Infinidat Blog

Ransomware will Ihre Back-Ups!

Von: ERAN BROWN, CTO EMEA

In den letzten Jahren ist Ransomware zu einem sehr lukrativen Geschäft geworden, das einige staatliche Akteure militarisieren oder als neue Einnahmequelle nutzen. Jeder Artikel, den Sie über die Vorbereitung auf Ransomware lesen, wird Ihnen sagen, dass es hauptsächlich zwei Dinge zu tun gibt:

Vorbeugen - investieren Sie in das Bewusstsein der Mitarbeiter, stellen Sie Pen-Tester ein, um ihr Bewusstsein zu testen, usw.

Reagieren - sobald Ransomware Ihren Umkreis durchbrochen hat und sich innerhalb der Organisation ausbreitet, wird die Geschwindigkeit, mit der Ihr IT-Team reagieren kann, entscheidend um eine minimale Auswirkung auf das Geschäft sicherzustellen.

Aber auch Cyberkriminelle lesen die gleichen Artikel und entwickeln sich ständig weiter. Eine ihrer Waffen ist es, das Backup anzugreifen und es so zu verschlüsseln, dass Sie es nicht gegen sie verwenden können – mit einigen beschädigten Backup-Dateien (z.B. WannaCrypt0r) und anderen, die die Backup-Dateien von MACs Time Machine oder Windows Volume Shadow Copy Service (VSS) angreifen.

Wie sollten sich Unternehmen auf den Tag des Angriffs vorbereiten?

In meinem vorherigen Blogbeitrag habe ich bereits über die Rolle von Snapshots bei der Identifizierung eines aktiven Ransomware-Angriffs gesprochen und darüber, wie sie eine optimale Wiederherstellung ermöglichen können, ohne, dass Terabytes an Daten von Ihrem Backup-Ziel verschoben werden müssen.

Wenn Angreifer jedoch aktiv nach Möglichkeiten suchen, beschädigte Backups zu erstellen, ist mit Sicherheit anzunehmen, dass sie auch die Möglichkeit haben, Snapshots zu löschen. Daher müssen wir proaktiv auf diesen Tag hin planen, da niemand der Erste sein möchte, der herausfindet, dass seine Snapshots durch die neueste Ransomware-Sorte (wahrscheinlich WannaSnap....) gelöscht wurden.

An dieser Stelle werden viele Kunden fragen, warum nicht auf losgelöste Backups zurück greifen? Warum in einem solchen Szenario mit Online-Backups ein Risiko eingehen? Die Zeit bis zur Wiederherstellung ist hier der Hauptgrund. Ein Unternehmen, das große Datenmengen von Bändern wiederherstellen muss, benötigt zu viel Zeit für die Wiederherstellung, was sich direkt auf seine Kunden und Einnahmen auswirkt.

 

Es ist zudem eine Frage der Wiederherstellbarkeit, da Bandsicherungen nicht immer wiederherstellbar sind (um es vorsichtig auszudrücken). Einige Kunden berichten, dass nur 94 Prozent ihrer Backups am Tag des Backups wiederherstellbar sind und im Laufe der Zeit ein deutlicher Rückgang der Wiederherstellbarkeit zu verzeichnen ist.

Können Online-Backups vor Ransomware geschützt werden?

Die kurze Antwort ist ja! Es müssen angemessene Sicherheitsmechanismen eingerichtet werden, die es ermöglichen, einen Snapshot in einen „Write Once Read Many“ (WORM)-Snapshot umzuwandeln, der nicht geändert oder gelöscht werden kann, bis er einen vordefinierten Zeitpunkt erreicht und seine Sperre abläuft. Gleichzeitig möchten wir, dass der Snapshot voll funktionsfähig bleibt und all seine ursprünglichen Funktionen beibehält:

• Wiederherstellbar (in allen Fällen, nicht nur Ransomware)

• Datenkopieverwaltung – ermöglicht das Erstellen von beschreibbaren Kopien aus dem Snapshot für Tests & Entwicklung.

