NGDPD@WEO/OEMDC/ADVEC/WEOWORLD
Ransomware am Beispiel eines Kunden April 2021
PwC 11Die Bedrohungsakteure
Minor League
H r
ac
kt ide
iv s
Hacking inspiriert durch die is In Vorsätzlich oder
m ie
Technologie D unabsichtlich
MOTIVATION: Verändernde Loyalität, nicht MOTIVATION: Neid, Finanzielle Bereicherung
vorhersehbar AUSWIRKUNG: Verteilung oder Zerstörung,
AUSWIRKUNG: Reputationsverlust, Informationsdiebstahl, Reputationsverlust
Informationsverlust
Global, kaum identifizierbar Spionage und Sabotage
und verfolgbar MOTIVATION: Politische, wirtschaftliche und
militärische Interessen
S AUSWIRKUNG: Unterbrechung oder
e rte t In taa Zerstörung von Informationen und
MOTIVATION: Finanzielle Bereicherung i ä te tli
AUSWIRKUNG: Informationsdiebstahl und
nis alit re ch Infrastrukturen, Informationsdiebstahl,
a n ss e Reputationsverlust
rg i
-abfluss
en
O rim
K
Ransomware am Beispiel eines Kunden
PwC
Major League April 2021
12Human Operated Ransomware
Es war einmal...
...an einem deutschen Bahnhof.
Ransomware am Beispiel eines Kunden April 2021
PwC 14Geschäftsmodell Ransomware Ransomware am Beispiel eines Kunden April 2021 PwC 15
Target Attack Wenn Angreifer DICH als attraktives Ziel auswählen!
Ransomware Angriff Um sich vor einem potentiellen Angreifer zu schützen, ist es notwendig dessen Vorgehen zu kennen Nutzen von bekannten Schwachstellen Angreifer verschaffen sich via Phishing Mails oder Schwachstellen Zugang zum “Opferunternehmen” Langfristiger Angriff Sie installieren Schadsoftware, die unbemerkt über Monate hinweg die Infrastruktur des Unternehmens ausspioniert Ziel: Business Disruption Sie verschaffen sich unerkannt einen Überblick über die Geschäftsprozesse und die Systeme und wie diese am besten unterbrochen werden können Backups unbrauchbar machen Sie löschen die Backups und verschlüsseln alle Server, dies nahezu zeitgleich und zu einem Zeitpunkt, der für das Unternehmen besonders schadhaft ist Lösegeldforderung Sie erpressen das Unternehmen, mit sehr hohen Lösegeldforderungen und versprechen, dass sie dann die Daten wieder aus der “Geiselhaft” entlassen. Leider halten die Angreifer in vielen Fällen ihr Versprechen nicht. Ransomware am Beispiel eines Kunden April 2021 PwC 17
Was passiert bei einer Ransomware-Infektion?
Ein Malware Coder erstellt eine Lösegeldforderung
Ransomware, die er zum Kauf & Unternehmen werden mit sehr
Download anbietet. hohen Lösegeldforderungen
erpresst mit dem Versprechen, dass
sie den Schlüssel zur
Verschlüsselung Entschlüsselung der Dateien
Die Verwendung von Ransomware erhalten. Leider halten Angreifer in
Nutzen von bekannten als Ursache für Cyberangriffe steigt vielen Fällen ihr Versprechen nicht.
Schwachstellen jährlich. Nach einer anfänglichen
Malware Spreader kaufen sich die Infektion verschlüsselt die Malware Business Disruption
Ransomware und verschaffen sich fortlaufend Daten und legt kritische Ransomware hat zum Ziel, dass sie
via Phishing Mails oder andere Systeme lahm. (kritische) Systeme von
Schwachstellen Zugang zum Organisationen stören, die zu einer
Weiterer finanzieller Schaden
“Opferunternehmen”. Backups unbrauchbar machen Betriebsunterbrechung führen. Je
Die weiteren Kosten von
In einigen Fällen löschen sie nach Systemkritikalität kann dies
Cyberangriffen sind abhängig von
Langfristiger Angriff zusätzlich die Backups und weitreichende finanzielle Schaden
Umfang und Schweregrad. Sie
Sie installieren Schadsoftware, die verschlüsseln alle Server. Der haben.
