Hilft Immutable-Backup/-Storage gegen Ransomware?

Nach den letzten Cyberangriffen wird immer wieder Immutable-Backup bzw. Immutable-Storage als die Lösung gegen Ransomware genannt. Ist das wirklich der neue Heilsbringer, wie es beispielsweise Cohesity propagiert? Oder gibt es auch kritische Stimmen?

Leserfrage: Nach den letzten Cyberangriffen wird immer wieder Immutable-Backup bzw. Immutable-Storage als die Lösung gegen Ransomware genannt. Ist das wirklich der neue Heilsbringer, wie es beispielsweise Cohesity propagiert? Oder gibt es auch kritische Stimmen?

Antwort Doc Storage:

Fangen wir erstmal damit an: Was ist Ransomware?

Ransomware ist eine Art von Schad-Software, die den Zugriff auf Daten blockieren soll. In der Regel geschieht dies durch Verschlüsselung der Daten, damit diese nicht weiter nicht geöffnet oder in anderer Weise darauf zugegriffen werden können. Einige Varianten ändern Dateierweiterungen, während wieder andere Dateien einfach verschlüsseln. Kriminelle verlangen dann eine Art Lösegeld im Austausch gegen den benötigten Schlüssel oder einen Decoder, um den Zugriff auf die Daten wieder zu ermöglichen. Mehr oder weniger handelt es sich um die digitale Form einer Entführung. Daten werden als Geiseln gehalten, es sei denn man zahlt für deren sichere Rückgabe. Ausgefeilte Ransomware-Angriffe, meist finanziert durch frühere Lösegeldzahlungen, sind speziell so konzipiert, dass man sich nur schwer gegen sie schützen kann und diese kaum früh zu erkennen sind. Einmal angelaufen, sind sie äußerst schwer zu stoppen und verschlüsseln Daten in einem Netzwerk oft so weit, dass Opfer solcher Überfälle über ihre Möglichkeiten völlig im Unklaren sind und meist glauben keine andere Wahl zu haben, als das Lösegeld zu zahlen.

Aus Sicht des kriminellen Angreifers hängt der Erfolg eines solchen Angriffes von der Fähigkeit der Opfer ab, den Zugriff auf deren Daten wiederherzustellen, es sei denn, das Lösegeld wird gezahlt.

Daher zielen kriminelle Angreifer oft zuerst auf Sicherungen oder Snapshots, um die Wiederherstellungsoptionen der Opfer einzuschränken. Dies lässt den potentiellen Opfern kaum andere Möglichkeiten als Off-Site-Backups (mit dem berühmten Air-Gap), vielleicht sogar auf Band, für die Wiederherstellung. Allerdings kann es Wochen oder gar Monate dauern, sich auf Backups zu verlassen und im Ernstfall alle Daten aus diesen zurückzuholen und wieder gebrauchsfähig zu organisieren. Tritt ein krimineller Angriff ein, muss das IT-Team diesen zunächst eindeutig identifizieren. Das heißt, herauszufinden, woher er kommt, wie er verlangsamt oder gestoppt werden kann, bevor er die Inhalte ganzer Netzwerke verschlüsselt. Wenn man beispielsweise im einfachsten Fall eine infizierte Arbeitsstation oder einen Server lokalisieren kann, kann deren Trennung vom Netzwerk helfen, den Schaden einzudämmen und zu minimieren.

Häufig führen kriminelle Angriffe zu einer maximalen CPU-Auslastung, was es Administratoren zusätzlich erschwert, auf kritische Infrastrukturen zuzugreifen. Ist der Angriff beendet, beginnt die gerne unterschätzte Aufgabe, verschlüsselte Dateien, Ordner und Verzeichnisse zu identifizieren und herauszufinden, ob diese sich wieder entschlüsseln lassen. Während dies alles geschieht, müssen Benutzer weitestgehend vom Netzwerk ausgeschlossen werden, und Unternehmen haben die enormen Kosten für Ausfallzeiten, Datenverluste und fehlgeschlagene Wiederherstellungsbemühungen zu tragen. Viele Hersteller bieten daher den Ansatz, Daten in unveränderlichen Speichern bereits verschlüsselt abzulegen und sie damit für Kriminelle und ihre Machenschaften unbrauchbar zu machen.

Wie penetriert Ransomware Netzwerke?

