Sikov - stock.adobe.com
Cybersicherheitsstrategie muss auch Storage berücksichtigen
Eine umfassende Cybersicherheitsstrategie darf die Nutzung und das Management des Storage nicht vergessen. Werden Speicherfunktionen berücksichtigt, kann das Schwachstellen beseitigen.
Löchrig wie ein Schweizer Käse: So könnte man viele IT-Infrastrukturen in Unternehmen beschreiben. So ist der deutschen Wirtschaft laut Branchenverband Bitkom 2023 ein wirtschaftlicher Schaden von 206 Milliarden Euro durch Cyberkriminalität entstanden. Vor allem durch die Nutzung immer diverserer Cloud-Lösungen (privat, hybrid oder öffentlich) wird die IT-Landschaft heterogener, und letztlich fügt jede neue Komponente der Infrastruktur nicht nur neue Funktionen, sondern auch neue Löcher hinzu. Diese Löcher alle zu stopfen ist beinahe unmöglich, zumal der Faktor Mensch den IT-Sicherheitsverantwortlichen allzu oft einen Strich durch die Rechnung macht: Ein Klick auf einen bösartigen Link in einer E-Mail genügt, um Cyberkriminellen Zugriff auf die Unternehmens-IT zu verschaffen und diese im schlimmsten Fall mit Ransomware lahm zu legen. Darum ist eine umfassende Cybersicherheitsstrategie erforderlich, die sich für den GAU wappnet, den größten anzunehmenden Unfall oder, um im Bilde zu bleiben, den DAU, den dümmsten anzunehmenden User.
Cybersecurity und Storage-Cyberresilienz
Um mit den sich entwickelnden Bedrohungen durch Cyberangriffe Schritt halten zu können, ist ein solider, durchgängiger Cybersicherheitsansatz unerlässlich. Dazu gehört eine gründliche Evaluierung und Bewertung der Primär- und Sekundärspeicher. Das enorme Wachstum und die Intensität von Cyberbedrohungen haben dazu geführt, dass die Cyberresilienz und die Erkennung von Speichersystemen Teil der Cybersicherheitsstrategie eines jeden Unternehmens sein müssen. Ein strategischer Ansatz, der sich auf die Widerstandsfähigkeit von Speichersystemen und die Cybererkennung konzentriert, trägt dazu bei, die Auswirkungen von Bedrohungen zu verringern, da er es ermöglicht, Daten zu schützen, potenzielle Angriffe zu erkennen und das System schnell wiederherzustellen.
Allzu oft berücksichtigen Unternehmen die Ausfallsicherheit und Erkennung von Cyber-Storage nicht als Kernkomponente einer Cybersicherheitsstrategie – diese Bereiche werden separat behandelt. Diese Trennung führt zu einer großen Diskrepanz bei der Entwicklung einer umfassenden Cybersicherheitsstrategie.
Unternehmen müssen sicherstellen, dass sie ihre Speichersysteme und insbesondere ihre Daten schützen, sowohl im Ruhezustand als auch während der Übertragung. Angesichts der Tatsache, dass Datenspeicher in hybriden Umgebungen zwischen unternehmenseigenen Rechenzentren und der öffentlichen Cloud verschoben werden, gilt es, sichere Datenspeicher für primäre und sekundäre (Backup-)Datensätze zu schaffen. Diese sicheren Datenspeicherumgebungen müssen vor allem vier Charakteristika aufweisen: unveränderliche Snapshots, logisches Air Gapping vor Ort und an einem zweiten Standort, eine isolierte forensische Umgebung und nahezu sofortige Wiederherstellung.
Unveränderliche Snapshots
Unveränderliche Snapshots können nicht gelöscht oder verändert werden. System-Snapshots lassen sich so konfigurieren, dass sie für die jeweiligen Cybersicherheitsbedürfnisse optimiert sind. Das gilt für die Einstellungen zur Aufbewahrungsdauer, Zeitpläne für das Erstellen von Snapshots und die zugehörigen Richtlinien. Diese Parameter lassen sich so konfigurieren, dass es böswilligen Akteuren oder unerfahrenen IT-Mitarbeitern unmöglich ist, diese Einstellungen zu ändern oder einen vorhandenen unveränderlichen Snapshot zu löschen.
Logisches Air Gapping vor Ort und am Sekundärstandort
Es ist von größter Bedeutung, dass die zu schützenden Daten von anderen Bereichen des Systems isoliert werden. Dieses Air Gapping sollte so effizient wie möglich sein und den Betrieb nicht beeinträchtigen. Bei vielen Lösungen müssen die Daten durch Kopieren oder Replizieren auf ein zweites System verschoben werden, um das Air Gap zu schaffen, was zusätzliche Kosten und Komplexität verursacht. Im Idealfall sollte das Air Gapping jedoch auf einem einzigen Speichersystem erfolgen, ohne dass ein zweites Array vor Ort erforderlich ist. Natürlich ist eine Remote-Replikation für Disaster-Recovery-Zwecke erforderlich, und kann auch für Remote Air Gapping genutzt werden.
