Uw cloudomgeving is zojuist getroffen door ransomware. Wat doe je de komende 60 minuten?Ransomware gedraagt zich in cloudomgevingen anders dan op locatie: het valt cloud-native opslag aan, versleutelt EBS-volumes, verwijdert back-ups en exfiltreert gegevens naar door de aanvaller gecontroleerde opslag. Dit draaiboek biedt stapsgewijze procedures voor de kritieke eerste uren van een cloud-ransomware-incident.
Belangrijkste afhaalrestaurants
- De eerste 60 minuten zijn cruciaal:Inperkingsacties in het eerste uur bepalen of het incident een verstoring of een catastrofe is.
- Betaal het losgeld niet:Betaling garandeert geen gegevensherstel en financiert criminele operaties. Focus op herstel vanaf back-ups.
- Cloud-ransomware richt zich op back-ups:Aanvallers richten zich specifiek op cloudback-ups en verwijderen deze (snapshots, S3-versiebeheer) voordat ze productiegegevens coderen.
- Onveranderlijke back-ups zijn uw verzekering:Back-ups die niet kunnen worden gewijzigd of verwijderd als de inloggegevens zijn aangetast, zijn de enige betrouwbare herstelmethode voor ransomware.
- Gecompromitteerde inloggegevens maken cloud-ransomware mogelijk:Cloud-ransomware begint doorgaans met gestolen IAM-inloggegevens, en niet met malware op een server.
Cloud Ransomware Response-playbook
Fase 1: Detectie en initiële beoordeling (0-15 minuten)
- Bevestig het incident:Controleer ransomware-indicatoren: versleutelde bestanden, losgeldnota's, ongebruikelijke API-activiteit (massale S3-objectversleuteling, verwijdering van EBS-snapshots)
- Activeer het incidentresponsteam:Informeer de incidentcommandant, het IR-team, de technische, juridische en uitvoerende sponsor
- Beoordeel de reikwijdte:Identificeer de getroffen accounts, regio's en services. Controleer CloudTrail/Activity Log voor de recente activiteit van de aangetaste inloggegevens
- Bepaal de aanvalsvector:Hoe heeft de aanvaller toegang gekregen? Phishing, diefstal van inloggegevens, kwetsbare applicatie, gecompromitteerde derde partij?
Fase 2: Insluiting (15-60 minuten)
- Gecompromitteerde inloggegevens intrekken:Schakel alle IAM-gebruikers en toegangssleutels uit die aan de aanval zijn gekoppeld. Alle actieve sessies intrekken
- Isoleer de getroffen bronnen:Pas quarantaine-beveiligingsgroepen toe op gecompromitteerde exemplaren (alle inkomende/uitgaande verbindingen weigeren). Schakel de betreffende Lambda-functies uit
- Back-ups beveiligen:Controleer de integriteit van de back-up. Verplaats kritieke back-ups naar een geïsoleerd account met afzonderlijke inloggegevens. Schakel S3 Objectvergrendeling in als dit nog niet is geconfigureerd
- Infrastructuur van aanvallers blokkeren:Blokkeer bekende IP-adressen van aanvallers in beveiligingsgroepen, WAF en netwerk-ACL's. Blokkeer domeinen van aanvallers in DNS
- Bewijsmateriaal bewaren:Een momentopname van alle betrokken EBS-volumes. Exporteer relevante CloudTrail-logboeken naar een afzonderlijk vergrendeld account. Metagegevens van instantie vastleggen
Fase 3: Uitroeiing (1-24 uur)
- Identificeer persistentie:Zoeken naar door de aanvaller gemaakte IAM gebruikers, rollen, beleid, Lambda functies en geplande taken
- Verwijder alle toegang voor aanvallers:Verwijder door de aanvaller gemaakte bronnen. Roteer alle inloggegevens in de getroffen accounts, niet alleen de gecompromitteerde accounts
- Patch het toegangspunt:De kwetsbaarheid oplossen die initiële toegang mogelijk maakte (applicatie bijwerken, verkeerde configuratie corrigeren, gebruiker opnieuw trainen)
- Controleer de schone status:Scan alle exemplaren op malware. Controleer al het IAM-beleid op ongeautoriseerde wijzigingen. Netwerkconfiguraties verifiëren
Fase 4: Herstel (24-72 uur)
- Herstellen vanaf schone back-ups:Herstel gegevens van geverifieerde, schone back-ups. Herstel niet van momentopnamen die mogelijk zijn gemaakt nadat de compromittering begon
- Herstel de gecompromitteerde infrastructuur:Herbouw getroffen instances op basis van schone AMI's/images in plaats van te proberen gecompromitteerde instances op te schonen