• Zugänglich für Benutzer – auf dem NAS sollten WORM-Snapshots weiterhin über den versteckten Ordner .snapshot /.ckpt für die Wiederherstellung durch den Endnutzer zugänglich sein.

Weitere Anwendungsfälle

WORM-Snapshots können auch anderen Anwendungsfällen dienen:

• Schutz vor menschlichen Fehlern – Menschen sind die Hauptursache für IT-Ausfälle. Das Hinzufügen von Schutzmaßnahmen gegen den müden Administrator ist immer eine gute Vorgehensweise. Snapshots können gesperrt werden, um ein versehentliches Löschen vor dem Ende ihrer Aufbewahrungsrichtlinie zu verhindern.

• Rechtssicherheit – in einigen Rechtsszenarien müssen Daten für lange Zeit zugänglich gehalten werden, um relevante Beweise zu schützen, eine ordnungsgemäße Aufklärung zu ermöglichen usw. Das Sperren einer Kopie der Daten ist eine gute Möglichkeit, den Zugriff über die Zeit aufrechtzuerhalten, bei Bedarf kann die Sperre erweitert werden.

Der WORM ist lang.

Jeder, der jemals mit WORM-Lösungen gearbeitet hat, kennt die Geschichte über diesen einen Storage-Administrator, der versehentlich einen großen Datensatz zu lange gesperrt hat (ich persönlich habe einen 70 Jahre lang gesperrten Datensatz gesehen, glücklicherweise nicht von mir....). Dies führt zu enormen Kosten für das Unternehmen, die manchmal den Mitarbeiter mit einem schönen Karton belohnen, in dem er seine Sachen unterbringen kann. Um dies zu verhindern, sollten WORM-Lösungen Schutz vor unangemessenen Aufbewahrungszeiten bieten. Diese sollten für den entsprechenden Anwendungsfall konfigurierbar sein, da Finanzkunden die Daten oft sieben Jahre lang aufbewahren, während Krankenhäuser sie 80 Jahre lang aufbewahren können.

Einführung von SnapSecure

SnapSecure ist Teil der neuesten Ankündigung von INFINIDAT. Wie immer steht es allen unseren Kunden im Rahmen eines Supportvertrags als kostenloses Upgrade zur Verfügung (ich werde bald über die Philosophie schreiben, keine Lizenzen zu haben). SnapSecure erlaubt es Speicheradministratoren, eine Aufbewahrungszeit für den Snapshot festzulegen, die Daten zu löschen / zu ändern und dennoch alle Funktionen des oben genannten Snapshots zu beizubehalten.

Da der gesamte Zugriff auf InfiniBox über die Anwendungsschnittstelle (API) erfolgt und die API jede Änderung verhindert, auch wenn die Ransomware in der Lage war, die Anmeldeinformationen der Administratoren zu gefährden, kann sie keine Ihrer Backups beschädigen oder löschen. Das bedeutet, dass Sie sich darauf verlassen können, dass Ihre Daten in weniger als einer Sekunde wiederhergestellt werden und Sie Ihre Geschäftsprozesse schnell wiedergewinnen.

Für das Szenario "Legal Hold" – wenn man sich eine abgelaufene WORM-Speicherung ansieht – muss der Administrator in der Lage sein, zu erkennen, ob die Daten noch "als Original" aufbewahrt werden und nicht verändert wurden, oder ob Benutzer Zugriff darauf hatten und Änderungen vorgenommen haben könnten.

Dies wird mit SnapSecure einfach gemacht, da Schnappschüsse nun in eine von drei Kategorien fallen (siehe Screenshot unten):

Gesperrt – Schnappschuss kann nicht geändert / gelöscht werden - geschlossenes Vorhängeschloss

Abgelaufen – das Schloss des Snapshots ist abgelaufen, aber die Daten wurden nie geändert - Vorhängeschloss offen

Daten wurden nie gesperrt, oder sie wurden gesperrt, aber haben sich geändert - kein Symbol

Administratoren, die den rechtlichen Rahmen für einen Snapshot verlängern möchten, können dadurch sicherstellen, dass die Daten während ihrer Sperrzeit nie manipuliert wurden.

 

Über Infinidat