In unserem ersten Blogeintrag bezüglich den Exchange Lücken erklären wir um was es geht, wer betroffen ist und was jetzt getan werden muss. Aufgrund der hohen Anfrage und der Erkenntnis, dass massiv viele Systeme bereits kompromittiert wurden, möchten wir darauf hinweisen, welche Möglichkeiten Sie nun haben. Microsoft hat am vergangenen Samstag dem 6. März ein Script veröffentlicht, mit dem Hinweise auf erfolgreiche Hackerangriffe (Indicators of Compromise, IOC) erkennt werden. Sollte eine Kompromittierung erkannt worden sein, haben Sie nun folgende Möglichkeiten. 

Möglichkeit 1 – Neuinstallation der Systeme

Ist Ihr Exchange Server kompromittiert, muss davon ausgegangen werden, dass weitere Server oder Dienste bereits betroffen sind, nicht zuletzt wegen den neuen Lücken, die von Microsoft gemeldet wurden. Üblicherweise kann das ein Active Directory oder der DNS sein. Dies sogar mit an Sicherheit grenzender Wahrscheinlichkeit.

Wurden die betroffenen Systeme und Dienste identifiziert, müssen diese neu aufgesetzt und erneut kontrolliert werden. Dazu werden funktionierende Backups von Servern und Datenbanken gebraucht, welche Sie zurückspielen können. Auch wenn Sie Backups einspielen, muss danach erneut geprüft werden, ob diese effektiv frei von möglichen Bedrohungen sind. 

Dies ist das empfohlene Vorgehen der Sicherheitsexperten. 

Wie Selution Ihnen dabei helfen kann:

  • Als Cyber Security und IT-Experte können wir Sie bei der Neuinstallation der Systeme aktiv unterstützen.
  • Kontaktstelle – Selution Cyber Security Hotline: +41 58 531 00 11 oder Kontaktformular ausfüllen

Möglichkeit 2 – Überwachung und Reaktion auf weitere Attacken aufgrund der Kompromittierung

Kann das aufwändige zurückspielen und die Neuinstallation von Systemen aufgrund langer Ausfallzeiten, finanziellen Mitteln oder fehlendem Knowhow nicht umgesetzt werden, bietet sich derzeit nur eine Alternative:   

Sie wissen zwar, dass Sie kompromittierte Systeme haben, überwachen diese aber pro-aktiv und reagieren umgehend auf Attacken (Indicators of Attack, IoA). Getrieben durch menschliche, aber auch künstliche Intelligenz ist es möglich, anhand hochkomplexer Mechanismen beispielsweise wichtige Meldungen und Logs in einem Netzwerk zusammenzutragen, um verhaltensbasierte Angriffe und Verstösse umgehend zu erkennen und Geräte oder Systeme vom Netzwerk zu isolieren. Auch hier braucht es entscheidendes Know-How, um die Ereignisse richtig zu interpretieren und korrekt zu reagieren. Solch eine grundlegende Überwachung legen wir jedem Unternehmen ans Herzen, am besten eignet sich dazu unser CSIC Service. Kunden mit dieser Überwachung konnten während den ersten Minuten der Bekanntmachung reagieren und eine mögliche Kompromittierung verhindern. 

Wie Selution Ihnen dabei helfen kann:

  • Mit unserem CSIC® (Cyber Security Intelligence Center) Service erlangen Sie die vollständige Überwachung im Netzwerk und auf Ihren Systemen, um weitere Attacken aufgrund der Kompromittierung zu erkennen und diese erfolgreich abzuwehren.
  • Wir reagieren für Sie 365 Tage im Jahr und 24 Stunden am Tag auf Angriffe und wichtige Ereignisse.
  • Dank einer einfachen Integration unseres Service können wir Sie umgehend unterstützen.
  • Sorgen Sie auch für die Zukunft, dieser Zero Day Exploit wird nicht der letzte sein.
  • Kontaktstelle – Selution Cyber Security Hotline: +41 58 531 00 11 oder Kontaktformular ausfüllen

Jetzt Kontakt aufnehmen