Interview mit cohesity
Wir haben mit Christoph Linden, Field CTO bei cohesity, über Trends im IT-Security-Markt und die Bedrohung über Ransomware gesprochen und nachgefragt, wie cohesity dabei ihren Kunden zur Seite steht.
Welche Entwicklungen oder Trends sehen Sie im IT-Security-Markt?
Ransomware bleibt eine zentrale Herausforderung – mit immer ausgefeilteren Attacken. Es gibt immer mehr Firmen, die sich nicht mehr nur auf Angriffe spezialisieren, sondern ganze Tool-Kits erstellen und Ransomware-as-a-Service anbieten. Statt wie früher überwiegend große, organisierte Gruppen, kann nun ein Einzeltäter mit dem entsprechenden technischen Background einen solchen Angriff ausüben. Als Resultat steigt die Zahl potenzieller Angreifer und somit auch das Risiko für Unternehmen. Die Auswirkungen für Unternehmen bleiben dieselben: Der Betrieb steht still, Umsätze fallen aus, was Unternehmen bis in den Ruin treiben kann.
Wenn die Bedrohung durch Ransomware weiter wächst, stellt sich die Frage, was Unternehmen tun können?
Auch weiterhin gilt in erster Linie, im Vorfeld Schutzmaßnahmen zu ergreifen und nicht zu warten, bis ein Angriff erfolgreich war. Zugleich sind jedoch auch die Maßnahmen im Nachgang eines Ransomware-Angriffs von entscheidender Bedeutung. Denn ein Restore allein genügt bei weitem nicht: Ein Unternehmen kann nach einer Attacke sofort wieder ins Visier geraten, weil alle Angriffsmechanismen noch vorhanden sind – im Backup selbst oder auch in Systemen, die zuvor nicht betroffen waren. Den Angriff strukturiert zu analysieren ist zwingend notwendig, um nicht direkt wieder im Visier des Angreifers zu sein. Oft wissen Betroffene jedoch nicht, wo sie anfangen sollen.

Wie stehen Sie Ihren Kunden dabei zur Seite?
Cohesity unterstützt Unternehmen dabei, zu analysieren, welche Maßnahmen nötig sind, um die Situation nach einem Ransomware-Angriff in den Griff zu bekommen. Zunächst gilt es zu klären, wie der Angriff abgelaufen ist und wie sich der Angreifer Zugang verschafft hat. Welche Schwachstellen gab es, wie hat der Angreifer mehr Zugriffsrechte erhalten? In der Regel machen sich Kriminelle dabei Technologie zunutze. Deshalb ist es wichtig, den Mechanismus zu identifizieren, der am Tag des Angriffs verwendet wurde.
Dafür ist ein leistungsfähiges Analyse-Tool erforderlich. Ist jedoch das Datacenter vom Angriff betroffen, ist auch die Analysefähigkeit nicht mehr vorhanden. Mit unserem Clean Room-Konzept können wir die Handlungsfähigkeit unserer Kunden schnell wiederherstellen, indem wir Angriffe in einer isolierten, sicheren Umgebung untersuchen und beheben – on premise, als Mischbetrieb oder als SaaS-Lösung.
Können Sie Ihr Konzept näher erklären?
Wir erstellen zunächst die sogenannte Minimum Viable Response Capability – das, was es mindestens braucht, um reaktionsfähig zu sein. Anschließend durchsuchen die Analyse-Tools auf der Cohesity-Plattform das erstellte Backup nach Indikatoren, wie der Angreifer vorgegangen ist. Auf diese Weise bleibt IT- und Securityteams eine umfassende aufwändige Suche erspart. Stattdessen liefern die Tools konkrete Empfehlungen, wo sie mit der gezielten Suche beginnen sollten, um das Einfallstor, den Persistenzlayer sowie Command and Control zu identifizieren. So verkürzen wir die wertvolle Zeit zwischen Angriff und Analyse, beziehungsweise Gegenmaßnahme. Der Clean Room ist dabei ein ganz wesentlicher Faktor, um schneller und vor allem ohne Risiko durch die Analyse wieder handlungsfähig zu sein.