Suchen

IT-Resilienz IT-Umgebungen widerstandsfähig machen

| Redakteur: Peter Schmitz

Angesichts immer raffinierterer Cyberangriffstaktiken gewinnt das Thema Resilienz, also die Frage, wie sich IT-Umgebungen widerstandsfähiger machen lassen, an Bedeutung. Insbesondere Ransomware-Angriffe stellen Unternehmen immer wieder vor große Probleme.

Firmen zum Thema

Aktuelle Cyberbedrohungen wie Ransomware, die es auf Daten und sogar Backups abgesehen haben, fordern von Unternehmen eine zeitgemäße Abwehrstrategie.
Aktuelle Cyberbedrohungen wie Ransomware, die es auf Daten und sogar Backups abgesehen haben, fordern von Unternehmen eine zeitgemäße Abwehrstrategie.
(Bild: gemeinfrei / Pixabay )

Wer bei einem Ransomware-Angriff auf die Lösegeldforderungen der Erpresser nicht eingeht, riskiert einen längeren Ausfall des Betriebs. Wer zahlt, befeuert damit weiter ein lukratives Geschäftsmodell der Cyberkriminellen – und kommt im schlimmsten Fall dennoch nicht an seine Daten.

Backups sind ein Ausweg aus dem Dilemma, was jedoch eine zuverlässige und schnelle Wiederherstellung voraussetzt. Die Wiederherstellung mittels herkömmlicher Backup-Lösungen ist in der Regel komplex und zeitaufwändig. Zunächst geht es darum, herauszufinden, wann die Verschlüsselung erfolgte und welche Dateien betroffen sind. Entscheidend ist das aktuellste Backup vor dem Angriff, das wiederhergestellt werden muss. Wenn jedoch große Datenmengen betroffen sind, zieht sich die Wiederherstellung mit herkömmlichen Mitteln, etwa von Band auf Festplatte, in die Länge. Die Angreifer hätten dann zumindest das Ziel erreicht, den Geschäftsbetrieb erheblich zu stören.

Unveränderlichkeit der Backups und schnelle Wiederherstellung sind entscheidend

Hinzukommt, dass versierte Angreifer bereits gezielt Backup-Dateien ins Visier nehmen. Deswegen gilt es unbedingt sicherzustellen, dass Backups durch Ransomware, aber auch andere bösartige oder versehentliche Eingriffe gar nicht erst verändert werden können. Ideal sind unveränderliche Backups, damit Ransomware niemals auf die Backups zugreifen und diese verschlüsseln kann. Genau dies leistet eine Plattform für Cloud Data Management (CDM) oder neuerdings auch Multi-Cloud Data Control. Die darauf verwalteten Daten sind niemals in einem änderbaren Format verfügbar, so dass sie auch nicht von einem externen böswilligen Akteur gelesen, geändert oder gar verschlüsselt werden können.

Eine zeitgemäße Datenmanagementlösung wie diese basiert auf einem unveränderlichen Dateisystem mit einem Zero-Trust-Cluster-Design, in dem Operationen nur über authentifizierte APIs mittels Remote Procedure Calls durchgeführt werden können. Herkömmliche Lösungen hingegen verwenden oft Allzweckspeicher, die Standardprotokolle wie NFS und SMB nutzen. Dadurch wird das Backup-Speichersystem anfällig für Bedrohungen wie Ransomware.

Das größte Problem im Falle von Ransomware ist die Wiederherstellung. Eine CDM-Plattform rationalisiert den Prozess der Identifizierung und Wiederherstellung betroffener Daten. Mittels einer Live-Mount-Funktionalität lassen sich sofortige Wiederherstellungen auf Dateiebene durchführen, ohne dass eine Rehydrierung erforderlich ist. Um die betriebliche Effizienz weiter zu steigern, können Benutzer im Idealfall mit RESTful-APIs auch Automatisierungs­frameworks wie ServiceNow Incident Response nutzen.

Die Live-Mount-Funktion liefert RTOs (Recovery Time Objectives) von nahezu null, um den Datenzugriff für eine sofortige Wiederherstellung zu beschleunigen. Benutzer können Dateien, Objekte und Tabellen sowohl aus VMs als auch aus physischen SQL Server- und Oracle-Datenbanken durchsuchen und wiederherstellen. Ein zugrundeliegendes modernes Cloud-Scale-Dateisystem verfügt dabei über integrierte Zero-Byte-Klonierungsfunktionen, die den Speicherverbrauch minimieren und gleichzeitig die Erstellung einer beliebigen Anzahl von Mounts ermöglichen.

