Skymiljøet ditt ble nettopp rammet av løsepengevare. Hva gjør du i løpet av de neste 60 minuttene?Ransomware i skymiljøer oppfører seg annerledes enn lokalt – angriper skybasert lagring, krypterer EBS-volumer, sletter sikkerhetskopier og eksfiltrerer data til angriperkontrollert lagring. Denne lekeboken gir trinnvise prosedyrer for de kritiske første timene av en løsepengevarehendelse i skyen.
Viktige takeaways
- De første 60 minuttene er kritiske:Inneslutningshandlinger den første timen avgjør om hendelsen er en forstyrrelse eller en katastrofe.
- Ikke betal løsepenger:Betaling garanterer ikke datagjenoppretting og finansierer kriminelle operasjoner. Fokuser på gjenoppretting fra sikkerhetskopier.
- Cloud ransomware retter seg mot sikkerhetskopier:Angripere retter seg spesifikt mot og sletter skysikkerhetskopier (øyeblikksbilder, S3 versjonering) før de krypterer produksjonsdata.
- Uforanderlige sikkerhetskopier er din forsikring:Sikkerhetskopier som ikke kan endres eller slettes av kompromittert legitimasjon er den eneste pålitelige gjenopprettingsmetoden for løsepengevare.
- Kompromiss med legitimasjon aktiverer løsepengevare i skyen:Sky løsepengeprogramvare starter vanligvis med stjålet IAM-legitimasjon, ikke skadelig programvare på en server.
Cloud Ransomware Response Playbook
Fase 1: Deteksjon og innledende vurdering (0-15 minutter)
- Bekreft hendelsen:Bekreft løsepengevareindikatorer — krypterte filer, løsepenger, uvanlig API-aktivitet (massekryptering av S3-objekter, sletting av EBS-øyeblikksbilder)
- Aktiver hendelsesresponsteam:Varsle hendelsessjef, IR-team, ingeniør, juridisk og utøvende sponsor
- Vurder omfang:Identifiser berørte kontoer, regioner og tjenester. Sjekk CloudTrail/aktivitetsloggen for den kompromitterte legitimasjonens nylige aktivitet
- Bestem angrepsvektor:Hvordan fikk angriperen tilgang? Phishing, legitimasjonstyveri, sårbar applikasjon, kompromittert tredjepart?
Fase 2: Inneslutning (15-60 minutter)
- Tilbakekall kompromittert legitimasjon:Deaktiver alle IAM-brukere og tilgangsnøkler knyttet til angrepet. Tilbakekall alle aktive økter
- Isoler berørte ressurser:Bruk karantenesikkerhetsgrupper på kompromitterte forekomster (avslå alle innkommende/utgående). Deaktiver berørte Lambda-funksjoner
- Beskytt sikkerhetskopier:Bekreft sikkerhetskopieringsintegriteten. Flytt kritiske sikkerhetskopier til en isolert konto med separat legitimasjon. Aktiver S3 Objektlås hvis det ikke allerede er konfigurert
- Blokker angriperinfrastruktur:Blokker kjente angriper-IP-er i sikkerhetsgrupper, WAF og nettverkstilgangskontrollister. Blokker angriperdomener i DNS
- Bevar bevis:Øyeblikksbilde av alle berørte EBS-volumer. Eksporter relevante CloudTrail-logger til en egen låst konto. Registrer forekomstmetadata
Fase 3: Utryddelse (1-24 timer)
- Identifiser utholdenhet:Søk etter angriperskapte IAM-brukere, roller, policyer, Lambda-funksjoner og planlagte oppgaver
- Fjern all angripertilgang:Slett angriper-skapte ressurser. Roter all legitimasjon i berørte kontoer – ikke bare de kompromitterte
- Patch inngangspunktet:Rett opp sikkerhetsproblemet som muliggjorde førstegangstilgang (oppdater applikasjon, fiks feilkonfigurasjon, omskoler bruker)
- Bekreft ren tilstand:Skann alle forekomster for skadelig programvare. Se gjennom alle IAM-policyer for uautoriserte endringer. Bekreft nettverkskonfigurasjoner
Fase 4: Gjenoppretting (24-72 timer)
- Gjenopprett fra rene sikkerhetskopier:Gjenopprett data fra verifiserte rene sikkerhetskopier. Ikke gjenopprett fra øyeblikksbilder som kan ha blitt tatt etter at kompromisset begynte
- Gjenoppbygg kompromittert infrastruktur:Gjenoppbygg berørte forekomster fra rene AMI-er/bilder i stedet for å forsøke å rense kompromitterte forekomster
