Eineunveränderliche Datenarchitektur bedeutet, dass einmal geschriebene Daten nicht mehr geändert werden können. Und wenn sie nicht geändert werden können, dann können sie auch nicht durch Ransomware verschlüsselt werden.
In April 2021, Security Boulevard published details on just a few of the notable ransomware attacks that had taken place in just the first quarter of 2021. They include CNA Financial – one of the largest cyber insurance firms in the USA, London-based education facility Harris Federation, IoT device manufacturer Sierra Wireless and Canadian plane manufacturer Bombardier.
Der Computerriese Acer wurde mit der vermutlich bisher größten Lösegeldforderung konfrontiert. Die Angreifer verlangten unglaubliche 50 Millionen Dollar für die Rückgabe ihrer unverschlüsselten Daten.
Die Zahlung von 5 Millionen Dollar an die Hacker von Colonial Pipeline trug wenig zur Erholung des Unternehmens bei, nachdem ein Ransomware-Angriff auf die Systeme des Unternehmens zu Unterbrechungen der Treibstoffversorgung an der Ostküste geführt hatte. Wenn man davon ausgeht, dass das Unternehmen wie berichtet weiterhin Backups zur Wiederherstellung der Daten verwendet hat, weil das gelieferte Entschlüsselungsprogramm so langsam war, zeigt die Erfahrung von Colonial einen der größten Nachteile der Zahlung von Lösegeld.
Die zunehmende Häufigkeit der Angriffe, die Ransomware-Forderungen und die Taktik, sensible Daten öffentlich zugänglich zu machen, wenn die Unternehmen das Lösegeld nicht zahlen, zeigen uns, dass diese Angriffe für die Kriminellen, die dahinter stecken, mehr als lukrativ genug sind. Da das Entdeckungsrisiko nach wie vor gering ist und mit dem Aufkommen von Crimeware-as-a-Service sogar noch geringer wird, hat kaum ein Unternehmen eine Chance, einem Angriff zu entgehen. Tatsächlich wurden immer mehr Unternehmen mehr als einmal angegriffen.
Was ist Ransomware, und was bewirkt sie?
Bei Ransomware handelt es sich um eine Art von Malware oder Softwarecode, die den Zugriff auf Ihre Daten blockieren soll, indem sie diese in der Regel verschlüsselt, so dass Ihre Dateien nicht mehr geöffnet oder aufgerufen werden können. Einige Varianten ändern die Dateierweiterungen, während andere die Dateien einfach verschlüsseln.
Die Hacker verlangen dann ein Lösegeld (oft in Bitcoin) im Austausch für Entschlüsselungsschlüssel oder einen Decoder, um den Zugriff auf Ihre Daten wiederherzustellen.
Es ist die digitale Version einer Entführung - Ihre Daten werden als Geiseln gehalten, bis Sie für ihre sichere Rückgabe bezahlen.
Ausgeklügelte Ransomware-Angriffe, die durch frühere Lösegeldzahlungen finanziert werden, sind speziell so konzipiert, dass sie nur schwer abzuwehren sind und nur schwer frühzeitig erkannt werden können. Sie sind auch extrem schwer zu stoppen und verschlüsseln ein Netzwerk oft so stark, dass die Opfer von Ransomware-Angriffen über ihre Möglichkeiten verwirrt sind und manchmal glauben, sie hätten keine andere Wahl, als das Lösegeld zu zahlen.
Aus der Sicht des Angreifers hängt der Erfolg oder Misserfolg eines Angriffs davon ab, ob Sie in der Lage sind, den Zugriff auf Ihre Daten wiederherzustellen, es sei denn, das Lösegeld wird gezahlt.
Daher haben es Angreifer oft zuerst auf Backups und Snapshots abgesehen, um Ihre Wiederherstellungsoptionen einzuschränken. So bleibt den Unternehmen nichts anderes übrig als externe Backups, vielleicht sogar auf Band, von denen sie wiederherstellen können. Sich auf Backups zu verlassen, kann zu einem enormen Datenverlust führen und ist ein so langsamer Prozess, dass die Wiederherstellung wahrscheinlich Wochen oder sogar Monate dauert.
