So entwickeln Sie eine Ransomware-Strategie für Cloud-Backups

Die zunehmende Bedrohung durch Ransomware und datenspezifische Angriffe veranlasst viele Unternehmen dazu, ein neues Datensicherungs- und Wiederherstellungsmodell (Backup und Recovery) zu implementieren, das auch Cloud-basierten Speicher umfasst.

Die meisten etablierten Unternehmen verfügen über mehrere Ebenen von Backups und replizierten Daten für Business Continuity und Disaster Recovery (BC/DR). Doch das Schreckgespenst Ransomware treibt einige Unternehmen dazu, isolierte Backups in Betracht zu ziehen. Dabei handelt es sich um Backups, die von der zentralen Unternehmensumgebung aus nicht erreichbar oder zugänglich sind, ohne dass Änderungen an der Infrastruktur vorgenommen werden und/oder zahlreiche administrative Authentifizierungs-/Berechtigungsanpassungen erforderlich sind.

Zu den gängigen Taktiken für den Schutz vor Ransomware durch Cloud-Backups gehören die folgenden:

• Aufbau eines neuen Netzwerksegments innerhalb der Unternehmensumgebung für diese Backups, wobei das Segment durch eine „Deny All“-Firewall geschützt wird. Diese Regeln werden nur dann gelockert, wenn die Daten benötigt werden oder für die Replikation.
• Anlegen eines neuen, isolierten, Cloud-basierten Backups, bei dem sowohl lokale als auch Cloud-basierte Netzwerkeinschränkungen ähnlich den eben genannten verwendet werden. Alternativ könnte das isolierte Backup auch in einem sekundären oder Backup-Rechenzentrum stattfinden.
• Für Anmeldungen sollte die gemeinsame Eingabe von Anmeldeinformationen und Informationen zur Multifaktor-Authentifizierung durch mehrere Administratoren verlangt werden.

Erste Schritte: Entwickeln einer Cloud-Backup-Strategie

Bei der Entwicklung einer Strategie, um Cloud-Backups vor Ransomware zu schützen, sollten die folgenden Unternehmensbereiche in die Planungsphase einbezogen werden:

• IT-Betrieb. IT-Betriebsteams sollten sich überlegen, welche Arten von Daten gesichert werden sollen und wie lange die Daten gespeichert werden sollen.
• BC/DR-Planung. Für die BC/DR-Planungsteams sollten die Daten an Standardmetriken wie der mittleren Zeit bis zur Wiederherstellung (MTTR), dem Ziel für Recovery Time Objective, dem Ziel für Recovery Point Objectiveund anderen ausgerichtet werden.
• Informationssicherheit. Die Sensibilität der gespeicherten und replizierten Daten ist von entscheidender Bedeutung. Daher sollten sich die Sicherheitsteams nicht nur auf die Art der gesicherten Daten konzentrieren, sondern auch auf die in der Cloud verfügbaren Sicherheitskontrollen, die zum Schutz dieser Daten beitragen.
• Rechtliche Aspekte und Compliance. Alle erforderlichen rechtlichen und regulatorischen Anforderungen sollten frühzeitig berücksichtigt werden, um sicherzustellen, dass alle Speicher- und Archivierungsanforderungen der Branche und den Best Practices entsprechen.

Fragen zur Datensicherheit an Cloud-Speicheranbieter

Unternehmen sollten ihren Cloud-Speicheranbietern eine Reihe von Fragen stellen, die alles abdecken, von der Sicherheit des Rechenzentrums über die Speicherarchitektur und die Netzwerksicherheit bis hin zur Speicherverwaltung und den Sicherheitsprozessen.

