Lesezeit: 9 Minuten Eine unveränderliche Datenarchitektur bedeutet, dass einmal geschriebene Dateidaten nicht mehr geändert werden können. Und wenn sie nicht geändert werden können, dann können sie auch nicht von Ransomware verschlüsselt werden.
Dark Reading hat kürzlich berichtet , dass ein Fortune 50-Unternehmen die vermutlich bisher größte Ransomware-Forderung gezahlt hat: 75 Millionen Dollar.
Zu den weiteren bemerkenswerten Angriffen der letzten Jahre gehören Caesars Palace mit 15 Millionen Dollar, CNA Financial - eine der größten Cyber-Versicherungsgesellschaften in den USA - mit 40 Millionen Dollar und Change Healthcare .
Die Zahlung von 5 Millionen Dollar an die Hacker von Colonial Pipeline trug wenig zur Erholung des Unternehmens bei, nachdem ein Ransomware-Angriff auf die Systeme des Unternehmens zu Unterbrechungen der Treibstoffversorgung an der Ostküste geführt hatte. Wenn man davon ausgeht, dass das Unternehmen wie berichtet weiterhin Backups zur Wiederherstellung der Daten verwendet hat, weil das gelieferte Entschlüsselungsprogramm so langsam war, zeigt die Erfahrung von Colonial einen der größten Nachteile der Zahlung von Lösegeld.
Die kontinuierliche Zunahme der Angriffshäufigkeit, die Ransomware-Forderungen und die Taktik, sensible Daten öffentlich zugänglich zu machen, wenn Unternehmen das Lösegeld nicht zahlen, zeigen uns, dass diese Angriffe für die dahinter stehenden Kriminellen mehr als lukrativ genug sind. Da das Entdeckungsrisiko nach wie vor gering ist und mit dem Aufkommen von Crimeware-as-a-Service sogar noch geringer wird, hat kaum ein Unternehmen eine Chance, einem Angriff zu entgehen. Tatsächlich wurden immer mehr Unternehmen mehr als einmal angegriffen.
Was ist Ransomware und wie stört sie den Geschäftsbetrieb? Bei Ransomware handelt es sich um eine Art von Malware oder Softwarecode, die den Zugriff auf Ihre wichtigen Daten blockieren soll, indem sie diese Daten in der Regel verschlüsselt, so dass Ihre Dateien nicht mehr geöffnet werden können oder kein Zugriff mehr möglich ist. Einige Varianten ändern die Dateierweiterungen, während andere die Dateien einfach verschlüsseln.
Die Hacker verlangen dann ein Lösegeld (oft in Bitcoin) im Austausch für Entschlüsselungsschlüssel oder einen Decoder, um den Zugriff auf Ihre Daten wiederherzustellen.
Es ist die digitale Version einer Entführung - Ihre Daten werden als Geiseln gehalten und der Entführer will, dass Sie für die sichere Rückgabe bezahlen.
Ausgeklügelte Ransomware-Angriffe, die durch frühere Lösegeldzahlungen finanziert werden, sind speziell so konzipiert, dass sie nur schwer abzuwehren sind und nur schwer frühzeitig erkannt werden können. Sie sind auch extrem schwer zu stoppen und verschlüsseln ein Netzwerk oft so stark, dass die Opfer von Ransomware-Angriffen über ihre Möglichkeiten verwirrt sind und manchmal glauben, sie hätten keine andere Wahl, als das Lösegeld zu zahlen.
Aus der Sicht des Angreifers hängt der Erfolg oder Misserfolg eines Angriffs davon ab, ob Sie in der Lage sind, den Zugriff auf Ihre Daten wiederherzustellen, es sei denn, das Lösegeld wird gezahlt.
Daher haben es Angreifer oft zuerst auf Backups und Snapshots abgesehen, um Ihre Wiederherstellungsoptionen einzuschränken. So bleibt den Unternehmen nichts anderes übrig als externe Backups, vielleicht sogar auf Band, von denen sie wiederherstellen können. Sich auf Backups zu verlassen, kann zu einem enormen Datenverlust führen und ist ein so langsamer Prozess, dass die Wiederherstellung wahrscheinlich Wochen oder sogar Monate dauern wird.
