Wiederherstellung nach Ransomware-Angriffen mit Zero Trust Data Management.

Illustration: Absmeier

»Die Bedrohung durch schwerwiegende Ransomware-Angriffe stellt eine klare und gegenwärtige Gefahr für Ihr Unternehmen dar.« Diese Warnung ist eine reale Empfehlung des US-Justizministeriums vom Juni 2021. Nur wenige Tage zuvor hatte Christopher Krebs, der frühere Leiter der Cybersecurity and Infrastructure Security Agency des US-Heimatschutzministeriums, vor dem Kongress Folgendes erklärt: »Wir stehen an der Schwelle zu einer globalen Pandemie einer anderen Art, die von Gier, einem vermeidlich anfälligen digitalen Ökosystem und einem sich immer weiter ausbreitenden kriminellen Geschäft befeuert wird.«

Es hat sich eine florierende Ransomware-Wirtschaft entwickelt. Ransomware-Hacker werden immer schlauer und haben es jetzt direkt auf Backup-Daten abgesehen. Daher müssen Backup-Daten inhärent sicher sein, damit Angreifer keine Daten als Geiseln nehmen können. Während herkömmliche Backup-Lösungen gut für die Wiederherstellung nach Naturkatastrophen und IT-Ausfällen geeignet sind, müssen Unternehmen bei der Wiederherstellung nach Ransomware-Angriffen ihre Sicherheitsstrategie überdenken. Wenn Daten das Ziel sind, muss die Sicherheitsverteidigung an der Stelle der Daten beginnen. Rubrik hat daher ein Konzept für Zero Trust Data Management entwickelt und bereits für viele Unternehmen umgesetzt [1].

Die Notwendigkeit von Zero Trust Data Management

Die herkömmlichen IT-Sicherheitsmaßnahmen versagen. Die Angreifer durchbrechen Firewalls und umgehen den Schutz von Endgeräten. Der Zusammenbruch des Perimeters führt zu einem Zero-Trust-Ansatz für die Cybersicherheit. Bei einer Zero-Trust-Architektur wird davon ausgegangen, dass alle Benutzer, Geräte und Anwendungen nicht vertrauenswürdig sind und kompromittiert werden können. Mit anderen Worten: Traue niemandem, überprüfe immer. Nur Benutzer mit Multi-Faktor-Authentifizierung erhalten Zugang zu den Daten, die Berechtigungen werden eingeschränkt und insbesondere die Möglichkeit, Daten böswillig zu beeinflussen, entfällt.

Wie sieht also eine Zero-Trust-Architektur für das Datenmanagement aus? Rubrik empfiehlt das vom National Institute of Standards (NIST) definierte Modell, das in der NIST SP 800-207 Zero Trust Architecture Specification festgelegt ist. Wie das NIST es ausdrückt, umfasst Zero Trust »eine sich entwickelnde Reihe von Cybersecurity-Paradigmen, die die Verteidigung von statischen, netzwerkbasierten Perimetern zu einer Konzentration auf Benutzer, Vermögenswerte und Ressourcen bewegen«.

Was ist Zero Trust Data Management?

Zero Trust Data Management ist eine Architektur, die nach dem Zero Trust Implementation Model von NIST modelliert ist. Das Herzstück von Zero Trust Data Management ist bei Rubrik der DataGuardian, das ein speziell entwickeltes Dateisystem unterstützt, das Sicherungsdaten niemals über offene Netzwerkprotokolle offenlegt. Dies schafft eine logische Lücke, die verhindert, dass Daten über das Netzwerk entdeckt oder zugänglich gemacht werden können.

Sobald die Daten auf das System geschrieben wurden, können sie nicht mehr durch einen Angriff verändert, gelöscht oder verschlüsselt werden, so dass immer eine saubere Kopie der Daten für die Wiederherstellung verfügbar ist. Mehrere von Experten geführte Wiederherstellungsoptionen, einschließlich via Live Mount, Mass Recovery und AppFlows orchestrierte Wiederherstellung, sind integriert, so dass IT-Teams die von einem Angriff betroffenen Dateien und Workloads schnell wiederherstellen können.

Was Zero Trust Data Management konkret bedeutet:

IT-Teams können jetzt kritische Daten vor Ransomware-Angriffen schützen und geben ihrem Unternehmen die Möglichkeit, Daten und Anwendungen schnell wiederherzustellen, ohne Lösegeld zu zahlen.
Sicherheitsteams können nun vertrauensvoll gesicherte Backup-Daten nutzen, um Angriffsforensik durchzuführen und Wiederherstellungsoperationen direkt von ihrem Sicherheitsoperationszentrum aus zu initiieren.
Eigentümer von Anwendungen wissen, dass ihre Geschäftsdaten geschützt sind und dass im Falle eines Ransomware-Angriffs die Anwendungen schnell wiederhergestellt werden können, um die Geschäftskontinuität aufrechtzuerhalten.
CIOs und CFOs können nun sicher sein, dass die Wiederherstellungspläne für Ransomware von einer Zero-Trust-Architektur unterstützt werden, Diese ermöglicht es dem Unternehmen, die Kosten für Cyberversicherungen zu minimieren und Rufschädigung durch Ransomware-Angriffe zu verhindern.

Zero Trust Data Management ist das Herzstück zeitgemäßer Datensicherheit. Es hält Hacker vom Backup-System fern, identifiziert Ransomware-Aktivitäten und stellt sicher, dass alle Daten ein sauberes Backup haben, das schnell wiederhergestellt werden kann.

