Untersuchung, Analyse und schnelle Betriebs­system­be­reit­stellung Active-Directory-Wieder­her­stellung nach Cyberangriffen

Von Bernhard Lück

Die erweiterte Active Directory Forest Recovery (ADFR) von Semperis soll Unternehmen bei der schnellen Durchführung von forensischen Untersuchungen nach einem Cyberangriff unterstützen und Active Directory in einer vertrauenswürdigen, malwarefreien Umgebung wiederherstellen.

Anbieter zum Thema

Semperis erweitert seine Active Directory Forest Recovery (ADFR) um integrierte Untersuchung und Analyse.
Semperis erweitert seine Active Directory Forest Recovery (ADFR) um integrierte Untersuchung und Analyse.
(Bild: Semperis)

Die neuen Funktionen der Active Directory Forest Recovery (ADFR) dienen dem Ziel einer Cyber-First-AD-Notfallwiederherstellung, unterstützen Unternehmen beim Erkennen und Entfernen von Hintertürchen und Hinterlassenschaften, die nach einem Cyberangriff in AD verbleiben könnten, und liefern ein neues Tool zur Betriebssystembereitstellung, das den AD-Wiederherstellungsprozess beschleunigt, so Hersteller Semperis.

„Wenn die Active Directory-Umgebung eines Unternehmens von einem Cyberangriff betroffen ist, tickt die Uhr im Hinblick darauf, alle Spuren einer Beschädigung zu beseitigen und AD vollständig wiederherzustellen“, so Mickey Bresman, CEO von Semperis. „Wir arbeiten mit einigen der weltweit größten Incident-Response- und Beratungsunternehmen zusammen, um für multinationale Unternehmen, die Opfer von Cyberangriffen wurden, Incident-Response-Maßnahmen durchzuführen. Nach einem Angriff sind Unternehmen verständlicherweise bestrebt, den Geschäftsbetrieb so schnell wie möglich wieder aufzunehmen. Ohne eine gründliche Überprüfung der Umgebung auf nach dem Angriff verbleibende Spuren besteht jedoch die Gefahr, dass das betroffene Unternehmen erneut infiziert wird, wodurch der Geschäftsbetrieb noch länger unterbrochen wird. Die jüngsten ADFR-Innovationen bieten wichtige Lösungen für eine schnelle und gründliche Reaktion auf Vorfälle mit dem Ziel, Geschäftsdaten wiederherzustellen und den Schaden zu minimieren.“

Eine Cyber-First-Notfallwiederherstellungsstrategie sei ein wesentlicher Bestandteil einer umfassenderen Geschäftskontinuitätsplanung. Gartner habe vorausgesagt, dass bis 2025 mindestens 75 Prozent der IT-Organisationen mindestens einem Angriff ausgesetzt sein werden. Es sei empfehlenswert, so die Analysten, zum Beschleunigen der Wiederherstellung nach Angriffen ein spezielles Tool für die Sicherung und Wiederherstellung von Microsoft Active Directory einzusetzen. Der Bericht komme zu dem Schluss, dass „Unternehmen ohne ein nützliches Backup-System kaum eine andere Wahl haben werden, als das Lösegeld zu zahlen.“

Mit den neuen ADFR-Funktionen sollen die immer häufigeren Arten von Angriffen angegangen werden, bei denen die Umgebung Wochen oder Monate vor der Ausführung des finalen Malware-Angriffs infiltriert wird. Mit den ADFR-Funktionen zur forensischen Untersuchung nach erfolgter Wiederherstellung könnten Incident-Response-Teams Änderungen identifizieren, die von Angreifern innerhalb eines bestimmten Angriffsfensters vorgenommen wurden, und so die Untersuchung beschleunigen. ADFR helfe Unternehmen festzustellen, ob ein Angriff bereits im Gange war, als ein Umgebungs-Backup erstellt wurde. Nach einer AD-Wiederherstellung könnten Response-Teams die der Wiederherstellung nachgelagerten Untersuchungsoptionen nutzen, um Sicherheitslücken zu finden und zu schließen, bevor die wiederhergestellte Umgebung wieder in Betrieb genommen wird.

Das neue Betriebssystem-Bereitstellungstool in ADFR helfe bei der Herausforderung, schnell eine isolierte Wiederherstellungsumgebung aufzubauen – erster Schritt bei einer Wiederherstellung der AD-Gesamtstruktur. Response-Teams könnten mit dem eigenständigen Tool auf PowerShell-Basis eine Testumgebung einrichten, um einen Wiederherstellungsplan zu validieren und Abhilfemaßnahmen durchzuführen, ohne dass böswillige Akteure mit dem Ziel, weitere Malware zu implementieren, darauf aufmerksam würden.

Bildergalerie
Bildergalerie mit 55 Bildern

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48188971)