25.06.2020 (kfr)
3.8 von 5, (4 Bewertungen)

Advertorial: Schnelle Restores lassen Angriffe ins Leere laufen

  • Inhalt dieses Artikels
  • Verteidigung – einfach in der Theorie, schwer in der Praxis
  • Abschwächung der Auswirkungen von Ransomware-Angriffen
  • Worauf es beim Speichersystem ankommt
Anzeige

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der Tagesordnung. Unternehmen verschiedener Branchen waren bereits betroffen, ebenso wie das Gesundheitswesen. Die Angreifer haben oft Kliniken ins Visier genommen und den Betrieb erheblich gestört. Airlines, Flughäfen und Bahnunternehmen waren auch bereits betroffen. Pure Storage erläutert, wie Unternehmen durch modernes Data Management die Angriffe ins Leere laufen lassen können.

von Markus Grau, Pure Storage

Pure »FlashBlade«Die negativen Auswirkungen erfolgreicher Ransomware-Attacken sind vielfältig – für die Reputation, für das Vertrauen und natürlich auch die Finanzen. So soll der finanzielle Schaden zwischen 2015 und 2019 laut TechRepublic um das 479-Fache gestiegen sein. Auch wenn die genauen Zahlen schwer zu bestimmen sind, stellt sich die Frage, warum es den Unternehmen bislang nicht gelang, dieses Problem in den Griff zu bekommen. In Diskussionen und Studien kommen mehrere Hauptprobleme zum Vorschein:

  • Asymmetrie der Kosten: Es sind einfache wirtschaftliche Faktoren im Spiel. Es ist billig für die Angreifer, weiterhin anzugreifen, und teuer für die Opfer, die auf die Lösegeldforderungen eingehen, also eine sehr einfache Kosten-Nutzen-Analyse für die Angreifer.
  • Komplexität des modernen IT-Stacks: In einer modernen Rechenzentrums-Umgebung gibt es viele Angriffsvektoren in Form von Komponenten, die aktualisiert, gepatcht und widerstandsfähiger gemacht werden müssten.
  • Diskrete Zahlungsmethoden: Die Cyberkriminellen greifen weiterhin erfolgreicher auf Bitcoin oder andere Kryptowährungen als relativ zuverlässige und anonyme Zahlungsmethoden zurück.
  • Verfügbarkeit: Ransomware-as-a-Service-Kits sind für Akteure, die wissen, wo sie online suchen müssen, problemlos verfügbar. Angreifer können Kits mit einer Reihe von erforderlichen technischen Fähigkeiten, Verschlüsselungsarten und mehr erwerben.

Im täglichen Betrieb werden schreibgeschützte Snapshots von Backup-Images und der Metadaten erstellt (Grafik: Pure Storage).Im täglichen Betrieb werden schreibgeschützte Snapshots von Backup-Images und der Metadaten erstellt (Grafik: Pure Storage).


Verteidigung – einfach in der Theorie, schwer in der Praxis

Wie bei vielen Sicherheitsthemen ist »Defense in Depth«, also eine »Verteidigung in der Tiefe« erforderlich. Es gibt jedoch so viele mögliche Angriffsvektoren, die kontrolliert werden müssen, was die Aufrechterhaltung einer umfassenden Verteidigung schwierig macht. Wirklich entschlossene und versierte Angreifer arbeiten sich jedoch oft durch jede mehrschichtige Verteidigung vor. In diesem Fall wird die Datensicherung dann zur Verteidigung der letzten Instanz.

Warum also zahlen betroffene Unternehmen am Ende also das Lösegeld, wenn es theoretisch so einfach ist, eine Wiederherstellung aus der Sicherung durchzuführen? Oft funktionieren die Backups nicht effektiv oder Wiederherstellungen sind nicht schnell genug, wenn sie am meisten gebraucht werden. Tägliche Ausfälle von Backups sind fast schon der Normalfall im IT-Betrieb.

Im Falle eines Ransomware-Angriffs sind die Auswirkungen von fehlgeschlagenen Backups, beschädigten Backup-Daten oder langsamen Wiederherstellungen jedoch viel größer als bei anderen Szenarien. Ein Ransomware-Angriff ist somit trotz statistisch geringer Wahrscheinlichkeit ein potentielles Ereignis mit großer Auswirkung, vor dem sich Unternehmen schützen sollten. Ebenso schließen Privatpersonen Versicherungen ab für Ereignisse, mit denen sie nicht rechnen, die aber möglich sind.

Bei einem System, das hochkomplex ist und tägliche Pflege erfordert, wie im Fall von Bandlaufwerken für die Datensicherung, ist fraglich, ob es einwandfrei funktioniert, wenn es darauf ankommt. Aus IT-Sicht gibt es täglich Probleme bei der Aufgabe, solche Systeme am Laufen zu halten. Während Ransomware eine konstante und wachsende Bedrohung darstellt, ist die Wiederherstellung nach einem Ransomware-Angriff kein alltäglicher Vorgang. Selbst wenn die Backups erfolgreich ausgeführt werden, gibt es bereits Ransomware-Angriffe, die sowohl auf Backup-Daten und -Kataloge als auch auf Speicher-Array-Snapshots abzielen. Damit wäre der Worst Case definiert.

