Starnberg, 21. Febr. 2023 - Backup-Umgebungen werden verstärkt zum Ziel von Angriffen; mehrstufiger Ansatz, S3 Object Lock und unveränderliche Offline-Datenkopien auf Tape...

Zum Inhalt dieses Blogpost: Wer kann heute sichere Daten garantieren? Etwa die Cloud oder Zero-Trust-Prinzipien? Wohl im Prinzip niemand zu 100%, denn der Faktor Mensch ist noch immer die entscheidende Schwachstelle und oftmals gar nicht so sehr die Technik. Aber: der konsequente Einsatz moderner Sicherungssysteme (HW/SW), kombiniert mit der Vorgehensweise, wichtige Kopien (Backups) von kritischen Daten sicher offline zu halten, kann vor Ransomware & Co. schützen. Ein mittels Air-Gap geschütztes System soll dazu nicht physisch mit einem externen Netzwerk verbunden sein.

Der Vorteil von Offline-Kopien liegt einfach gesagt darin, dass auf sie nicht zugegriffen werden kann, ohne dass jemand vorher explizit den Zugriff ermöglicht (z.B. Speichermedien aus einem System oder Library entnehmen). Dies kann über geeignete Verfahren und Maßnahmen abgesichert werden (siehe unten) und ist nicht online über einen Code einfach auszuführen.

Ransomware-Schutz heißt anders ausgedrückt auch zu verhindern, dass kritische Daten vor dem Ablauf ihres Lifecyles kompromittiert werden. Moderne Verfahren sichern dazu virtuelle Maschinen über S3 direkt auf einen Objektspeicher on-premise und-/oder in der Cloud. Stichwort: unveränderliche Speicherung (immutable storage) über einen mehrstufigen Schutz mit S3 Object Lock. Prinzipiell sind jedoch auch sie angreifbar, falls das O/S des Speichersystems oder die zur Unveränderlichbarkeit der Daten verwendete Software selbst gehackt-/komprimittiert werden sollte. Das ist zwar unwahrscheinlich, aber möglich (mal sehen, was uns die KI hier künftig noch bescheren wird).

Eine sichere Lösung sollte deshalb Teil einer umfassenderen Architektur sein, die eine Offline-Kopie von Backup-Daten auf Medien wie Tape als externen Datenträger erforderlich macht. Nur offline gehaltene Daten bieten einen vollständigen Schutz vor Ransomware und anderen Fernangriffen. Backup-Softwareanbieter verweisen in diesem Zusammenhang auf die favorisierte 3-2-1-(1-0) Regel, das bedeutet 3 verschiedene Datenkopien auf 2 verschieden Medien; dazu auf einem Off-site medium; dazu ein offline medium (air-gapped, verschlüsselt) und null (0) Fehler nach verifiziertem Backup-Recovery-Prozess (die letzten beiden Punkte "1-0" geht auf eine Veeam-Empfehlung-/Nomenklatur zurück).

Diesen Beitrag als Podcast hören (ca. 8.0 min.) > https://podcasts.apple.com/de/podcast/strategien-gegen-angriffe-auf-wichtige-backupdaten/id81294878?i=1000601410866

Kritische Anwendungsdaten über S3 direkt auf einen Objektspeicher mit HDD und Flash zu sichern, ist ebenfalls eine sinnvolle Lösung, um die Lücke zwischen Datenwachstum und Infrastrukturbudget zu schließen. Bei immer mehr kalten inaktiven Massendaten kann es dann erforderlich werden, unter Einbeziehung von Tape-Ressourcen eine logisch konsolidierte Datenverwaltung aufzubauen. Native Objektdateien können dazu im Rahmen von ILM-Policies von der Festplatte auf Band (und bei Bedarf wieder zurück) migriert werden.

Object Storage mit HDDs für kalte und warme Daten sowie aktive Daten auf Flash Storage und im Backend die Sicherung sowie Archivierung großer Datenbestände und cold data auf vorzugsweise Tape verbessert nicht nur die Datensicherheit und senkt Speicherkosten, sondern reduziert auch CO2-Emissionen. Wenn 100 PB an Daten zehn Jahre lang gespeichert werden, verursacht dies auf Magnetband 95 % weniger CO2-Emissionen (ca. 2.400 Tonnen) als die Speicherung auf Festplatten (Quelle: Brad Johns Consulting, LLC "Improving Information Technology Sustainability with Modern Tape Storage"). Betriebe mit vielen inaktiven Massendaten gehen auch dazu über, diese „kalten“ Teile des Datenbestands auf Band bzw. die Cloud zu migrieren, um ihre Kosten zu senken.

Bandspeicher als Lagerort für sichere Backups und inaktive Daten

Offline gehaltene Band-Biblotheken für umfangreiche Langzeitarchive und kritische Sicherungsdaten schaffen jedenfalls eine klare Trennung zwischen Daten und Netzwerken - Air Gap - es existiert keine direkte Verbindung zur Malware, unabhängig davon, ob die physischen Bänder bei einem Dienstleister oder vor Ort aufbewahrt werden. Bandkassetten sind zudem portabel, stromlos aufzubewahren und im Falle einer Katastrophe relativ zügig wiederherstellbar. Beispiel LTO-9: das neue Medium ermöglicht eine Hochgeschwindigkeits-Datenübertragung mit bis zu 1.000 MB/Sek. (400 MB/Sek. für nicht komprimierte Daten). Zudem liefert die Technik laut Anbieter hochwertige Rücklesesignale bei niedriger Fehlerrate. Ein beschleunigter Lebensdauertest hat gezeigt, dass Magnetbänder mit BaFe-Magnetpartikel stabile magnetische Eigenschaften für über 50 Jahre beibehalten können (Quelle: Technisches Komitee für Bandspeicher der JEITA - Japan Electronics and Information Technology Industries Association).

