Expertenempfehlungen für Ransomware-Schutz von Backups

Auch die Netzwerksicherheit muss gewährleistet sein

„Dass sich Hacker unbemerkt im Netzwerk bewegen, ist leider allzu oft Realität“, weiß Olaf Dünnweller, Senior Sales Director Central Europe bei Gigamon, der auf rund 20 Jahre Erfahrung im Bereich Datenmanagement und IT-Sicherheit blicken kann. „Anders als früher, besteht die eigentliche Gefahr aber nicht darin, dass ein Hacker in das Netzwerk eindringt. Man könnte sagen: Der Hacker ist schon längst drin. Bis zu 70 Prozent der Vorfälle werden von den eigenen Mitarbeitern ausgelöst, zum Teil durch Nachlässigkeit, also den berüchtigten Klick auf den falschen E-Mail-Link. Wenn ein Angriff entdeckt wird, dann ist in der Regel nicht nur ein System befallen, wie früher, sondern die Schadsoftware ist bereits überall.“

In seinem siebten jährlichen Cyberthreat Defense Report hat die CyberEdge Group die häufigsten Gründe, warum Abwehrmaßnahmen nicht erfolgreich umgesetzt werden können aufgeführt:

• Zu viele Daten zum Analysieren
• Unzureichende Automatisierung von Prozessen zur Bedrohungserkennung und - bekämpfung
• Mangel an Kontextinformationen aus Sicherheits-Tools
• Mangelhafte Integration zwischen Security-Lösungen

Auf die Frage, wie sich der Eindringling also schneller erkennen und abfangen lässt, mein Dünnweller, dass es bei einer vorausschauenden Infrastruktur und Methoden geht vor allem darum geht, Tools und Teams mit den richtigen Informationen und Einblicken zu versorgen, ohne sie zu überlasten. Dies lässt sich durch verschiedene Maßnahmen erreichen. Der Netzwerkspezialist fasst diese vier Verfahren wie folgt zusammen:

1. Optimierten Traffic an Tools senden (aus physischen, virtuellen und Cloud-Umgebungen)

Fakt ist: Durchschnittlich 50 Prozent der Netzwerklast braucht ein Unternehmen gar nicht. Wenn es diesen Traffic einspart, wirkt sich das nicht nur positiv auf die Kosten für Sicherheitssysteme und Anwendungen aus, sondern verbessert den Überblick über die Daten und nimmt der Schadsoftware die Angriffspunkte. NetOps sollten daher in Erfahrung bringen, wie viel Bandbreite Anwendungen im Netzwerk verbrauchen, Duplikate eliminieren und irrelevanten oder risikoarmen Netzwerkverkehr herausfiltern, der von Sicherheits-Tools nicht untersucht werden muss. Umfassende Visibilität der sich in der Infrastruktur bewegenden Daten durch das vollständige Monitoring des Netzwerk-Traffics ist dafür die Voraussetzung. Ziel ist es sämtliche Daten in einer hybriden Infrastruktur (On-Premise, virtuell, Cloud) sichtbar zu machen und zu analysieren, um so die Endpoint Security Tools von unnötigem Ballast zu befreien und deren Effizienz bei der Erkennung von Bedrohungen deutlich zu steigern.

2. Zentralisierung und Offloading ressourcenintensiver Prozesse (wie Entschlüsselung)

Um Bedrohungen in einem Netzwerk zu erkennen, müssen die richtigen Daten für die richtigen Sicherheits-Tools bereitgestellt werden.  Für die meisten Sicherheitsteams gibt es einfach zu wenig Zeit, zu wenig Ressourcen und zu viele Daten, um potenzielle Sicherheitsbedrohungen effizient zu finden und zu bearbeiten. Tatsächlich wird nur 35 Prozent des SSL/TLS-Traffics zu Prüfungszwecken entschlüsselt.

