Ransomware Audit Tool

TESTEN SIE IHR SCHUTZNIVEAU

Wo steht Ihr

Unternehmen beim

Schutz vor Ransomware?

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat über seine zertifizierten APT-Response-Dienstleister (Advanced Persistent Threat) einen Mindeststandard zur Abwehr von Ransomware formulieren lassen, welcher sich aus 20 konkreten Anforderungen in verschiedenen Kategorien besteht.

Grundsätzlich scheint es, dass es sich bei den meisten Angreifen nicht um “Top-Hacker” handelt. Zwar gehen die Cyberkriminellen planvoll und systematisch vor, aber in den meisten Fällen machen es die Betroffenen den Angreifern durch mangelnde oder fehlerhafte Implementierung von Sicherheitskonzepten unnötig leicht. Die Abwehr von Ransomware-Attacken sollten im Jahre 2022 ein Standard sein, welchen eine IT-Sicherheitsabteilung sich leisten können sollte. Wo steht Ihr Unternehmen beim Schutz vor Ransomware? Testen Sie jetzt Ihr Schutzniveau!

Phishing-Schutz

In nahezu allen Fällen ist das Einfallstor einer erfolgreichen Ransomware-Attacke eine “gut gemachte” Phishing-E-Mail. Diese basiert meist auf einer bereits bestehenden Korrespondenz oder eines bestehenden Kontakts und sieht auf den ersten Blick täuschend echt aus. Besonders unglücklich - patternbasierte Virensoftware erkennt die enthaltenen Schad-Codes oft nicht, da diese meist bei der individuellen Attacke zum ersten mal Verwendung finden.

Verwenden Sie in Ihrem Unternehmen einen cloudbasierten Spam-Schutz?

nein

in Planung

Werden gefährliche Anhänge (bspw. alte Office-Formate) automatisch von Mail-Filtern blockiert?

nein

Härten von Clients

Der Zugang für Cyberkriminelle beginnt in den meisten Fällen auf einem infizierten Arbeitsplatzrechner (Client). Der im Anschluss oftmals erfolgende RAT-Angriff (Remote-Access-Trojaner) nutzt weitere, schlecht gesicherte Client-PCs und arbeitet sich so weiter im Netzwerk voran.

Sind in Ihrem Unternehmen Möglichkeiten zum Ausführen von Makros in Office-Dokumenten eingeschränkt?

nein

Im Angriffsfall dem Angreifer das Springen innerhalb der eigenen IT-Umgebung (Lateral Movements) zu erschweren, sollten die Clients keinen einheitlichen lokalen Administratoraccount mit gleichem Passwort haben. Trifft das auf Ihr Unternehmen zu?

nein

Haben lokale Benutzer Konten mit lokalen Administratorrechten?

nein

Sind in Ihrem Unternehmen die Empfehlungen der Security-Baselines für Windows 10 umgesetzt?

nein

Externe Zugänge

Gibt es eine Multi-Faktor-Authentifizierung für alle von außen erreichbaren Administrationsoberflächen sowie Remote-Zugänge (z.B. RDP, Citrix, VPN)?

nein

Offline-Backup

Kann ein Angreifer nicht mehr aufgehalten werden kann, dann ist ein Backup die beste Überlebensstrategie.

Gibt es ein komplettes Backup der IT, welches nicht älter als sieben Tage ist? (Server und Datenbanken, Active Directory (AD), System-State der Domain-Controller (DC))?

nein

Sind die Zugriffsrechte für dieses Backup so ausgelegt, dass auch Angreifer mit Domain-Admin-Rechten und Zugang zu allen Passwörtern sämtlicher Domänen-Accounts das Backup nicht löschen können (Offline-Backup)?

nein

Werden in Ihrem Unternehmen die geplanten Backups überwacht im Hinblick auf Datenmenge, welche gesichert wird? Wird ein Ausfall der Sicherung als Sicherheitszwischenfall behandelt.?

nein

Nur eine der beiden Anforderungen

Prüfung der Logs

Statistisch gesehen brauchte im Jahr 2020 ein Angreifer im Schnitt noch circa drei bis vier Stunden, um sich Domain-Admin-Rechte zu verschaffen. Inzwischen sind die Cyberkriminellen sehr viel schneller geworden. In den allermeisten Fällen waren im Nachgang an den Angriff Spuren von diesem in den Protokolldateien zu finden - diese wurden aber oft nicht als solche erkannt.