Ransomware kann durch Social-Engineering-Methoden wie gefälschte E-Mails, Spam, Webseiten, kostenlose Software-Downloads, gefälschte Software-Updates und sogar durch webbasierte Instant-Messages bereitgestellt werden. All diese sind speziell darauf ausgelegt, erfolgreich zu sein, indem sie es so wahrscheinlich wie möglich machen, dass ein Benutzer getäuscht wird. Typisch ist eine echt wirkende dringende E-Mail vom Vorgesetzen (in der E-Mail sind Name und E-Mail-Adresse verzeichnet), in der der Adressat gebeten wird, die angehängte Rechnung in Form einer PDF-Datei zu erläutern. Die E-Mail wirkt authentisch, also öffnet man den Anhang. Das Dokument enthält eine eingebettete Word-Datei, und der Benutzer umgeht den Dateiscan, indem er beim Öffnen einfach auf OK klickt. Die Word-Datei enthält ein VB-Makro, das die Ransomware herunterlädt und ausführt. Das war alles, der Rechner ist infiziert. Die Ransomware beginnt sofort damit, Daten zu verschlüsseln. Und das nicht nur auf der betroffenen Arbeitsstation, sondern auch auf allen angeschlossenen Netzlaufwerken.

Eine neue Methode ist, dass Kriminelle unschuldig wirkende USB-Kabel modifizieren und diese Kabel in stark frequentierten Bereichen, zum Beispiel in der Kantine auf den Tischen liegenlassen. Ein Mitarbeiter wird ein solches Kabel dankbar mitnehmen und irgendwann an seine Arbeitsstation anschließen, um beispielsweise ein Mobiltelefon aufzuladen. Nach dem Einstecken des modifizierten Kabels hat es die Malware auf den Rechner geschafft, alles weitere läuft wie bei kriminellen E-Mails. Die Schad-Software ist darauf ausgelegt maximalen Schaden zu verursachen, also bleibt sie inaktiv, bis die Arbeitsstation mit einem Unternehmensnetzwerk verbunden ist, um dann mit voller Geschwindigkeit durch das Netzwerk zu laufen.

Ist ein Schutz gegen Ransomware überhaupt möglich?

Angesichts des Umfangs und des Erfolgs weltweiter krimineller Angriffe könnte man dem Schluss erliegen, es gäbe keine undurchdringliche Abwehr gegen diese Methoden. Verfügbare Anti-Ransomware-Werkzeuge können und werden zahlreiche Versuche abwehren. Diese Pakete tragen, wenn sie ständig gepflegt und auf dem neuesten Stand gehalten werden, sicherlich dazu bei, die Infrastruktur zu schützen und sich gegen kriminelle Angriffe zur Wehr zu setzen. Diese Software ist vor allem gut darin, E-Mail-Anhänge zu erkennen und abzulehnen. Dies ist der hauptsächliche Grund dafür, dass Kriminelle zu Methoden übergegangen sind, die im Gegensatz hierzu eine direkte Injektion in ein Netzwerk ermöglichen.

Defensive Software ist äußerst effektiv bei der Früherkennung und kann Angriffe weitestgehend automatisch stoppen. Sollte Ransomware also die erste Verteidigungslinie durchbrechen, wird der Schaden zumindest minimiert. Alle Lösungen im Markt können jedoch von Natur aus nur reaktiv handeln. Sie können sich nur gegen ihnen bekannte Ransomware-Varianten wehren, daher muss ein Angriff auf einen Anwender erfolgen, bevor die Software entsprechend aktualisiert werden kann. Egal wie schnell solche Lösungen auf eine ihnen bekannte Variante reagieren – durch die heimtückische und kriminelle Natur von Ransomware kann dennoch erheblicher Schaden angerichtet werden, bevor ein Angriff unter Kontrolle gebracht werden kann.

Schutz gegen Ransomware

Eine Entführung gegen Lösegeld ist nur dann wirksam, wenn die Person oder der Gegenstand, die als Geisel genommen wurde, für den Besitzer so wertvoll ist, dass er für eine sichere Rückgabe bezahlen wird. In unserem digitalen Zeitalter haben Daten einen immensen Wert erlangt, denn ohne sie kann kaum eine Organisation funktionieren. Die Statistiken sind hier sehr deutlich. Wenn ein Unternehmen zehn Tage oder länger den Zugriff auf wichtige Geschäftsdaten verliert, hat es nurmehr eine Chance von unter zehn Prozent, das kommende Jahr zu überleben. Das macht Daten eindeutig zum Wertvollsten in einem Unternehmen und zum wichtigsten zu schützenden Vermögen. Vorausgesetzt, dass es nicht vollständig möglich ist, Ransomware fernzuhalten, hängt das Stoppen eines Ransomware-Angriffs vom Schutz der Daten ab.