Externe Security Delivery Plattformen ermöglichen eine Zentralisierung und Entschlackung des Datenflusses und generieren als Network Packet Broker Metadaten und optimierte Datenpakete, die speziell auf die einzelnen Sicherheits-Tools abgestimmt sind. Dies verhindert die Überbelegung von Tools, stoppt den Tool-Wildwuchs und verbessert die Effizienz der Bedrohungserkennung im gesamten Unternehmen und spart Kosten. Zusätzliche Investitionen in Security Tools schaffen nicht zusätzliche Sicherheit, solange nicht vollständig sichtbar ist, welche Daten sich überhaupt im Netz bewegen. „Blinde Flecken“ bergen ein unkalkulierbares Risiko, sich Ransomware einzufangen.

3. Sicherheits-Tools schneller bereitstellen und integrieren

Anstatt einer Sammlung von Sicherheits-Tools mit nur einer Funktion, ist heutzutage ein intelligenter und integrierter Ansatz entscheidend. Externe Security Delivery Plattformen tragen dazu bei, Sicherheitsabläufe zu vereinfachen und effizienter zu gestalten, die Erkennung von Bedrohungen zu beschleunigen und bestehende Investitionen in Sicherheitstools zu optimieren.

Einzelne Sicherheits-Tools lassen sich direkt in die externe Security Delivery Platform einbinden die sich wiederum als Packet Broker verbindet mit physischen, virtuellen und Cloud-Netzwerken.  Das Warten auf Wartungsintervalle und die Koordination mit dem NetOps-Mitarbeiter, um die Integration von Tools vorzunehmen, entfällt dadurch.

Funktionen wie Load Balancing, Inline-Bypass, Metadaten und Secure Sockets Layer (SSL)-Entschlüsselung sorgen dafür das das Sicherheitslevel skalieren und mit Netzwerk-Upgrades mithalten kann.

4. Orchestrierung und Automatisierung ermöglichen (zur Steigerung der Betriebseffizienz)

Netzwerksicherheit erfordert eine starke Kommunikation und

Zusammenarbeit zwischen SecOps (der Sicherheitsbetrieb) und NetOps (der Netzwerkbetrieb) Mitarbeiter - zwei Teams, die in der Vergangenheit als getrennte Einheiten agierten und oft im Widerspruch zueinanderstanden. Hinzu kommt der Fachkräftemangel, der dazu führt, dass zu wenige Mitarbeiter zu viele Aufgaben stemmen müssen. Die Vereinfachung wichtiger Sicherheitsprozesse und der Einsatz der richtigen Sicherheitstechnologie-Architektur sind entscheidend, um die Konvergenz dieser Teams voranzutreiben und letztlich die gesamte Netzwerksicherheit und Leistungsfähigkeit zu verbessern. Das gilt natürlich nicht nur für Netzwerkbelange, sondern auch die direkten Backup-Prozesse.

Das Wesen von polymorphen Bedrohungen bringt es mit sich, dass Unternehmen es sich nicht mehr leisten können, Sicherheitssilos aufzubauen, in denen ein Sicherungssystem nicht mit einem anderen Sicherungssystem interagiert. Das persönliche Eingreifen darf nicht mehr erforderlich sein. Das heißt aber auch, dass eine Backup-Strategie nicht losgelöst von anderen Sicherheitsüberlegungen sein darf. Vielmehr kommt es auch hier auf einen übergreifenden Ansatz an, der Insellösungen und -denken eliminiert.

„Ein integrierter und automatisierter Ansatz ist die Zukunft der modernen Sicherheitsarchitektur“, betont Olaf Dünnweller. „Es ist das Ziel, in jeder Anwendung durch Prävention, Erkennung, Vorhersage und Eindämmung von Bedrohungen den Wettbewerb mit dem Angreifer fairer zu gestalten. Die Sicherheitsarchitektur sollte dafür sorgen, dass Sicherheit ein Kampf der Maschinen ist, anstatt ein Kampf zwischen Menschen und Maschinen.“

