München, Starnberg, 16. Dez. 2022 - Die beste Verteidigung liegt in der Kombination verschiedener Verfahren und Technologien; Quantum weist auf Best Practices-Ansätze hin...
Zum Hintergrund: Bevor eine Schutzstrategie gegen Ransomware effektiv greifen kann, sollte klar sein, was die Ziele von Recovery Time Objective und Recovery Point Objective (RTO/RPO) sind. Anders formuliert: wie lange darf die Wiederherstellung wichtiger Daten dauern und wieviel an Datenverlusten kann notfalls noch toleriert werden? Dies ist weniger eine IT- als vielmehr Business-Entscheidung, aber beide Verantwortungsbereiche müssen eng zusammenarbeiten, auch weil die Antworten für verschiedene Systeme im selben Betrieb unterschiedlich ausfallen können. Eine 24/7 Handelsplattform hat andere Anforderungen wie relativ unkritische Videos auf einer Webseite der Unternehmenskommunikation. Deshalb ist die Datenklassifizierung auch ein zentraler Faktor, um die Geschäftsrisiken und den Schutzbedarf konkreter zu definieren.
Wenn es um Ransomware-Schutz geht, sind die Konzepte im Prinzip wie bei anderen Arten von Disaster Recovery (DR-)Anwendungsfällen zu sehen. In beiden Fällen geht es darum, die wahrgenommenen Risiken so weit wie möglich zu mindern, ohne mehr als nötig dafür Geld auszugeben bzw. Ressourcen zu allokieren. Im Folgenden dazu einige Hinweise und Auszüge aus dem Quantum Whitepaper „Defending Data Against Ransomware. Best Practices for the Worst-Case Scenario“. (1)
Die beste Verteidigung besteht danach nicht aus einer einzelnen Technik oder Technologie, sondern basiert auf der Überlagerung mehrerer verschiedener, sich ergänzender Ansätze. Ziel ist es, einem Angreifer den Einstieg zu erschweren und im Erfolgsfall den potenziellen Schaden zu begrenzen. Die Ransomware-Prävention umfasst viele Ebenen und laut den Experten sind Schulungen extrem wichtig, gerade um das Bewusstsein dafür zu schärfen und die Menschen in der Organisation für die Bedrohung und die möglichen Folgen eines Angriffs zu sensibilisieren.
Der Schutz von Daten sollte mehrschichtig konzipiert sein
"Nicht alle Angriffe sind gleich raffiniert und es ist wichtig, sich so schnell wie möglich erholen zu können. Bei komplexeren Angriffen müssen möglicherweise Daten aus Backups wiederhergestellt werden, die auf einer Deduplizierungs-Appliance gespeichert sind. Falls Backup-Systeme kompromittiert sind, lassen sich mit File-Lock- oder Object-Lock-Technologien gespeicherten intakten Kopien meist schnell restoren. Offline-Kopien dauern in der Wiederherstellung meist länger als die Online-Methoden und die neuesten Daten sind möglicherweise auch nicht geschützt.
Eine echte Offline-Kopie jedes Datensatzes, so aktuell wie nötig (wie während der Datenklassifizierung und den RTO/RPO-Diskussionen definiert), ist ein wichtiges Sicherheitsnetz.
Nach Ansicht von Quantum ist ferner die Aufbewahrungszeit von Offline-Kopien ebenfalls wichtig, denn Angreifer warten manchmal monatelang darauf, Netzwerke zu erkunden und Schwachstellen ausfindig zu machen.
Das Wiederherstellen von Backups, die Malware enthalten, verschwendet nur Zeit. Eine lange Aufbewahrung – Monate bis Jahre – für zumindest einige der Offline-Kopien, maximiert die Chancen, dass nicht-infizierte Daten wiederhergestellt werden können.
Die Tabelle zeigt generisch verschiedene Schutzebenen mit unterschiedlichen Speichertechnologien (Anmerkung: Nicht berücksichtigt darin sind die Unterschiede zwischen bestimmten Anbieterimplementierungen).
(1) Quelle / Link: Quantum White Paper „Defending Data Against Ransomware. Best Practices for the Worst-Case Scenario“, Tabelle 3.
Link > https://www.quantum.com/en/solutions/enterprise-backup-and-archive/ransomware-recovery/
Verschiedene Schutzstufen gegen Ransomware
Jedes Unternehmen sollte bereits mehrere dieser Schutzmethoden für standardmäßige Backup- und DR-Zwecke eingerichtet haben, noch bevor über den Ransomware-Schutz diskutiert wird. Da WORM-Bandmedien nicht wiederverwendet werden können, hängen die Kosten von der Häufigkeit der Verwendung und der Änderungsrate der Daten ab.
Wenn zusätzliche Schutzebenen hinzugefügt werden, muss der RPO-Wert für jeden Datensatz auf das Risiko und die Geschäftsanforderungen abgestimmt werden. RPO definiert in diesem Fall die Datenmenge, die bei einem Ransomware-Angriff verloren werden kann. Wenn Sie beispielsweise eine kritische Anwendung mit einem RPO von weniger als einem Tag haben, wäre es ratsam, eine täglich auf Band kopieren und diese Kopie mindestens einige Monate lang aufbewahren.
Tip: Bewahren Sie nach einigen Monaten eine Kopie pro Woche für 6 Monate bis zu einem Jahr auf. Dies stellt sicher, dass Sie, wenn Sie feststellen, dass Malware in Ihren Backups schlummert, immer noch eine Wiederherstellung mit angemessener Granularität durchführen können.
Bandbibliotheken müssen wie jedes Datenspeichersystem maximal abgesichert sein. Die Daten auf Tape-Systemen sind als offline gehaltenes Medium zwar nicht mit dem Netzwerk verbunden und deshalb in aller Regel auch sicherer. Allerdings bleibt die Tape Library selbst an das Netz angeschlossen, sodass im Fall eines Angriffs auf die Library ein gewisses Risiko bestehen bleibt. Ransom Block und Logical Tape Blocking sind dazu Teile eines umfassenden Security Frameworks."
Fazit: Cyber-Crime Angriffe werden immer häufiger und machen eine zu 100% lückenlose Prävention wohl unmöglich. Entscheidend ist deshalb, für den Fall der Fälle eine sichere Offline-Kopie von sauberen Daten zu besitzen, die nicht kompromittiert werden kann. Speicher-Systeme unter Einbeziehung von Magnetbändern sind in der Praxis bewährte und sichere Technologien und dafür sehr gut geeignet, insbesondere vor dem Hintergrund stetig steigender Energiekosten, egal ob vor-Ort oder in der Cloud.
Weitere Querverweise zum Thema:
In unserem Tech-Podcast nachgefragt> Mehrschichtige Backup-Architektur gegen Ransomware & Co.
Unser Beitrag > Wie sich Backups mit Immutable Storage gegen Ransomware absichern lassen
Unser Beitrag > Wie Handelsunternehmen ihre Daten vor Cyberattacken effektiver schützen können