Wenn ein Angriff auftritt, müssen IT-Teams versuchen, ihn zu identifizieren, herauszufinden, woher er kommt, ihn zu verlangsamen und hoffentlich zu stoppen, bevor er ganze Netzwerke verschlüsselt. Wenn sie z. B. einen infizierten Laptop oder Server ausfindig machen können, kann das Trennen dieses Geräts vom Netzwerk helfen, den Schaden einzudämmen und zu minimieren.
Häufig führen Angriffe zu einer Überlastung der CPU, so dass es für Systemadministratoren extrem schwierig wird, auf kritische Infrastrukturen wie Server zuzugreifen.
Sobald der Angriff beendet ist, beginnt die enorme Aufgabe, die verschlüsselten Dateien, Ordner und Verzeichnisse zu identifizieren und herauszufinden, ob sie entschlüsselt werden können.
Während all dies geschieht, sind die Nutzer von den Netzwerken ausgeschlossen, und den Unternehmen entstehen Kosten für Ausfallzeiten, Datenverluste und fehlgeschlagene Wiederherstellungsversuche. In Wirklichkeit bedeutet der Ansatz von bat365in Bezug auf unveränderliche Speicherung und die Fähigkeit unserer Hybrid-Cloud-Lösung, Daten zu verschlüsseln und sie für Angreifer unbrauchbar zu machen, dass bat365 -Kunden die Zahlung von Lösegeld vollständig vermeiden können.
Wie dringt die Ransomware in ein Netzwerk ein?
Ransomware kann durch sozial manipulierte Methoden wie gefälschte E-Mails, Spam, Webseiten, kostenlose Software-Downloads, gefälschte Software-Updates und sogar durch webbasierte Sofortnachrichten verbreitet werden.
Diese sind speziell darauf ausgelegt, erfolgreich zu sein, indem sie es so wahrscheinlich wie möglich machen, dass ein Benutzer getäuscht wird.
Eines Morgens erhalten Sie beispielsweise eine dringende E-Mail von Ihrem CEO (die E-Mail enthält seinen Namen und seine E-Mail-Adresse im Feld "Von:"), in der Sie gebeten werden, die angehängte Rechnung in Form einer PDF-Datei zu erläutern.
Es sieht authentisch aus, also öffnen Sie den Anhang. Die PDF-Datei enthält ein eingebettetes Word-Dokument, und Sie umgehen die Dateiprüfung, indem Sie sagen, dass das Öffnen der Datei "OK" ist. Das Word-Dokument enthält ein Visual Basic-Makro, das die Ransomware herunterlädt und ausführt.
Das ist alles, was es brauchte. Sie sind nun mit Ransomware infiziert, und diese beginnt sofort, Daten zu verschlüsseln - nicht nur auf Ihrem Laptop, sondern auch auf dem Netzlaufwerk.
In jüngster Zeit sind Angreifer dafür bekannt, die Enden von USB-Ladekabeln zu verändern und diese Kabel in stark frequentierten Bereichen liegen zu lassen. Sie werden schnell aufgegriffen und irgendwann wahrscheinlich an einen Laptop oder Desktop-Computer angeschlossen, um ein Telefon zu laden.
Zu diesem Zeitpunkt ist die Malware bereits aktiv. Sie ist so konzipiert, dass sie maximalen Schaden anrichtet. Daher bleibt sie so lange inaktiv, bis das gleiche Gerät mit einem Unternehmensnetzwerk verbunden wird, und läuft dann mit voller Geschwindigkeit durch das Datennetzwerk.
Ist ein vollständiger Schutz vor Ransomware überhaupt möglich?
In Anbetracht des Umfangs und des Erfolgs der weltweiten Angriffe liegt der Schluss nahe, dass es keinen unüberwindbaren Schutz vor Ransomware gibt.
