Startseite

Sicherheit

QRadar

SIEM

 Ransomware-Erkennung und -Prävention mit IBM QRadar SIEM
IBM QRadar SIEM hilft, Ransomware zu erkennen, bevor Ihre Daten in die Hände von Angreifern gelangen
Live-Demo buchen
Person schreibt in einem Büro auf ein Whiteboard
Ransomware erkennen und darauf reagieren

Ransomware hat sich zu einem der größten Geschäftsmodelle der Cyberkriminalität entwickelt und kostet Unternehmen jedes Jahr Milliarden von Dollar. Bei einer Ransomware-Attacke stehlen oder verschlüsseln Cyberkriminelle wertvolle Daten und verlangen dann eine Zahlung für die Rückgabe dieser Daten. Diese Angriffe sind längst nicht mehr nur ein Ärgernis für Konsumenten, sondern haben sich mittlerweile zu ausgeklügelter Malware mit fortschrittlichen Verschlüsselungsmethoden entwickelt – und keine Branche, kein Land und keine Unternehmensgröße ist dagegen immun.

Der Schutz Ihres Unternehmens vor Ransomware und anderen Arten von Malware erfordert eine schnelle Reaktion. Denn mit jeder Sekunde, die verstreicht, werden mehr Dateien verschlüsselt und mehr Geräte infiziert, was sowohl den Schaden als auch die Kosten in die Höhe treibt. IBM QRadar SIEM hilft Ihnen, diese Sicherheitsbedrohungen schnell zu erkennen, sodass Sie sofort Maßnahmen auf der Basis fundierter Informationen ergreifen können, um die Auswirkungen des Angriffs zu verhindern oder zu minimieren.
Mehr Informationen über die Risiken von Ransomware Lesen Sie den Data Breach Kostenreport 2024 Für „Das definitive Ransomware-Handbuch 2023“ registrieren
Holen Sie sich die Lösungsübersicht zu QRadar SIEM
Die Bedrohung durch Ransomware

Im Kampf gegen Ransomware ist eine frühzeitige Erkennung und Prävention entscheidend. QRadar SIEM bietet intelligente Sicherheitsanalysen, durch die Sie verwertbare Erkenntnisse zu Ihren kritischen Bedrohungen erhalten.

 24 %

aller Cyberangriffe sind Ransomware.¹

 5,13 

Die durchschnittlichen Kosten einer Ransomware-Attacke betragen 5,13 Millionen US-Dollar.¹

 108

Unternehmen, die KI und Automatisierung im Sicherheitsbereich einsetzten, erkannten und verhinderten eine Datenschutzverletzung 108 Tage schneller.¹
Wie QRadar SIEM vor Ransomware schützen kann
Ransomware

Ransomware durchläuft, wie die meiste Malware, mehrere Phasen. QRadar SIEM kann in allen diesen Phasen bekannte und unbekannte Ransomware erkennen. Die frühzeitige Erkennung kann bei der Vermeidung von Schäden in späteren Phasen helfen. QRadar bietet Inhaltserweiterungen, die Hunderte von Anwendungsfällen umfassen, um Alerts für alle diese Phasen zu generieren. Die Inhaltserweiterungen werden über die App Exchange bereitgestellt und bieten Zugang zu den neuesten Anwendungsfällen. 

Die meiste „bekannte“ Malware und Ransomware kann in einem frühen Stadium gefunden werden. Für die Erkennung unbekannter Ransomware bietet QRadar SIEM Anwendungsfälle, die sich auf die Erkennung von Ransomware-Verhaltensweisen konzentrieren. Der QRadar SIEM Use Case Manager ermöglicht die Erkennung von Ransomware-Verhaltensmustern für Endpunkte, Anwendungsserver (vor Ort und in der Cloud) und Netzwerkgeräte (Firewalls) in Ihrer gesamten IT- und OT-Infrastruktur. Der Use Case Manager kann Ihnen mithilfe der MITRE ATT&CK-Matrix zeigen, ob Sie Anwendungsfälle oder Regeln haben, die diese Phasen umfassen.
Verteilungsphase (MITRE ATT&CK-Taktiken: Erstzugriff)

In dieser Phase sieht Ransomware wie andere Malware aus. Es werden Phishingverfahren verwendet, um Ihre ahnungslosen Mitarbeiter dazu zu verleiten, auf einen Link oder eine ausführbare Datei in einer E-Mail, einem Honeypot, in sozialen Medien oder einer Textnachricht zu klicken.

Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Verteilungsverhalten und zum Auffinden bekannter Ransomware:

  • In eine E-Mail eingebettete ausführbare Datei
  • E-Mail- oder Web-Kommunikation mit einem feindlichen Host
  • Verdächtiger E-Mail-Betreff
Infizierungsphase (MITRE ATT&CK-Taktiken: Ausführung, Persistenz)

Jetzt geht es darum, schnell zu sein. Die Ransomware befindet sich nun in Ihrer Umgebung. Wenn die Ransomware einen „Dropper“ verwendet hat, um in der Verteilungsphase nicht entdeckt zu werden, schlägt der Dropper jetzt zu: Er lädt die „echte ausführbare Datei“ herunter und führt sie aus.

Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Infizierungsverhalten:

  • Erkennung schädlicher Dateien oder Prozesse
  • Erkennung von Hinweisen auf Kompromittierungen/schädlichen IOCs
  • Dateidecodierung oder -download mit anschließender verdächtiger Aktivität
Stagingphase (MITRE ATT&CK-Taktiken: Persistenz, Rechteausweitung, Umgehung von Verteidigungsmaßnahmen, Zugriff auf Anmeldeinformationen)

Die Ransomware scannt den Rechner, um die Verwaltungsrechte zu analysieren, die sie anfordern könnte, um beim Booten ausgeführt zu werden, den Recoverymodus zu deaktivieren, Spiegelkopien zu löschen und vieles mehr.

Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Stagingverhalten:

    • Versuch der Löschung von Spiegelkopien und Sicherungen
    • Deaktivierung der Recovery in der Bootkonfiguration
    Ausspähungsphase (MITRE ATT&CK-Taktiken: Erkennung, Lateralausbreitung, Erfassung)

    Da die Ransomware den Rechner nun vollends in Beschlag genommen hat, beginnt sie mit der Ausspähung des Netzwerks (Angriffspfade) sowie von Ordnern und Dateien mit vordefinierten Endungen und anderen Elementen.

    Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Ausspähungsverhalten:

    • Versuch der Löschung von Spiegelkopien und Sicherungen
    • Größenbeschränkungen für die Datenübertragung
         Grundlagen der Endpunktüberwachung für QRadar
    Verschlüsselungsphase (MITRE ATT&CK-Taktiken: Exfiltration, Auswirkung)

    Jetzt beginnt der eigentliche Schaden. Typische Aktionen sind: Erstellen von Dateikopien, Verschlüsselung der Kopien und Ablegen der neuen Dateien am ursprünglichen Speicherort. Die Originaldateien können exfiltriert und aus dem System gelöscht werden. Das gibt den Angreifern die Möglichkeit, das Opfer zu erpressen, indem sie damit drohen, den Verstoß öffentlich zu machen oder sogar gestohlene Dokumente an die Öffentlichkeit gelangen zu lassen. 

    Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Verschlüsselungsverhalten:

    • Exzessives Löschen oder Erstellen von Dateien
    • Verdächtige Anzahl von Dateien, die auf demselben Rechner umbenannt oder verschoben werden (UNIX)
    • Größenbeschränkungen für die Datenübertragung
         Brauchen Sie Hilfe bei der Überwachung der Datenexfiltration?
    Benachrichtigung über Lösegeldforderung

    Der Schaden ist angerichtet und der Benutzer erhält eine Nachricht, wie er das Lösegeld bezahlen kann, um den Entschlüsselungsschlüssel zu erhalten. Zu diesem Zeitpunkt gibt es außer der Erstellung der Entschlüsselungsanweisungsdatei nicht viel mehr zu ermitteln.

    Beispiel für QRadar SIEM-Anwendungsfälle zur Erkennung von Benachrichtigungsverhalten:

    • Erstellung einer Instruktion zur Ransomware-Entschlüsselung

    Anwendungsfälle zur Erkennung von Ransomware finden Sie in den folgenden Content Extensions, die in der App Exchange bereitgestellt werden (Link befindet sich außerhalb von ibm.com):

         Weitere Informationen über QRadar SIEM-Anwendungsfälle für jede Phase
    Planung für eine Ransomware-Attacke

    Nach der ersten Infizierungsphase ist das Timing entscheidend. Je früher Sie die Ransomware entdecken, desto früher können Sie Ihren Plan für die Reaktion auf einen Vorfall (Incident Response, IR) einleiten. Je besser der Reaktionsplan ist, desto schneller können Sie verhindern, dass die Ransomware die verschiedenen Phasen durchläuft. NIST (Link befindet sich außerhalb von ibm.com) und SANS (Link befindet sich außerhalb von ibm.com) haben IR-Richtlinien zusammengestellt, die sich bereits bewährt haben. Es gibt einige zentrale Aspekte eines jeden Reaktionsplans.

    Vorhandene Sicherungen. Offline-Sicherungen sind bei einer Ransomware-Attacke entscheidend. Stellen Sie sicher, dass Sie wissen, wo diese Sicherungen sind und wie Sie Ihre Systeme wiederherstellen können. Nehmen Sie in Ihren Reaktionsprozess auf, an wen Sie sich für jedes Ihrer kritischen IT-Assets wenden können.