Wenn ein Angriff auftritt, müssen IT-Teams versuchen, ihn zu identifizieren, herauszufinden, woher er kommt, ihn zu verlangsamen und hoffentlich zu stoppen, bevor er ganze Netzwerke verschlüsselt. Wenn sie z. B. einen infizierten Laptop oder Server ausfindig machen können, kann das Trennen dieses Geräts vom Netzwerk helfen, den Schaden einzudämmen und zu minimieren.
Häufig führen Angriffe zu einer Überlastung der CPU, so dass es für Systemadministratoren extrem schwierig wird, auf kritische Infrastrukturen wie Server zuzugreifen.
Sobald der Angriff gestoppt wurde, befinden sich die IT- und SecOps-Teams im Disaster Recovery-Modus. Sie stehen vor der enormen Aufgabe, verschlüsselte Dateien, Ordner und Verzeichnisse zu identifizieren und herauszufinden, ob sie entschlüsselt werden können oder ob ihre Datenwiederherstellungsprozesse unversehrte Daten wiederherstellen können, während der Datenverlust minimiert wird.
Während all dies geschieht, sind die Benutzer von den Netzwerken ausgeschlossen, und den Unternehmen entstehen Kosten durch Ausfallzeiten, Datenverluste und fehlgeschlagene Wiederherstellungsversuche.
bat365Der Ansatz von bat365 zur unveränderlichen Speicherung, der eine schnelle Wiederherstellung unverfälschter Dateidaten aus unveränderlichen Snapshots ermöglicht, die in granularen Intervallen erstellt werden, bedeutet, dass die Kunden von keine Lösegelder zahlen und ihre Produktivität mit minimalen Unterbrechungen wieder aufnehmen können.
Wie dringt die Ransomware in ein Netzwerk ein? Ransomware kann durch sozial manipulierte Methoden wie gefälschte E-Mails, Spam, Webseiten, kostenlose Software-Downloads, gefälschte Software-Updates und sogar durch webbasierte Sofortnachrichten verbreitet werden.
Diese sind speziell darauf ausgelegt, erfolgreich zu sein, indem sie es so wahrscheinlich wie möglich machen, dass ein Benutzer getäuscht wird.
Eines Morgens erhalten Sie beispielsweise eine dringende E-Mail von Ihrem CEO (die E-Mail enthält seinen Namen und seine E-Mail-Adresse im Feld "Von:"), in der Sie gebeten werden, die angehängte Rechnung in Form einer PDF-Datei zu erläutern.
Es sieht authentisch aus, also öffnen Sie den Anhang. Die PDF-Datei enthält ein eingebettetes Word-Dokument, und Sie umgehen die Dateiprüfung, indem Sie sagen, dass das Öffnen der Datei "OK" ist. Das Word-Dokument enthält ein Visual Basic-Makro, das die Ransomware herunterlädt und ausführt.
Das ist alles, was es brauchte. Sie sind nun mit Ransomware infiziert, und diese beginnt sofort, Daten zu verschlüsseln - nicht nur auf Ihrem Laptop, sondern auch auf dem Netzlaufwerk.
Es ist bekannt, dass Angreifer die Enden von USB-Ladekabeln verändern und diese Kabel an stark frequentierten Orten liegen lassen. Sie werden schnell aufgegriffen und irgendwann wahrscheinlich an einen Laptop oder Desktop-Computer angeschlossen, um ein Telefon zu laden.
Zu diesem Zeitpunkt ist die Malware bereits aktiv. Sie ist so konzipiert, dass sie maximalen Schaden anrichtet. Daher bleibt sie so lange inaktiv, bis das gleiche Gerät mit einem Unternehmensnetzwerk verbunden wird, und läuft dann mit voller Geschwindigkeit durch das Datennetzwerk.
Ist ein vollständiger Schutz vor Ransomware überhaupt möglich? Die Verteidigung gegen Ransomware ist außerordentlich schwierig. In Anbetracht des Umfangs und des Erfolgs der weltweiten Angriffe liegt der Schluss nahe, dass eine undurchdringliche Ransomware-Abwehr unmöglich ist.
Die verfügbaren Anti-Ransomware-Tools können zahlreiche Versuche abwehren und werden, wenn sie auf dem neuesten Stand gehalten werden, mit Sicherheit dazu beitragen, Ihre Infrastruktur sicher zu halten und Cyberangriffe abzuwehren.
Sie sind besonders gut darin, E-Mail-Anhänge zu erkennen und abzulehnen, was ein Grund dafür ist, dass sich Angriffe auf Methoden verlagert haben, die eine direkte Injektion in ein Netzwerk ermöglichen.
