Interview mit Palo Alto Networks und Rubrik
Impfung gegen Ransomware
Fortsetzung des Artikels von Teil 1
Echtzeitschutz vor Ransomware
LANline: Wie nahe kommt man mit moderner Technik an einen Echtzeitschutz von Backups vor Ransomware heran?
Roland Rosenau: Das hängt in erster Linie vom RPO (Recovery Point Objective, d.Red.) ab, also: Wie oft fährt das Unternehmen Backups? Zudem ist ein Mechanismus erforderlich, der überprüft: Was ist mein „Last Known Good State“ (aktuellster valider Datenstand, d. Red.) und wo liegen diese Daten?
LANline: Wie muss man sich derartige laufende Plausibilitätsprüfungen durch eine Backup-Lösung vorstellen?
Frank Schwaak: Unsere Lösungen untersuchen gesicherte Daten spätestens 15 Minuten nach dem Backup mit Machine-Learning-Algorithmen auf Anomalien hin. Haben sich die Daten gegenüber bisherigen Backups anormal verändert, kann man von einem Angriff ausgehen und die Systeme automatisch restaurieren. Die Frage ist dann: Was wurde verschlüsselt, was wurde vorher exfiltriert, um den Druck zu erhöhen? Dazu ist es wichtig zu wissen: Wo liegen wichtige personenbezogene Daten, welche Systeme sind betroffen? Wir können natürlich nur das überprüfen, was gesichert wurde. Datenbanken werden heute bei manchen unserer Kunden mindestens alle fünf Minuten gesichert – selbst diese Zeitspanne kann je nach Unternehmen enorme Verluste bedeuten.
Roland Rosenau: Die Angreifer werden behaupten, sie hätten alle Daten des Unternehmens erbeutet, aber oft ist das gar nicht der Fall. Hier kommt dann eine vernünftige Segmentierung zum Tragen und ein vernünftiges Sicherheitskonzept.
LANline: Und wie erfolgt bei Anomalien der Rückgriff auf den vorherigen Backup-Stand?
Frank Schwaak: Es lässt sich bei Rubrik einstellen, dass das System komplett automatisiert auf den „Last Known Good State“ zurückgeht. Die Daten werden in ein File-System geschrieben, das man sich vorstellen kann wie eine Blockchain. Es gibt keinen direkten Zugriff auf das File-System, auch keinen Root-Zugriff auf die Appliance. Dadurch kann sich kein Hacker an dem System anmelden. Die API-First-Architektur legt fest, dass die Kommandos konsistent und autorisiert verarbeitet werden. Im Fall eines Restores werden entweder Snapshots der Backup-Daten oder Pointer, aber nie das Original-Backup präsentiert. Unsere Algorithmen suchen nach Anomalien, die auf Ransomware hindeuten. Ist der aktuelle Datenstand unbrauchbar und das letzte Backup zum Beispiel eine Stunde her, dann kann man über sogenannte „AppFlows“ automatisch das System restaurieren.
LANline: Wie aufwendig ist eine solche Wiederherstellung?
Frank Schwaak: Solange sich die Umgebung in der Norm befindet, also einen der drei wichtigsten Hypervisoren und eine der Top-Ten-Datenbanken nutzt, ist alles relativ leicht wiederherzustellen. Je individueller die Umgebung ist, desto schwieriger wird es. Mit der „Live-Mount“- oder „Instant-Recovery“-Funktion können die Systeme innerhalb weniger Minuten wieder in den Produktivbetrieb übergehen.
Roland Rosenau: Muss ein Unternehmen eine Recovery im Terabyte-Bereich durchführen, dann dauert das einfach. Bei unserer Technologie hingegen macht man einen Live Mount, testet, ob dieser Stand sauber läuft, und ersetzt dann das Produktionssystem per Instant Recovery durch das Backup. So kann ein Unternehmen extrem Zeit sparen und ist schnell wieder produktiv.
LANline: Und wie schnell lässt sich der Produktivbetrieb nach einem Ransomware-Befall wieder etablieren?
Roland Rosenau: Einer unserer Kunden in Deutschland – er hatte noch nicht einmal die erwähnte Anomalieerkennung – war durch unsere Ransomware-geschützten Backups innerhalb von 48 Stunden wieder in der Lage, sein Kerngeschäft weiter zu betreiben. Er hat gar nicht erst Verhandlungen mit den Erpressern aufgenommen.
LANline: Rubrik gibt sogar eine Garantie für den Schutz vor Ransomware. Könnten Sie dies kurz erläutern?
Frank Schwaak: Rubrik gibt eine Garantie auf die Datenverfügbarkeit nach einer Ransomware-Attacke. Das Angebot gilt erst ab einer bestimmten Datenmenge, die Garantie beläuft sich auf bis zu fünf Millionen Dollar. Viele Ransomware-Versicherungen fragen nach den Backup- und Recovery-Tools, bevor sie eine Police ausstellen. In den USA verringern einige Versicherer ihre Prämien entsprechender Policen, wenn Rubrik im Einsatz ist.
LANline: Wie sollte ein typischer deutscher Mittelständer mit überlastetem IT-Team vorgehen, um sich vor Ransomware zu schützen?
Sergej Epp: Der erste Schritt ist es, ein Verständnis von der Ransomware-Gefahr zu entwickeln und zu wissen, welches Risiko sie darstellt. Der zweite Schritt besteht im Aufsetzen einer Gesamtarchitektur für Cyberresilienz mit Einsatz einer automatisierten, KI-gestützen Security-Lösung. Der dritte Schritt ist die Fähigkeit zur Recovery.
Frank Schwaak: Hier ist wichtig: Die Backup-Daten müssen „Air-Gapped“ sein, sie dürfen also nicht mit Standardprotokollen erreichbar sein. Der nächste Punkt ist Zero Trust: Nur wer beim Data-Management nichts und niemandem traut, kann die Sicherheit der Daten garantieren. Und der dritte Punkt ist Ransomware-Remediation mit Datenklassifizierung, also die Erkennung manipulierter Daten im Backup samt Fähigkeit, den „Last Known Good State“ ohne Trial and Error wiederherstellen können.
Roland Rosenau: Das Thema Air-Gap ist nicht zu unterschätzen. Denn in den letzten Jahren hat sich Backup to Disk mittels NFS- oder SMB-Shares durchgesetzt. Der Haken daran: Diese Shares unterliegen den normalen Security-Löchern der Betriebssysteme. Wir hingegen bieten eine komplette Backup-Lösung aus einer Hand. Anfangs hat uns das geschadet, denn die Kunden wollten ein NFS-Share. Heute hingegen ist es das schlagende Argument, dass unsere Lösung eben kein NFS-Share für Backups und damit kein potenzielles Angriffsziel liefert.
LANline: Vielen Dank für das Gespräch.
- Impfung gegen Ransomware
- Echtzeitschutz vor Ransomware
Lesen Sie mehr zum Thema
