Thought Leadership
Ransomware-Angriffe sind nicht gleich Ransomware-Angriffe und auch die Wiederherstellungsoptionen sind nicht gleich. An Ransomware-Schlagzeilen hat es im Jahr 2021 bislang keinen Mangel gegeben. Rubrik, Experte für Zero Trust Data Management, erläutert deshalb verschiedene Wiederherstellungsoptionen, die mit Zero Trust Data Management umgesetzt werden können.
Zudem erläutert Rubrik verschiedene Varianten von Ransomware-Angriffen und die besten Wiederherstellungsstrategien für einzelne Szenarien. Der erste Schritt zur Wiederherstellung nach einem Angriff ist die Identifizierung und Isolierung des Vorfalls, gefolgt von der Bestimmung des Umfangs der Infektion. Moderne Data Management-Lösungen helfen bei der Erkennung von Datenanomalien, und bei der Feststellung, ob bestimmte sensible Daten von dem Angriff betroffen sind. Sobald der erste Umfang bestimmt wurde, kann die Wiederherstellungsphase nach Plan beginnen.
Plattformen für Zero Trust Data Management bieten mehrere Wiederherstellungsoptionen, von der orchestrierten Massenwiederherstellung mit AppFlows bis zur Wiederherstellung auf Dateiebene. Je nach Umfang und Art des Angriffs können bestimmte Wiederherstellungstechniken andere in Bezug auf Geschwindigkeit und Effizienz übertreffen und helfen, die Recovery Time Objectives (RTOs) einzuhalten. Wenn der Ransomware-Angriff beispielsweise nur auf bestimmte Dateien abzielt und das zugrundeliegende Betriebssystem nicht betroffen ist, kann eine Wiederherstellung auf Dateiebene im Vergleich zu einer vollständigen Systemwiederherstellung weniger eingreifend sein und den Datenverlust verringern. Im Gegensatz dazu kann es, wenn der Datenverlust kein großes Problem darstellt, schneller sein, Instant Recovery zu verwenden, um fast sofort zu einem bestimmten Zeitpunkt wiederherzustellen. In den meisten Fällen kann es notwendig sein, verschiedene Wiederherstellungsoptionen im Sanierungsplan zu kombinieren.
Was für Wiederherstellungsoptionen gibt es?
Rubrik erläutert sechs verschiedene Varianten:
1. Export
Der Export kopiert ein Point-in-Time-Backup aus der Rubrik-Plattform in eine neue Instanz des geschützten Objekts. Rubrik-Operatoren können wählen, ob sie die Daten zurück in die ursprüngliche Umgebung oder in eine komplett neue Umgebung exportieren wollen.
2. In-Place Recovery
In-Place Recovery wird für VMware-VMs unterstützt und kopiert, ähnlich wie bei Export, Point-in-Time Daten von der Rubrik-Plattform in die Produktionsumgebung. Es gibt jedoch einige Hauptunterschiede zwischen den beiden Wiederherstellungsmethoden.
Export kopiert ganze virtuelle Maschinen oder Festplatten, die zu virtuellen Maschinen gehören, und stellt diese auf neuen Instanzen wieder her. Anstatt ganze Datensätze zu kopieren, kopiert die In-Place-Wiederherstellung nur die geänderten Blöcke zwischen der Produktions-VM und dem ausgewählten Zeitpunkt und stellt die Daten in der ursprünglichen virtuellen Maschine wieder her. Dies ermöglicht eine effizientere Wiederherstellung, insbesondere bei VMs mit größeren virtuellen Festplatten.
3. Instant Recovery
Anstatt ganze Datensätze über das Netzwerk zu kopieren, nutzt Instant Recovery die Rubrik-Plattform als zugrundeliegenden Speicher für die sofortige Wiederherstellung, um RTOs nahe Null zu bieten. Im Falle von VMs wird die Rubrik-Plattform zu einem Datenspeicher, während eine neue Kopie der geschützten VM unter Verwendung der gewünschten Point-in-Time-Backup-Dateien erstellt und gemountet wird. Die ursprüngliche VM wird als veraltet markiert und abgeschaltet. Es werden keine Produktionsdaten aus dem ursprünglichen Datenspeicher gelöscht. Dies ermöglicht eine nahezu sofortige Wiederherstellung und versetzt IT- und Sicherheitsteams in die Lage, den Zugriff auf die Workloads so schnell zu gewähren, wie das zugrundeliegende Betriebssystem booten kann. Die neu wiederhergestellte VM kann zurück auf die Produktionsspeicherplattform migriert werden.