können Umsatz-/Gewinnverluste,
unbemerkt über Monate hinweg die Vorgang passiert nahezu zeitgleich Kosten für die Wiederherstellung
Infrastruktur des Unternehmens und zu einem Zeitpunkt, der für das aller Systeme und des normalen
ausspioniert. Unternehmen besonders schadhaft Betriebs oder umgeleitete
ist. Zahlungen des Lösegeldes
umfassen.
Große Datenschutzverletzungen
können auch einen
Reputationsschaden verursachen,
der zu einem Rückgang der
Kundenzahl führt.
Ransomware am Beispiel eines Kunden April 2021
PwC 18Entwicklung der Ransomware Angriffe in der Covid
Krise
https://www.pwc.co.uk/cyber-security/pdf/pwc-cyber-threats-2020-a-year-in-retrospect.pdf
Ransomware am Beispiel eines Kunden April 2021
PwC 19Ransomware Vorfälle nach Sektor (2020) Ransomware am Beispiel eines Kunden April 2021 PwC 20
PwC Cybersecurity Austria
So können Sie sich effektiv gegen Ransomware schützen
Implementierung von professionellen Implementierung von
Awareness Trainings und Implementierung einer
E-Mail- und Websicherheits-Tools, Antivirusprogrammen, IPS und
Schulungen für Mitarbeiter und BYOD-Sicherheitsrichtlinie, um den
die Anhänge, Webseiten und Dateien Endpoint Detection & Response
Dienstleister, insbesondere im Hinblick Einsatz von Endgeräten, die nicht dem
auf Malware untersuchen und (EDR). Auch zu beachten gilt, dass
auf Phishing Mails, Social Engineering, Unternehmensstandard entsprechen,
irrelevante Webseiten für das Antimalware-Tools immer auf dem
Umgang mit Endgeräten, etc... auszuschließen
Unternehmen blockieren. neuesten Stand sein sollten.
Implementierung eines angemessenen Erstellung von Backup- und
Segmentierung von Netzwerken in Regelmäßiges Patchmanagement von
Access Managements nach dem Recovery-Plänen zur regelmäßigen
unterschiedliche in Sicherheitszonen, Betriebssystemen, Geräten und
Zero-Trust-Modell, um Sicherung von Systemen sowie deren
damit ein infizierter Bereich sich nicht Softwares, um Ransomware zu
Zugriffsberechtigungen sinnvoll offline Speicherung auf einem
weiter ausbreiten kann. stoppen.
einzuschränken. separaten Gerät.
Zur Unterstützung Ihres Sicherheitskonzepts sollten Sie sich den richtigen Partner ins
Boot holen, der ihre Branche kennt, immer am aktuellen Stand der Technik ist und Sie
sicher in die Zukunft begleitet.
Ransomware am Beispiel eines Kunden April 2021
PwC 22Mit dem richtigen Partner in eine sichere Zukunft.
Zwei PwC Cybersecurity Services im Fokus um unseren Kunden in dieser akuten Bedrohungslage aktiv zu unterstützen:
Early Warning Service
Mit EWaS zeigen wir in Echtzeit die Außensicht auf das Unternehmen in der aktuellen Bedrohungslage! Mit dieser, bis vor kurzem ausschließlich
1
dem Geheimdienst vorbehaltenen Methodik helfen wir den Entscheidungsträgern, richtig zu priorisieren.
● Vorteil für den Kunden: Dies ermöglicht, die akuten (gefährlichsten) Sicherheitslücken und Bedrohungen sofort zu erkennen und Ihre
“Cyberabwehrkräfte” gezielt einzusetzen – FIRST THINGS FIRST!
● Vorteil für PwC: Wir identifizieren Risiken und Projektbedarf.
