saxoph - Fotolia
ITOps und SecOps für sichere Backups verbinden
Um nutzbringende Datensicherung und -management zu erreichen, müssen Unternehmen die Diskrepanzen und siloartige Arbeit von ITOps- und SecOps-Teams eliminieren.
Wie können Unternehmen den IT-Sicherheitsbetrieb mit der Datensicherung in Einklang bringen – ohne neue Silos und die bisherigen Diskrepanzen zwischen SecOps und ITOps? Für Unternehmen war es bislang schwierig, den IT-Sicherheitsbetrieb (SecOps), oft basierend auf Prävention, mit dem klassischen IT-Betrieb (ITOps), insbesondere was die Datensicherung betrifft, unter einen Hut zu bringen.
Ob die Daten eines Unternehmens sicher sind, wurde bislang ausschließlich bestimmt durch die Perimeter-, Netzwerk-, Endpunkt- und Applikationssicherheit. Entschieden sich Unternehmen bei einem Ransomware-Angriff gegen eine Lösegeldzahlung, verlief das weitere Vorgehen getrennt zwischen ITOps-Team und SecOps-Team. Das ITOps-Team versuchte sich an einem Restore aus dem Backup, insofern dieses nicht auch kompromittiert war. Das SecOps-Team führte zwischenzeitlich die Forensik durch.
Nun galt es zu ermitteln, welche Daten aus den Backups wiederhergestellt werden müssen und wie lange dies auf herkömmliche Weise dauern würde: Tage, Wochen – oder gar Monate? Die Schwächen der herkömmlichen Vorgehensweise zeigten sich unmittelbar, wenn Backups kompromittiert waren, oder die Wiederherstellung zu langsam war und somit den Geschäftsbetrieb empfindlich lange lahmlegte.
Cyber-Resilienz auf Datenebene
Ein neuer Ansatz aus dem Datenmanagementumfeld soll diese Schwachstellen nun beseitigen. Perimeter-, Netzwerk-, Endpunkt- und Applikationssicherheit ist nach wie vor unverzichtbar, jedoch ergänzt durch integrierte Cyberresilienz auf Datenebene. Ein unveränderbares Backup ist das entscheidende Merkmal dieses effektiveren Ansatzes – gerade im Hinblick auf die zunehmenden Ransomware-Angriffe und immer höheren Lösegeldforderungen.
Künftig sollen bei einem Ransomware-Angriff das ITOps- und das SecOps-Team gemeinsam in Aktion treten und sollen sich untereinander austauschen können. Das erwünschte harmonische Zusammenspiel setzt voraus, dass beiden Teams die gleiche Informationsgrundlage zur Verfügung steht. Ausgehend von den geschützten Backups gilt es nun das Ausmaß des Angriffs zu erfassen, herauszufinden, wo sensible Daten sind, und eine schnelle Wiederherstellung durchzuführen.
Dieser neue Ansatz basiert auf den folgenden Komponenten: Die herkömmliche Backup-Architekturen wird konsolidiert in einer einzigen, einfachen Plattform für zeitgemäße Datensicherung, die für niedrigere TCO, Cloud und API-gesteuerte Automatisierung ausgelegt ist. Ein unveränderliches Append-only-Dateisystem mit Air-Gap- und Zero-Trust-Architektur sorgt für den Schutz und die ständige Verfügbarkeit der Daten. Die integrierte Forensik ist entscheidend, um den Umfang des Angriffs zu verstehen, und analysieren zu können, ob sensible oder regulierte Daten betroffen und bestimmte Benutzer involviert sind. API-Integrationen verbessern die Reaktion auf Vorfälle mittels SIEM- und SOAR-Plattformen (Security Information and Event Management; Security, Orchestration, Automation and Response), die die Zusammenarbeit zwischen den Teams fördern. Eine Live-Mount-Funktionalität sorgt für kürzere RTOs und schnelle, granulare Wiederherstellungen oder Massenwiederherstellungen von den neuesten bereinigten Versionen einschließlich orchestrierter Runbooks.
Moderne Datensicherung
Die entscheidenden Prinzipien der modernen Datensicherung sind Air Gap, Unveränderlichkeit und Zero Trust. Air Gap, der „Luftspalt“ zwischen Systemen, bedeutet, dass die Backups offline erfolgen. Sie sind unveränderlich, können also weder beschrieben, geändert noch gelöscht werden. Zero Trust steht für „Niemals vertrauen, immer verifizieren.“ – oder genauer gesagt „Traue keiner Schreibquelle, die auf das Backup-Ziel zugreifen will.“. Hierzu sind mehrere Schranken eingebaut, die den Zugriff auf das Backup restriktiv einschränken, wie Zertifikate, Verschlüsselung und Handshake.
In der herkömmlichen Backup-Architektur ist ein Zugriff auf die Backups über das Netzwerk möglich, sie können geändert und gelöscht werden. Alles, was Standard-Speicherprotokolle verwendet, ist angreifbar. Es gibt kein Air Gap, keine native Unveränderbarkeit, wodurch die Backups angreifbar sind. Bei einem schweren Angriff sind die Daten auf den Backups sogar unwiederbringlich verloren.