Defensivsoftware wie bat365 Detect and Rescue ist äußerst effektiv bei der Früherkennung innerhalb von CloudFS und kann Angriffe auf der Ebene der betroffenen Benutzer automatisch beenden, sodass der Schaden minimiert wird, wenn Ransomware Ihre erste Verteidigungslinie durchbricht.
Dies allein ist jedoch keine vollständige Antwort, da diese Lösungen von Natur aus reaktiv sind. Sie reagieren auf Ransomware, wenn sie diese erkennen, d. h. es muss ein Angriff erfolgen, bevor sie in Aktion treten. Die heimtückische Natur von Ransomware bedeutet, dass Daten immer noch geändert oder gelöscht werden können, bevor ein Angriff unter Kontrolle gebracht werden kann.
Eine umfassendere Antwort liegt im Schutz vor Ransomware Eine Entführung gegen Lösegeld ist nur dann wirksam, wenn die als Geisel genommene Person oder Sache für den Besitzer so wertvoll ist, dass er für eine sichere Rückgabe zahlt. In unserem digitalen Zeitalter haben Daten einen immensen Wert erlangt, denn ohne sie kann ein Unternehmen einfach nicht funktionieren.
Die Statistiken sind eindeutig: Wenn ein Unternehmen den Zugang zu wichtigen Geschäftsdaten für 10 Tage oder länger verliert, hat es nur eine 7 %ige Chance, die nächsten 12 Monate zu überleben . Damit sind Daten das Wertvollste, was ein Unternehmen besitzt, und das Wichtigste, das es zu schützen gilt.
Wenn man davon ausgeht, dass es nicht möglich ist, Ransomware vollständig fernzuhalten, bedeutet Schutz vor Ransomware auch Schutz der Daten. Ein effektiver Weg, dies zu tun, ist die Aufrechterhaltung eines makellosen Datensatzes, der ohne Datenverlust und mit minimaler Unterbrechung schnell wiederhergestellt werden kann.
Bei einer Entführung geht es nicht mehr darum, zu verhindern, dass jemand entführt wird. Stattdessen machen Sie es unmöglich, dass etwas anderes als ein Hologramm dieser Person als Geisel genommen wird. In der Zwischenzeit ist die echte Person nie in Gefahr.
Einführung der unveränderlichen Datenspeicherung Aufgrund der Tatsache, dass sie Daten speichern, die bearbeitet werden können müssen, sind ältere Dateisysteme von Natur aus anfällig für Ransomware. Wenn sie angegriffen werden, tun sie genau das, wofür sie entwickelt wurden, und ermöglichen die Änderung Ihrer Dateien.
Unveränderlicher Speicher in Verbindung mit einem unveränderlichen hybriden Cloud-Dateisystem , das in der Lage ist, Dateidaten auf der kleinstmöglichen Ebene zu verwalten, verändert Ihre Position gegenüber Ransomware und Malware, da er grundsätzlich resistent gegen Angriffe ist. Es handelt sich nicht um eine Lösung zur Verteidigung oder zum Schutz, sondern um eine Lösung, die die Auswirkungen und die Ausbreitung eines Angriffs reduziert, indem sie von ihm unberührt bleibt.
Unveränderliche Speicherung wird durch eine intelligente hybride Cloud-Dateiplattform wie bat365 CloudFS ermöglicht, die einen eleganten, modernen Ansatz für Dateidaten verfolgt und Ihnen die Verwendung von Objektspeicher ermöglicht - ob in einer öffentlichen Cloud, einer privaten Cloud oder einer komplett dunklen Cloud.
Für einen Benutzer sieht CloudFS aus wie jedes andere Dateisystem und fühlt sich auch so an. Dateien können geöffnet, bearbeitet und gespeichert, kopiert oder gelöscht werden - von jedem autorisierten Benutzer, an jedem Ort - in Echtzeit.
Hinter den Kulissen verbirgt sich eine radikal andere, viel einfachere und unendlich robustere Speicherstruktur.
CloudFS ist praktisch ein unveränderliches Dateisystem. Es handelt sich um eine hybride Cloud-Dateiplattform, die auf einem globalen Dateisystem basiert, das Dateidaten als Blöcke in einem Objektspeicher speichert - entweder in der Cloud oder vor Ort - als einen einzigen maßgeblichen Datensatz, mit dem jeder Benutzer im Unternehmen arbeiten kann. Der Standort des Benutzers und die Anzahl der Standorte des Unternehmens spielen bei diesem skalierbaren globalen Dateisystem keine Rolle. Jeder Benutzer hat das Gefühl, eine lokale Datei zu nutzen, obwohl die Daten selbst Hunderte, wenn nicht Tausende von Kilometern entfernt gespeichert sind.