Incident Response Retainer
2 ist vergleichbar mit einem VIP ABO bei der (Cyber)Feuerwehr:
● Vorteil für den Kunden: Er weiß, welches Cyber-Feuerwehrteam im Ernstfall kommt, die Cyber-Feuerwehr kennt schon bevor sie zum
Brandherd kommt die "örtlichen Gegebenheiten", Kosten sind vorher bereits festgelegt, etc.
● Vorteil für PwC: Wir sichern uns einen Bestandskunden - in einer Vertrauensposition.
Ransomware am Beispiel eines Kunden April 2021
PwC 23Forrester Top European Cybersecurity Consulting Providers Q4 2019 Was zeichnet PwC laut Forrester aus? • PwC überzeugt durch hochqualifizierte und zielgerichtete Betreuung von Führungskräften für Cybersecurity: Mit dem exklusiven CISO Masterclass Programm unterstützt PwC Ihren CISO dabei, in seine neue Führungsrolle hineinzuwachsen. • PwC investiert in die Entwicklung von Tools und Applikationen in den Bereichen DevSecOps, Cyber Threat intelligence und Incident Response, welche über eine SaaS-Plattform zur Verfügung gestellt werden. • PwC fördert effizient und praxisnah die technische Weiterentwicklung seiner Berater und stellt dadurch einen erfahrenen Beraterpool sicher. • Kunden, die sowohl auf einen strategischen Support auf Führungsebene sowie hochqualifizierte technische Fähigkeiten setzen, sind mit PwC gut beraten. Ransomware am Beispiel eines Kunden April 2021 PwC 24
Erik Rusek
Senior Manager
Cybersecurity & Privacy
Mobil +43 676 833 775 456
Thank you
erik.rusek@pwc.com
Thomas Kastner
Manager
Cybersecurity & Privacy
Mobil +43 676 833 773 231
thomas.k.kastner@pwc.com
pwc.com
© 2021 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers
International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as
agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its
member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of
any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.AGENDA
o 14:00 Uhr – Willkommen | Alexander Paral
o 14:05 Uhr – Erfahrungsbericht mit dem Thema Ransomware am Beispiel eines Kunden
Erik Rusek, Thomas Kastner (PwC)
o 15:00 Uhr – Protect – Detect – Recover | Ralf Damerau (Veritas)
o 15:30 Uhr – Vorfälle und Bedrohungen aus der Infrastruktur Perspektive
Markus Trimmel (ANEO)
o 16:00 Uhr – Q & A
www.quorum.atPROTECT – DETECT- RECOVER
Perspektivenwechsel bei Ransomware
• Perspektivenwechsel bei Ransomware
8. April 2021Vorstellung - seit 1.10.2020 Veritas ALPS (AT/CH) - 2019-2020 DELL Schweiz - 2011-2019 IBM Schweiz Bezug zu AT: - 2011-2013 Storage Manager ALPS @ IBM - 1981-1982 Schigymnasium Stams
Agenda • Ransomware - Business • Perspektivenwechsel • Veritas Ransomware protection strategy
Ransomware – ein neues Geschäftsmodell 4 Copyright © 2020 Veritas Technologies, LLC.
Vorgehen bei einem Cyber-Angriff
• Intrution / Eindringen
• Ziel: Unerkannt an allen Sicherheitvorkehrungen
vorbei in ein System hineingelangen.
• Aufklärung
• Ziel: Unsichtbar sein, Teil des Ganzen werden.
Möglichst viele Informationen sammeln.
