rzoze19 - stock.adobe.com
So kann Data Management Sicherheitsvorfälle aufklären
Ein gutes Datenmanagement kann dabei helfen, Cyberangriffe und Bedrohungen auszuwerten, Schlussfolgerungen zu ziehen und die Sicherheitsstrategie zu optimieren.
Unternehmen müssen schnell verstehen, warum ein Angriff auf ihr Unternehmen und Daten erfolgreich sein konnte. Eine moderne Lösung für Data Management zeigt nicht nur, welche sensiblen oder regulierten Daten betroffen sind. Sie kann auch aufklären, welche Schwachstellen ausgenutzt, welche Kontrollen umgangen und wie die Privilegien erweitert wurden.
Fast jeder Fernsehkrimi zeigt, wie wichtig die Sicherung von Spuren am Tatort und deren Analyse im Forensiklabor ist. Doch in Sachen Cyberkriminalität vernachlässigen viele Unternehmen ihre Möglichkeiten, Angriffsspuren zu sichern und auszuwerten. Was hier weitgehend unbekannt ist: Ein wesentliches Hilfsmittel kann das Datenmanagement sein. Damit ermittelt das Security-Team wichtige Fakten, ohne dass die Primärdaten berührt werden, der Angreifer dies mitbekommt oder zusätzliche Risiken entstehen.
Ein einfaches Beispiel ist das Scannen nach Schwachstellen in Live-Systemen. Dieser Vorgang beeinträchtigt oft die Leistung der Produktion, erfordert für den Zugang Lücken in Firewalls und hinterlässt Zugangsdaten auf einem anderen System. Die wenig genutzten Teile des Netzwerks, die bei einem Angriff oft das erste Opfer sind, werden möglicherweise überhaupt nicht gescannt.
Auch bei Penetrationstests zögern Unternehmen häufig, die Tester ihre Produktionsumgebungen voll angreifen zu lassen. Denn dies könnte einen Ausfall oder eine Leistungsminderung verursachen. Plattformen für Angriffssimulation und kontinuierliche Kontrollvalidierung bringen zwar wertvolle Erkenntnisse, können jedoch ebenfalls Produktionsumgebungen beeinträchtigen.
Ein weiteres Beispiel ist die Datenermittlung. Ähnlich dem Schwachstellen-Scanning erfordert sie Lücken in Firewalls und das Speichern von Anmeldeinformationen in einem Drittanbietersystem. Oder es werden Software-Agenten installiert, die herausfinden, wo sich sensible und regulierte Daten befinden. Diese vergrößern die potenzielle Angriffsfläche und beeinträchtigen wiederum die Leistung der Produktionssysteme.
Bereits vorhandene Bordmittel nutzen
Statt mit Hilfe von Agenten sollten Unternehmen die Backups nach sensiblen Daten durchsuchen. Moderne Plattformen sind bereits für die Suche und den Abruf von Daten innerhalb der Backups optimiert. Diese Fähigkeit lässt sich auf einfache Weise erweitern, um diese Daten im gesamten Bestand unabhängig von der Workload zu finden.
Es gibt auch eine bessere Alternative zu Schwachstellen-Scans und Penetrationstests im Live-Netzwerk: einen digitalen Zwilling des Backups der Produktionsumgebung. Damit können Unternehmen gründlichere Analysen durchführen, Live-Systeme entlasten, Probleme besser und schneller erkennen sowie im Angriffsfall ein sauberes, nicht kompromittiertes Backup zur Wiederherstellung nutzen.
Dabei lassen sich so viele digitale Zwillinge wie nötig erstellen. Dies bietet erhebliche Vorteile. Mit einem einzigen Backup-Klon, der in einer virtuellen Maschine läuft, können beispielsweise mehrere Penetrationstester parallel verschiedene Instanzen angreifen, ohne sich gegenseitig zu behindern. Plattformen für Angriffssimulation und kontinuierliche Kontrollvalidierung dürfen mehrere Kopien der Produktionssysteme attackieren, um Schwachstellen und die Stärke der eingesetzten Kontrollen zu ermitteln. Da viele Tests gleichzeitig laufen, gibt es schnellere Ergebnisse. Das Eindringungspotenzial wird früher erkannt, um Live-Systeme sofort auszubessern.
