kaptn - Fotolia
Warum Ransomware-Schutz mehr als Immutable Backups braucht
Unveränderliche Backups sorgen dafür, dass Daten nicht überschrieben oder verändert werden. Das hilft beim Ransomware-Schutz, ist aber nicht die einzige oder gar perfekte Option.
Die Wiederherstellbarkeit ist ein wichtiger Bestandteil der Ransomware-Abwehrstrategie. Experten raten davon ab, Lösegeld zu zahlen. Aktuelle, unverschlüsselte und unbeschädigte Backups, die akzeptable Wiederherstellungspunkte bieten, ermöglichen es Unternehmen, Daten wiederherzustellen und den Betrieb ohne Zahlung von Erpressungsgeld wieder aufzunehmen.
Selbst wenn ein Angreifer sein Wort hält und die Schlüssel für die Datenentschlüsselung zur Verfügung stellt, wenn das Unternehmen bezahlt, ist die Wiederherstellung mit diesen Schlüsseln normalerweise ein langwieriger und mühsamer Prozess.
Immutable (zu Deutsch: unveränderliche) Backups enthalten eine WORM-Kennzeichnung (Write Once Ready Many), wodurch selbst ein Speicheradministrator die Datenkopie nicht überschreiben oder löschen kann. Auf sie kann auch nicht von externen Hosts aus zugegriffen werden, da Schreibzugriffe auf das interne System nur über vertrauenswürdige interne Dienste oder APIs möglich sind.
Bei Mount-basierten Wiederherstellungsprozessen können Unternehmen beispielsweise in Erwägung ziehen, die interne Ansicht für die externe Bereitstellung zu klonen, so dass die interne Ansicht unverändert bleibt.
Unveränderliche Backups zum Schutz vor Ransomware bieten eine gewisse Sicherheit, sollten aber durch andere Datenschutzstrategien ergänzt werden.
Ist die Unveränderbarkeit wirklich die letzte Verteidigungslinie?
Theoretisch spielen unveränderliche Backups und Speicher eine entscheidende Rolle für die Wiederherstellbarkeit, da sie feststehend und unveränderbar sind. Einige Anbieter und Mitglieder der IT-Branche preisen die Unveränderbarkeit oft als „letzte Verteidigungslinie“ an, von der aus wiederhergestellt werden kann, wenn andere Backups manipuliert wurden.
Obwohl unveränderliche Backups eine hervorragende Option im Kampf gegen Ransomware sind, ist wie bei anderen Datensicherungstechniken keine Methode narrensicher.
Ein entscheidender Bestandteil der Cyber-Resiliency-Strategie ist es, zu verhindern, dass Ransomware-Angreifer überhaupt auf die Backup-Umgebung zugreifen können. Backup-Umgebungen sind zunehmend beliebte Ziele von Ransomware-Angriffen. Sogenannte „Sleeper Attacks“ (Schläfer-Angriffe), die schwer zu erkennen sind, können Backup-Umgebungen angreifen, wobei die Malware in die Umgebung eindringt und dort schlummert, bis sie aktiviert wird und dann die Daten verschlüsselt.
Um unveränderliche Backups optimal für den Schutz der Daten vor Ransomware zu nutzen, sollten Unternehmen Folgendes tun:
- Sicherstellen, dass die Endbenutzer eine ganzheitliche Strategie für Cyberresilienz anwenden, die über Datensicherung und -wiederherstellung hinausgeht und auch Angriffserkennung und -prävention umfasst.
- Überprüfen Sie Speichersysteme auf Hintertüren, die es böswilligen Akteuren ermöglichen, WORM-Kennzeichnungen zu entfernen oder zu verkürzen oder Cluster mit unveränderlichen Sicherungskopien zu löschen.
- Implementieren Sie ein starkes Zugriffs- und Berechtigungsmanagement, einschließlich rollenbasierter Zugriffskontrolle (RBAC) und Multifaktor-Authentifizierung (MFA), und verlangen Sie die Zustimmung von zwei Personen für bestimmte administrative Aktionen.
Ein weiterer Grund, warum Präventivmaßnahmen so wichtig sind, ist die derzeitige Zunahme von Ransomware-Angriffen mit doppelter Erpressung, bei denen der Angreifer nicht nur Daten verschlüsselt, sondern auch damit droht, diese Daten zu veröffentlichen. Verschlüsseln Sie Daten während des Datentransfers (in-flight) und im Ruhezustand (at rest) mit einer starken Schlüsselverwaltung und verwenden Sie einen physisch oder logisch abgeschirmten Speicher. Dieser Speichertyp stellt sicher, dass die Zielspeicherinfrastruktur nicht für den Host zugänglich ist, was den Angreifer am Zugriff auf die Sicherungsdaten hindern kann.
Es gibt eine Vielzahl von Funktionen zur Erkennung von Anomalien, die Unternehmen dabei helfen, Schwachstellen in ihren Umgebungen zu identifizieren und festzustellen, ob ein Ransomware-Angriff stattgefunden haben könnte. So können sie beispielsweise Verschlüsselungsaktivitäten, eingebettete Dateien oder andere Manipulationsaktivitäten erkennen. Im Zusammenspiel können diese Funktionen Unternehmen dabei helfen, einen Angriff von vornherein zu verhindern. Sie können auch dazu beitragen, aufzudecken, wann Unternehmen möglicherweise von Ransomware betroffen sind.
Während die Unveränderbarkeit eine wichtige Komponente der Ransomware-Resilienz ist, geht eine umfassende Strategie zur Ransomware-Prävention und -Wiederherstellung viel weiter und umfasst auch Präventions- und Erkennungsfunktionen.