- Herstel valideren:Controleer de gegevensintegriteit, applicatiefunctionaliteit en beveiligingscontroles voordat u terugkeert naar productie
- Intensief monitoren:Implementeer verbeterde monitoring gedurende 30 dagen na herstel om de resterende aanwezigheid van aanvallers te detecteren
Fase 5: Post-incident (1-4 weken)
- Voer een analyse van de hoofdoorzaken uit:Documenteer de volledige aanvalstijdlijn, vanaf de eerste toegang tot detectie en insluiting
- Regelgevende kennisgevingen indienen:NIS2 vereist een vroegtijdige waarschuwing van 24 uur en een gedetailleerde melding van 72 uur. GDPR vereist een melding van 72 uur als persoonlijke gegevens zijn aangetast
- Verbeteringen doorvoeren:Pak de hoofdoorzaak aan, versterk de detectie, verbeter de veerkracht van back-ups, update IR-procedures op basis van geleerde lessen
- Voer onberispelijk postmortem uit:Deel bevindingen binnen de hele organisatie om herhaling te voorkomen zonder de schuld aan te wijzen
Ransomwarepreventie: cloudspecifieke controles
| Controle | AWS Implementatie | Azure Implementatie |
|---|---|---|
| Onveranderlijke back-ups | S3 Objectvergrendeling, AWS Back-up kluisvergrendeling | Onveranderlijke Blob-opslag, Azure Back-up-onveranderlijkheid |
| Beveiliging van inloggegevens | MFA op root, IAM Access Analyzer, SCP's | MFA voor alle beheerders, voorwaardelijke toegang, PIM |
| Minste rechten IAM | Minimaal IAM beleid, geen beheerderssleutels | Minimale RBAC-rollen, geen permanente beheerder |
| Toezicht | GuardDuty, CloudTrail, Beveiligingshub | Defender voor Cloud, Sentinel, activiteitenlogboek |
| Netwerksegmentatie | VPC isolatie, beveiligingsgroepen, NACL's | VNet-isolatie, NSG's, Azure Firewall |
Hoe Opsio beschermt tegen ransomware
- Preventie:We implementeren onveranderlijke back-ups, IAM met de minste rechten en beveiligingsmonitoring die ransomware-indicatoren detecteert voordat de versleuteling begint.
- Detectie:Onze SOC controleert 24/7 op ransomware-indicatoren: ongebruikelijke API-activiteit, massale bestandsbewerkingen, pogingen om back-ups te verwijderen en bekende ransomware-TTP's.
- Reactie:Geautomatiseerde containment-playbooks worden binnen enkele seconden uitgevoerd, waarbij inloggegevens worden ingetrokken en bronnen worden geïsoleerd voordat ransomware zich verspreidt.
- Herstel:We onderhouden en testen back-upherstelprocedures, zodat herstel snel en betrouwbaar is wanneer dat nodig is.
- NIS2 naleving:Wij helpen bij het voorbereiden en indienen van kennisgevingen aan toezichthouders binnen de termijnen NIS2 en GDPR.
Veelgestelde vragen
Moeten wij het losgeld betalen?
Nee. Betaling garandeert geen gegevensherstel; veel slachtoffers die betalen, ontvangen nooit werkende decoderingssleutels. Betaling financiert criminele activiteiten en markeert uw organisatie als bereid om te betalen (waardoor de kans op toekomstige aanvallen groter wordt). Concentreer uw middelen op het herstel van back-ups en het voorkomen van herhaling. Wetshandhaving raadt universeel af om te betalen.
Hoe zorgen we ervoor dat back-ups ransomware overleven?
Implementeer onveranderlijke back-ups die zelfs met beheerdersreferenties niet kunnen worden gewijzigd of verwijderd. AWS S3 Objectvergrendeling in de compliancemodus voorkomt verwijdering gedurende een gedefinieerde bewaarperiode. Azure Onveranderlijke Blob Storage biedt gelijkwaardige bescherming. Bewaar back-upkopieën in een afzonderlijk AWS-account of Azure-abonnement met onafhankelijke inloggegevens die niet toegankelijk zijn vanuit de productieomgeving.
Hoe snel kunnen we herstellen van cloud-ransomware?
Met beproefde back-up- en herstelprocedures kunnen de meeste cloudomgevingen kritieke systemen binnen 4 tot 24 uur herstellen en het herstel binnen 1 tot 3 dagen voltooien. Zonder beproefde procedures duurt het herstel weken. De sleutel is regelmatig testen: voer elk kwartaal een hersteloefening uit om te verifiëren dat de back-ups geldig zijn en dat de herstelprocedures werken.