Sicherheit des Rechenzentrums

Die ersten Fragen sollten sich auf die physische Sicherheit der Rechenzentren eines Anbieters und auf das Personal konzentrieren, das die Systeme und Anwendungen in diesen Umgebungen betreibt. Dazu gehören die folgenden Fragen:

• Ist der physische Zugang zum Rechenzentrum eingeschränkt? Welche Sicherheitsmethoden sind für den Zugang erforderlich, zum Beispiel biometrische Netzhautscanner? Unternehmen sollten von Anbietern erwarten, dass sie strenge physische Zugangskontrollen in diesen Einrichtungen unterhalten.
• Ist das Rechenzentrum rund um die Uhr mit Personal besetzt und überwacht? Wenn ja, wie wird der Schichtwechsel gehandhabt?
• Verfügt das Rechenzentrum über Videoüberwachung und Prüfprotokolle, in denen die Besucher und die Zeiten ihres Kommens und Gehens festgehalten werden? Wie wird die Videoüberwachung überwacht?
• Werden Mitarbeiter mit physischem oder leitendem Zugang zur Infrastruktur auf ihren Hintergrund überprüft? Welche Art von Überprüfungen wird durchgeführt und wie oft?
• Gibt es Einbruchswarnungen und einen dokumentierten Reaktionsplan für den Fall einer Verletzung der physischen Sicherheit in den Rechenzentren?

Speicherarchitektur und Netzwerksicherheit

Unternehmen müssen sich der allgemeinen Überlegungen zur Sicherheitsgestaltung in der Umgebung des Cloud-Anbieters bewusst sein. Diese Kontrollen werden als grundlegende Sicherheitsprogrammelemente betrachtet, die jedes ausgereifte Programm unterstützen sollte. Berücksichtigen Sie die folgenden Kriterien:

• Welche Authentifizierungsmethoden sind für Benutzer beim Zugriff auf Speicherkomponenten und -bereiche erforderlich? Insbesondere die Speicheradministratoren eines Anbieters sollten strenge Authentifizierungsanforderungen haben.
• Gibt es sichere Konfigurationen, die als Teil des Installationsprozesses eine Änderung des Standardkennworts vorschreiben? Sichere Konfigurationen sollten alle Dienste, Merkmale und Funktionen verweigern, es sei denn, sie werden von den Benutzern ausdrücklich aktiviert, so dass alle Konfigurationskontrollen standardmäßig verweigert werden.
• Welche Arten der Überwachung und Protokollierung von Sicherheitsereignissen sind im Einsatz? Alle Plattformen und Anwendungen müssen die Möglichkeit bieten, Sicherheitsereignisse zu erkennen und entsprechend zu protokollieren. Benutzer sollten die Möglichkeit haben, Sicherheitswarnungen an Verwaltungskonsolen, Elementmanager, Pager, E-Mail und andere Quellen zu senden. In vielen Fällen stehen diese Daten nur den Teams der Cloud-Anbieter zur Verfügung, aber die Benutzer sollten wissen, welche Technologien und Prozesse vorhanden sind.
• Wie wird die Mehrmandantenfähigkeit eingesetzt, und welche Technologien werden zur Segmentierung und Isolierung der Daten der verschiedenen Mandanten verwendet? Virtuelle Firewalls, Hypervisoren, SAN-Isolierungs-Tools und -Techniken sowie Netzwerksegmentierung sind allesamt praktikable Optionen. Cloud-Anbieter sollten bereit sein, offenzulegen, was sie zum Schutz von Daten auf gemeinsam genutzten Plattformen verwenden.
• Werden die Benutzerberechtigungen und Passwörter von Netzwerkgeräten überprüft, und wie oft? Cloud-Anbieter sollten in regelmäßigen Abständen die Benutzerberechtigungen und Passwörter überprüfen, um sicherzustellen, dass sie gültig und aktuell sind.
• Sind die Systeme, die die einzelnen Kunden bedienen, sowohl logisch als auch physisch von anderen Netzwerkzonen getrennt? Es sollte separate Firewall-Zonen für den Internetzugang, Produktionsdatenbanken, Entwicklungs- und Staging-Bereiche sowie interne Anwendungen und Komponenten geben.