4. Live Mount
Live Mount ist im Wesentlichen die gleiche Technologie mit den gleichen Prozessen wie Instant Recovery, mit Ausnahme eines Schrittes. Beim Live-Mounting einer VM oder Datenbank wird die Datenquelle nicht abgeschaltet. Das bedeutet, dass die Produktionsumgebung völlig unberührt bleibt, denn keine VMs werden abgeschaltet. Aus diesem Grund verwenden IT-Teams Live Mount häufig als Sandbox-Tool, das Zugriff auf zeitlich begrenzte Kopien ihrer Produktionsumgebung bietet, um verschiedene Aufgaben durchzuführen, die über einfache Wiederherstellungen hinausgehen.
5. File-Level Recovery (Wiederherstellung auf Dateiebene)
Rubrik File-Level Recovery (FLR) ist einfach: eine Point-in-Time-Kopie von einzelnen (oder mehreren) Dateien wird entweder zurück zum Original oder zu einem neuen Ort innerhalb der gleichen Umgebung wiederhergestellt. Rubrik bietet wichtige FLR-Funktionen, um den Prozess so effizient wie möglich zu gestalten.
Zunächst generiert Rubrik Metadaten, die die eingespielten Backups beschreiben. Diese Metadaten ermöglichen eine schnelle und vorausschauende Suche, um das Auffinden von Dateien, die wiederhergestellt werden müssen, zu unterstützen. Zweitens, wenn ein FLR von einem Backup durchgeführt wird, das in der Cloud archiviert wurde, erlauben diese Metadaten Rubrik, nur die Blöcke abzurufen, aus denen die tatsächlich gewünschte Datei besteht. Dadurch entfallen unnötige Auslagerungsgebühren, die anfallen, wenn ganze Images aus dem Cloud-Speicher extrahiert werden.
6. AppFlows für orchestrierte DR
AppFlows ist eine Orchestrierungsschicht, die Pläne oder Blueprints enthält, in denen die Wiederherstellungsschritte detailliert beschrieben sind. Diese vom Kunden definierten Blueprints enthalten wichtige Wiederherstellungsinformatione
Da IT-Teams mehrere Wiederherstellungsoptionen zur Verfügung stehen, ist es wichtig zu wissen, welche Methode bei einem Ransomware-Vorfall eingesetzt werden soll. Um das Verständnis und die Planung der Wiederherstellung zu erleichtern, werden in diesem Beitrag gängige Arten von Ransomware-Angriffen untersucht und Wiederherstellungsmethoden von Rubrik darauf angewandt.
Arten von Ransomware-Angriffen
Wie bei den meisten Angriffen gibt es auch bei Ransomware mehrere Varianten. Im Allgemeinen zielen diese Angriffe auf verschiedene Bereiche des Netzwerks ab und ruhen, während sie Daten sammeln. Im Folgenden führt Rubrik fünf der heute verwendeten Ansätze auf:
1. Encryption Ransomware (Verschlüsselungs-Ransomware)
Verschlüsselungs-Ransomware ist heute eine der beliebtesten Angriffsarten. Sie verschlüsselt Dateien, Ordner und NAS-Freigaben im gesamten Netzwerk und löscht die Produktionsdaten, sobald die Verschlüsselung stattgefunden hat.
Bei der Wiederherstellung geht es darum, infizierte Dateien und Systeme zu identifizieren und sie dann an einem sicheren Punkt wiederherzustellen. Je nach Umfang des Angriffs können viele Wiederherstellungsoptionen von Rubrik zur Bekämpfung von Encryption Ransomware verwendet werden. Wenn beispielsweise das zugrundeliegende Betriebssystem nicht betroffen ist, reicht eine Wiederherstellung auf Dateiebene aus, um das System wiederherzustellen. Wenn das zugrundeliegende Betriebssystem beschädigt oder verschlüsselt ist, kann eine sofortige Wiederherstellung oder ein Live Mount auf eine bekannt gute Kopie die beste Vorgehensweise sein. Zielt der Angriff auf eine große Anzahl virtueller Maschinen ab, kann die Nutzung von Rubrik AppFlows eine äußerst effiziente Wiederherstellung ermöglichen.
