:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Rubrik erläutert den Hintergrund unveränderbarer Backups So laufen Ransomware-Attacken ins Leere
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/76/607696cf2c231/rubrik.png "rubrik.png (Rubrik)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Eine schnelle Wiederaufnahme des Geschäftsbetriebs nach Ransomware-Angriffen ist möglich, wenn gewährleistet ist, dass die Backup-Daten unveränderbar sind.
Cyberangriffe durch Ransomware sind seit Jahren in den Schlagzeilen. Immer wieder wird von betroffenen Unternehmen berichtet, die nicht mehr auf ihre geschäftskritischen Daten zugreifen können. „Obwohl vielerorts in zahlreiche Schutzinstrumente investiert wurde, finden Erpresser dennoch weiterhin Möglichkeiten, um wichtige Unternehmensdaten zu verschlüsseln – es genügt schon ein Mitarbeiter, der aus Versehen ein gefährliches Attachment öffnet“, erklärt Roland Rosenau, SE Manager EMEA Central bei Rubrik. „Dies ist kein Geheimnis, denn selbst die führenden IT-Sicherheitsanbieter geben offen zu: 100 Prozent Schutz vor Eindringlingen gibt es nicht.“
Daher stellt sich die Frage, wie man eine Ransomware-Attacke ins Leere laufen lassen kann, selbst wenn der Angreifer schon erfolgreich in die jeweilige IT-Infrastruktur eingedrungen ist. Die Antwort hat nur sieben Buchstaben: Backups. Nur ein auf Unveränderlichkeit ausgerichtetes Dateisystem verhindert dabei den unbefugten Zugriff oder die Löschung von Backups und ermöglicht es IT-Teams, den letzten „sauberen“ Zustand der Daten mit minimaler Unterbrechung des Geschäftsbetriebs schnell wiederherzustellen.
Ransomware soll Daten so verschlüsseln, dass sie nicht mehr verwendbar sind. Häufig bedeutet dies die Verschlüsselung von Daten, die auf dem Primärspeicher vorgehalten werden, was massive Anstrengungen zur Datenwiederherstellung von Bandspeicher oder anderen Archiven erfordert. Zusätzlich führen die Angreifer eine Verschlüsselung auf niedrigerer Ebene des Master Boot Record (MBR) oder auf Betriebssystemebene durch, um das Booten und andere gängige Operationen zu blockieren. In virtualisierten Umgebungen ist der gemeinsam genutzte Datenspeicher, der zum Hosten virtueller Maschinen verwendet wird, ein primäres Ziel, wie zum Beispiel bei NFS-unterstützten Datenspeichern. Dadurch können kritische Dienste effektiv lahmgelegt werden. Die Angreifer verlangen dann ein Lösegeld, um die Daten oder Systeme freizugeben.
Entscheidend sind unveränderbare Backups
Datensicherungen sind generell eine effektive Methode zur Wiederherstellung von Daten, die durch den Angriff gesperrt/verschlüsselt wurden. Was aber, wenn die Sicherungsdaten ebenfalls verschlüsselt oder durch einen Ransomware-Angriff gelöscht wurden? Wie stellen Unternehmen sicher, dass ihre Sicherungsdaten nicht für diese Angriffe anfällig sind?
Während primäre Speichersysteme offen und für Clientsysteme verfügbar sein müssen, sollten Backup-Daten unveränderbar sein. Das bedeutet, dass einmal geschriebene Daten von den Clients im Netzwerk nicht mehr geändert oder gelöscht werden können. Dies ist die einzige Möglichkeit, die Wiederherstellung sicherzustellen, wenn die Produktionssysteme kompromittiert werden. Dies geht weit über einfache Dateiberechtigungen, Ordner-ACLs oder Speicherprotokolle hinaus. Das Konzept der Unveränderbarkeit muss in die Backup-Architektur „eingebacken“ werden, damit die Backups nicht manipuliert werden können.
