Wie sich Backups mit Immutable Storage gegen Ransomware absichern lassen

Starnberg, 29. Nov. 2022 - Wertvolle Datenkopien müssen sicher vor Hackerangriffen und Manipulationen sein; die Unveränderlichbarkeit von Daten ist entscheidend...

Zum Hintergrund: 223 Milliarden Euro an Schaden verursachen Cyberangriffe laut Bitkom inzwischen p.a. für die deutsche Wirtschaft und davon gehen ca. 20 Prozent zurück auf Ransomware und Erpressungssoftware! Und im Durchschnitt dauert es laut der Enterprise Strategy Group (ESG) über sieben Tage, bis ein Unternehmen seine Daten vollständig wiederherstellen kann, was den Geschäftsbetrieb erheblich beeinträchtigt. Nachfolgend eine kurze Übersicht mit einer Auswahl an Querverweisen / Links zum (leider) Dauerbrenner-Thema Backup-Restore im Zusammenhang mit Cyberschutz-Maßnahmen.

Datensicherung als letzte Verteidigungslinie

Ein wesentlicher Aspekt einer erfolgreichen Datensicherungs-Strategie ist, dass alle wichtigen Daten auf einer sicheren Backup-Plattform gespeichert werden, um vor Hackerangriffen und Manipulationen geschützt zu sein. Backup-Daten werden dazu innerhalb von sog. „Immutable“ Storage-Umgebungen aufbewahrt, in denen nichts verändert, verschlüsselt, gelöscht oder sonst wie manipuliert werden kann.

Nach Ansicht von Experten (1) ist es heute sinnvoll, über die bisherige 3-2-1-Regel hinaus das 3-2-1-1 Prinzip anzuwenden. Jede Organisation sollte dazu drei Kopien von wichtigen Daten besitzen, zwei davon auf verschiedenen Speichermedien, zusammen mit einer Offsite-Kopie plus einer unveränderlichen Off-line-Kopie an einem sicheren Ort mit sicherem Medium (air-gapped; immutable). In diesem Zusammenhang sind verschiedene Lösungsansätze am Markt verfügbar die auf mehrschichtige Strategien setzen, um sich vor Angriffen besser zu schützen. (1) Beispiel / Link > https://storageconsortium.de/content/content/podcast-mehrschichtige-backup-architektur-gegen-ransomware-co

Nach Meinung von Spezialisten* ist es in jeden Fall sinnvoll, Backup-Informationen zu entkoppeln, damit bei einem Angriff nicht alle Sicherheitskopien verschlüsselt werden. Das bedeutet, dass ein erfolgreiches Backup logisch und physisch getrennt zum nächsten Standort repliziert werden sollte. So liegen die Sicherheitskopien bei einer Verschlüsselung des primären Backup-Systems noch an unabhängigen Standorten. Bei der Architektur sollte darauf geachtet werden, dass das Datensicherungssystem nicht auf einem Windows-Betriebssystem basiert, Security-Updates mit wenigen Klicks auf allen Systemen verteilt werden können, ein nicht veränderlicher Backup-Speicher auf Hardwarebasis integriert ist und beide Systeme unabhängig voneinander operieren können. *Quelle / Link > https://storageconsortium.de/content/content/ma%C3%9Fnahmen-zum-schutz-vor-cyberangriffen

Mit einer abgesicherten und geschützten Offsite-Datensicherung verfügen Unternehmen dann über robuste Fähigkeiten, ihre Daten sicher wiederherzustellen. Wobei neben dem Aspekt "Sicherheit" noch die "Restore-Geschwindigkeit" entscheidet. Denn was nützen sichere Daten, wenn Anwendungen bzw. Geschäftstätigkeit nicht zeitnah wiederhergestellt werden kann?

Parameter hierfür sind Recovery Time Objective RTO und Recovery Point Objective RPO. Die Kennzahl RTO beschreibt die Zeit, in der eine Anwendung oder ein System etc. wiederhergestellt werden soll. Recovery Point Objective beschreibt vereinfacht den Zeitraum zwischen den Sicherungspunkten.