    Identifizierung von Teams, Tools und Rollen. Wenn die Ransomware die verschiedenen Phasen von der ersten Infizierung bis zur Verschlüsselung durchläuft, ändert sich die Struktur des Reaktionsteams. Dies bedeutet in der Regel, dass mehr Personen im gesamten Unternehmen einbezogen werden müssen. Oftmals müssen auch andere Anbieter zur Unterstützung herangezogen werden. Und im Falle einer Sicherheitsverletzung müssen die Rechtsabteilung, externe Aufsichtsbehörden und Kunden informiert werden. Zu wissen, wer wann zu kontaktieren ist, ist entscheidend. Es ist wichtig, eine aktuelle Kontaktliste zu pflegen, aber entscheidend für eine effektive Reaktion ist es, diese Kontaktpersonen in Ihren Prozess zu integrieren. Papier und PDFs sind ausreichend. Wichtig ist jedoch, dass Sie über die richtigen Tools und entsprechende Automation verfügen, die dem gesamten Team Zugang zum Ransomware-Reaktionsprozess, zu Aktionen und zur Langzeitdokumentation geben.

    Ein gut definierter Prozess und Automation. Ein Reaktionsprozess kann viele Aufgaben enthalten und mehrere Entscheidungspunkte umfassen. Es empfiehlt sich, Ihren Prozess an den Phasen auszurichten, die von NIST und SANS beschrieben werden. Sie können Ihren Reaktionsprozess zum Beispiel nach den folgenden Phasen organisieren:

    1. Erkennung und Identifikation
    2. Aufbereitung und Überprüfung
    3. Eindämmung und Korrektur
    4. Recovery und Mitteilung

    QRadar SOAR bietet Playbooks, mit denen Sie Ihren Reaktionsprozess definieren und die vielen Aktionen automatisieren können, die ein Analytiker für ein schnelles Durchlaufen der einzelnen Phasen ausführen muss. QRadar SOAR Breach Response kann die notwendigen Aufgaben für die Meldung an die Aufsichtsbehörden auf der Grundlage der exponierten persönlichen Informationen erstellen.

    Inventar der IT-Assets, Berechtigungsinhaber und persönlichen Informationen.  Wenn ein System infiziert ist,  muss ein Sicherheitsanalyst den Systemverantwortlichen sowie die Anwendungen und Daten kennen. Asset-Management-Lösungen wie ServiceNow oder SAP können dabei helfen, die Kontakte für Systeme zu verwalten. IBM Guardium Discover and Classify kann Ihnen dabei helfen, Datenquellen und personenbezogene Daten in jeder Quelle zu finden. So wissen die Analysten im Falle eines Datenschutzverstoßes, ob gesetzliche Vorschriften betroffen sind.

     Weitere Informationen über die Planung für eine Ransomware-Attacke
    Fallstudien Bessere Stadtverteidigung mit Bedrohungsdaten

    Die Stadt Los Angeles, das LA Cyber Lab und IBM haben ihre Kräfte gebündelt, um Bedrohungsdaten bereitzustellen und gefährdete lokale Unternehmen zu schützen.

     Schnellere Behebung von Sicherheitsbedrohungen mit QRadar SIEM

    Die Integration von Daten, die Analyse von Protokollen und die Priorisierung von Vorfällen hilft dem vietnamesischen Immobilieninvestitions- und Entwicklungsunternehmen, Sicherheitsbedrohungen zu erkennen und darauf zu reagieren.

     Verwaltung der Cybersicherheit mit kombinierten IBM Lösungen

    Durch das Hosting einer QRadar SIEM-Lösung auf einem hochleistungsfähigen IBM FlashSystem-Speicher bietet Data Action (DA) alternativen Banken mehr Sicherheit.
    Ähnliche Anwendungsfälle

    Die Erkennung von Bedrohungen von der Mitte bis zum Endpunkt mit QRadar SIEM schützt Ihr Unternehmen in vielerlei Hinsicht.

         Threat Hunting

    Integrieren Sie die Lösungen von IBM Security zur Suche nach Cyberbedrohungen in Ihre Sicherheitsstrategie, um Bedrohungen schneller abzuwehren und zu mindern.

     Konformität

    Integrieren Sie Compliance-Pakete in QRadar SIEM, um die Einhaltung von Vorschriften sicherzustellen und die Berichterstattung zu automatisieren.

     Erkennung von Bedrohungen

    Stoppen Sie Cyberangriffe schnell mit der Erkennung von Bedrohungen nahezu in Echtzeit durch QRadar SIEM. 
    Machen Sie den nächsten Schritt

    Vereinbaren Sie einen Termin für eine individuelle Demonstration von QRadar SIEM oder lassen Sie sich von einem unserer Produktexperten beraten.

    Live-Demo buchen
    Weitere Erkundungsmöglichkeiten Dokumentation Support Community Partner Ressourcen