Modernen Bankräubern das Handwerk legen

Unveränderbare Snapshots als Waffe gegen Ransomware-Attacken

So wie sie traditionell implementiert sind, sind Snapshots schreibgeschützt und somit in gewisser Weise unveränderlich. Ransomware-Banden wissen dies jedoch und werden daher versuchen, sie zu löschen oder zu verschieben. Unternehmen müssen daher nach Anbietern suchen, deren Snapshots nicht gelöscht werden können.

Am Osterwochenende 2015 erbeutete ein Altherrenclub von Kriminellen Gold, Juwelen und Bargeld im Wert von schätzungsweise 25 Millionen Pfund bei einem Einbruch in die Hatton Garden Safe Deposit Company in London. Die Bande wählte das Osterwochenende, weil sie aufgrund der Feiertage ein Zeitfenster von vier Tagen hatte, um sich Zugang zu verschaffen, Wände aufzubohren und Schließfächer zu öffnen.

Anzeige

Was hat das mit Ransomware zu tun?

Pure Storage erläutert: Die Räuber hatten vier Tage lang Zugang zum Gebäude, in dem sich der Tresorraum befand, und damit genügend Zeit, um ihre Arbeit zu verrichten. Bei einem Ransomware-Angriff wird dieser Zeitraum als „Verweildauer“ bezeichnet. Diese Zeitspanne ist der Schlüssel, um sich von einem solchen Vorfall erholen zu können. Die Verweildauer erstreckt sich von dem Zeitpunkt, an dem der Angreifer die Firewall zum ersten Mal durchbricht, bis zu dem Zeitpunkt, an dem er sich zu erkennen gibt und vom Opfer Lösegeld fordert.

Ransomware-Angriffe folgen einem bekannten Muster

Zu Beginn gibt es eine Kampagnenphase. Hier werden Mitarbeiter mit Phishing-E-Mails angesprochen, die Links zu Malware enthalten, oder die Angreifer suchen nach Schwachstellen in Systemen, die mit dem Internet verbunden sind. Unabhängig von den eingesetzten Mitteln geht es in dieser Phase darum, ein Opfer zu finden und sich Zugang zu verschaffen.

Eindringen ist hier das Ziel. Wenn Ransomware-Angreifer die Firewall überwinden, wird der Rest des Prozesses freigeschaltet, und die Verweildauer beginnt. Nach dem Eindringen sammeln die Ransomware-Angreifer Zugangsdaten für einen tieferen Zugriff und beginnen, sich seitlich auf den Systemen des Opfers zu bewegen. Dabei verwenden sie häufig Tools, die auf legitimen Protokollen wie RDP (Remote Desktop Protocol) basieren, um aus der Ferne zu arbeiten und Command-and-Control-Funktionen einzurichten. In diesem Stadium identifizieren sie sensible Daten und beginnen mit der Bereitstellung von Softwarenutzdaten, um die Ausführungsphase durchzuführen, in der die Verschlüsselung und Exfiltration der Daten erfolgt.

Anzeige

Es ist davon ausgehen, dass es fast unmöglich ist, entschlossene Angreifer fernzuhalten. Daher liegt der Schlüssel zur Abwehr eines Ransomware-Angriffs in der Fähigkeit, den Zustand vor Beginn der Verweildauer wiederherzustellen, und zwar schnell. Konkret bedeutet dies die Verwendung von Snapshots und Backups und die Fähigkeit, die Daten daraus schnell wiederherzustellen.

Snapshots sind Aufzeichnungen des Systemzustands und der Daten, die in regelmäßigen Abständen während des Arbeitstages erstellt werden. Diese ermöglichen es einem Ransomware-Opfer, eine frühere Konfiguration mit einem hohen Grad an Granularität wiederherzustellen. Snapshots sind so konzipiert, dass sie nur minimale Auswirkungen auf die Produktionssysteme haben und werden daher oft auf oder in der Nähe des Primärspeichers gespeichert. Das bedeutet, dass Daten aus Snapshots in der Regel auch schnell wiederhergestellt werden können. Ein Unternehmen kann Snapshots aufbewahren, die ein oder zwei Monate zurückreichen.