Fokus auf ausführbare Dateien
Die Backup-Umgebung bietet einen weiteren großen Vorteil bei ausführbaren Dateien, die ein beliebtes Ziel für Cyberkriminelle sind. Die Malware kann mehrere Wochen oder länger unentdeckt auf einem System verbleiben, wo sie sich selbst repliziert, Dateien verschlüsselt oder Daten an Dritte weitergibt. Wenn ein Ransomware-Angriff bekannt wird, sind die Angreifer möglicherweise bereits im Besitz wichtiger Informationen, mit deren Veröffentlichung sie drohen, falls das Opfer nicht zahlt.
Prüfen Unternehmen die Primärdaten, ist es sehr wahrscheinlich, dass jeder Versuch zur Entfernung ausführbarer Dateien den Angreifer alarmiert. Dieser wird dann schnell handeln, um Daten zu sperren oder zu löschen. Außerdem wurden die ausführbaren Dateien zusammen mit allen anderen Daten gesichert, so dass bei einer Wiederherstellung der alte Zustand zurückkehrt. Damit ist die ausführbare Datei oder die Schwachstelle weiterhin vorhanden – und der Angriff beginnt erneut.
Bei Backups ist es möglich, in die Vergangenheit zurückzublicken. So lässt sich erkennen, wann die ausführbare Datei zum ersten Mal auftauchte, um sie endgültig zu entfernen. Wenn die ausführbare Datei bereits aktiv war und sich repliziert hat, aber weiterhin versteckt ist, lassen sich diese Aktivitäten erkennen und Abhilfemaßnahmen ergreifen. Mit einem Ransomware-freien Backup weiß der CISO, dass bei einer Wiederherstellung der Angriff nicht einfach wieder losgehen kann.
Backups als Zeitreihe
Ein zusätzlicher wichtiger Grund, warum Unternehmen die Systemsicherheit mit Hilfe von Backups prüfen sollten, ist die Möglichkeit für Zeitreihen. Es gibt nur eine Version der Live-Daten, aber Backups können bis zur letzten Woche, zum letzten Monat oder sogar zum letzten Jahr zurückreichen.
„Bei Backups ist es möglich, in die Vergangenheit zurückzublicken. So lässt sich erkennen, wann die ausführbare Datei zum ersten Mal auftauchte, um sie endgültig zu entfernen.“
James Blake, Cohesity
Ohne laufende Backup-Snapshots wissen Unternehmen nur, wie das Dateisystem nach einem Angriff aussah, als das forensische Image erstellt wurde. Das beeinträchtigt stark die Wiederherstellung des Systems in den Zustand vor dem Angriff. Dazu sind Annahmen und Vermutungen nötig. So lässt sich nur vage herausfinden, wie der Angriff funktionierte, wann ausführbare Dateien installiert oder Rechte erweitert wurden und welche Teile des Systems betroffen waren. Zeitreihen können diese Informationen nachvollziehbar darstellen. So lassen sich kompromittierte Daten in ihren originalen Zustand zurückversetzen.
Fazit
Bislang betrachten Unternehmen Backups als ihre Versicherungspolice gegen Verlust, Diebstahl oder Beschädigung von Daten. Cyberangriffe haben dies für immer geändert. Denn Backups sind nun auch die ultimative Versicherungspolice gegen Cyberattacken – und vieles mehr. Sie bieten den logischen Ort für Schwachstellen-Scans und Penetrationstests, da diese Live-Systeme stark beeinträchtigen. CISOs können mit Hilfe von Backups zwei entscheidende Aufgaben erfüllen: den Schutz von Unternehmensdaten und -systemen sowie die Wiederherstellung sauberer Systeme nach einem Angriff. Zudem bieten Backups wertvolle Informationen für Data Governance und Security-Prozesse.
Über den Autor: James Blake ist Field CISO bei Cohesity und hat langjährige Erfahrungen im Bereich strategischer und operativer Cyberresilienz. Bevor er zu Cohesity kam, war Blake bei Rubrik als CISO sowie als Advisory Chief Information Security Officer für ServiceNow tätig. In beiden Positionen arbeitete er mit der Führungsebene von FTSE 100- und FORTUNE 100-Unternehmen zusammen. Dabei unterstützte er die Entwicklung und Umsetzung von Strategien und Konzepten zur Verbesserung der Effektivität und Effizienz der Cyber-Resilienz in modernen Betriebsumgebungen.