Einige Kernelemente sind für Zero Trust Data Management grundlegend:

Reduzierung des Risikos des Eindringens: Alle Systemschnittstellen sind sicher, rollenbasiert, wenig privilegiert und durch 2FA (2-Faktor-Authentifizierung) geschützt, was bedeutet, niemandem und keinem System zu vertrauen.
Sicherung der Daten: Die Daten sind unterwegs und im Ruhezustand immer verschlüsselt, und die Sicherungsdaten werden in einem eigens dafür entwickelten Dateisystem gespeichert, das nur Anhänge enthält. Gesicherte Daten sind immer logisch abgekapselt, so dass sie offline sind und nicht über Standard-Netzwerkprotokolle zugänglich sind.
Erkennung und Warnung vor anormalem Verhalten: Sicherheitsverantwortliche können einen Angriff erkennen, das SecOps-Team alarmieren und einen sauberen Wiederherstellungspunkt bestimmen.
Durchsetzung der Compliance: Automatischer Schutz neuer Workloads, Sperren der Vorratsdatenspeicherung und Auffinden bestimmter exponierter sensibler Daten, die möglicherweise exfiltriert wurden.

Die Grundlage der Zero Trust Architecture ist im Falle von Rubrik der DataGuardian, ein Kern-Set von Technologien, die Zero Trust Data Management von herkömmlichen Backup-Lösungen unterscheiden.

Unveränderliche Datenplattform: Einmal aufgenommen, kann keine externe oder interne Operation die Daten verändern. Die verwalteten Daten sind nie in einem Lese-/Schreibzustand für den Client verfügbar. Dies gilt auch während einer Wiederherstellung oder einer Live-Mount-Operation. Da die Daten nicht überschrieben werden können, können auch infizierte Daten, die später von Rubrik aufgenommen werden, keine anderen bestehenden Dateien oder Ordner infizieren.
Deklarative Policy-Engine: Rubrik ermöglicht es Administratoren, einen großen Teil des Aufwands für den Aufbau und die Pflege des Datenschutzes zu abstrahieren, so dass sie sich auf die Wertschöpfung auf einer strategischeren Ebene im gesamten Unternehmen konzentrieren können. Die Policy Engine ist elegant und einfach konzipiert, weil alle zwingenden Details abstrahiert und von einem überaus intelligenten, skalierbaren System gehandhabt werden. Die sich daraus ergebenden Eingabefelder sind auf RPO-Ziel, Aufbewahrungszeitraum, Archivierungsziel und Replikationsziel reduziert.
Threat Engine: Während die Metadaten jedes Backup-Snapshots von Rubrik gesammelt werden, nutzt Rubrik maschinelles Lernen, um eine vollständige Perspektive des Workloads zu erstellen. Das Netzwerk ist darauf trainiert, Trends zu erkennen, die über alle Stichproben hinweg bestehen, und neue Daten anhand ihrer Ähnlichkeiten zu klassifizieren, ohne dass menschliche Eingaben erforderlich sind. Das Ergebnis ist, dass Anomalien erkannt werden, die Bedrohung analysiert und die Wiederherstellung mit ein paar Klicks beschleunigt wird.
Sichere API-first Architektur: Eine API-getriebene Architektur bedeutet, dass jede Aktion im Rubrik UI eine entsprechende API hat, die alles dokumentiert und zur Nutzung verfügbar ist. Mit anderen Worten, wenn sich etwas über das UI machen lässt, ist dasselbe programmatisch über die API möglich, die durch rollenbasierten Zugang und API-Tokens gesichert ist.

Die Botschaft aus höchsten Regierungskreisen und seitens Sicherheitsexperten ist eindeutig: Ransomware-Angreifer durchdringen die herkömmlichen Sicherheitsmaßnahmen – und sie haben es auf Backup-Daten abgesehen, um zu wachsen. Es ist an der Zeit, die Datensicherheitsstrategie zu überdenken. Jetzt gilt es, neue Backup- und Wiederherstellungsanforderungen auf der Grundlage der Zero-Trust-Prinzipien festzulegen. Dies erfordert IT-Investitionen, um Daten effektiv zu schützen, damit ein Unternehmen niemals Lösegeld zahlen muss.

[1] Vor wenigen Tagen hat Rubrik eine vertiefte Partnerschaft mit Microsoft bekanntgegeben , die sogar so weit geht, dass sich Microsoft nun finanziell an Rubrik beteiligt. Ein wichtiger Aspekt ist dabei der von Rubrik verfolgte Ansatz für Zero Trust Data Management, der das Potenzial hat Ransomware-Attacken ins Leere laufen zu lassen.

271 Artikel zu „Zero Trust Ransomware“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY | STRATEGIEN | TIPPS

Ransomware-Angriffe mit Zero Trust bekämpfen: Best Practices gegen Daten-Geiselnahme

12. Februar 2020

Ransomware bleibt ein lukratives Geschäft für Cyberkriminelle. Allein mit der Ransomware-Variante Ryuk erpressten Angreifer bereits Lösegelder von über 3,7 Millionen US-Dollar. Um die Sicherheitsvorkehrungen von Unternehmen zu umgehen, nutzen Hacker mittlerweile häufig anspruchsvolles Spear-Phishing, damit Opfer auf bösartige Links und Anhänge klicken oder verseuchte Webseiten besuchen. Nach der Infektion beginnt der Erpressungstrojaner mit der Verschlüsselung…