• Angriff
• Ziel: In Besitznahme von Daten, um Geld zu
erpressen.Die Sprache
Bedrohung In Besitznahme
Infiltrieren Aufklären Etc. etc.Perspektivenwechsel - seit 1.10.2020 Veritas ALPS (AT/CH) - Seit 2018 Stab Kdo Op (Fhr Stab CH Armee) - 2019-2020 DELL Schweiz - 2011-2018 Kdt Inf Bat 54 - 2011-2019 IBM Schweiz - Diensttage >1’300 Bezug zu AT: - 2011-2013 Storage Manager ALPS @ IBM - 1981-1982 Schigymnasium Stams
Beispiel WEF Davos
II • Identify
II
• Checkpoints
• Detect
• Aufspüren, Beobachten (Scannen)
• Protect
• Härten, Zugangskontrollen,
II
Specialforces
• Respond
• Eingreifreserve
• Recover
• Retten
II
• Wiederherstellen des Betriebes
IIVeritas Ransomware Readiness
Understand and improve the management of cybersecurity risk
RECOVER when, not if, ransomware
strikes
• Orchestrate
• Control
• Avoid ransoms
PROTECT all your data
DETECT threats, enable
monitoring • Everywhere
• Users • Immutable
• Infrastructure • At scale
• Backups
9 Copyright © 2021 Veritas Technologies, LLC *NIST – National Institute of Standards and TechnologiesRANSOMWARE:
Traditional Architecture - Attack-points
- First defense line
SOC-Virus detection
Master – BU
Appl-Server Server
+
BU-Client 1-n
Media–Server
First-tier
BU-Storage
StoragePROTECT:
Veritas PROTECT - Converged Infrastructure
- Intrution detection&prevention
- Container based
- Hardened OS (LinuxSE)
- Immutable Storage
- 3-2-1 concept
- Air-Gapped Copy
Master – BU 3rd Copy
Master-
Appl-Server
Media-
Media-
Server
Server
Server
Server
+
BU-Client 1-n
Media-Server
Hardened OS
First-tier
BU-Storage
Storage
Any cloudDETECT:
Veritas DETECT - Anomaly detection in:
- communication
- Infrastructure
- Predictive Analytics
3rd Copy
Master-
Appl-Server
Media-
Media-
Server
Server
Server
+
BU-Client
Hardened OS
Anomaly detection
First-tier
BU-Storage
Storage
Any cloudRECOVER:
Veritas RECOVER - Single-click recovery on a
business application level
- Multi-level consistency
- DR orchestration
- Automated Runbooks
- DR Simulation
- Local immutable storage
3rd Copy
Master-
Appl-Server
Media-
Media-
Server
Server
Server
+
BU-Client
Hardened OS
First-tier
Storage
Any cloudVeritas Ransomware Resiliency Strategy PROTECT • Harened, converged infrastructure • Container Architecture • Immutable storage • AIR-gapped copy • Agentless/RESTful API-based backup DETECT • Detect anomalies RECOVER • One-click recovery (multi level consistency) • Any cloud and any deployment model
Veritas – der richtige Entscheid
• ENTERPRISE:
• We’ve earned the trust of 97% of the Fortune 100,
and 86% of the Fortune 500
• INDUSTRY-LEADING:
• With support for 800+ data sources, 1,400 storage
targets, 60+ clouds
• INNOVATION:
• Most advanced platform in the market (Converged
Solution, Container based)
• SUCCESS:
• 100% ransomware recovery success rate in
2020
15 Copyright © 2020 Veritas Technologies, LLC.AGENDA
o 14:00 Uhr – Willkommen | Alexander Paral
o 14:05 Uhr – Erfahrungsbericht mit dem Thema Ransomware am Beispiel eines Kunden
Erik Rusek, Thomas Kastner (PwC)
o 15:00 Uhr – Protect – Detect – Recover | Ralf Damerau (Veritas)
o 15:30 Uhr – Vorfälle und Bedrohungen aus der Infrastruktur Perspektive
Markus Trimmel (ANEO)
o 16:00 Uhr – Q & A
www.quorum.atANEO RANSOMWARE
Erfahrungsbericht
Markus Trimmel
Unsere Services schaffen Ihnen freie Zeit. www.aneo.atAgenda
• Wie wurden Kunden attackiert, verschlüsselt und erpresst?
