Sicherheit ist kein Feature. In der IT sollte Sicherheit fest in die Infrastruktur integriert sein, statt als zusätzliche Funktion nachträglich hinzugefügt zu werden. Autos werden ja auch komplett mit Sicherheitsgurten, Airbags und Bremsassistenzen ausgeliefert. Autokäufer müssen nicht nachträglich zu einer Reihe weiterer Anbieter fahren müssen, um ein verkehrssicheres Fahrzeug zu erhalten.
Ähnliches gilt für grundlegende Elemente der IT-Infrastruktur wie den Enterprise Storage. Sicherheit sollte von vornherein mitgedacht und in die Enterprise-Speicherlösung integriert sein. Ähnlich wie beim Auto nehmen dabei die notwendigen Sicherheitsmaßnahmen, angesichts steigender Cyberbedrohungen, immer mehr zu. Welche diese Maßnahmen sollte also eine Storage-Lösung für Unternehmen mitbringen? Anders gefragt, was sind die Sicherheitsgurte, Airbags und Assistenzsysteme eines modernen Unternehmensspeichers?
Unveränderliche Snapshots
Durch die Bereitstellung unveränderlicher Snapshots sollte eine Speicherlösung sicherstellen, dass die Kopien der Daten in keiner Weise verändert, gelöscht oder bearbeitet werden können, wodurch die Integrität der Daten gewährleistet wird. Zudem ist die Wiederherstellungszeit der Snapshots im Ernstfall von entscheidender (finanzieller) Bedeutung. Für kritische Daten sollte die Widerherstellungszeit bei einer Minute oder darunter liegen. Idealerweise garantier der Hersteller der Storage-Lösung diese Zeit in seinen SLA.
Abgegrenzte forensische Umgebung
In einer abgegrenzten forensischen Umgebung können Unternehmen unveränderliche Kopien von Primär- oder Sicherungsdaten in einer isolierten Umgebung erstellen, ohne den Produktionsbetrieb zu beeinträchtigen. Es handelt sich um ein separate Infrastruktur, die es Unternehmen erlaubt, die unveränderlichen, geschützten Datenkopien zu validieren und forensische Tools zur Erkennung möglicher Ransomware und Cyberangriffe einzusetzen. Mit diesen Tools gewinnen Unternehmen Hinweise auf den Zeitpunkt einer Attacke und damit ein klares Verständnis des Zeitpunkts, der im Falle eines solchen Angriffs sicher wiederhergestellt werden kann – die so genannte „letzte bekannte gute Kopie“. Diese dient dann als Basis für die Wiederherstellung.
Aktives Aufspüren noch unbekannter Gefahren
Eine der größten Herausforderungen für die Datensicherheit stellen „Zero-Day-Angriffe“ dar, die neue Malware einsetzen, deren bekannte Signatur gängigen IT-Security-Tools noch nicht bekannt ist und die darum von diesen nicht erkannt und gestoppt werden können. Eine Enterprise-Speicherlösung auf der Höhe der Zeit muss auch mit diesen Bedrohungen fertig werden. Eine solche Lösung setzt darum Machine Learning (ML) ein, um zuvor unbekannte Datenmuster zu analysieren und fundierte Entscheidungen auf der Grundlage von Entropie-Erkennung und anderen Verfahren treffen zu können. So kann das System gezielt, rechtzeitig und mit hoher Präzision vor dem Eindringen von Ransomware und anderer Malware warnen.
Cyber Detection
Die Cyber-Detection-Funktion der Storage Lösung sollte innerhalb der abgegrenzten forensischen Umgebung auf dedizierter Hardware laufen. Innerhalb dieser Umgebung scannen ML-Algorithmen die Daten über einen gewissen Zeitraum, um einen Basiswert für die Datenmuster auf dem System zu ermitteln und dann Änderungen dieser Muster zu einem bestimmten Zeitpunkt zu erkennen. Das System kann so sogar ruhende Ransomware-Angriffe erkennen, welche die Daten im Laufe der Zeit langsam kompromittieren und auf den Tag warten, an dem sie zuschlagen und die gesamte Speicherinfrastruktur (und mehr) lahmlegen.
