Cyberattacken auf NAS-Systeme: zur Rolle von Storage Administratoren für die IT-Sicherheit

München, Starnberg, 22. Sept. 2022 - Wichtige Maßnahmen im Storage Management von Network Attached Storage (NAS) Umgebungen, um Ransomware-Angriffe einzudämmen...

Zum Hintergrund: Studien, wie zuletzt eine aktuelle Erhebung des Digitalverbands Bitkom [i], zeigen, dass durch Angriffe auf deutsche Unternehmen rund 203 Milliarden Euro Schaden pro Jahr entstehen. Die meisten Unternehmen investieren deshalb zurzeit in sicherheitsrelevante Software, um Bedrohungen wie Ransomware-Angriffe abzuwehren. Eine genauere Analyse zeigt jedoch, dass Schutzmaßnahmen wie Firewalls und Endpoint-Security-Lösungen nur ein Baustein in der Abwehr von Angriffen sind. Genau dort, wo Cyberattacken den größten Schaden anrichten, fehlt es den meisten Unternehmen nach Ansicht des Sicherheitsspezialisten ProLion jedoch an Transparenz.

Die File-Server sind in vielen Organisationen nach wie vor eine Art „Black-Box“, in der ungewöhnliche IT-Aktivitäten viel zu spät bemerkt werden, um Schäden noch rechtzeitig eindämmen und zeitnah beheben zu können. ProLion zeigt in seinem folgenden Beitrag auf, mit welchen Maßnahmen Storage Administratoren und Verantwortlich zu mehr Transparenz und Sicherheit beitragen können.

"Ein falscher Klick durch einen Mitarbeiter genügt, um das gesamte OT (Operational Technology) -Netzwerk eines Unternehmens zu infizieren, da sich die Bedrohung von einem lokalen Computer sehr schnell bis zum Network Attached Storage (NAS) ausbreiten kann. Untersuchungen zeigen, dass eine durchschnittliche Ransomware-Variante fast 100.000 Dateien mit insgesamt 53,93 GB in unter dreiundvierzig Minuten verschlüsselt. [ii] Die meisten Cyberangriffe haben daher tagelange Ausfallzeiten und mühsamen Wiederherstellungsaufwand für das Storage-Team zur Folge. Eine systematische Überwachung der Speicherumgebung hilft nicht nur dabei, Angriffe oder Fehlverhalten von Nutzern schneller zu identifizieren und zu stoppen, sondern trägt auch zu einer gezielteren und wesentlich schnelleren Wiederherstellung betroffener Dateien bei.

Permanente Aktualisierung von Blocklisten

Bereits bekannte Arten von Ransomware und schadhafte Dateitypen können gezielt blockiert werden. Allerdings entwickelt sich Schadsoftware extrem schnell weiter, sodass es für interne IT-Teams sehr schwierig ist, neben ihren eigentlichen Kernaufgaben permanent neue Angriffsmuster zu überwachen. Softwarelösungen sind eine gute Option, die Cyber-Angriffsmuster rund um die Uhr überwachen und die entsprechenden Erkennungsalgorithmen kontinuierlich aktualisieren zu lassen. Dabei lassen sich auch individuelle Dateitypen bei Bedarf manuell hinzufügen.

Verhaltensmuster-Analyse mithilfe von KI

Speziell auf die Überwachung von File-Servern ausgerichtete Software eignet sich dazu, Transparenz in die bisherige „Black-Box“ des File Servers zu bringen. Moderne Lösungen nutzen KI-gestützte Algorithmen, um das Nutzerverhalten in Dateisystemen zu analysieren. Auf diese Weise können Bedrohungen nach wenigen Sekunden erkannt und gestoppt werden. Dies ist eine erhebliche Verbesserung zu der bisher vorherrschenden Situation, bei der solche Attacken zumeist erst viel zu spät bemerkt und die Verschlüsselung bzw. der Diebstahl einer erheblichen Menge an Daten erst verzögert entdeckt und unterbunden wird.