• Grundlegende Maßnahmen und Regeln
• Angriffsflächen von Backup Umgebungen, Absicherungsmöglichkeiten und
Empfehlungen
• Wiederanlauf nach einem Ransomware Befall bei einem Kunden
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
Wie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Erheben von Benutzerkennungen mit möglichst hohen Privilegien
- Client / Standard User, Client Administrator, System Administrator mittels Keylogger und Malware
- ALLE Eingaben werden abgefangen, z.B.: Windows RDP, Web Management Interfaces, SSH2 Terminal Clients
• Selbst verbreitendes verschlüsseln von Daten - Windows und NAS System
- System Administrator Kennung wird für die Verteilung verwendet
• Löschen oder Invalidieren durch hohe Änderungen von Snapshots
- Daten werden verschlüsselt und oft verändert (Altern von Snapshots)
- VSS Snapshots werden gelöscht
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Ändern von Admin Kennungen (Aussperren der System Administratoren)
• Löschen oder Sabotieren von Backups
- Über die Backup API / Schnittstellen
- Zerstörung über die Management Zugänge auf Backup Server, Media Agent / Server oder Appliances
- Verschlüsselung bei Windows
- Zerstörung über Hardware Management Interfaces
• Kommunikation / Erpressung über anonymen Chat
- Es wird ein Link bzw. eine Nachricht für die Kommunikationsaufnahme hinterlassen
• Hohe Forderungen abhängig von Umsatz und geschätzten Gewinn
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Dauer bis Kontakt aufgenommen wird: circa 30 – 180 Tage
- Davor werden Daten und Kennungen gesammelt und Daten verschlüsselt
• Bezahlung in Form von Kryptowährungen
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Beispiele von betroffenen Unternehmen
- Cyberangriff auf österreichischen Baukonzern Porr (futurezone.at)
- Cyberangriff: Palfinger zahlte Lösegeld - salzburg.ORF.at
- Österreichische Unternehmen als Ziel von Cyberattacken (agrartechnik.at)
- Marc O'Polo
- Cyber-Attacke: Beiersdorf erleidet beträchtlichen Schaden - n-tv.de (n-tv.de)
- Cyberattacke : Chemiekonzern Bayer gehackt - computerwoche.de
- Logistik Unternehmen in Österreich
- Technologie Unternehmen in Österreich
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Betroffene Systeme bei den uns bekannten Fällen
- Windows Server Systeme (Domain Controller, SAP Systeme, Exchange, Fileserver,…)
- Steuerungs- und Produktionsanlagen
- NAS Systeme (NetApp)
- Backup Appliances
- Backup Software IBM Spectrum Protect, VEEAM, Dell Avamar
www.aneo.atWie wurden Kunden attackiert, verschlüsselt und erpresst?
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
Vermutung wer dahinter steckt, Beispiel eines Kunden
WastedLocker Ransomware: So erpresst Evil Corp
Unternehmen - computerwoche.de
www.aneo.atGrundlegende Maßnahmen und Regeln
Grundlegende Maßnahmen und Regeln
• Regelmäßige Schulung der Mitarbeiter
Regelmäßige Awareness-Schulungen für Mitarbeiter sind enorm wichtig. So bleiben sie über
Best Practices für Cybersicherheit auf dem Laufenden. Dies kann erheblich dazu beitragen,
dass beispielsweise Phishing-E-Mails, ein Hauptangriffsvektor, erkannt und potenziell
gefährliche Links nicht angeklickt werden.
• Immer aktuell bleiben
Betriebssysteme und andere Software in Ihrer Unternehmensumgebung sollten immer auf
dem neuesten Stand sein und Patches sofort nach Veröffentlichung eingespielt werden.
• Angriffsfläche geringhalten
Software und Dienste, die nicht mehr benötigt oder nicht mehr vom Hersteller aktualisiert
werden, sollten deaktiviert bzw. ersetzt werden.
www.aneo.atGrundlegende Maßnahmen und Regeln
• Mehrschichtige Sicherheitslösung einsetzen
Neben den Mitarbeitern bildet eine moderne Sicherheitslösung die erste Verteidigungslinie bei
einem Cyber-Angriff.