Backups werden in der Regel viel länger aufbewahrt, und die Kopien werden seltener erstellt, in der Regel während regelmäßiger Backup-Fenster außerhalb der Arbeitszeiten. Sie werden fast immer auf einen sekundären Speicher ausgelagert und können bei der Wiederherstellung mehr Zeit in Anspruch nehmen.

Wenn die Umstände es zulassen, und insbesondere die Auswirkungen der Verweildauer, sind Snapshots der effektivste Weg, um sich von Ransomware zu erholen. So können sie schnell wiederhergestellt werden, vorausgesetzt, sie wurden nicht von den Ransomware-Angreifern sabotiert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Snapshots müssen unveränderbar sein

So wie sie traditionell implementiert sind, sind Snapshots schreibgeschützt und somit in gewisser Weise unveränderlich. Ransomware-Banden wissen dies jedoch und werden daher versuchen, sie zu löschen oder zu verschieben. Unternehmen müssen daher nach Anbietern suchen, deren Snapshots nicht gelöscht werden können. Angreifer sollten zudem nicht in der Lage sein, zu verhindern, dass die Snapshots an einen anderen Ort verschoben werden, z. B. zur Wiederherstellung.

Weitere Sicherheitsvorkehrungen, die Unternehmen festlegen können, sind Snapshots, die eine mehrstufige, PIN-basierte Authentifizierung durch mehrere Mitglieder eines IT-Teams verwenden, sowie die Möglichkeit, Snapshot-Aufbewahrungsrichtlinien und zulässige Ziele festzulegen.

Snapshots sind die beste Methode zur Wiederherstellung, wenn die Verweildauer von Ransomware relativ kurz ist. Das ist aber nicht unbedingt der Fall. Es ist möglich, dass Ransomware-Angreifer mehrere Monate lang innerhalb der Firewall herumschnüffeln, Malware installieren und Dateien beschädigen. Wenn das der Fall ist, ist es wahrscheinlicher, dass ein Unternehmen Daten von Sicherungskopien wiederherstellen muss.

Unabhängig davon, ob es Daten aus Snapshots oder Backups wiederherzustellen gilt, kommt es vor allem auf eine schnelle Wiederherstellung an, damit die Produktion wiederaufgenommen werden kann. Der Schlüssel hierzu liegt in dem Speicher, der für die Aufbewahrung der Sicherheitskopien zum Einsatz kommt. Pure Storage meint: Er muss in der Lage sein, schnelle Wiederherstellungsgeschwindigkeiten zu bewältigen.

Welche Storage-Lösungen eignen sich also am besten für die Aufbewahrung von Snapshots und Sicherungskopien und, was entscheidend ist, sind sie in der Lage, eine schnelle Wiederherstellungsleistung zu bieten? Zunächst einmal gilt es nach Produkten Ausschau halten, die Solid-State-Speicher bieten und unstrukturierte Daten – Dateien und Objekte – verarbeiten können, d. h. nicht einfach nur Solid-State-Speicher. Die neuesten Generationen von NAND-Flash haben die Entwicklung von Storage-Arrays ermöglicht, die eine extrem hohe Kapazität und Zugriffsgeschwindigkeit bieten. Das sind Arrays mit TLC- oder QLC-Flash, die eine hohe Kapazität zu Kosten pro Terabyte bieten, die denen von herkömmlichen Festplatten nahekommen.

Zudem ist die Durchsatzleistung entscheidend. Die leistungsstärksten derzeit verfügbaren Solid-State-Speicher-Arrays bieten einen Durchsatz von mehr als 270 TB pro Stunde. Das ist genug, um die meisten Unternehmen sehr schnell wieder online zu bringen. Nicht viele Speicheranbieter können jedoch dieses Durchsatzniveau bieten, daher sollten Unternehmen unbedingt die technischen Datenblätter prüfen.

Unveränderliche Snapshots und regelmäßige Backups mit schneller Wiederherstellung

Die beste Verteidigung gegen Ransomware besteht darin, die Uhr zurückzudrehen, bevor die Verweildauer beginnt. Und das geht am besten mit einem Speicher mit sehr hoher Kapazität, der eine blitzschnelle Durchsatzleistung bietet und schnelle Wiederherstellungen ermöglicht.

www.purestorage.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.