Identifikation des Angriffspunkts

Durch die lückenlose Dokumentation von Datenzugriffsmustern aller User können Cyberattacken frühzeitig erkannt und innerhalb kürzester Zeit zu den betroffenen Nutzern und Endgeräten zurückverfolgt werden. Infizierte Nutzer-Accounts und Geräte lassen sich manuell oder automatisch deaktivieren. Entsprechende Warnmeldungen an die IT werden in Echtzeit versendet, um das infizierte Gerät und kompromittierte Accounts isolieren zu können.

Schnelle und gezielte Wiederherstellung

Eine Monitoring- und Auditing-Lösung, die Datei- und Datenzugriffe verfolgt und dokumentiert, sorgt für Datentransparenz auf Nutzerebene. Auf diese Weise können Cyberangriffe und daraus resultierende Änderungen an Dateien schnell zurückverfolgt werden. Infektionen, Löschungen und Änderungen werden lückenlos dokumentiert. Durch diese genaue Identifikation beschädigter Dateien, können diese mit wenigen Klicks aus einem Snapshot wiederhergestellt werden. Auch versehentlich gelöschte Dateien könne so einzeln wiederhergestellt werden. Ohne die Möglichkeit, infizierte Dateien und Angriffszeiten genau identifizieren zu können, mussten Storage Teams bisher meist ganze Datei-Ordner aus Backups wiederherstellen. Das war nicht nur sehr zeitaufwändig. Dadurch konnten auch wichtige Aktualisierungen verloren gehen, damit zusätzliche Arbeit in den Fachabteilungen nach sich ziehen und einen großen geschäftlichen Schaden verursachen.

Integration mit vorhandenen Sicherheitslösungen

Zuverlässiger Cyber-Schutz erfordert mehrere Layer. Bei der Entscheidung für eine Sicherheitslösung, die eine transparente Speicherumgebung unterstützt, ist es daher wichtig darauf zu achten, dass sich die Anwendung mit vorhandenen Security-Lösungen, wie einer SIEM-Plattform (Security Information & Event Management) integrieren lässt."

 

 

ProLion CryptoSpike Architektur (Bildquelle: ProLion)

Kommentar Robert Graf, Gründer & CEO bei ProLion: „Angriffsmethoden können heute bereits gezielt den Endpoint-Schutz deaktivieren, Daten abziehen und Backups löschen, bevor sie die Daten verschlüsseln. Ransomware kann zudem über Wochen hinweg in Storage-Systemen schlummernd verborgen sein und dann enormen Schaden anrichten, wenn sie aktiv wird. Eine Sicherheitslösung, die sämtliche Aktivitäten auf dem Dateiserver überwacht, trägt nicht nur dazu bei, Angriffe schnell zu identifizieren, sondern auch dazu, sie zu bremsen und lange Wiederherstellungszyklen zu vermeiden. Im ersten Quartal dieses Jahres erlitt beispielsweise ein Kunde von uns in Deutschland am frühen Sonntagmorgen einen Ransomware-Angriff. Unsere CryptoSpike-Software erkannte und stoppte den Angriff in unter zehn Sekunden. Die Angreifer konnten daher weniger als 100 Dateien verschlüsseln, bevor der Zugriff gestoppt wurde. Der Speicheradministrator unseres Kunden konnte die beim Angriffsversuch beschädigten Dateien so mit wenigen Mausklicks vollständig wiederherstellen.“

[i] Quelle / Link > https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022

[ii] Quelle / Link > https://www.splunk.com/en_us/blog/security/ransomware-encrypts-nearly-100-000-files-in-under-45-minutes.html

 

Querverweis:

Unser Beitrag > Maßnahmen gegen Ransomware: Vier Säulen zur Abwehr erpresserischer Attacken

Unser Beitrag > Deutlicher Anstieg von Ransomware-Angriffen auf Linux Systeme. Was tun?