• IT-Notfallplan ausarbeiten
Planen Sie immer für das Schlimmste und hoffen Sie auf das Beste. Halten Sie einen Business
Continuity-Plan für den Fall bereit, dass eine Katastrophe eintritt. Diese sollte ein Daten-Backup
und vielleicht auch Ersatzsysteme für den Fall enthalten, dass Sie gesperrte Systeme
wiederherstellen müssen.
• Datensicherung
Sichern Sie daher regelmäßig geschäftskritische Daten und testen Sie, ob eine
Wiederherstellung daraus im Ernstfall funktioniert. Absichern und Härten der Backup
Umgebung, Aufbewahrungszeiten auf neue Gegebenheiten anpassen.
www.aneo.atAngriffsflächen von Backup Umgebungen Am Beispiel Veritas Netbackup [das Prinzip gilt aber für alle Backup Lösungen]
Angriffsflächen am Beispiel von Veritas Netbackup
• Netbackup Master Server (Backup Server)
- IPMI Zugang wenn physikalisch
- Betriebssystem
- NetBackup API
- NetBackup Interfaces Java UI und Web UI
• Netbackup Media Server (speichert die Backup Daten)
- IPMI Zugang wenn physikalisch
- Storage Management Interfaces bei externen Storages
- Betriebssystem
• Netbackup Opscenter (Reporting und Admin Erweiterung)
- IPMI Zugang wenn physikalisch
- Betriebssystem
- OpsCenter Web UI
www.aneo.atAbsicherungsmöglichkeiten und Empfehlungen Am Beispiel Veritas Netbackup [das Prinzip gilt aber für alle Backup Lösungen]
Mehrschichtige Härtung der Backup Umgebung
• Plattform und Betriebssystem Bruch zu den Backup Clients
• Security Kontext Bruch der Backup Umgebung zu den Backup Clients
• Limitieren der Ports und Protokolle auf ein Minimum
- Betriebssystem Firewall aktiveren
- Verbieten von Hop Verbindungen, Server1 zu Server2 zu Server3 usw. im Netzwerk
(z.B.: Access Listen)
• 2FA für Betriebssystem, Backup Anwendung, Media Server/Appliances
und alle Hardware Management Zugänge
• Service Benutzer für das Backup auf ein Minimum an Rechten limitieren
www.aneo.atMehrschichtige Härtung der Backup Umgebung
• SIEM-Lösung, Logmanagement und AV Lösung verwenden
• Regelmäßiges Wechseln des Passworts
• Regelmäßiges Betriebssystem- und Applikationspatching
• Immutable Images verwenden
• 3-2-1 Regel umsetzen
- #1 – Mindestens eine Kopie "außer Haus" lagern
- #2 – Mindestens zwei unterschiedliche Speichertechnologien verwenden
- #3 – Mindestens drei Kopien anfertigen, wenn möglich mit AIR GAP
www.aneo.atAbsicherungsmöglichkeiten und Empfehlungen
• Hardware
- Outbound Management Interfaces (IPMI und Storage Management) werden über eigenes vLAN und
Firewall auf 2 dezidierte Management Server reduziert
- Diese werden über 2FA abgesichert, Rublon 2FA for Windows Logon and RDP – Rublon
- Monitoring verwendet einen „readonly“ User Zugriff
• Linux Betriebssystem (Backup Server, Media Server und Reporting)
- Generell: Host Firewall ist aktiv, nur NetBackup Ports + ssh2 + https ist geöffnet
- SSH2 Zugriff: Named User Accounts mit 2FA, root login ist deaktiviert
- Netbackup WEBUI (https): Named User Accounts mit 2FA, root login ist deaktiviert
- Netbackup JAVA UI (java): Named User Accounts mit 2FA, root login ist deaktiviert
www.aneo.at2FA im Detail – Linux PAM
• Grundlagen Linux PAM
- ssh2
- Console / Monitoring Login
- Cockpit-Web Management (https)
- NetBackup Java GUI
