kras99 - stock.adobe.com
DR-Strategie: Das Zeitfenster für Cyberangriffe verkleinern
Disaster-Recovery-Strategien müssen Cyberbedrohungen in Betracht ziehen, aber oft fehlt es noch an der Integration von Speicherinfrastruktur und Cybersicherheitssoftware.
Die Bedrohung durch Cyberattacken ist so groß geworden, dass CEOs von Fortune-500-Unternehmen Cybersicherheit in einer Umfrage als zweitgrößte Bedrohung für ihre Unternehmen nennen. Die Zahl dieser Vorfälle nimmt zu. Wie Prof. Stuart Madnick vom MIT in einem kürzlich erschienenen Research Paper schrieb, ist die Zahl der Datensicherheitsverletzungen zwischen 2022 und 2023 um 20 Prozent gewachsen – Tendenz steigend. Das ist nicht verwunderlich, denn Hacker wollen Schaden anrichten, und in der datengesteuerten Gesellschaft von heute verursachen Datensicherheitsverletzungen sowohl bei Unternehmen als auch bei Privatpersonen große Schäden und nachhaltige Folgen.
Wenn Unternehmen also Millionen von Euro in ihren Cyberschutz und ihre Notfallwiederherstellungsstrategie (Disaster-Recovery-Strategie) investieren, warum gelingt es Hackern dann immer noch, von Datenpannen zu profitieren? Einer der Hauptgründe für die Verwundbarkeit von Unternehmen ist die fehlende Integration zwischen der primären und sekundären Speicherinfrastruktur einerseits und andererseits den Softwareanwendungen für die Cybersicherheit im gesamten Rechenzentrum, die zur Erkennung verdächtiger Aktivitäten eingesetzt werden.
Was ist ein Bedrohungsfenster und wie entsteht es?
Unternehmen müssen davon ausgehen, dass sie irgendwann von einem erfolgreichen Cyberangriff getroffen werden. Darum stellt sich für Sicherheitsverantwortliche weniger die Frage der Angriffsprävention als vielmehr die der Wiederherstellung. Wie können Speicherexperten das Zeitfenster für die Bedrohung ihrer Organisationen verkleinern, sobald die Sicherheitssysteme kompromittiert wurden? Und wie können sie die Auswirkungen eines Cyberangriffs sowohl intern als auch extern minimieren? Es ist unmöglich, Cyberangriffe geheim zu halten. Neue Gesetze und Vorschriften für die Meldung von Cybervorfällen für öffentliche Unternehmen in den USA und spezielle Vorschriften der Europäischen Union haben dazu geführt, dass die tatsächliche Häufigkeit dieser Angriffe zwischenzeitlich für die Öffentlichkeit sehr deutlich geworden ist.
Ein Teil des Problems besteht darin, dass herkömmliche Speichersicherungsmethoden, die unveränderliche Snapshots verwenden, nur bis zu einem gewissen Grad effektiv sind, da die Snapshot-Zeitpläne nicht automatisiert sind. Das bedeutet auch, dass Snapshots nicht permanent erstellt werden und unter Umständen sogar manuelle Eingriffe erfordern, was gefährliche Lücken in der Datensicherung hinterlässt. Auch bei der Replikation sind die Daten zwar verfügbar, aber in Wirklichkeit nicht geschützt, denn sobald sie beschädigt oder verschlüsselt sind, können die kompromittierten Daten ebenfalls repliziert werden, was zu noch größerem Schaden führen kann. Die Bewältigung dieser Probleme ist keine neue Herausforderung und gehört seit vielen Jahren zu den Aufgaben des Disaster Recoverys.
Der traditionelle Ansatz funktioniert nicht
Unternehmen haben versucht, sich vor diesen Bedrohungen zu schützen, indem sie Teams zur Überwachung und Verwaltung ihrer Cybersicherheit beschäftigten. Trotzdem kann es immer noch Stunden dauern, bis die Entscheidung fällt, ob jemand einen Storage-Administrator anrufen und sagen sollte: „Wir haben etwas auf Server X entdeckt, warum machen Sie nicht so schnell wie möglich einen Snapshot der Daten?“ Die Realität sieht so aus, dass dieser Anruf oft nicht erfolgt, sodass das Fenster für Angreifer weit geöffnet bleibt und Schäden an den Daten verursacht, diese verschlüsselt oder andere Angriffsvektoren gegen Unternehmensdaten nutzt. Wenn beispielsweise viermal am Tag unveränderliche Snapshots gemacht werden, bedeutet dies ein RPO (Recovery Point Objective) von bis zu 6 Stunden. Heutzutage kann die Datenmenge, die in diesem Zeitrahmen kompromittiert werden kann, ein Unternehmen ruinieren.
Das Bedrohungsfenster verkleinern
Um diese Probleme besser zu bewältigen, wurden neue Lösungen entwickelt, die das Bedrohungsfenster reduzieren. Diese Lösungen ermöglichen es Unternehmen, die Kontrolle über das von Cyberangreifern verursachte Chaos wiederzuerlangen, Zeit und Geld zu sparen sowie Rufschäden zu vermeiden. Solche Lösungen funktionieren, indem sie automatisch Schutzmechanismen auslösen, um unveränderliche Snapshots von Daten zu erstellen. Diese Prozesse werden direkt von den Cybersicherheitssoftwareumgebungen des Unternehmens ausgelöst, sobald entsprechende Änderungen oder Ereignisse festgestellt werden. Die Integration in bestehende Sicherheitslösungen ermöglicht eine vollständig automatisierte und nahtlose Funktion.
„Den Zustand seiner eigenen Daten zu kennen und sie aktiv zu schützen, ist ein Schlüsselfaktor, um das Bedrohungsfenster zu verkleinern, die Kontrolle zurückzugewinnen und Erpressungsversuche zu vereiteln. Neue Lösungen machen diese Ziele für jedes Unternehmen erreichbar.“
Eric Herzog, Infinidat
Darüber hinaus kann eine KI-basierte Scan-Engine Deep-Scans unveränderlicher Snapshots auf Block-, Datei- und Datenbankebene durchführen. Sie validiert die Datenintegrität und kann mithilfe von maschinellem Lernen bösartige Änderungen identifizieren. Der Scan-Prozess nutzt zahlreiche Datenpunkte, um gefährdete Daten mit hoher Genauigkeit zu identifizieren und Fehlalarme zu minimieren. Eine schnelle und automatisierte Reaktion ermöglicht die vollständige Wiederherstellung von Snapshots, unabhängig vom Datenvolumen.
Vorbereitet sein
Eine gute Vorbereitung auf Cyberangriffe ist unerlässlich. Es ist nicht die Frage, ob, sondern wann und wie oft Angreifer zuschlagen werden. Cyberkriminelle werden versuchen, Chaos zu stiften und die wichtigsten Daten von Unternehmen zu gefährden, wenn diese nicht vorbereitet sind. Den Zustand seiner eigenen Daten zu kennen und sie aktiv zu schützen, ist ein Schlüsselfaktor, um das Bedrohungsfenster zu verkleinern, die Kontrolle zurückzugewinnen und Erpressungsversuche zu vereiteln. Neue Lösungen machen diese Ziele für jedes Unternehmen erreichbar.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