Führende Anbieter zeitgemäßer Data-Management-Lösungen verwenden eine auf unveränderbare Daten ausgelegte Architektur, die ein „Immutable“-Dateisystem mit einem Zero-Trust-Cluster-Design kombiniert. Alle Datenoperationen können nur über authentifizierte APIs durchgeführt werden. „Den Ansatz der unveränderlichen Backups haben wir von Anfang an verfolgt“, berichtet Rosenau. „Eine der ersten Designentscheidungen von Rubrik war die Konstruktion von Atlas, einem unveränderbaren Dateisystem im Userspace (FUSE), das weitgehend POSIX-konform ist.“
Atlas ist als ein verteiltes und unveränderbares Dateisystem zum Schreiben und Lesen von Daten für andere Dienste konzipiert. Dies ermöglicht eine strenge Kontrolle darüber, welche Anwendungen Informationen austauschen können, wie jeder Datenaustausch abgewickelt wird und wie die Daten über physische und logische Geräte angeordnet werden. Die Unveränderbarkeit wird über zwei Schichten bereitgestellt: die logische Schicht (Patch-Dateien, Patch-Blöcke) und die physische Schicht (Stripes, Chunks). Die Dynamik zwischen diesen beiden Schichten wird in den nächsten Abschnitten näher erläutert.
Die logische Schicht
Alle in das System eingebrachten Kundendaten werden in eine proprietäre Sparse-Datei, eine so genannte Patch-Datei, geschrieben. Es handelt sich dabei um reine Append-only Files (AOFs), was bedeutet, dass Daten nur in die Patch-Datei aufgenommen werden können, wenn diese als offen markiert ist. Alle Snapshot- und Journal-Daten werden in Atlas gespeichert, was die Verwendung von Patch-Dateien in der zugrundeliegenden Verzeichnisstruktur erzwingt. Dieses Dateisystem verweigert Schreibvorgänge auf API-Ebene, die nicht nur angehängt werden, wie zum Beispiel Situationen, in denen der Schreibversatzwert (Write Offset Value) nicht der Dateigröße entspricht. Atlas hat die vollständige Kontrolle darüber, wie und wo Daten von Clients geschrieben werden.
Wenn Backup-Daten verändert wurden, sind sie im Prinzip wertlos. Dieses Problem wird gelöst, indem gewährleistet ist, dass für jeden Patch-Block innerhalb einer Patch-Datei Prüfsummen generiert werden. Diese Prüfsummen werden berechnet und in eine Fingerprint-Datei geschrieben, die zusammen mit der Patch-Datei gespeichert wird. Rubrik führt immer eine „Fingerabdruckprüfung“ durch, bevor eine Datentransformation erfolgt, damit die Originaldatei während der Leseoperationen intakt bleibt.
Um einem Ransomware-Angriff entgegenzuwirken, müssen die ursprünglichen, validierten Daten aus dem Backup wiederhergestellt werden. Rubrik verifiziert routinemäßig die Patch-Blöcke anhand ihrer Prüfsummen, um die Datenintegrität auf der Ebene der logischen Patch-Blöcke sicherzustellen. Die Patch-Dateien sind keinen externen Systemen oder Kundenadministratorkonten ausgesetzt. Somit wird akribisch darauf geachtet, genau das wiederherzustellen, was ursprünglich gespeichert wurde.
Beim herkömmlichen Ansatz hingegen wird administrativer Zugriff auf das Dateisystem gewährt, insbesondere bei der Verwendung von Allzweckspeichern. Dies bringt weitere Herausforderungen mit sich und öffnet einen weiteren Angriffsvektor für „Leakware“. Darüber hinaus stellen viele andere Lösungen einfach die Daten wieder her, die sich im Backup-Ordner oder -Volume befinden, ohne dass eine Validierung und andere notwendige Überprüfungen der Daten durchgeführt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1704400/1704410/original.jpg "Auf dem Weg zur unkomplizierten Datensicherung: Rubrik. (gemeinfrei)")
Backup-Spezialist Rubrik intensiviert Europageschäft
„Auf Enterprise-Kunden fokussieren“
Die physische Schicht
Während sich die logische Schicht auf die Datenintegrität auf Dateiebene konzentriert, konzentriert sich die physische Schicht auf das Schreiben von Daten auf dem unveränderbaren Cluster, um Datenintegrität und Datenstabilität zu erreichen. Zu diesem Zweck werden Patch-Dateien logisch in Segmente fester Länge, sogenannte Stripes, unterteilt. Beim Schreiben von Stripes berechnet die AOF eine Prüfsumme auf Stripe-Ebene, die sie in den einzelnen Stripe-Metadaten speichert.