Neue Funktionen erweitern den Schutz

Moderne Lösungen können einen großen Beitrag zum Schutz vor Ransomware leisten, bestätigt auch Pascal Brunner, Technical Field Director EMEA bei Cohesity. „Eine effektive Ransomware Protection für Backups ist zum Beispiel mit einer DataLock- oder WORM-Funktion (Write Once Read Many) oder so genannten Immutable Backups möglich. Damit lässt sich eine Sicherungskopie weder löschen noch verändern, nicht einmal von internen Systemadministratoren. Sind die Datensicherungen als unveränderliche Snapshots erstellt, können sie auch nicht von externen Systemen gemountet werden.“

Brunner empfiehlt zudem die Daten im Ruhezustand mindestens mit einem 256-bit Schlüssel wie dem AES-256 CBC Standard, optional mit FIPS-Zertifizierung, zu verschlüsseln. Darüber hinaus können auch Daten während der Übertragung mit TLS- und SSL-Verschlüsselung geschützt werden.

„Moderne Backup-Systeme können Angriffsversuche sogar aktiv erkennen, indem sie die Veränderungswerte der gespeicherten Daten innerhalb der Produktionsumgebung analysieren“, führt der Experte weiter aus. „Sie untersuchen etwa die tägliche Änderungsrate bei logischen und gespeicherten Daten, Muster bei historischen Daten, die Häufigkeit von Dateizugriffen sowie die Anzahl von Dateien, die von einem bestimmten Nutzer oder einer Anwendung verändert, hinzugefügt oder gelöscht wird. So lassen sich mögliche Ransomware-Angriffe anhand auffälliger Anomalien feststellen. Ein modernes System kann auch VMs auf nicht gepatchte Schwachstellen scannen.“

Im Falle eines Angriffs muss die Backup-Lösung eine schnelle Wiederherstellung sämtlicher Daten ermöglichen, so Brunner. Dazu sollten seiner Meinung nach die unveränderlichen Snapshots an einem festen Speicherort abgelegt werden, damit das System nicht lange suchen muss, sondern sie am ursprünglichen Platz findet.

Wenn das Unternehmen jedoch nicht in der Lage ist, ein sauberes Backup innerhalb weniger Stunden oder gar Minuten wiederherzustellen, hat es laut Cohesity-Fachmann ein echtes Problem. Der Schaden durch Ransomware kann enorm sein. Wer das geforderte Lösegeld zahlt, erhält keine Garantie dafür, dass die Daten tatsächlich zurückgegeben werden. Zudem leidet der Ruf, da andere Kriminelle das Unternehmen als potenziell leichtes Opfer sehen.

Das Einschalten von Security-Spezialisten nach einem Vorfall kann zwar zur Wiederherstellung der Daten führen. Allerdings dauert das meist zu lange und die Erfolgsaussichten sind zu unsicher, als dass sich Unternehmen darauf verlassen sollten. Daher hilft gegen Ransomware nur ein sicheres Backup in Kombination mit geeigneten Sicherheitslösungen und der Sensibilisierung der Mitarbeiter.

Eine von vielen wichtigen Fragen ist, wie sich Dinge umsetzen lassen, wie zum Beispiel den Domain Controller schützen, damit dieser nicht kompromittiert wird.

„IT-Administratoren können mit modernen Lösungen gezielt nach infizierten oder gefährdeten Dateien suchen und diese vom Backup- und Recovery-Mechanismus ausschließen“, sagt Brunner. „Gerade bei Domain Controllern ist das eine wichtige Option. Denn sie erlaubt es, die geänderten Objekte (beispielsweise Benutzer, Computer) zu erkennen und nur diese wiederherzustellen. Damit gewinnen Unternehmen wichtige Zeit und verhindern, dass eine infizierte Kopie versehentlich wiederhergestellt wird.“

Abschließend rät Brunner, dass Unternehmen anstelle einzelner Produkte für Backup und Restore, Archivierung, File Shares und Object Stores eine übergreifende Plattform nutzen sollten. „Diese umfasst das Rechenzentrum, die Cloud und Außenstandorte. So konsolidieren sie Backups, Datei- und Objektfreigaben auf einer webbasierten Management-Plattform auf Basis eines unveränderlichen Dateisystems.“