ML-Motor
Fortschrittliche ML-Systeme dieser Art verwenden über 200 analytische Parameter, um Veränderungen sowohl von Datei-Inhalten als auch von Metadaten festzustellen. Diese werden dann in ML-Algorithmen eingespeist, um probabilistische Entscheidungen über die Datenintegrität zu treffen.
Die Machine-Learning-Engine sollte anhand von Datensätzen trainiert werden, die viele verschiedene Umgebungen vor und nach einem Angriff mit allen bekannten Ransomware-Varianten repräsentieren. Die Feinabstimmung sollte soweit getrieben werden, dass sie selbst geringfügige Anomalien in den Datenmustern erkennt und eine Genauigkeit von wenigstens 99,5 % gewährleisten kann. Bei geringerer Genauigkeit kann eine Cyber-Detection-Komponente schnell kontraproduktive Resultate zeitigen, weil sie zu viele Fehlalarme auslöst.
In Unternehmen fallend zunehmend gigantische Datenmengen an. Darum sollte der Indexer, der zum Scannen der Daten verwendet wird, sehr zuverlässig und effizient arbeiten. Er sollte in der Lage sein, Petabytes an Daten zu sannen und zu indizieren. Darüber hinaus müssen die Indizierungsprozesse die interne Datenstruktur von Dutzenden von Anwendungen und Datensätzen kennen. Nur so kann die Lösung eine Vielzahl von unternehmenskritischen Anwendungen sowie Sekundärspeicheranwendungen unterstützen. Zudem sollte die Indizierungs-Engine ein einfaches Drill-Down innerhalb der auf den Speichersystemen bereitgestellten Speicherressourcen ermöglichen und die IT-Teams in die Lage versetzen, im Falle eines mutmaßlichen Ransomware-Angriffs umfassende Berichte zu erstellen, die auf eine Infektion hinweisen können, bis auf die Ebene einzelner Dateien.
Automatisierung
Die letzte entscheidende Eigenschaft einer Cyber-Detection-Funktion ist die Automatisierung. Diese ist erforderlich, weil das routinemäßige, tägliche Scannen mehrerer Speicherressourcen in einer Petabyte-Umgebung manuell nicht zu bewerkstelligen ist. Die Automatisierung sollte sämtliche wesentliche Prozesse beinhalten, beginnend mit der Erstellung von zeitnahen, unveränderlichen Kopien der Daten, gefolgt von der sicheren Einbindung in die abgetrennte forensische Umgebung, der Orchestrierung des Scan-Prozesses und der Generierung rechtzeitiger Warnmeldungen im Falle eines vermuteten Ransomware-Angriffs. Wenn die eingesetzte Speicherplattform die Erstellung und Verwaltung zehntausender Snapshot-Kopien ohne Beeinträchtigung des laufenden Betriebs erlaubt, kann der Scanprozess auch auf den Produktionssystemen durchgeführt werden.
Vollausstattung
Die Speicherinfrastruktur ist der Hüter des wertvollsten Unternehmensschatzes, der Daten. Entsprechend sollten Unternehmen sich nicht mit abgespeckten Speicherlösungen zufriedengeben und solche mit der beschriebenen Vollausstattung wählen. Hier endet übrigens die Metapher vom Auto und seiner Sicherheitsausstattung, denn eine Enterprise-Speicherlösung mit den beschriebenen Sicherheitsfunktionen muss keineswegs teurer sein als ein mit Sparausstattung — selbst, wenn man die Einsparungen nicht berücksichtigt, die eine sichere Speicherinfrastruktur durch die Vermeidung von Cybervorfällen realisiert.