Die Szenarien sind heute fast schon alltäglich – aber deshalb nicht weniger bedrohlich: Cyberkriminelle greifen ein Unternehmen mit Ransomware an, kapern Daten, sperren Zugänge und erpressen eine hohe Geldsumme.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sahen sich im letzten Jahr neun von zehn Firmen einem solchen Erpressungsversuch ausgesetzt. Dabei flossen Gelder in Gesamthöhe von rund 590 Millionen US-Dollar – fast doppelt so viel wie 2020. Die Tendenz ist immer noch stark steigend: Der Erfolg ermutigt die Angreifer, ihre Aktivitäten zu intensivieren. Inzwischen soll es sogar – ganz nach marktwirtschaftlicher Logik – „Cyberattack-as-a-Service“-Angebote geben, es entsteht ein neues Businessmodell.
Mit einer geeigneten Sicherheitsarchitektur und einer konsistenten Strategie können sich Unternehmen entsprechend wappnen. Wichtig ist die Erfüllung der bestehenden Regularien und Vorschriften zur Informationssicherheit, die technische Gewährleistung der Unternehmens-IT-Sicherheit und die entsprechende Information und Ausbildung der Mitarbeiter. Die Unternehmens-IT hat die Aufgabe, die Vorgaben zur Informationssicherheit konkret umzusetzen. Das betrifft die entsprechenden technischen Schutzvorkehrungen in der IT-Landschaft – aber auch den Unsicherheitsfaktor Mensch, der inzwischen das bevorzugte Einfallstor für Angreifer darstellt. Dagegen helfen neben Aufklärung und Bildung auch Automatisierungslösungen und Künstliche Intelligenz beim Datenmanagement.
Was können IT-Verantwortliche konkret tun, um sich und das Unternehmen vor Ransomware-Attacken zu schützen? Hier gilt der Dreiklang von „Protect“, „Detect“ und „Recovery“.
a) Protect: Der Schutz von Systemen
Am Anfang steht der so genannte Zero-Trust-Ansatz mit Elementen wie Multi-Faktor-Authentifizierung (MFA), Rollenbasierte Zugriffskontrolle (RBAC) sowie eine umfassende Protokollierung und Auditierung. Mit einem File Policy-Rahmenwerk, wie es etwa NetApp mit FPolicy anbietet, können bekannte Ransomware-Dateiendungen am Schreibzugriff gehindert werden. Eine solche Regelung ist dabei auch mit einem externen Security Information and Event Management (SIEM)-System nutzbar. Zudem erlauben leistungsfähige Storage-Systeme einen wertvollen, weil automatisierten Schutz bei der Erkennung von Attacken und selbständigen Nutzung von Snapshot Funktionalitäten.
Moderne Lösungen von Anbietern wie NetApp mit dem ONTAP Speichersystem, wurden von der US-Behörde NSA auf wirksame Funktion für Sicherheitsstrategien erfolgreich zertifiziert. Abgerundet wird der Schutz durch mehrstufige Vorkehrungen – von schnellen Snapshots von Datenbeständen, über WORM-Funktionen die ein Löschen von Daten vor einem definierten Zeitpunkt verhindern, und hocheffizienten Replikationen der Snapshots, bis hin zu Backups direkt aus dem Speichersystem mit Ablage in Cloud Volumes jedes der großen Hyperscaler mit Automatisierung und Standardisierung.
b) Detect: Automatisierte Gegenmaßnahmen bei Unregelmäßigkeiten
Als unterster Schutzlevel auf Speichersystemebene dient idealerweise eine spezielle (ONTAP-) Anti-Ransomware-Lösung. Ein Maschine Learning-Ansatz lernt dabei typische Schreibverhaltensweisen in NAS-Volumes und erkennt nach dem Training ungewöhnliche Aktivitäten, erstellt dann automatisch Snapshots und isoliert die Zugriffe. Auf dem nächsthöheren Level liegt die beste Schutzwirkung in der Analyse des Nutzerverhaltens (UBA User Behaviour Analytics) mit automatisierten ML-Methoden. Ist eine Unregelmäßigkeit entdeckt, werden automatisch Schutz, sowie Gegenmaßnahmen und Meldungen eingeleitet. Nicht zuletzt ergänzen Monitoring Tools unter Nutzung von Best Practices und Sicherheitsempfehlungen die Palette. Indizien wie nachlassende Dateneffizienz oder ein rasantes Anwachsen von Snapshot-Kopien sind nur einige der Erkennungsmerkmale. Insgesamt unterstützen die automatisierten ML- und KI-Funktionalitäten sehr effizient und schnell die kontinuierliche Überwachung und Handhabung von Gefahren.
c) Recovery: Daten und Systemwiederherstellung
Die Wiederherstellung (Recovery) von Daten und Systemen erfolgt nach ihrer Bereinigung am besten unter Zuhilfenahme von effizienten Backup-Lösungen – wie zum Beispiel NetApp Cloud Backup. Hierbei gilt es einfach und sicher die letzten, nicht betroffenen Datensicherungen zu ermitteln und aus diesen mit schnellen und effizienten Methoden in kürzester Zeit die Wiederherstellung des Betriebs zu ermöglichen. Der Faktor Zeit für die Wiederherstellung ist der Teil, welcher die höchsten Folgekosten nach einer Betriebsunterbrechung erzeugt. Traditionelle, inkrementelle Lösungen stoßen bei den Datenmengen an ihre Grenzen.
www.netapp.com