Bewährte Methoden erweitern und optimal nutzen

 „Unternehmen sind konstant einer unablässigen Bedrohung durch Ransomware ausgesetzt“, bestätigt Sergei Serdyuk, Mitbegründer und VP Product Management bei Nakivo. „Wir können diese Bedrohung nicht eliminieren, aber sie kann mit Hilfe einer Strategie zur zuverlässigen Datensicherung reduziert werden. Der Eckpfeiler einer solchen Strategie ist das Backup. Regelmäßige Backups helfen, Datenverluste zu vermeiden und können eine schnelle Wiederherstellung nach einem Angriff gewährleisten.“

Neben neuen Produkten und Cloud-Angeboten sind deswegen auch bewährte Strategien nicht zu unterschätzen, selbst wenn diese schon länger bekannt sind. Das bekräftigt auch Serdyuk.

„Um die Backups selbst vor einer Ransomware-Infektion zu schützen, sollten sie auf verschiedenen Speichermedien, wie Cloud, Band oder NAS, gespeichert werden. Außerdem ist es unerlässlich, mindestens eine Sicherheitskopie von der Produktionsumgebung zu trennen. 3-2-1 lautet nach wie vor die goldene Regel; ihre Bedeutung ist kaum höher zu bewerten. Sie bedeutet, drei verschiedene Kopien der Daten auf zwei verschiedenen Speichermedien vorzuhalten, eine Kopie davon außerhalb der Netzwerkumgebung des Unternehmens für den Zweck einer Disaster Recovery.“ Auch er sieht den Nutzen der WORM-Speichertechnologie, um Backup-Daten vor Veränderung, Manipulation oder Löschung zu schützen. Darüber hinaus ist auch für ihn die einfachste und reibungsloseste Art Backups zu erstellen, die Backup- und Disaster-Recovery-Prozesse automatisiert mit einer zuverlässigen Datensicherungslösung zu erstellen.

Die Experten von Veeam sehen dies ähnlich gehen aber einen Schritt weiter. „Wir empfehlen die 3-2-1-1-0-Regel – das ist eine erweiterte Variante der 3-2-1-Backup-Regel, bei der die Daten dreifach vorgehalten werden (Produktivdaten und zwei Kopien)“, erklärt Thomas Sandner, Senior Director Technical Sales Germany bei Veeam Software „Die Kopien sollen sich dabei auf zwei unterschiedlichen Medien befinden und eine davon außerhalb, also Off-Premises, gelagert werden. Wegen Ransomware haben wir die 3-2-1-Backup-Regel um eine 1 und eine 0 erweitert: Eine dieser Kopien sollte nämlich immutable, also unveränderlich sein, und somit vor Ransomware oder Insider-Angriffen gesichert. Dies kann beispielsweise durch die Nutzung der S3-Object-Lock-Funktionalität von Cloud-Providern geschehen, oder über ein Backup, das mit aktivierter Insider Protection über Cloud Connect zum Service Provider hin ausgelagert wird. Natürlich stellt auch das althergebrachte Tape einen guten Schutz dar, sofern die Bänder regelmäßig ausgelagert werden. Die 0 steht sprichwörtlich für Null-Fehler bei der Wiederherstellung, erreichbar durch kontinuierlich ausgeführte und automatisierte Wiederherstellungstests und Antiviren-Scans der Backups (letzteres ist über unsere Data-Integration-API sehr einfach durchführbar).“

Eine weitere Möglichkeit, um nicht nur die ausgelagerten Kopien zu schützen, sieht Sandner im eigenen Secure Linux Repository. „Dabei werden Backups auf ein Standard-Linux-System gespeichert, das auf zweierlei Art abgesichert wird: Zum einen durch die Nutzung der Immutable Flags in Linux und zum anderen durch die Deaktivierung des Remote-Zugangs (SSH). Diese Strategie sorgt dafür, dass es unerheblich ist, ob eine Ransomware-Attacke das lokale Backup ebenfalls erwischt oder nicht, denn die verteilten Kopien – auf Tape, beim Cloud Service Provider, in einem weiteren Rechenzentrum – bleiben unversehrt und können schnell eingespielt werden.“