In einer auf Zero Trust basierenden Backup-Architektur hingegen ist keine Speicherung online oder im Netzwerk möglich. Die Backups können nicht verändert oder verschlüsselt werden. Um die Kompromittierung von Zugangsdaten zu verhindern, kommt MFA (Multi-Faktor-Authentifizierung), TOTP (Time-based One-time Password)-Algorithmus, zertifikatsbasierte Authentifizierung und TLS 1.2 zum Einsatz. Nach einem schweren Angriff sind die Daten somit wiederherstellbar.
„Die Reise zum Backup-Ziel sollte heutzutage mehrfach gesichert sein. Eine zeitgemäße integrierte Lösung für ITOps und SecOps bietet einheitliches Management für Datensicherung und Datenschutz mit integrierter Intelligenz in SIEM/SOAR-Dashboards.“
Bipul Sinha, Rubrik
Alle diese Sicherheitsprozesse laufen maximal automatisiert ab, da sie sonst zu langwierig wären. Das Verschlüsseln von Backups beispielsweise, ist seit längerem möglich, erforderte bislang aus Sicherheitsgründen jedoch einen aufwändigen manuellen Prozess. Dies kann heute automatisiert ablaufen, um eine effektive Datensicherheit, aber auch effizientes Datenhandling zu gewährleisten. Wie so oft, geht es beim Thema Sicherheit vor allem um Akzeptanz und Umsetzbarkeit. Ziel ist es, einen reibungslosen Geschäftsbetrieb zu gewährleisten – und diesen nicht auszubremsen.
Drei entscheidende Schritte
Wichtig sind dabei die folgenden Schritte, die durch entsprechende Funktionen einer modernen Datenplattform abgedeckt sein sollten:
Erstens ist im Ernstfall die Bestimmung des Umfangs des Angriffs nötig, wie sie mit einer speziellen Anwendung auf einer SaaS-Datenmanagementplattform möglich ist. Dieser Schritt umfasst die Untersuchung verdächtiger Änderungen an Anwendungen und Dateien. So gilt es den Zeitpunkt der Datenanomalien und den Radius des Angriffs zu ermitteln. Eine Anreicherung von Sicherheitstools mit Erkenntnissen direkt über die API-Integration trägt ebenfalls dazu bei, den Umfang des Angriffs schnell und genau zu bestimmen.
Zweitens ist die Erfassung sensibler Daten entscheidend, was mittels einer weiteren SaaS-Anwendung erfolgt. Diese sorgt für ein sofortiges Verständnis des Risikos im Zusammenhang mit einem Szenario der doppelten Erpressung oder Exfiltration. Benutzer können schnell feststellen, ob sensible oder regulierte Daten betroffen sind. Die Erkenntnisse lassen sich direkt in eine SIEM-/SOAR-Plattform integrieren.
Drittens sind garantierte Backup-Sicherheit und eine beschleunigte Wiederherstellung erforderlich, unterstützt durch ein Dateisystem im Cloud-Maßstab. Eine granulare Wiederherstellung sorgt für die Minimierung von Datenverlusten, während eine Massenwiederherstellung die schnelle Wiederherstellung von Hunderten von VMs unterstützt. Ebenfalls nützlich ist eine orchestrierte Wiederherstellung mittels Application Blueprints.
Zeitgemäße integrierte Lösung
Die Reise zum Backup-Ziel sollte heutzutage mehrfach gesichert sein. Eine zeitgemäße integrierte Lösung für ITOps und SecOps bietet einheitliches Management für Datensicherung und Datenschutz mit integrierter Intelligenz in SIEM/SOAR-Dashboards. Hilfreich ist auch eine Integration mit einer Log-, Monitoring- und Reporting-Plattform oder einer Plattform für Sicherheitsorchestrierung, -automatisierung und -reaktion, damit die Erkenntnisse rasch in Aktion umgesetzt werden können.
Zero Trust Data Management im Rahmen einer modernen Datenplattform sorgt dabei für ein Höchstmaß an Datensicherheit: durch die Zero-Trust-Architektur selbst; durch Sicherheitsanalysen und Sichtbarkeit von Veränderungen an den Daten; und durch zwischen SecOps- und ITOps-Plattformen geteilte Einblicke.
Über den Autor:
Als Geschäftsmann und Ingenieur mit mehr als 20 Jahren Erfahrung im Aufbau von Milliarden-Dollar-Unternehmen – darunter Rubrik, die er mitbegründet und heute als CEO leitet – ist Bipul am meisten daran interessiert, zu erfahren, wie Dinge beginnen, wachsen und verfallen. Bipul hält außerdem mehrere Patente im Bereich verteiltes Rechnen sowie einen Bachelor of Technology in Elektrotechnik vom Indian Institute of Technology, Kharagpur, und einen MBA der Wharton School, wo er Palmer Scholar war. Vor Lightspeed arbeitete Bipul bei Blumberg Capital, wo er Gründungsinvestor und Vorstandsmitglied von Nutanix und Hootsuite war. Bipul hatte außerdem Vertriebs- und Engineering-Positionen bei der Oracle Corporation, American Megatrends und IBM inne.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.