- NetBackup Web Administration GUI
2FA (Rublon)
www.aneo.atRansomware- und Cybercrime Schutz
• Rublon 2FA Mechanismus
- Erster Schritt ist die Authentifizierung am Betriebssystem über die Applikation (username + password)
- Danach wird eine Push Notification zu einem definiertem Soft-Token ausgelöst
- Diese muss als 2. Faktor vom Benutzer freigeben werden
www.aneo.atLinux SSH2 Login www.aneo.at
Windows RDP Login www.aneo.at
Ransomware- und Cybercrime Schutz
• NetBackup Applikation
- NetBackup Admin Java UI: Named User Accounts mit 2FA
/usr/openv/netbackup/pam_service.txt
sshd
/usr/openv/java/auth.conf
asc ADMIN=ALL JBP=ALL
* ADMIN=JBP JBP=ENDUSER+BU+ARC
- NetBackup Web Administration Console: Named User Accounts mit 2FA
Netbackup and Pluggable Authentication Mechanism Module (PAM) (veritas.com)
www.aneo.atWiederanlauf nach einem Ransomware Befall bei einem Kunden
Wiederanlauf nach einem Ransomware Befall bei einem Kunden www.aneo.at
Wiederanlauf nach einem Ransomware Befall bei einem Kunden [Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert] • Vorfall ereignete sich 2017 • Quorum / ANEO wurde für die Restore Unterstützung zugekauft • Es ging nichts mehr, nicht einmal die Essensabrechnung in der Kantine J • 100% Windows Umgebung • Backup Lösung basierte auf Dell NetWorker und Data Domain • Backup Daten auf Data Domain Systeme waren nicht verschlüsselt • Backup Server und Storage Nodes (Media Server) waren verschlüsselt www.aneo.at
Wiederanlauf nach einem Ransomware Befall bei einem Kunden
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• ~ 3000 Server, davon wurden ~ 1000 restored, viele Systeme wurden neu aufgesetzt
• Fast alle Clients waren betroffen, wurden neu installiert
• Es existierte kein konkreter Notfallplan
• 7x24 Krisenstab wurde implementiert, es wurde analog mit Zettel gearbeitet
• Backup Software, Security Hersteller und diverse Consulting Firmen wurden beauftragt
• Der Restore Punkt wurde festgelegt (Zeitpunkt wo sicher keine Infektion war) – wurde von
Security Experten definiert
www.aneo.atWiederanlauf nach einem Ransomware Befall bei einem Kunden
[Diese Erklärung ist simplifiziert und auf das Wesentlichste reduziert]
• Redeployment und Restore der Backup Server
• Es wurde im Akkord gearbeitet, pro Station wurden die Zettel aktualisiert
- Station 1. Restore von Betriebssystem in Restore Netzwerk
- Station 2. Prüfen Datenstand, Patchen des Systems - abgeschottete Umgebung
- Station 3. Security Scan des Systems und Switch in Transfernetzwerk
- Station 4. Restore der Daten / Applikationsdaten
- Station 5. Security Scan des Systems und Switch in Produktionsnetzwerk
- Nebenstationen: Restore Troubleshooting, Applikations- und Spezial Restore
• Dauer des Einsatzes: ca. 3 Wochen mit mehr als 40 h pro Woche
• Kunde war mit dem Wiederaufbau deutlich länger beschäftigt
www.aneo.atThank you Markus Trimmel mtr@aneo.at +43 664 150 82 00 Unsere Services schaffen Ihnen freie Zeit. www.aneo.at
Alexander Paral Quorum Distribution GmbH
Vielen Dank! apa@quorum.at Währinger Straße 12/9
+43 664 5013926 A – 1090 Wien
Datensicherheit
Mehr als Backup ist und
unserRecovery.
Auftrag! www.quorum.at
www.quorum.atSie können auch lesen