Die verfügbaren Anti-Ransomware-Tools können zahlreiche Versuche abwehren und werden, wenn sie auf dem neuesten Stand gehalten werden, mit Sicherheit dazu beitragen, Ihre Infrastruktur sicher zu halten und Cyberangriffe abzuwehren.
Sie sind besonders gut darin, E-Mail-Anhänge zu erkennen und abzulehnen, was ein Grund dafür ist, dass sich Angriffe auf Methoden verlagert haben, die eine direkte Injektion in ein Netzwerk ermöglichen.
Defensivsoftware wie die von Varonis angebotene ist äußerst effektiv bei der Früherkennung und kann Angriffe automatisch abwehren, sodass der Schaden minimiert wird, wenn Ransomware Ihre erste Verteidigungslinie durchbricht.
Diese Lösungen sind jedoch von Natur aus reaktiv. Sie können nur eine erkannte Ransomware-Variante abwehren, d. h. es muss ein Angriff erfolgen, bevor die Software aktualisiert werden kann. Und egal, wie schnell Lösungen wie diese auf eine bekannte Variante reagieren, die heimtückische Natur von Ransomware bedeutet, dass immer noch erheblicher Schaden angerichtet werden kann, bevor ein Angriff unter Kontrolle gebracht werden kann.
Eine umfassendere Antwort liegt im Schutz vor Ransomware
Eine Entführung gegen Lösegeld ist nur dann wirksam, wenn die als Geisel genommene Person oder Sache für den Besitzer so wertvoll ist, dass er für eine sichere Rückgabe zahlt. In unserem digitalen Zeitalter haben Daten einen immensen Wert erlangt, denn ohne sie kann ein Unternehmen einfach nicht funktionieren.
Die Statistiken sind eindeutig: Wenn ein Unternehmen den Zugang zu wichtigen Geschäftsdaten für 10 Tage oder länger verliert, hat es nur eine 7 %ige Chance, die nächsten 12 Monate zu überleben. Damit sind Daten das Wertvollste, was ein Unternehmen besitzt, und das Wichtigste, das es zu schützen gilt.
Wenn man davon ausgeht, dass es nicht möglich ist, Ransomware vollständig fernzuhalten, hängt das Stoppen eines Ransomware-Angriffs vom Schutz der Daten ab.
Bei einer Entführung geht es nicht mehr darum, zu verhindern, dass jemand entführt wird. Stattdessen machen Sie es unmöglich, dass etwas anderes als ein Hologramm dieser Person als Geisel genommen wird. In der Zwischenzeit ist die echte Person nie in Gefahr.
Einführung der unveränderlichen Datenspeicherung
Aufgrund der Tatsache, dass sie Daten speichern, die bearbeitet werden können müssen, sind ältere Dateisysteme von Natur aus anfällig für Ransomware. Wenn sie angegriffen werden, tun sie genau das, wofür sie entwickelt wurden, und ermöglichen die Änderung Ihrer Dateien.
Eine unveränderliche Datenarchitektur verändert Ihre Position gegenüber Ransomware und Malware, da sie grundsätzlich resistent gegen Angriffe ist. Sie ist keine Lösung zur Verteidigung oder zum Schutz, sondern reduziert die Auswirkungen und die Ausbreitung eines Angriffs, indem sie von ihm unberührt bleibt.
Unveränderliche Speicherung wird durch eine intelligente hybride Cloud-Dateisystemtechnologie wie bat365 CloudFS ermöglicht, die einen eleganten, modernen Ansatz für unstrukturierte (Datei-)Daten verfolgt und die Verwendung von Objektspeicher ermöglicht - ob in einer öffentlichen Cloud, einer privaten Cloud oder einer komplett dunklen Cloud.