Sicherheit für Speicherzugriff und -verwaltung

Die Verwaltung der Zugriffskontrollen und der Sitzungssicherheit für den Zugriff auf die Speicherumgebung sollte sowohl für die Administratoren des Cloud-Anbieters als auch für die Benutzer im Unternehmen von größter Bedeutung sein. Um sich gegen gängige Sicherheitsbedrohungen wie Ransomware zu schützen, sollte der Cloud-Speicher anhand der folgenden Kriterien bewertet werden:

• Speichern die Management-Tools und andere Verwaltungsanwendungen die Kennwörter der Benutzer in einem verschlüsselten Format? Wenn ja, welcher Art, und wird diese Verschlüsselung regelmäßig getestet? Ermöglicht die Speicherverwaltungsanwendung außerdem die Konfiguration und Durchsetzung von Passwortlänge, -typ und -dauer?
• Welche Arten von sicheren Verbindungen zur Cloud-Speicherinfrastruktur sind zulässig? Werden sicherere Kommunikationsprotokolle, wie Secure Sockets Layer/Transport Layer Security oder Secure Shell, unterstützt?
• Gibt es ein Zeitlimit für aktive Benutzersitzungen?
• Unterstützen die Verwaltungs-Tools mehrere Administratorprofile, um granulare Sicherheitsstufen zu ermöglichen? Verwaltungsanwendungen für den Zugriff auf und die Konfiguration von Cloud-Speicher sollten über Konfigurationsoptionen verfügen, die den Administratorzugriff auf der Grundlage von Uhrzeit, Tag, Funktion und anderen Attributen einschränken. Alle Aktionen des Administrators sollten für Audits und Warnmeldungen protokolliert werden, und die Protokolle sollten den Sicherheitsteams des Unternehmens zur Verfügung stehen.
• Kann die Anwendung zur Verwaltung von Cloud-Speicher granulare Rollen und Berechtigungen definieren? Um eine ordnungsgemäße Aufgabentrennung zu gewährleisten und den Grundsatz der geringsten Rechte durchzusetzen, sollte diese Fähigkeit als obligatorisch angesehen werden.

Sicherheitsprozesse

Das Hauptaugenmerk bei sicherheitsorientierten Prozessen innerhalb eines Cloud-Speicheranbieters sollte auf Softwaretests und Entwicklungssicherheit sowie auf Patching und Schwachstellenmanagement liegen.

Zu den zu stellenden Fragen gehören die folgenden:

• Testet der Cloud-Speicheranbieter Hardware und Software in vollständig gesicherten und gepatchten Konfigurationen, um die Anfälligkeit der Server, Netzwerke und Anwendungen zu bewerten?
• Gibt es beim Anbieter ein Verfahren zur Verfolgung und Meldung von Sicherheitsschwachstellen, die in den Cloud-Speicherprodukten entdeckt wurden? Der Anbieter sollte auch zwischen allgemeinen Ankündigungen und Kontaktmethoden für bestimmte Kunden als Teil seiner Verfahren zur Reaktion auf Vorfälle unterscheiden.
• Welche Benachrichtigungs- und Eskalationsverfahren werden bei Sicherheitsverletzungen oder anderen potenziell schwerwiegenden Sicherheitsvorfällen angewandt?
• Gibt es ein festgelegtes und dokumentiertes Verfahren für die interne Verteilung von kritischen Software-Patchesund nicht-kritischen Sicherheits-Updates?
• Gibt es ein etabliertes Verfahren für Sicherheitstests im Rahmen der Entwicklungs- und Qualitätssicherungszyklen? Dazu sollte das Scannen des Quellcodes auf die wichtigsten Probleme gehören - darunter die Top 10 des Open Web Application Security Project, Pufferüberläufe, mangelhafte Authentifizierung und Sitzungsverarbeitung.

Cloud-basierter Speicher ergänzt die Datensicherungsstrategien, die bereits von etablierten Unternehmen eingesetzt werden. Zu diesen Strategien gehören Standard-Backups vor Ort auf Band oder Festplatte oder eine groß angelegte Replikation virtueller Dateninhalte mit SAN-/Netzwerkspeicherintegration sowie sekundäre Backups auf Band oder Festplatte, die an einen externen Backup-Anbieter gesendet werden. Für neuere Szenarien, wie zum Beispiel Ransomware-Probleme, können kurzfristige isolierte Backups für Endbenutzer-Inhalte und/oder kritische Kernressourcen des Rechenzentrums in Betracht gezogen werden.