- Valider gjenoppretting:Bekreft dataintegritet, applikasjonsfunksjonalitet og sikkerhetskontroller før du går tilbake til produksjon
- Overvåk intensivt:Implementer forbedret overvåking i 30 dager etter gjenoppretting for å oppdage gjenværende angripertilstedeværelse
Fase 5: Post-hendelse (1-4 uker)
- Utfør rotårsaksanalyse:Dokumenter hele angrepstidslinjen, fra første tilgang til gjenkjenning og inneslutning
- Send regulatoriske varsler:NIS2 krever 24-timers tidlig varsling og 72-timers detaljert varsling. GDPR krever 72-timers varsling hvis personopplysninger ble påvirket
- Implementer forbedringer:Ta tak i rotårsaken, styrk deteksjonen, forbedre motstandskraften for sikkerhetskopiering, oppdater IR-prosedyrer basert på erfaringer
- Utfør ulastelig postmortem:Del funn over hele organisasjonen for å forhindre gjentakelse uten å tildele skyld
Ransomware-forebygging: skyspesifikke kontroller
| Kontroll | AWS Implementering | Azure Implementering |
|---|---|---|
| Uforanderlige sikkerhetskopier | S3 Objektlås, AWS Backup Vault Lock | Immutable Blob Storage, Azure Backup-uforanderlighet |
| Legitimasjonsbeskyttelse | MFA på root, IAM Access Analyzer, SCPs | MFA på alle administratorer, betinget tilgang, PIM |
| Minste privilegium IAM | Minimale IAM-policyer, ingen adminnøkler | Minimale RBAC-roller, ingen permanent admin |
| Overvåking | GuardDuty, CloudTrail, Security Hub | Defender for Cloud, Sentinel, Activity Log |
| Nettverkssegmentering | VPC isolasjon, sikkerhetsgrupper, NACL-er | VNet-isolasjon, NSG-er, Azure brannmur |
Hvordan Opsio beskytter mot ransomware
- Forebygging:Vi implementerer uforanderlige sikkerhetskopier, minste privilegerte IAM og sikkerhetsovervåking som oppdager løsepengevareindikatorer før kryptering begynner.
- Deteksjon:Våre SOC overvåker løsepengevareindikatorer 24/7 — uvanlig API-aktivitet, massefiloperasjoner, sikkerhetskopieringsslettingsforsøk og kjente løsepengevare-TTPer.
- Svar:Automatiserte inneslutningsspillebøker kjøres på sekunder – trekker tilbake legitimasjon og isolerer ressurser før løsepengevare sprer seg.
- Gjenoppretting:Vi vedlikeholder og tester prosedyrer for gjenoppretting av sikkerhetskopier slik at gjenoppretting er rask og pålitelig når det er nødvendig.
- NIS2-samsvar:Vi hjelper til med å forberede og sende inn regulatoriske varsler innen NIS2 og GDPR tidsrammer.
Ofte stilte spørsmål
Bør vi betale løsepenger?
Nei. Betaling garanterer ikke datagjenoppretting – mange ofre som betaler får aldri fungerende dekrypteringsnøkler. Betaling finansierer kriminelle operasjoner og markerer organisasjonen din som villig til å betale (øker sannsynligheten for fremtidige angrep). Fokuser ressursene på gjenoppretting fra sikkerhetskopier og hindre gjentakelse. Rettshåndhevelse anbefaler universelt mot betaling.
Hvordan sikrer vi at sikkerhetskopier overlever løsepengeprogramvare?
Implementer uforanderlige sikkerhetskopier som ikke kan endres eller slettes selv av administratorlegitimasjon. AWS S3 Objektlås i samsvarsmodus forhindrer sletting i en definert oppbevaringsperiode. Azure Immutable Blob Storage gir tilsvarende beskyttelse. Lagre sikkerhetskopier i en separat AWS-konto eller Azure-abonnement med uavhengig legitimasjon som ikke er tilgjengelig fra produksjonsmiljøet.
Hvor raskt kan vi gjenopprette fra løsepengevare i skyen?
Med testede sikkerhetskopierings- og gjenopprettingsprosedyrer kan de fleste skymiljøer gjenopprette kritiske systemer innen 4–24 timer og fullføre gjenoppretting innen 1–3 dager. Uten testede prosedyrer tar restitusjonen uker. Nøkkelen er regelmessig testing – gjennomfør gjenopprettingsøvelser kvartalsvis for å bekrefte at sikkerhetskopier er gyldige og gjenopprettingsprosedyrer fungerer.