Diese Datenblöcke sind unveränderlich - sie werden im Format "Write Once, Read Many" gespeichert, das der Objektspeicher unterstützt, so dass sie, sobald sie im Objektspeicher sind, nicht mehr geändert, bearbeitet oder überschrieben werden können. Folglich sind sie unempfindlich gegen Malware sowie gegen versehentliche Datenbeschädigung oder -löschung durch menschliches Versagen.
Mit Metadatenzeigern wird aufgezeichnet, aus welchen Blöcken eine Datei zu einem bestimmten Zeitpunkt besteht. Wenn Benutzer Dateien erstellen oder bearbeiten, werden geänderte Datenblöcke alle 60 Sekunden in den Objektspeicher verschoben und als neue Datenblöcke gespeichert. Gleichzeitig werden die Metadatenzeiger aktualisiert, um alle neuen Blöcke, aus denen die Datei besteht, wiederzugeben.
Wenn beispielsweise ein 4-seitiges, gespeichertes Dokument mit dem Namen fileone.docx aus den Blöcken A, B, C und D besteht und das Dokument heute bearbeitet wird, könnte es nun aus den Blöcken A, B, C und E bestehen. Der neue Block E enthält Daten, die das Dateisystem noch nicht gesehen hat, daher wird er in den Objektspeicher verschoben und die Metadatenzeiger halten fest, dass A, B, C und E erforderlich sind, um die aktuelle Version dieser Datei zu öffnen.
Auf der Ebene der lokalen Knoten werden alle 60 Sekunden unveränderliche Schnappschüsse erstellt, die zur Übertragung geänderter Daten an den Objektspeicher verwendet werden. CloudFS ermöglicht es in einzigartiger Weise, dass jeder Ort innerhalb des Dateisystems mit jedem anderen Ort kommunizieren kann, um den Austausch neuer und geänderter Daten in Echtzeit zu erleichtern, selbst wenn diese den Objektspeicher noch nicht erreicht haben. Das bedeutet effektiv einen systemweiten RPO von unter 60 Sekunden, unabhängig davon, wo die Dateidaten entstanden sind oder zuletzt geändert wurden.
Diese unveränderlichen Datenblöcke werden zusätzlich durch dateisystemweite unveränderliche Snapshots geschützt, die in konfigurierbaren Intervallen erstellt werden, wobei der Standardwert 60 Minuten beträgt.
Da diese Snapshots schreibgeschützt sind, sind sie auch unempfindlich gegen Ransomware und bieten eine granulare Möglichkeit, Daten bis zu einer früheren Version wiederherzustellen, ohne dass wichtige Daten verloren gehen.
Nehmen wir an, dass Sie nach dem Bearbeiten, Speichern und Schließen von fileone.docx feststellen, dass Sie versehentlich einen wichtigen Text gelöscht haben.
Normalerweise wären diese Daten verloren, es sei denn, sie wurden von einem System-Backup erfasst, das in der Regel nur einmal am Tag durchgeführt wird. Mit bat365 CloudFS klicken Sie einfach mit der rechten Maustaste auf das Dokument im Windows-Dateiexplorer und stellen es in der Version wieder her, die durch den Schnappschuss erstellt wurde, bevor Sie Ihre Änderungen vorgenommen haben.
Unveränderliche Daten und unveränderliche Snapshots wehren Ransomware-Angriffe ab Im Falle einer Ransomware-Verschlüsselung wird bösartiger Code in Ihre Dateien eingefügt, der diese verändert. bat365 CloudFS erkennt geänderte Dateidaten, und die daraus resultierenden verschlüsselten Datenblöcke werden als neue Daten in den Objektspeicher geschrieben.
Bei einem älteren Speichersystem kann eine Datei bearbeitet werden, während dieser Code eingefügt wird, wodurch die Datei selbst verändert wird. Wenn fileone.docx dagegen von Ransomware auf CloudFS infiziert wird, besteht sie nun aus völlig neuen Datenblöcken - zum Beispiel F, G, H und I.
