Bei einem Ransomware-Angriff ist die „Verweildauer“ entscheidend, denn diese Zeitspanne erstreckt sich von dem Zeitpunkt, an dem der Angreifer die Firewall zum ersten Mal durchbricht, bis zu dem Zeitpunkt, an dem er sich zu erkennen gibt und vom Opfer Lösegeld fordert.
Ransomware-Angriffe folgen einem bekannten Muster: Zu Beginn gibt es eine Kampagnenphase. Hier werden Mitarbeiter mit Phishing-E-Mails angesprochen, die Links zu Malware enthalten, oder die Angreifer suchen nach Schwachstellen in Systemen, die mit dem Internet verbunden sind. Unabhängig von den eingesetzten Mitteln geht es in dieser Phase darum, ein Opfer zu finden und sich Zugang zu verschaffen.
Eindringen ist hier das Ziel – wenn Ransomware-Angreifer die Firewall überwinden, wird der Rest des Prozesses freigeschaltet, und die Verweildauer beginnt. Nach dem Eindringen sammeln die Ransomware-Angreifer Zugangsdaten für einen tieferen Zugriff und beginnen, sich seitlich auf den Systemen des Opfers zu bewegen.
Dabei verwenden sie häufig Tools, die auf legitimen Protokollen wie RDP (Remote Desktop Protocol) basieren, um aus der Ferne zu arbeiten und Command-and-Control-Funktionen einzurichten. In diesem Stadium identifizieren sie sensible Daten und beginnen mit der Bereitstellung von Softwarenutzdaten, um die Ausführungsphase durchzuführen, in der die Verschlüsselung und Exfiltration der Daten erfolgt.
Es ist davon ausgehen, dass es fast unmöglich ist, entschlossene Angreifer fernzuhalten. Daher liegt der Schlüssel zur Abwehr eines Ransomware-Angriffs in der Fähigkeit, den Zustand vor Beginn der Verweildauer wiederherzustellen, und zwar schnell. Konkret bedeutet dies die Verwendung von Snapshots und Backups und die Fähigkeit, die Daten daraus schnell wiederherzustellen.
Snapshots sind Aufzeichnungen des Systemzustands und der Daten, die in regelmäßigen Abständen während des Arbeitstages erstellt werden. Diese ermöglichen es einem Ransomware-Opfer, eine frühere Konfiguration mit einem hohen Grad an Granularität wiederherzustellen. Snapshots sind so konzipiert, dass sie nur minimale Auswirkungen auf die Produktionssysteme haben und werden daher oft auf oder in der Nähe des Primärspeichers gespeichert. Das bedeutet, dass Daten aus Snapshots in der Regel auch schnell wiederhergestellt werden können. Ein Unternehmen kann Snapshots aufbewahren, die ein oder zwei Monate zurückreichen.
Backups werden in der Regel viel länger aufbewahrt, und die Kopien werden seltener erstellt, in der Regel während regelmäßiger Backup-Fenster außerhalb der Arbeitszeiten. Sie werden fast immer auf einen sekundären Speicher ausgelagert und können bei der Wiederherstellung mehr Zeit in Anspruch nehmen.
Wenn die Umstände es zulassen, und insbesondere die Auswirkungen der Verweildauer, sind Snapshots der effektivste Weg, um sich von Ransomware zu erholen. So können sie schnell wiederhergestellt werden, vorausgesetzt, sie wurden nicht von den Ransomware-Angreifern sabotiert.
Snapshots müssen unveränderbar sein
So wie sie traditionell implementiert sind, sind Snapshots schreibgeschützt und somit in gewisser Weise unveränderlich. Ransomware-Banden wissen dies jedoch und werden daher versuchen, sie zu löschen oder zu verschieben. Unternehmen müssen daher nach Anbietern suchen, deren Snapshots nicht gelöscht werden können. Angreifer sollten zudem nicht in der Lage sein, zu verhindern, dass die Snapshots an einen anderen Ort verschoben werden, z. B. zur Wiederherstellung.
Weitere Sicherheitsvorkehrungen, die Unternehmen festlegen können, sind Snapshots, die eine mehrstufige, PIN-basierte Authentifizierung durch mehrere Mitglieder eines IT-Teams verwenden, sowie die Möglichkeit, Snapshot-Aufbewahrungsrichtlinien und zulässige Ziele festzulegen.
Snapshots sind die beste Methode zur Wiederherstellung, wenn die Verweildauer von Ransomware relativ kurz ist. Das ist aber nicht unbedingt der Fall. Es ist möglich, dass Ransomware-Angreifer mehrere Monate lang innerhalb der Firewall herumschnüffeln, Malware installieren und Dateien beschädigen. Wenn das der Fall ist, ist es wahrscheinlicher, dass ein Unternehmen Daten von Sicherungskopien wiederherstellen muss.
Unabhängig davon, ob es Daten aus Snapshots oder Backups wiederherzustellen gilt, kommt es vor allem auf eine schnelle Wiederherstellung an, damit die Produktion wiederaufgenommen werden kann. Der Schlüssel hierzu liegt in dem Speicher, der für die Aufbewahrung der Sicherheitskopien zum Einsatz kommt. Pure Storage meint: Er muss in der Lage sein, schnelle Wiederherstellungsgeschwindigkeiten zu bewältigen.
Welche Storage-Lösungen eignen sich also am besten für die Aufbewahrung von Snapshots und Sicherungskopien und, was entscheidend ist, sind sie in der Lage, eine schnelle Wiederherstellungsleistung zu bieten? Zunächst einmal gilt es nach Produkten Ausschau halten, die Solid-State-Speicher bieten und unstrukturierte Daten – Dateien und Objekte – verarbeiten können, d. h. nicht einfach nur Solid-State-Speicher.
Die neuesten Generationen von NAND-Flash haben die Entwicklung von Storage-Arrays ermöglicht, die eine extrem hohe Kapazität und Zugriffsgeschwindigkeit bieten. Das sind Arrays mit TLC- oder QLC-Flash, die eine hohe Kapazität zu Kosten pro Terabyte bieten, die denen von herkömmlichen Festplatten nahekommen.
Zudem ist die Durchsatzleistung entscheidend. Die leistungsstärksten derzeit verfügbaren Solid-State-Speicher-Arrays bieten einen Durchsatz von mehr als 270 TB pro Stunde. Das ist genug, um die meisten Unternehmen sehr schnell wieder online zu bringen. Nicht viele Speicheranbieter können jedoch dieses Durchsatzniveau bieten, daher sollten Unternehmen unbedingt die technischen Datenblätter prüfen.
Die beste Verteidigung gegen Ransomware besteht darin, die Uhr zurückzudrehen, bevor die Verweildauer beginnt. Und das geht am besten mit einem Speicher mit sehr hoher Kapazität, der eine blitzschnelle Durchsatzleistung bietet und schnelle Wiederherstellungen ermöglicht. (rhh)