Zentral ist in jedem Fall die schnelle Wiederherstellbarkeit der kritischen Anwendungen und Daten, für die verschiedenste Verfahren zur Verfügung stehen. Diese reichen von Continuous Data Protection (CDP) für z.B. virtual machine Umgebungen** bis hin zu fortschrittliche KI-unterstützten Sicherungsverfahren über kontinuierliche inkrementelle Backups und Point-in-Time-Recovery-Optionen, die eine schnelle und einfache Wiederherstellung ermöglichen (near CDP), mit oder ohne der Cloud.

** Querverweise: Blogpost > Kontinuierlicher Datenschutz (CDP) zur Modernisierung von Backup- und D/R-Verfahren

 

Bildquelle: pixabay.com/de

 

Container-Umgebungen, Kubernetes und Immutable Storage für AWS S3

Auch weil inzwischen immer mehr Daten in die Cloud verlagert werden, sind sie für zentralisiert arbeitende Datenschutzverantwortliche oft weniger sichtbar. Plattformen wie Kubernetes im Kontext von geschäftskritischen Anwendungen bedürfen deshalb einer verstärkten Aufmerksamkeit. Laut einer Untersuchung berichten 89 Prozent der befragten CISOs davon, dass Microservices, Container und Kubernetes zu blinden Flecken in der Anwendungssicherheit geführt haben. (2) Gerade isolierte Kubernetes Implementierungen werden dabei durch Ransomware zunehmend gefährdet.

(2)  Querverweis, Link > https://storageconsortium.de/content/content/ransomware-und-kubernetes-isolierte-implementierungen-zunehmend-gef%C3%A4hrdet

Ransomware-Angriffe auf Cloud-Implementierungen sind meist zielgerichtet und werden laut den Beteiligten häufig mit Daten-Exfiltration kombiniert. Damit wird ein doppeltes Erpressungsschema erzielt, um die Erfolgsaussichten zu erhöhen. (3) Entscheidend bei der Abwehr von Cyberangriffen und Ransomware ist es deshalb auch, wie schnell Angriffe erkannt und Gegenmaßnahmen eingeleitet werden können. Datenmanagement und Security sollten hier eng kooperieren, auch um schon frühzeitig Hinweise über laufende Attacken weitergeben zu können.

(3) Querverweis > https://storageconsortium.de/content/content/linux-basierte-cloud-systeme-im-ziel-von-ransomware-und-cryptojacking-angriffen

Mögliche Erweiterung von Objektdaten mit WORM (Write Once Read Many-) Funktionalität auf AWS S3-Cloud-Umgebungen

Durch die Unveränderlichkeit von Daten mit Hilfe einer "Object Lock" Funktion werden nicht nur Backup-Daten unveränderbar, sondern auch Compliance-Anforderungen erfüllt und letztlich der Schutz vor Ransomware erreicht.

Moderne Datenverwaltungs-Lösungen setzen zudem verstärkt auf KI und ML-Technologien, um Snapshots innerhalb der eigenen Infrastruktur zu überwachen sowie Anomalien im Backup mit Künstlicher Intelligenz (KI) zu erkennen. Ungewöhnliche Sicherungs- oder Zugriffsmuster sowie auffälliges anormales Verhalten lässt sich so leichter aufzuspüren.

Ein weiterer Punkt zum Abschluss betrifft das Verhalten von Betroffenen hinsichtlich Lösegeldzahlungen bei Ransomware-Angriffen. Im sog. Ransomware-Letter wird dazu von einem geostrategischen Risiko gesprochen, und gewarnt zu bezahlen. Siehe auch unser Querverweis > https://storageconsortium.de/content/content/antwort-von-cohesity-auf-offenen-brief-zu-ransomware-drei-wege-aus-der-l%C3%B6segeldfalle

 

Ein Fazit

Sichere Backups sind weiterhin das beste Mittel gegen Ransomware-Erpressungsversuche. Firmen sollten neben Anti-Malware-Software am Anfang immer eine robuste Backup-Strategie als letzte Verteidigungslinie wählen. Denn selbst wenn technische oder organisatorische Abwehrmaßnahmen scheitern Schadcodes aufzuhalten, so lassen sich die gekaperten Daten aus den Backups doch wiederherstellen.