Erkennt, filtert und loggt Ihre Firewall Command-&-Control-Verbindungen (C2-Verbindungen)?

nein

Werden sicherheitsrelevante Logdateien (Logs der Firewall, die Protokolle von Spam- und Malwareschutz, der Domain-Controller und des Backupsystems) zweimal täglich geprüft?

nein

Patchmanagement

Komplexe Attacken gegen aktuell gehaltene System- oder Netzwerkkomponenten (sogenannte “Zero-Day-Attacken”) sind eher selten. Meistens nutzen die Angreifer bestehende Sicherheitslücken aus.

Werden Microsoft Windows-Systeme (Server und Clients) spätestens zwei Tage nach Erscheinen von sicherheitskritischen Updates auf das aktuelle Patchlevel gebracht?

nein

teilweise

Gibt es einen automatischen Updateprozess (max. 10 Tage nach Erscheinen der Updates) für alle Programme, welche Daten aus dem Internet direkt verarbeiten oder standardmäßig Dateien öffnen oder herunterladen?

nein

ja, allerdings ist die Zeitspanne länger 10T.

Isolation unsicherer Systeme

Bei allen Sicherheitsgewerken ist das Problem der Asymmetrie bekannt. Angreifer oder Gefahren müssen nur ein verwundbares System oder eine Schwachstelle finden - der Verteidiger hingegen muss alle Schwachstellen absichern.

Werden Systeme und Anwendungen, welche die Mindestanforderungen (siehe #2,3,5,17,18) nicht erfüllen können, oder über unsichere Protokolle verfügen (bspw. SMBv1), müssen vom Netzwerk isoliert und in ein eigenes, per Firewall vom eigenen Netzwerk getrenntes Netzwerksegment, ausgelagert?

nein

ja, aber nicht alle Programme

Vorbereitungen für den Ernstfall

Nicht alle Bedrohungen sind sichtbar und im Voraus zu beherrschen. Es kann jederzeit der Fall eintreten, dass ein Angreifer alle Barrieren überwindet. Für diesen Fall sollte man vorbereitet sein.

Gibt es in Ihrem Unternehmen ein eigenes Incident-Response-Team für solche Fälle, oder haben Sie Kontakt zu einem externen Response-Consultant? Existiert ein Krisenhandbuch für solche Fälle und eine Notfall-Whitelist für Internetzugänge?

nein

Nur einer der beiden Punkte

Hier können Sie Ihren Unternehmensnamen einfügen, damit Sie den ausführlichen Audit-Bericht zuordenbar für Ihre Unterlagen nutzen können.

Erstellen von PDF nur mit Internetverbindung möglich! Fehler beim erstellen der PDF! Eventuell keine Internetverbindung.

Sie möchten Ihre Angriffsflächen weiter verringern? Machen Sie jetzt den ersten Schritt und analysieren Sie gemeinsam mit uns den Reifegrad Ihrer Cybersicherheit in einem 30-minütigen, kostenfreien Beratungsgespräch.

Vielen Dank für ihre Anfrage!

Ihre Anfrage konnte nicht gestellt werden! Bitte eine E-Mail an info@concepture.de schreiben.

Datenschutz/Impressum

Ein Service von

TESTEN SIE IHR SCHUTZNIVEAU

Wo steht Ihr

Unternehmen beim

Schutz vor Ransomware?

Phishing-Schutz

Härten von Clients

Externe Zugänge

Offline-Backup

Schutz der Domäne

Prüfung der Logs

Patchmanagement

Isolation unsicherer Systeme

Vorbereitungen für den Ernstfall