Für den Benutzer sieht CloudFS aus und fühlt sich an wie jedes andere Dateisystem. Dateien können geöffnet, bearbeitet und gespeichert, kopiert oder gelöscht werden - von jedem autorisierten Benutzer, an jedem Standort einer Organisation - in Echtzeit.
Hinter den Kulissen verbirgt sich eine radikal andere, viel einfachere und unendlich robustere Speicherstruktur.
CloudFS ist ein globales Cloud-Dateisystem, das Dateidaten als Blöcke in einem Cloud-Objektspeicher speichert, als einen einzigen maßgeblichen Datensatz, mit dem jeder Benutzer im Unternehmen arbeitet. Der Standort des Benutzers und die Anzahl der Standorte des Unternehmens spielen bei diesem skalierbaren System keine Rolle. Jeder Benutzer hat das Gefühl, eine lokale Datei zu haben, obwohl die Daten selbst Hunderte, wenn nicht Tausende von Kilometern entfernt gespeichert sind.
Diese Datenblöcke sind unveränderlich, d. h. sie werden in einer "Write Once, Read Many"-Form gespeichert, so dass sie nach der Speicherung nicht mehr geändert, bearbeitet oder überschrieben werden können. Folglich sind sie unempfindlich gegen alle Formen von Malware.
Mit Metadatenzeigern wird aufgezeichnet, aus welchen Blöcken eine Datei zu einem bestimmten Zeitpunkt besteht. Wenn Benutzer Dateien erstellen oder bearbeiten, werden geänderte Datenpakete alle 60 Sekunden in den Objektspeicher verschoben und als neue Datenblöcke gespeichert. Gleichzeitig werden die Metadatenzeiger aktualisiert, um alle neuen Blöcke, aus denen die Datei besteht, wiederzugeben.
Wenn z. B. ein 4-seitiges gespeichertes Dokument mit dem Namen fileone.docx aus den Blöcken A, B, C und D besteht und das Dokument heute bearbeitet wird, könnte es nun aus den Blöcken A, B, C und E bestehen.
Diese unveränderlichen Datenblöcke werden außerdem durch dateisystemweite Nur-Lese-Snapshots geschützt, die in konfigurierbaren Intervallen erstellt werden, wobei der Standardwert 60 Minuten beträgt. Darüber hinaus werden alle 60 Sekunden schreibgeschützte Snapshots auf lokaler Filerebene erstellt, die zur Übertragung geänderter Daten in den Objektspeicher verwendet werden.
Da diese Snapshots schreibgeschützt sind, sind sie auch unempfindlich gegen Ransomware und bieten eine granulare Möglichkeit zur Wiederherstellung von Daten bis zu einer beliebigen früheren Version.
Angenommen, Sie haben die Datei fileone.docx bearbeitet und stellen fest, dass Sie versehentlich einen wichtigen Text gelöscht haben.
Normalerweise wären diese Daten verloren, es sei denn, sie wurden von einer Systemsicherung erfasst, die in der Regel nur einmal pro Tag durchgeführt wird. Mit bat365 CloudFS klicken Sie einfach mit der rechten Maustaste auf das Dokument im Windows-Dateiexplorer und stellen es mit dem Schnappschuss wieder her, der vor Ihren Änderungen erstellt wurde.
Unveränderliche Daten wehren Ransomware-Angriffe ab
Im Falle eines Ransomware-Angriffs wird bösartiger Code in Ihre Dateien eingefügt, der diese verändert. bat365 erkennt geänderte Dateidaten, und die daraus resultierenden verschlüsselten Dateien werden als neue Daten in den Objektspeicher geschrieben.
Bei einem älteren Speichersystem kann eine Datei bearbeitet werden, während dieser Code eingefügt wird, wodurch die Datei selbst verändert wird. Wenn fileone.docx dagegen von Ransomware auf CloudFS infiziert wird, besteht sie nun aus völlig neuen Datenblöcken - zum Beispiel F, G, H und I.
