Am Osterwochenende 2015 überfiel die „Armee der Väter“, bestehend aus 60-70-jährigen Kriminellen, den Londoner Tresor Hatton Garden Safe Deposit Company, beschlagnahmte Gold, Schmuck und Bargeld im Wert von rund 25 Millionen Pfund. Die Bande entschied sich für das Osterwochenende, da es vier Tage dauerte und ihnen viel Zeit gab, sich Zutritt zu verschaffen, die Wände zu durchbohren und die Safes zu öffnen.

Erpresser verwenden Zeit gegen Sie

Die Räuber hatten vier Tage lang Zugang zum Tresor - genug, um ihren "Job" zu erledigen. Im Falle eines Ransomware-Angriffs wird dieser Zeitraum als „Wartezeit“ bezeichnet, und das Verständnis dieser Zeitspanne ist der Schlüssel zur Wiederherstellung nach einem solchen Vorfall. Die „Wartezeit“ dauert von dem Moment an, in dem der Angreifer zum ersten Mal die Firewall durchdringt, bis sich der Angreifer zu erkennen gibt und vom Opfer ein Lösegeld verlangt.

Ransomware-Angriffe folgen einem bekannten Muster

Zunächst kommt die sogenannte Kampagnenphase: Mitarbeiter erhalten Phishing-E-Mails mit Links zu Malware oder Angreifer scannen Systeme mit Zugang zum Internet nach Schwachstellen. Unabhängig von den verwendeten Mitteln ist es in diesem Stadium notwendig, das Opfer zu finden und Mittel zum Eindringen zu schaffen.

Das Ziel ist eine Invasion. Das Eindringen in die Firewall öffnet Angreifern den Zugriff auf den Rest des Prozesses, und dann beginnt das "Timeout". Einmal hinter der Firewall sammeln Angreifer Zugangsdaten für einen tieferen Zugriff und beginnen, die Systeme des Opfers zu durchstreifen, wobei sie häufig Tools verwenden, die auf legitimen Protokollen wie RDP (Remote Desktop Protocol) basieren, um remote zu arbeiten und Befehls- und Kontrollfunktionen zu erstellen. In dieser Phase identifizieren sie sensible Daten und beginnen mit der Bereitstellung von Softwarenutzlasten, um die Ausführungsphase durchzuführen, in der Informationen verschlüsselt werden und durchsickern.

Es ist fast unmöglich, einen Angriff durch Eindringlinge zu verhindern, daher ist der Schlüsselfaktor bei der Bekämpfung von Ransomware die Fähigkeit, Daten wiederherzustellen, bevor die „Wartezeit“ beginnt. Konkret bedeutet dies die Verwendung von Snapshots und Backups sowie die Möglichkeit, daraus schnell Informationen zu extrahieren.

Snapshots bieten eine Aufzeichnung des Systemstatus und der Daten, die während des Geschäftstages in kurzen Intervallen aufgenommen wurden, sodass das Opfer die vorherige Konfiguration bis ins kleinste Detail wiederherstellen kann. Snapshots sind so konzipiert, dass sie mit minimalen Auswirkungen auf Produktionssysteme erstellt werden können, daher werden sie häufig auf oder in der Nähe des Hauptspeichers gespeichert. Daten können in der Regel schnell aus Snapshots wiederhergestellt werden. Eine Organisation kann Snapshots für ein oder zwei Monate speichern.

Sicherungen werden in der Regel viel länger aufbewahrt und seltener durchgeführt, normalerweise während regelmäßiger Sicherungsfenster nach Geschäftsschluss. Sie werden fast immer in den sekundären Speicher verschoben und können länger dauern, bis sie wiederhergestellt sind.

Wenn die Umstände dies zulassen, insbesondere die Auswirkungen der „Latenz“, sind Snapshots die effektivste Methode, um sich von einem Angriff zu erholen, da sie schnell reproduziert werden können, vorausgesetzt, die Angreifer fügen ihnen keinen irreparablen Schaden zu.

Snapshots müssen unveränderlich sein

In der traditionellen Form sind Snapshots schreibgeschützt, also immer unveränderlich. Ransomware-Banden sind sich dessen jedoch bewusst und werden daher versuchen, sie zu entfernen oder zu verschieben. Kunden müssen nach Anbietern mit Snapshots suchen, die nicht gelöscht werden können und nicht verhindert werden können, dass sie von einem Angreifer beispielsweise zur Wiederherstellung an einen anderen Ort verschoben werden.

Als zusätzliche Sicherheitsmaßnahme können Kunden Snapshots spezifizieren, die eine mehrstufige Authentifizierung basierend auf einer persönlichen Identifikationsnummer (PIN) durch mehrere Mitglieder des IT-Teams verwenden.Kunden haben auch die Möglichkeit, die Snapshot-Aufbewahrungsrichtlinie und zulässige Ziele festzulegen.

Snapshots sind die beste Datenwiederherstellungsmethode, wenn die Ransomware eine relativ kurze Verweildauer hat. Es ist jedoch möglich, dass Angreifer mehrere Monate hinter der Firewall verbringen, um nach Informationen zu suchen, Malware zu installieren und Dateien zu beschädigen. In diesem Fall müssen Sie höchstwahrscheinlich aus Backups wiederherstellen.

Unabhängig davon, ob Sie Daten aus Snapshots oder Backups wiederherstellen müssen, die Hauptanforderung wird die schnelle Wiederherstellung von Daten sein, um den Betrieb des Unternehmens wieder aufzunehmen. Knackpunkt in dieser Situation ist das Speichersystem, das zur Speicherung von Datenkopien dient und hohen Wiederherstellungsraten standhalten muss.Welche Arten von Speichersystemen werden zum Speichern von Snapshots und Backups bevorzugt, und vor allem, welche sind in der Lage, eine schnelle Wiederherstellung zu ermöglichen? Zuallererst müssen Kunden auf diejenigen achten, die Solid State Drives anbieten und mit unstrukturierten Daten - Dateien und Objekten - arbeiten können. Dies beinhaltet mehr als nur das Speichern von Daten in einem Array.

Die neuesten Generationen von NAND-Flash haben es Speicher-Arrays ermöglicht, extrem hohe Kapazitäten und Zugriffsgeschwindigkeiten bereitzustellen. Das bedeutet, dass TLC- oder QLC-Flash-Speicher-Arrays eine hohe Kapazität zu einem Preis von 1 TB bieten, der nahe an dem von rotierenden Festplatten liegt.

Zweitens müssen Kunden den Durchsatz testen. Die derzeit leistungsstärksten Solid-State-Speicher-Arrays liefern einen Durchsatz von über 270 TB/h. Dies reicht aus, um die meisten Unternehmen schnell zum Laufen zu bringen, aber nicht viele Speicheranbieter können dieses Durchsatzniveau bieten, also überprüfen Sie unbedingt die Spezifikationen.

Kombinieren Sie unveränderliche Snapshots und regelmäßige Backups mit schnellen Wiederherstellungen für maximalen Ransomware-Schutz

Eine wirksame Verteidigung gegen Ransomware besteht darin, die Zeit vor Beginn der „aktiven Zeit“ zurückdrehen zu können. Und der beste Weg, dies zu tun, ist die Verwendung eines sehr großen Speichersystems, das einen hohen Durchsatz und eine schnelle Wiederherstellung bietet.

bbabo.Net