KI-basierte Früherkennung von Änderungen in Backup-Daten

Eine ergänzende, ebenfalls zeitgemäße Lösung ist eine App zur KI-basierten Früherkennung von Änderungen in Backup-Daten. Diese wird bereitgestellt über eine SaaS-Plattform als einheitliches System für alle Geschäftsanwendungen und -daten. Dieser Ansatz umfasst Gegenmaßnahmen auf mehreren Ebenen, wie beispielsweise Anomalie-Erkennung, Datenanalyse und sofortige Wiederherstellung. Eine solche App arbeitet in Verbindung mit einem mehrschichtigen Sicherheitsansatz, indem sie eine zusätzliche Dimension der Aufklärung bietet, welche Daten betroffen sind. Das zugrundeliegende System warnt vor ungewöhnlichem Verhalten und verwendet maschinelle Lernalgorithmen. So verbessert sich die Effizienz im Laufe der Zeit kontinuierlich, um neuen Bedrohungen immer einen Schritt voraus zu sein. Im Falle eines Ransomware-Angriffs, bei dem die Akteure die Sicherheitsbarrieren überwunden haben, ist somit sowohl eine frühzeitige Erkennung als auch schnelle Wiederherstellung gewährleistet.

Die App nutzt maschinelles Lernen, um Verhaltensmuster von Daten im Laufe der Zeit zu verstehen. Bei ungewöhnlichem Verhalten, wie etwa einem Sicherheitsvorfall, alarmiert sie Benutzer sofort, damit sie schnell reagieren können, um Ausfallzeiten zu minimieren und notfalls gar den Zugriff zu verhindern. Anhand von Algorithmen des maschinellen Lernens auf Basis historischer Daten erstellt die App ein normales Basismuster für jedes spezifische Endgerät. Sie überwacht dann die Änderungsraten von Dateiinhalten, um Ausreißer zu markieren und eine Warnung für die SaaS-Benutzeroberfläche zu erzeugen. Für jeden Snapshot analysiert die App mehrere Dateieigenschaften, darunter die Dateiänderungsrate, inkonsistente Inhalte und Dateitypen sowie Änderungen an einer Datei und idealerweise Verschlüsselungen. Dieses maßgeschneiderte maschinelle Lernmodell wird im Laufe der Zeit für jeden Kunden individuell entwickelt, ohne Auswirkungen auf die Produktionsumgebung, da alle Analysen in der Cloud über ein SaaS-Datenrepository, das als einheitliches Datensystem dient, durchgeführt werden.

Sobald das System eine bösartige Anomalie erkennt, folgt eine Analyse, welche Dateien oder Anwendungen betroffen sind. Dies beginnt mit dem Vergleich des Snapshots nach einem Angriff mit dem Snapshot unmittelbar vor dem Ereignis. So wird sichtbar, was möglicherweise hinzugefügt, gelöscht oder verändert wurde. Die Benutzeroberfläche zeigt auch das zuletzt erstellte unveränderte Backup an, so dass die Wiederherstellung sofort beginnen kann.

Schnellere Wiederherstellung

Die Identifizierung von kompromittierten Anwendungen und Dateien ist auf herkömmliche Weise meist ein sehr zeitaufwändiger manueller Prozess. Eine SaaS-App hilft Benutzern, den gesamten Umfang des Angriffs zu visualisieren. Dies ermöglicht eine schnellere Wiederherstellung auf Dateiebene, wodurch der Datenverlust durch eine Massenwiederherstellung minimiert wird. Benutzer können die gesamte Ordnerhierarchie durchsuchen und jeden Ordner mit der Anzahl der hinzugefügten, gelöschten oder geänderten Dateien markieren. Dank dieser Transparenz entfällt die Notwendigkeit, vollständige Systemwiederherstellungen durchzuführen.

Die effektivste Strategie für bessere Cyber-Resilienz und insbesondere zur Verteidigung gegen Ransomware ist „Defense in Depth“. Diese sieht vor, Unternehmen bei der Bekämpfung von Cyberbedrohungen durch einen ganzheitlichen, mehrschichtigen Schutz zu unterstützen. Die Nutzung eines Cloud-Data-Management-Systems in Verbindung mit einer Analyse-App ermöglicht eine Wiederaufnahme des Geschäftsbetriebs innerhalb von Minuten oder Stunden statt erst in mehreren Tagen. Da die Daten in einem unveränderlichen Format vorgehalten werden, kann Ransomware nicht auf die Backups zugreifen und diese verschlüsseln.

Über den Autor: Roland Rosenau ist SE Manager EMEA Central and West bei Rubrik.

(ID:46836502)