Anders als bei HDDs oder SSDs sind die Daten auf Tape-Systemen typischerweise nicht mit dem Netzwerk verbunden, allerdings bleibt die Tape Library selbst an das Netzwerk angeschlossen. Im Falle eines Angriffs auf die Bandbiblothek ist damit ein gewisses Risiko verbunden. Bandbibliotheken, die sich innerhalb einer Anwendungspartition befinden, können mit Kenntnissen über die eingesetzten Systeme angegriffen werden; sie könnten die Backup- oder Archivierungsanwendung kopieren, um dann Daten auf dem Band zu löschen, zu überschreiben oder zu verschlüsseln. Was tun? Nach Informationen des Speicherspezialisten Quantum Corp. verfügen dessen Scalar-Bandbibliotheken aus diesen Gründen über einen speziellen "Active Vault"-Partitionstyp, den die Anwendung selbst nicht sehen oder darauf zugreifen kann, denn die Partition ist nicht direkt mit dem Netzwerk verbunden. (1)

Bevor die Bänder verwendet werden können, muss ein Administrator sie in diesem Prozess zuerst über die Bibliothek zurück in die Anwendungspartition verschieben. Um die Daten auf den Bändern zu kompromittieren, die in einer Active Vault-Partition gespeichert sind, benötigt ein Angreifer somit Kenntnisse über die Umgebung und die Fähigkeiten, ein Bibliotheks-Administratorkonto für seine Zwecke unauffällig zu manipulieren. Nach Angaben von Quantum macht die Verwendung von Zwei-Faktor-Authentifizierung dies aber äußerst unwahrscheinlich (Anmerkung: zu den Spezifikationen der LTO-Generation 9 gehören generell die Unterstützung mehrschichtiger Sicherheit mit hardwarebasierter Verschlüsselung, unveränderliche WORM-Funktionalität (Write-Once, Read-Many) und schneller Datenzugriff mit dem Linear Tape File System (LTFS). Außerdem ist es rückwärtskompatibel mit LTO-Kassetten der Generation 8).

Bildquelle: pixabay

Fazit und Empfehlung

Die Häufigkeit, mit der Kopien erstellt werden und wo und wie sie gespeichert werden, ist für die Sicherheit und den schnellen Restore entscheidend. Nur eine möglichst aktuelle Version von Offline-Kopien der kritischen Datensätze - gemäß der betriebsspezifischen RTO- und RPO-Kritierien festgelegt - kann im Fall der Fälle helfen. Wenn also alle Verteidigungsmaßnahmen umgangen wurden und Backups oder Cloud-Ressourcen nicht mehr zugreifbar sind, wird das den Unterschied machen. Wichtig ist auch die Länge der Aufbewahrungszeit von Offline-Kopien, denn professionelle Angreifer lassen sich bei ihren Angriffen gerne Zeit, um möglichst viel zu erreichen... Und letztlich müssen dann natürlich die Bandbibliotheken selbst hochsicher sein, da sie letztlich einzigartige, teils unternehmenskritische Daten mit einem potentiell langfristigen Nutzen für Backup- oder Archivierungszwecke repräsentieren.

Querverweis:

Unser Beitrag > Wie sich Backups mit Immutable Storage gegen Ransomware absichern lassen

Unser Beitrag > Unternehmensweite Backup- und Recovery-Softwarelösungen 2022: MQ von Gartner

Unser Beitrag > Wie eine globale Geo-Redundanz für Cloud-Infrastrukturen eingerichtet werden kann

+++ Anzeige +++

Bericht zu Cyber-Bedrohungen: Web Talk am 28. Februar von Hiscox und Quantum:

Link mit weiteren Informationen > https://storageconsortium.de/content/node/5550

Anhang:

(1) Quelle: Quantum Scalar Tape Library, Security-Related Features - Defending Data Against Ransomware - Best Practices for the Worst-Case Scenario. Quantum Corp. White paper, 2021.

• Support for long (64 character) and complex passwords
• Support for user authentication using LDAP and secure LDAP
• Configurable time-limited reverse tunnel for Support access
• Prevents discovery of the tape library via ‘ping’
• Support for LTO tape encryption, including FIPS-validated
• Support for application-based or centralized SKM or KMIP Mgmt
• Choice of one key per tape, partition, or library
• Notify on expected and/or unexpected media removal events
• Secure, isolated partition not visible to applications or network
• Monitors tape health, alerts & takes action on suspect or bad media
• Alerts if temperature or humidity fall outside safe range for media
• Log user activity, library configuration changes, and more
• Every FW release tested with multiple security scanners, Cloud-Based
• Analytics (CBA) portal scanned weekly
• New library firmware is authenticated prior to being installed
• Library alerts operator when updated firmware is available
• Support for sending log events to a remote syslog server
• Security and health information may be monitored via SNMP
• Support for LTO WORM media.