Unternehmen benötigen eine Kombination aus unveränderlicher, einfacher Speicherung und hoher Wiederherstellungsgeschwindigkeit, um nach Ransomware-Angriffen schnell wieder zum Normalbetrieb überzugehen. Dies ist mit einer vollständig auf Flash basierenden Datei- und Objektspeicherplattform möglich, die konzeptionell von Haus aus auf Skalierbarkeit und Durchsatz ausgelegt ist. Die Unveränderlichkeit verhindert, dass Backups von Angreifern kompromittiert werden, und unterstützt damit eine einfache und schnelle Wiederherstellung.

Ransomware-Angriffe können wichtige Elemente der Datenschutzarchitektur gefährden (Grafik: Pure Storage).Ransomware-Angriffe können wichtige Elemente der Datenschutzarchitektur gefährden (Grafik: Pure Storage).


Abschwächung der Auswirkungen von Ransomware-Angriffen

Zwei Wiederherstellungsfunktionen sind für die Milderung der Auswirkungen eines Ransomware-Angriffs von entscheidender Bedeutung: die Zuverlässigkeit und die Geschwindigkeit der Datensicherung und -wiederherstellung.

Erstens, müssen Daten gesichert und die Backups vor absichtlichem, böswilligem Löschen geschützt werden. Dazu muss das Speichersystem, das die Backups aufnimmt, einfach, zuverlässig und unveränderlich sein. In diesem Fall bezieht sich die Unveränderlichkeit auf die Fähigkeit eines Systems, Änderungen oder das Löschen eines Objekts nach seiner Erstellung zu verhindern. Unveränderlich bedeutet auch, eine Kompromittierung der Datensicherung zu verhindern, selbst wenn die Administrator-Berechtigungsnachweise kompromittiert worden sind.

Zweitens, muss das Backup-System auch in der Lage sein, Daten schnell wiederherzustellen. Mit anderen Worten: Wenn sich Backups nicht schnell genug wiederherstellen lassen, um größere Auswirkungen zu vermeiden, was nützen diese Backups dann? Die Frage ist also, ob das bestehende Backup-System schnell genug Wiederherstellungen durchführen kann, falls nach einem Ransomware-Angriff große Teile des Rechenzentrums aus dem Backup wiederhergestellt werden müssen.

Die meisten Backup-Systeme sind nicht dafür ausgelegt, einen großen Prozentsatz einer Kundenumgebung innerhalb eines kurzen Zeitrahmens wiederherzustellen. Bei einem Ransomware-Angriff ist jedoch die Wiederherstellungs-Geschwindigkeit kritisch. Mit herkömmlichen Speichersystemen können die Wiederherstellungszeiten sich sogar über Monate hinziehen. Dies ist für die Geschäftskontinuität eindeutig inakzeptabel.

Worauf es beim Speichersystem ankommt

Eine zeitgemäße Datei- und Objektspeicher-Plattform muss drei entscheidende Anforderungen erfüllen:

  • Einfachheit: Die Lösung sollte leicht einzurichten, zu verwalten, zu erweitern und in Backup-Software zu integrieren sein.
  • Unveränderlichkeit: Unveränderliche Speicherung gewährleistet, dass Backups nicht durch Angreifer kompromittiert werden, selbst in Szenarien, in denen die Admin-Zugangsdaten bereits kompromittiert wurden.
  • Geschwindigkeit: Die Wiederherstellung muss schnell genug erfolgen, um größere Auswirkungen auf den Geschäftsbetrieb zu vermeiden.

Mittels einer modernen Datei- und Objektspeicher-Plattform wie FlashBlade von Pure Storage lässt sich in der Praxis die Wiederherstellungs-Geschwindigkeit einer Datenbank um einen hohen zweistelligen Faktor erhöhen und nach Bedarf skalieren. Das ist eine Größenordnung, die Unternehmen im Ernstfall die Gewissheit gibt, dass ihre Backups tatsächlich schnell genug zu Verfügung stehen.

Um sich insbesondere vor gezielten Angriffen zu schützen bietet Pure Storage eine Funktion namens SafeMode in der Speicherplattform selbst an. SafeMode hindert Ransomware-Angreifer daran, auf der Plattform gespeicherte Backups überhaupt erst zu löschen. Nach der Inbetriebnahme werden automatisierte Snapshots erstellt, die für eine vom Kunden festgelegte Zeitspanne aufbewahrt werden und weder vom Kunden noch von Personen mit Admin-Zugriff auf das Speichersystem gelöscht werden können.

Natürlich erfordert dies zusätzlichen Speicherplatz auf dem System, um die Snapshots über die angegebene Zeitspanne vorzuhalten. Speicheranbieter unterstützen ihre Kunden aber bei der Größenbestimmung, um Klarheit über den benötigten Platz und die daraus resultierenden Kosten zu schaffen. FlashBlade bietet die entscheidende Kombination aus Einfachheit, Unveränderlichkeit und Geschwindigkeit. Bei der dringenden Wiederherstellung nach Ransomware-Angriffen kommt es genau darauf an.

Weitere Informationen

Pure Storage Germany GmbH
Mies-van-der-Rohe-Straße 6
80807 München
Tel. +49 (0)89/120 89 253
E-Mail: info@purestorage.com