Wenn wir beim Bild der Entführung bleiben, versuchen Unternehmen nicht mehr, eine Entführung grundsätzlich zu verhindern. Stattdessen machen viele Unternehmen es schon heute unmöglich, etwas anderes als ein Hologramm dieser Person als Geisel zu nehmen, während die reale Person nie in Gefahr ist.

Immutable-Storage: unveränderlicher Speicher

Aufgrund der Speicherung von Daten, die bearbeitet werden müssen, sind ältere Dateisysteme von Natur aus anfällig für Schad-Software jeder Art. Sollten sie angegriffen werden, tun sie genau das, wofür sie entwickelt wurden, und ermöglichen die Änderung der gespeicherten Dateien. Immutable-Storage, also unveränderlicher Speicher, soll die Position gegenüber Ransomware und Malware für den Anwender verbessern, da sie grundsätzlich resistent gegen Angriffe ist. Anstatt eine Lösung zur Verteidigung oder zum Schutz zu sein, reduziert ein solches System die Auswirkungen und Ausbreitung eines Angriffs auf ein Minimum, indem es davon nicht beeinflusst wird.

Unveränderliche Speicherung wird in den meisten Lösungen durch intelligente Cloud-Technologie bereitgestellt, welche einen für die Speicherung unstrukturierter Daten ausgelegt ist und die Nutzung von Objektspeichern in jeglicher Art von Cloud unterstützt. Für einen Benutzer funktioniert ein solcher unveränderlicher Speicher wie jedes andere Dateisystem. Dateien können geöffnet, bearbeitet und gespeichert, kopiert oder gelöscht werden, von jedem zugelassenen Benutzer, an jedem Ort einer Organisation und in Echtzeit.

Systeme dieser Art nutzen globale Dateisysteme, welche Dateidaten als Blöcke in Objektspeichern ablegen. Mit einem solchen Datensatz kann jeder Benutzer in einer Organisation arbeiten. Der Standort des Benutzers und die Anzahl der Standorte der Organisation spielen für ein solches skalierbares System keine Rolle. Für den Benutzer ist die Handhabung der Dateien immer gleich, obwohl die Daten vielleicht Hunderte von Kilometern oder noch weiter entfernt gespeichert sind. Die Datenblöcke innerhalb des Objektspeichers sind unveränderlich, sie werden als WORM gespeichert. Damit können sie nach dem Speichern nicht geändert, bearbeitet oder überschrieben werden. Dies macht sie gegen alle Formen von Malware unempfindlich.

Im Objektspeicher werden Metadatenzeiger verwendet, um festzuhalten, welche Blöcke zu einem bestimmten Zeitpunkt eine Datei umfassen. Sollten Dateien erstellt oder bearbeitet werden, verschiebt das System geänderte Datenblöcke nach einem kurzen Zeitraum in den Objektspeicher und legt diese als neue Einträge ab. Gleichzeitig werden die Metadatenzeiger entsprechend aktualisiert, um alle neuen Blöcke zusammenzufassen, die die Datei bilden.

Die unveränderlichen Datenblöcke werden darüber hinaus durch dateisystemweite ebenfalls nicht veränderliche Snapshots geschützt, die in konfigurierbaren Intervallen erstellt werden. Zusätzlich werden ebenfalls schreibgeschützte Snapshots auf lokaler Ebene erstellt. Mit ihrer Hilfe werden geänderte Daten in den Objektspeicher übertragen.

Da alle Snapshots schreibgeschützt sind, sind sie somit auch unempfindlich gegen Ransomware und bieten zusätzlich eine Möglichkeit, Daten granular auf frühere Versionen zurückzusetzen. Diese Technik ermöglicht zum Beispiel auch das sofortige Wiederherstellen unabsichtlich gelöschter Dateien, ohne auf das ohnehin nur einmal am Tag laufende Backup zurückgreifen zu müssen.