In Bezug auf die Architektur des Netzwerks bietet sich gegen Ransomware vor allem eine Mikro-Segmentierung an, so Sandner. „Diese teilt das Netzwerk in getrennte Bereiche an deren Grenzen Sicherheitskontrollen den Datenverkehr streng kontrollieren. So werden Angreifer im jeweiligen Segment eingesperrt und seitliche Bewegungen verhindert. Zudem hilft die Einrichtung des sogenannte Zero-Trust-Prinzips, um das Netzwerk gegen Attacken über gestohlene Zugriffsdaten und Benutzerkonten zu schützen, denn hier werden die Zugriffsrechte genauestens definiert. Das führt dazu, dass jeder Nutzer nur das vom Netzwerk sieht, was er sehen darf – der Rest bleibt unsichtbar.“

Um einen Angriff auf die Backup-Systeme via Domänen-Controller oder Active Directory zu verhindern, hat Sandner klare Ratschläge: „Grundsätzlich empfehlen wir, dass die Backup-Komponenten (Backup-Server, Repositories, und so weiter) nicht Mitglied der Domäne sein sollen oder, falls notwendig, in großen Umgebungen zumindest in einer speziell geschützten Management-Domäne hängen. So ist sichergestellt, dass zumindest die Backup-Infrastruktur nach einem Angriff noch intakt ist. Zur Absicherung der Domäne empfehlen wir – überall, wo es möglich ist - die Verwendung von Multi-Faktor-Authentisierung (MFA). Außerdem sollten sowohl die Umgebung als auch alle Komponenten (einschließlich Drittanbieter-Software) stets auf dem aktuellen Stand gehalten werden.“

Richtlinien, Analysen und die richtigen Tools

Auch bei Pure Storage setzt man sich mit dem Thema des Ransomware-Schutzes auseinander. Hier wird der Blick auf strategische und technische Ansätze gerichtet.

„Neben der Implementierung von Richtlinien zum Umgang mit IT im Unternehmen, dem Einsatz von Sicherheitssoftware wie Antivirus, Firewall oder IDS, die vor dem Befall von Ransomware schützen, dem Einsatz von Analyse-Software – zur Erkennung von Anomalien unter anderem im Netzwerk – benötigen Firmen auch eine ‚technische Versicherung‘ für den Fall, dass man Opfer einer Attacke wurde“, erläutert Markus Grau, Principal Technology Strategist  EMEA CTO Office bei Pure Storage. „Konkret meine ich damit einen Schutz davor, dass Datensicherungen kompromittiert beziehungsweise verschlüsselt oder auch gelöscht werden. Dies ist immer häufiger der Fall. Der Angreifer, respektive die Ransomware, späht zunächst das Unternehmen aus und prüft hier auch auf die zum Einsatz kommenden IT-Systeme. Neben dem eigentlichen Angriff auf die Daten selbst – die Verschlüsselung - werden auch Zugangsdaten kompromittiert und diese dann gezielt dazu verwendet um weitere Schadsoftware zu verbreiten oder auch Daten und Datensicherungen gezielt zu löschen.“

Laut Grau kommt es vermehrt vor, dass geistiges Eigentum gezielt gestohlen wird und Unternehmen erpresst werden. Hier empfiehlt er den Einsatz von DLP-Software. „Oftmals muss nach einem Befall von Ransomware ein Großteil der IT-Umgebung komplett neu installiert werden“, sagt Grau. „Daher müssen unveränderte Datensicherungen zur Verfügung stehen und leistungsfähige Systeme zum Einsatz kommen, die einen sehr schnellen Restore ermöglichen.“

„Oftmals wird Ransomware auch über Macros in Office-Dokumenten in Unternehmen ausgeführt“, weiß der Technologiestratege. „Es ist zwar mit viel Arbeit verbunden, aber alleine der Zwang nur, vom Unternehmen selbst signierte Macros zuzulassen, kann eine Menge Schutz bieten. Leider schließen sich IT-Sicherheit und Anwender-Komfort oftmals gegenseitig aus, aber in den vergangenen Jahren hat sich viel getan um es den Nutzern einfacher zu machen sicher zu arbeiten.“