2. NAS Ransomware
NAS Ransomware funktioniert ähnlich wie Encryption Ransomware, ist aber auf Angriffe auf Network Attached Storage (NAS)-Systeme spezialisiert. Durch Scannen des Netzwerks nach gängigen NAS-basierten Protokollen wie NFS und SMB identifiziert der Angriff alle entdeckten Freigaben und verschlüsselt sie. Oftmals befinden sich auf NAS-Systemen wichtige Daten, wie z. B. die Home-Verzeichnisse von Benutzern sowie VM-Dateien für die wichtigsten Hypervisoren. Einfach ausgedrückt: NAS-Ransomware kann ganze Produktionssysteme komplett zum Stillstand bringen.
Zur Wiederherstellung müssen alle infizierten Dateien und Systeme identifiziert und sowohl auf Image- als auch auf Dateiebene sichere Point-in-Time-Kopien wiederhergestellt werden. Je nach Umfang des Angriffs können verschiedene Wiederherstellungsmethoden von Rubrik verwendet werden. Wenn nur eine kleine Anzahl von Dateien betroffen ist, können die Rubik NAS File Level Recovery-Optionen verwendet werden. Wenn das NAS-Gerät jedoch auch infizierte virtuelle Maschinen gehostet hat, kann eine Kombination aus Export, In-Place Recovery, Instant Recovery und Live Mount verwendet werden. Genau wie bei Encryption Ransomware kann AppFlows verwendet werden, um den gesamten Wiederherstellungsprozess zu orchestrieren.
3. Lock Screen Ransomware (Sperrbildschirm-Ransomware)
Lock Screen Ransomware sperrt den Bildschirm des Systems und fordert verschiedene Formen der Bezahlung, um eine Entsperrung durchzuführen. Diese Art von Ransomware führt nur selten eine Verschlüsselung der zugrundeliegenden Dateien im betroffenen System durch. Eine Wiederherstellung ist leicht möglich, indem man in den abgesicherten Modus wechselt und Antiviren-
In den meisten Fällen muss für die Wiederherstellung im Falle von Lock Screen Ransomware nicht Rubrik verwendet werden. Um jedoch Zeit zu sparen und schneller wiederherzustellen, können Unternehmen die verschiedenen Wiederherstellungsoptionen von Rubrik auf Image-Ebene verwenden.
4. Hardware Locker
Hardware Locker Ransomware beeinflusst das System, indem sie den zugrundeliegenden Master Boot Record (MBR) verändert. Anstatt dass der MBR das System anweist, das zugrundeliegende Betriebssystem zu laden, wird während des Boot-Zyklus eine Lösegeldforderung auf dem Bildschirm angezeigt.
Zur Wiederherstellung muss in der Regel der veränderte MBR repariert werden. Wenn der MBR nicht repariert werden kann oder Unternehmen einfach nur die Ausfallzeit verringern wollen, können Wiederherstellungsteams die Wiederherstellungsoptionen auf Image-Ebene von Rubrik nutzen, wie Bare Metal Restore für physische Server oder Export, Instant Recovery und Live Mount für virtuelle Maschinen.
5. Verschlüsselung von Anwendungen/Webservern
Dabei verschlüsseln die Angreifer Dateien und Webserver, indem sie gängige Directory Index Dateien wie index.php und index.html ersetzen. Anstatt dass ein Web- oder Anwendungsserver den gewünschten Inhalt lädt, wird stattdessen eine Seite mit Lösegeldanweisungen angezeigt.
Die Wiederherstellung umfasst in der Regel die Identifizierung infizierter Dateien und deren Wiederherstellung in einem bekanntermaßen guten Zustand. Eine Reihe von Wiederherstellungsmethoden in Rubrik können verwendet werden, um die Verschlüsselung von Anwendungs- und Webservern zu beheben. Während viele der Wiederherstellungstechniken von Rubrik auf Image-Ebene wie Export und Instant Recovery ausreichen, ist es oft viel schneller, einfach eine Wiederherstellung auf Dateiebene für die infizierten Dateien selbst durchzuführen.
Schlussfolgerung
Da sich Ransomware-Angriffe immer weiter ausbreiten und immer raffinierter werden, müssen Unternehmen einen Wiederherstellungsplan bereithalten. Der Einsatz einer Zero Trust Data Management-Lösung ist ein guter erster Schritt, um sicherzustellen, dass die Backups als letzte Verteidigungslinie dienen können. Das Wissen um die verschiedenen Wiederherstellungsoptionen und den richtigen Zeitpunkt für deren Einsatz ist entscheidend, wenn es gilt, einen Plan zur Beseitigung von Ransomware umsetzen zu müssen.
www.rubrik.com