Unveränderliche Daten sollen Ransomware-Angriffe abwehren

Im Falle eines Ransomware-Angriffs wird Schadcode in Dateien eingefügt und verändert diese. Systeme mit unveränderlichem Speicher erkennen geänderte Dateidaten, die resultierenden verschlüsselten Dateien werden als neue Daten in den Objektspeicher geschrieben und nicht wie sonst üblich anstelle der bisher vorhandenen Daten.

Da Systeme mit unveränderlichem Speicher vorhandene Daten als Originalobjekte im Objektspeicher beibehalten, kann jede durch den Ransomware-Code verschlüsselte Datei mithilfe von Snapshots sofort in den Zustand vor der Infektion zurückgesetzt werden. Dies kann problemlos für eine einzelne Datei, ganze Verzeichnisse oder sogar das gesamte globale Dateisystem durchgeführt werden.

Mit Systemen mit unveränderlichen Daten sind Dateien nicht verschlüsselt. Stattdessen zeigen Dateizeiger auf Datenblöcke, die eine Verschlüsselung enthalten. Die Rückkehr zum Snapshot vor dem Angriff führt zurück zu sauberen Datenblöcken.

Dies macht kriminelle Ransomware-Angriffe für Unternehmen unschädlich und für Angreifer nutzlos. Diese sind darauf angewiesen, den Schlüssel zum Entschlüsseln der Daten zu verkaufen, damit wieder auf die Dateien zugegriffen werden kann. Mit unveränderlichem Speicher ist mit Hilfe der Wiederherstellung aus einem Snapshot der Sprung zu den unverschlüsselten Dateiversionen sehr einfach, niemand benötigt mehr einen teuren Schlüssel.

Schutz vor Datenkompromittierung

Kriminelle wissen seit langem, dass ihre Chancen auf schnelle Bezahlung steigen, wenn sie dazu bereit sind, ihren Geiseln zu schaden, und dies auch bekannt ist. Das digitale Äquivalent ist die Online-Veröffentlichung der Daten ihrer Opfer – zum Beispiel vertrauliche Patienten- oder Kundenakten. Diese Bedrohung erhöht das Risiko exponentiell, nicht zu zahlen, da Unternehmen auch für Datenschutzverletzungen haftbar gemacht werden können. Ganz abgesehen von dem daraus resultierenden Schwund an Vertrauen der Kunden oder Nutzer. Die besten modernen Dateisysteme verwenden eine Verschlüsselung nach Militärstandard für Daten im System und auch für den Fall, dass Daten in den und aus dem Speicher verschoben werden. Im Falle einer Kompromittierung können diese Daten also kaum entschlüsselt werden.

Immutable-Storage: Pro und Contra

Natürlich tun Systeme mit unveränderlichem Speicher alles dafür, um die ihnen anvertrauten Daten so weit wie möglich unangreifbar zu machen. Und aus Sicht der Datenablage als Objekte gelingt ihnen das ohne Zweifel, egal welche der vielen Lösungen man betrachtet. Allerdings hat bereits der Kollege Jörg Riether im speicherguide.de-Interview darauf hingewiesen, dass auch solche Systeme Schwachstellen haben, und zwar eben nicht auf Ebene der eigentlichen Dateispeicherung. Alle Arrays haben ein mehr oder weniger proprietäres Betriebssystem, in den meisten Fällen allerdings ein angepasstes Linux oder ähnliches. Und diese Betriebssysteme haben Netzwerkzugänge und erfordern Logins. Der einzige Weg, sich hier zu schützen, scheint tatsächlich momentan lediglich eine Zweifaktor-Authentifizierung. Sollten sich diese Systeme außerhalb des eigenen Rechenzentrums befinden, ergeben sich natürlich weitere Herausforderungen in Form von Bandbreite, möglichen I/Os, also der Gesamtleistung des Systems rund um den Globus.

Zum Schluss also die Folgerung: Was die Aufbewahrung der Daten in möglichst unveränderlicher Form und damit den Schutz gegen kriminelle Angriffe angeht, sind Speichersysteme mit entsprechender Auslegung ein riesiger Schritt in die richtige Richtung. Allerdings sollte bei deren Nutzung auch auf die Abhärtung der Arrays selbst geachtet werden.

Gruß
Doc Storage