Storage-Strategien gegen Ransomware

Ransomware gehört heute immer noch zu den größten Bedrohungen für Unternehmen. In der heutigen Zeit sind die meisten Organisationen sehr stark auf Daten angewiesen, und für diese kann ein Ransomware-Angriff katastrophale Folgen mit sich bringen. McAfee berichtete schon im letzten März, dass sich die Zahl der Ransomware-Angriffe mehr als verdoppelt hätte und zwar in einem Zeitraum von einem Jahr. Einen ähnlichen Trend können wir auch anderswo sehen, so gab die Versicherungsgesellschaft “Beazley” bekannt, dass die Zahl der Angriffe zwischen dem vierten Quartal 2019 und dem ersten Quartal 2020 um 25 Prozent angestiegen sei. Viele andere Quellen malen ein vergleichbares Bild. In diesem Beitrag analysiert Pure Storage die Problematik aus Sicht eines Speicherspezialisten.

Screenshot: Sysbus

Erweiterte Bedrohungsszenarien

Die COVID-19-Pandemie hat zu einer enormen Beeinträchtigung von Unternehmen geführt und eine neue Norm dafür geschaffen, wie viele Unternehmen arbeiten. Ein Großteil der Belegschaften musste plötzlich aus der Ferne arbeiten – und dies wird noch eine ganze Weile so bleiben.

Dies war zwar eine Notwendigkeit, hat aber neue Möglichkeiten für Angreifer geschaffen. Diese versuchen, die Tatsache auszunutzen, dass viele von zu Haus Beschäftigte mit potenziell unsicheren Heimsystemen und Netzwerken arbeiten. Es gibt eine erhöhte Anzahl geschäftskritischer Besprechungen, die Sicherheitslücken für Angriffe offenlassen. Es ist daher nicht überraschend, dass COVID-19 eine Welle von Ransomware-Angriffen ausgelöst hat. Die Sicherheitsbranche bietet ihren Kunden nun verstärkt Beratung und neue Schutzmaßnahmen an. Ein Bereich, der im Zusammenhang mit Ransomware nicht so häufig diskutiert wird, ist jedoch die entscheidende Rolle, die Storage bei der Risikominderung spielen kann.

Prävention reicht nicht mehr aus

Als Teil einer robusten Cybersicherheitsstrategie können sich Unternehmen nicht länger nur auf Anti-Intrusion-Systeme verlassen. Zwar ist es von entscheidender Bedeutung, über die richtigen Vorkehrungen zur Verhinderung eines Angriffs zu verfügen, doch müssen Unternehmen auch eine Wiederherstellungsplanung für den Fall eines Angriffs vornehmen. Dies bedeutet, dass eine Strategie implementiert werden muss, die auch die notwendige Wiederherstellung berücksichtigt, durch die Daten nahezu sofort wiederhergestellt werden können.

In den allermeisten Fällen ist es, sobald ein Unternehmen mit Ransomware infiziert wurde, bereits zu spät, den Angriff zu stoppen. Wenn sich die Geschäftsführung darüber einig ist, dass das Lösegeld nicht gezahlt werden sollte, sind die Daten, einmal verschlüsselt, nicht wiederherstellbar. Die IT-Teams tragen dann die Verantwortung für die Wiederherstellung von Daten aus Backups, die jedoch veraltet sein und zu Datenverlust führen können. Dieser Ansatz setzt auch voraus, dass die Backups tatsächlich verfügbar sind – und nicht durch den Ransomware-Angriff selbst verschlüsselt oder gelöscht wurden.

In letzter Zeit zielen Angreifer nach Angaben von Pure Storage zunehmend auf Backups ab, um diese zu löschen. Damit verlieren die Backups ihre Funktion als letzte Verteidigungslinie eines Unternehmens. Eine Datenwiederherstellung ist dann unmöglich, so dass Unternehmen gezwungen sind, ein Lösegeld zu zahlen oder sich mit dem Verlust von Daten abzufinden, was irreparablen Schaden anrichten könnte. Selbst wenn ein Lösegeld gezahlt wird, garantiert dies nicht die Wiederherstellung von Daten oder den Schutz vor zukünftigen Angriffen und Erpressungen.

Verwendung von Snapshots zur Bekämpfung von Ransomware

Hier kommen moderne Snapshots ins Spiel. Snapshots dienen der Datensicherung auf die gleiche Weise wie Backups, jedoch mit dem Ziel, Datenverluste und Wiederherstellungszeiten zu minimieren. Sie fungieren als detaillierter Index und schützen Metadaten, die als Leitfaden für die Wiederherstellung der Systeme zum Einsatz kommen, wodurch der Prozess drastisch beschleunigt wird. Modernen Storage-Lösungen bieten ressourcen-sparende Snapshots, die durch End-to-End-Schutzrichtlinien automatisiert werden, die Flexibilität und Zuverlässigkeit für einen sorgenfreien Betrieb. Purity CloudSnap ermöglicht auch die Portabilität von Snapshots von einem lokalen System auf ein sekundäres System oder die Cloud.

Pure führt das Konzept mit SafeMode-Snapshots weiter. Diese schreibgeschützten Snapshots sind unveränderlich und hindern Ransomware-Angreifer daran, auf FlashBlade-Systemen gespeicherte Backups zu löschen. Nach der Aktivierung werden die automatisierten FlashBlade-weiten Snapshots für einen vom Kunden festgelegten Zeitraum aufbewahrt. Sie können dabei weder vom Kunden noch von Personen mit Administratorzugriff auf das System oder die Backup-Software gelöscht werden.

Darüber hinaus ist nur ein autorisiertes technisches Mitglied eines Unternehmens in der Lage, die Konfiguration der Snapshots zu ändern. Vorausgesetzt wird, dass diese Person den technischen Support von Pure kontaktiert, um seine Identität zu überprüfen und das System freizuschalten. Selbst wenn das Administratorkonto des Unternehmens kompromittiert wird, können Hacker daher die Snapshots nicht anfassen. Im Falle eines Ransomware-Angriffs lassen sich die Daten also leicht wiederherstellen.

Wiederherstellungsgeschwindigkeit – das letzte Stück des Puzzles

Selbst wenn unveränderliche Snapshots vorhanden sind, werden Unternehmen durch die Geschwindigkeit begrenzt, mit der sie Daten wiederherstellen können, um sie in der heutigen schnelllebigen Geschäftsumgebung wieder zum Laufen zu bringen. Wenn es bei einem großen Online-Händler zu einem Ausfall von nur einer Stunde kommt, könnte das viele Tausende oder sogar Millionen Euro an Einnahmen kosten. Wenn dieser Einzelhändler mit Lösegeldforderungen konfrontiert wird, dürfte er seine sicheren Daten so schnell wie möglich wiederherstellen wollen.

Unternehmen sollten nach Meinung von Pure Storage auf einer Backup-Lösung bestehen, die Daten mit einer Geschwindigkeit von Hunderten von Terabyte pro Stunde wiederherstellen kann, um eine maximale Geschwindigkeit bis zur Lösung des Problems zu erreichen und Ransomware-Angriffe nahezu auszuschließen. Mit einer soliden Cybersicherheitsstrategie, die durch fortschrittliche Snapshots und eine schnelle Wiederherstellungslösung verstärkt wird, kann die Wiederherstellungsphase nach einem Ransomware-Angriff von mehreren Wochen auf nur wenige Stunden verkürzt werden.

Weitere Informationen: https://www.purestorage.com/de