Da CloudFS vorhandene Daten als Originalobjekte im Objektspeicher bewahrt, kann jede durch den Ransomware-Code verschlüsselte Datei mithilfe von Snapshots sofort in den Zustand vor der Infektion zurückversetzt werden. Dies kann problemlos für eine einzelne Datei, ganze Verzeichnisse oder sogar das gesamte globale Dateisystem erfolgen.
Bei den unveränderlichen Speicherlösungen von bat365sind Ihre Dateien überhaupt nicht verschlüsselt. Stattdessen verweisen die Dateizeiger jetzt auf Datenblöcke, die verschlüsselt sind. Wenn Sie zu dem Snapshot vor dem Angriff zurückkehren, verweisen die Zeiger wieder auf saubere Datenblöcke... und Ihre ursprünglichen Dateien sind wieder da. In unserem Beispiel von fileone.docx stellen Sie einfach den Snapshot wieder her, in dem die Metadatenzeiger die Blöcke A, B, C und E aufzeichnen, und fileone.docx ist wieder einsatzbereit.
Dies macht die Ransomware-Verschlüsselung für Ihr Unternehmen praktisch unschädlich und für den Angreifer nutzlos, da er darauf angewiesen ist, Ihnen den Schlüssel zur Entschlüsselung Ihrer Daten zu verkaufen, damit Sie wieder auf Ihre Dateien zugreifen können. Wenn der Zugriff auf Ihre Daten so einfach ist wie die Wiederherstellung aus einem Snapshot, brauchen Sie keinen Entschlüsselungsschlüssel.
Schutz vor der Exfiltration von Dateien Entführer wissen seit langem, dass ihre Chancen auf eine schnelle Bezahlung steigen, wenn sie beweisen können, dass sie bereit sind, ihren Geiseln zu schaden. Das digitale Äquivalent dazu ist die Online-Veröffentlichung der Daten ihrer Opfer - zum Beispiel vertrauliche Patienten- oder Kundendaten.
Die Gefahr der Exfiltration erhöht das Risiko, nicht zu zahlen, exponentiell, da Unternehmen nun auch für Datenschutzverletzungen haftbar gemacht werden können, ganz zu schweigen von dem daraus resultierenden mangelnden Vertrauen der Adressaten.
Die besten modernen Dateisysteme, einschließlich bat365 CloudFS, verwenden militärische Verschlüsselung für Daten am Rand, innerhalb des Objektspeichers und während des Flugs, wenn Daten in den und aus dem Cloud-Speicher bewegt werden. Dies bietet eine Verschleierungsschicht, so dass Daten, die abgefangen werden, nicht entschlüsselt werden können. Wenn ein Angreifer jedoch Zugriff auf ein Dateisystem erhält, um Dateien zu bearbeiten, kann er sie auch lesen.
Umso wichtiger ist die Echtzeit-Erkennung durch Lösungen wie Detect and Rescue, die selbst subtile Angriffe erkennen und abwehren können, bevor nennenswerte Daten exfiltriert werden können.
Es gibt unzählige Gründe für den Austausch von veraltetem NAS-Speicher in Unternehmen oder Organisationen des öffentlichen Sektors. Oft kommt der Anstoß von einem Mandat für die digitale Transformation, oder um unstrukturierte Daten unter Kontrolle zu bekommen, um nicht einfach ein weiteres NetApp oder Isilon zu kaufen.
Der Datenschutz in der unveränderlichen Dateninfrastruktur, die von hybriden Cloud-Dateilösungen wie bat365 angeboten wird, ist jedoch so wertvoll geworden, dass versierte Entscheidungsträger sie neben anderen Überlegungen zu den Gesamtbetriebskosten einordnen.
Seien wir ehrlich: Selbst wenn es um die digitale Transformation geht, sind die Kosten ein enormer Faktor. Die Kosten eines Ransomware-Angriffs sind so hoch, dass die Minderung dieses Risikos mit einer Lösung, die Angriffe abwehren kann - bei gleichzeitiger Datenkonsolidierung und Kostensenkung sowie einem modernen, eleganten Ansatz für unstrukturierte Daten - in jeder Hinsicht Sinn macht.
Verschiebung des Kräfteverhältnisses im Kampf gegen Ransomware.
Reden wir darüber
Egal, ob Sie mit unserem Vertriebsteam sprechen möchten oder einfach nur weitere Informationen und Einblicke wünschen - wir sind für Sie da. Nutzen Sie unseren digitalen Assistenten, um uns anzurufen, oder fordern Sie eine Demo an .