Die Stripes werden weiter in physische Chunks unterteilt, die auf physischen Platten innerhalb des Rubrik-Clusters gespeichert sind. Aktivitäten wie die Replikations- und Löschcodierung finden auf der Chunk-Ebene statt. Genau wie bei Patch-Dateien wird beim Schreiben jedes Chunks eine Chunk-Prüfsumme berechnet und in den Stripe-Metadaten neben der Liste der Chunks gespeichert.
Zero-Trust-Cluster, gesicherte Kommunikation und authentifizierte APIs
Herkömmliche Ansätze zur Clustersicherheit beruhen oft auf einem „Full Trust“-Modell, bei dem alle Mitglieder des Clusters miteinander kommunizieren können. In einigen Fällen beinhaltet dies Autorität auf Root-Ebene, keine gegenseitige Authentifizierungsprüfung und die Möglichkeit, Daten, die im Dateisystem gespeichert sind, zu lesen oder zu ändern. Dies schafft eine empfindliche Angriffsfläche, wenn eine Architektur eigentlich nach dem „Defense in Depth“-Prinzip entworfen werden soll. Wenn Backup-Daten kompromittiert werden können, gibt es keinen Pfad zur Wiederherstellung.
Jeder Cluster hat eine bestimmte Anzahl von Knoten, die miteinander kommunizieren müssen. Das bedeutet, dass jeder Knoten, der Daten austauschen möchte, validiert werden muss. Bei vielen Lösungen gibt es wenig bis gar nichts, um die Kommunikation zwischen den Knoten zu schützen. Rubrik verwendet für die gesamte Kommunikation innerhalb der Knoten und zwischen den Clustern sowie für die Kommunikation mit externen Anwendungen das TLS-Protokoll mit zertifikatsbasierter gegenseitiger Authentifizierung.
Wesentlich ist zudem ein API-first-Design als Teil der Architektur. An allen Endpunkten, die für den Betrieb der Lösung verwendet werden, ist eine Authentifizierung erforderlich. Diese kann über Zugangsdaten oder sichere Token erfolgen. Dazu gehören Umgebungen, die rollenbasierte Zugriffskontrolle (RBAC) oder Multi-Tenancy-Funktionen verwenden, um die verwalteten Rollen, Funktionen und Ressourcen logisch aufzuteilen. Die CLI (Command Line Interface), SDKs (Software Development Kits) und andere Tools nutzen die API und unterliegen denselben Sicherheitsanforderungen.
Schlussfolgerung
Zahlreiche Experten sprechen sich öffentlich für eine „Defense in Depth“-Strategie aus. Diese umfasst die Schulung des Sicherheitsbewusstseins von Mitarbeitern, die schnelle Bereitstellung von Patches und einen soliden Backup-und-Recovery-Plan.
„Wichtig ist es auf jeden Fall, die technologischen Hintergründe zu verstehen. Die Vorteile einer Kombination aus Datenunveränderbarkeit und einem Zero-Trust-Cluster-Design sollten bekannt sein“, fasst Rosenau zusammen. „Unternehmen müssen in der Lage sein, Ransomware-Angriffe ohne Schaden zu überstehen, um minimale Ausfallzeiten ihrer kritischen Dienste zu gewährleisten. Eine Architektur, die unveränderbare Backups garantiert, gibt Unternehmen die Gewissheit, bei Bedarf jederzeit auf ihre Daten zugreifen zu können, um den Geschäftsbetrieb fortzusetzen.“
*Der Autor: Achim Freyer, Regional Director Central and Eastern Europe bei Rubrik
(ID:46696879)
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942512/original.jpg "Rubrik gibt seinen Kunden eine Garantie für Ransomware-Recovery in Microsoft Azure. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937629/original.jpg "Wenn Cyberkriminelle ungepatchte Schwachstellen finden, können sie mit Ransomware den SAP-Systemen vieler Unternehmen empfindlichen Schaden zufügen. (yingyaipumi - stock.adobe.com)")