Isolierte forensische Umgebung mit ML
Eine isolierte forensische Umgebung ermöglicht es, unveränderliche Kopien von Primär- oder Sicherungsdaten in einer isolierten Umgebung zu erstellen, ohne den produktiven Betrieb zu beeinträchtigen. So lassen sich die unveränderlichen, geschützten Datenkopien validieren und mögliche Ransomware- und andere Cyberangriffe mit forensischen Tools erkennen. Die Analyse liefert auch einen Hinweis auf den Zeitpunkt einer erfolgreichen Attacke und damit ein klares Verständnis des Zeitpunkts, an dem die letzte bekannte gute Kopie erstellt wurde.
Den Validierungs- und Scanning-Tools kommt eine zentrale Rolle zu. Nur wenn diese zuverlässig arbeiten, können sie verhindern, dass von Malware bereinigte Systeme mit Datensätzen wiederhergestellt werden, die selbst Schadsoftware enthalten. Eine besondere Herausforderung besteht dabei darin Zero-Day-Angriffe zu erkennen, bei denen keine Signatur vorliegt, anhand derer herkömmliche Tools Malware erkennen. Um auch diese Bedrohungen zu erkennen ist der Einsatz von Machine Learning (ML) erforderlich. ML-Algorithmen können zuvor unbekannte Datenmuster analysieren und fundierte Entscheidungen auf der Grundlage von Entropie-Erkennung und anderen Datenpunkten treffen, um rechtzeitig vor Eindringlingen in den Datenbestand des Unternehmens zu warnen. Die Algorithmen analysieren Daten über einen Zeitraum, um einen Basiswert für die Datenmuster im System zu erstellen und dann Änderungen dieser Muster zu einem bestimmten Zeitpunkt zu erkennen. Gegebenenfalls werden dann die IT-Security- und Storage-Verantwortlichen auf ein mögliches Eindringen aufmerksam gemacht.
„Um mit den sich entwickelnden Bedrohungen durch Cyberangriffe Schritt halten zu können, ist ein solider, durchgängiger Cybersicherheitsansatz unerlässlich. Dazu gehört eine gründliche Evaluierung und Bewertung der Primär- und Sekundärspeicher.“
Richard Connolly, Infinidat
Nahezu unmittelbare Wiederherstellung
Ob die Datenwiederherstellung nach einem Cyberangriff als erfolgreich angesehen werden kann, hängt weitgehend davon ab, wie schnell die Systeme mit sauberen Daten – in der Sprache der Storage-Branche als known good copy bezeichnet – wieder betriebsbereit sind. Schließlich bedeutet selbst ein kurzfristiger Systemausfall für viele Unternehmen erhebliche Umsatzeinbußen. Ganz zu schweigen von Imageschäden und Kundenverlusten. Die besten Systeme auf dem Markt stellen sicher, dass sich ein Unternehmen innerhalb von Minuten von einem Angriff erholen kann, indem sie extrem genaue Cybererkennungs- und Cyberwiederherstellungs-Tools verwenden, die detaillierte Berichte und Protokolle darüber liefern, was genau wo gefunden wurde. Scan-Ergebnisse von ungenauen Tools sind eine schlechte Investition, da es einfach zu schwierig ist, gute von schlechten Scans zu unterscheiden. Ein Speicheranbieter sollte kurze Wiederherstellungszeit garantieren, unabhängig von der Größe des Backups.
Homogene Strategie gegen heterogene Bedrohungen
Ein ganzheitlicher Ansatz für die Cybersicherheitsstrategie, der die Widerstandsfähigkeit und Erkennung von Storage kombiniert und sich auf die Implementierung unveränderlicher Snapshots, logisches Air Gapping, eine isolierte forensische Umgebung und eine nahezu sofortige Wiederherstellung konzentriert, bereitet ein Unternehmen auf fast alle Eventualitäten vor. Dies gilt nicht nur für derzeit bekannte Cyberbedrohungen, sondern auch für künftige Angriffsformen, die in der heutigen heterogenen IT- und Bedrohungslandschaft unvermeidlich sein werden.
Über den Autor:
Richard Connolly ist Regional Director für Deutschland, Österreich und die Schweiz (DACH), das Vereinigte Königreich und Irland (UKI) bei Infinidat. Er verfügt über umfangreiche Erfahrungen im Verkauf von Unternehmensspeichern, Cybersicherheitssoftware, hybriden Cloud-Speichern, Rechenzentrumslösungen und professionellen Dienstleistungen. Diese sammelte er unter anderem als Global Sales Director bei Hitachi Vantara. Bevor er zu Infinidat kam, war Connolly Director of Global & Strategic Accounts bei Palo Alto Networks, wo er große, portfolioübergreifende Geschäfte verantwortete und den Vertrieb optimierte. Davor war er bei Hitachi Vantara als Global Sales Director tätig, wo er für ein hohes Umsatzwachstum sorgte. Außerdem arbeitete er fünf Jahre lang in Vertriebsfunktionen bei Avaya, wo er Professional Services nutzte, um die Ergebnisse für Kunden, insbesondere große Finanzdienstleistungsunternehmen, zu verbessern. Zu Beginn seiner Karriere leitete Connolly Infrastrukturprojekte bei JP Morgan und der Royal Bank of Scotland, neben anderen großen Finanzinstituten. Er hat sein Studium an der London School of Economics mit dem Executive MBA abgeschlossen. Connolly berichtet an Richard Bradbury, SVP of EMEA und APJ bei Infinidat.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.