Da CloudFS vorhandene Daten als Originalobjekte im Objektspeicher bewahrt, kann jede durch den Ransomware-Code verschlüsselte Datei mithilfe von Snapshots sofort in den Zustand vor der Infektion zurückversetzt werden. Dies kann problemlos für eine einzelne Datei, ganze Verzeichnisse oder sogar das gesamte globale Dateisystem erfolgen.
Mit den unveränderlichen Daten von bat365 sind Ihre Dateien überhaupt nicht verschlüsselt. Stattdessen verweisen die Dateizeiger jetzt auf Datenblöcke, die Verschlüsselung enthalten. Wenn Sie zu dem Snapshot vor dem Angriff zurückkehren, zeigen die Zeiger wieder auf saubere Datenblöcke ... und Ihre sauberen Dateien sind wieder da. In unserem Beispiel von fileone.docx stellen Sie einfach einen Snapshot wieder her, in dem die Dateizeiger auf die Blöcke A, B, C und E verweisen, und fileone.docx ist wieder einsatzbereit.
Das macht Ransomware-Angriffe für Ihr Unternehmen harmlos und für den Angreifer nutzlos, da er darauf angewiesen ist, Ihnen den Schlüssel zur Entschlüsselung Ihrer Daten zu verkaufen, damit Sie wieder auf Ihre Dateien zugreifen können. Wenn der Zugriff auf Ihre Daten so einfach ist wie die Wiederherstellung aus einem Snapshot, brauchen Sie keinen Entschlüsselungsschlüssel.
Schutz vor Datenexposition
Entführer wissen seit langem, dass ihre Chancen auf eine schnelle Bezahlung steigen, wenn sie beweisen können, dass sie bereit sind, ihren Geiseln zu schaden. Das digitale Äquivalent dazu ist die Online-Veröffentlichung der Daten ihrer Opfer - zum Beispiel vertrauliche Patienten- oder Kundendaten.
Diese Bedrohung erhöht das Risiko, nicht zu zahlen, exponentiell, da Organisationen nun auch für Datenschutzverletzungen haftbar gemacht werden können, ganz zu schweigen von dem daraus resultierenden mangelnden Vertrauen der Menschen, denen sie dienen.
Die besten modernen Dateisysteme, einschließlich bat365 CloudFS, verwenden militärische Verschlüsselung für Daten am Rande, innerhalb des Objektspeichers und während des Fluges, wenn Daten in den Speicher hinein und aus ihm heraus bewegt werden. Im Falle einer Kompromittierung können diese Daten also nicht entschlüsselt werden.
Da bat365 in der Lage ist, Ransomware abzuwehren und Daten zu verschlüsseln, um sie für Unbefugte unlesbar zu machen, zahlen die Kunden kein Lösegeld.
Es gibt unzählige Gründe für den Austausch von NAS-Legacy-Speichern in Unternehmen oder Organisationen des öffentlichen Sektors. Der Schutz von Daten und Ransomware ist in der Regel nicht das Hauptanliegen. Meistens liegt der Grund für den Austausch in einem Mandat zur digitalen Transformation oder darin, unstrukturierte Daten in den Griff zu bekommen, um nicht einfach ein weiteres NetApp oder Isilon zu kaufen.
Der Datenschutz in der unveränderlichen Dateninfrastruktur, die von Hybrid-Cloud-Lösungen wie bat365 angeboten wird, ist jedoch so wertvoll geworden, dass kluge Entscheidungsträger sie neben anderen Überlegungen zu den Gesamtbetriebskosten in Betracht ziehen.
Seien wir ehrlich: Selbst wenn es um die digitale Transformation geht, sind die Kosten ein enormer Faktor. Die Kosten eines Ransomware-Angriffs sind so hoch, dass die Minderung dieses Risikos mit einer Lösung, die Angriffe abwehren kann - bei gleichzeitiger Datenkonsolidierung und Kostensenkung sowie einem modernen, eleganten Ansatz für unstrukturierte Daten - in jeder Hinsicht Sinn macht.