Thought Leadership
CryptoSpike schützt Speichersysteme von Netapp wirksam und pro-aktiv auf der FileServer-Ebene nach einem dreistufigen Konzept, das auf der Erkennung von Verhaltensmustern basiert.
Sobald das System während einer Transaktion in Echtzeit eine Anomalie bei einer Dateiendung, einem Dateinamen oder im Verhalten eines Anwenders entdeckt, schlägt es Alarm und sperrt den Lese- und Schreib-Zugriff des betreffenden Mitarbeiter. Der User befindet sich dann in „IT-Quarantäne“ und kann somit keinen weiteren Schaden anrichten. Wie die Software genau arbeitet, erklärt Robert Graf, der Gründer und Geschäftsführer von ProLion, detailliert im Interview.
Warum kann ein Ransomware-Angriff so große Schäden verursachen, Herr Graf?
Robert Graf: Nach einschlägigen Schätzungen wird weltweit etwa alle 40 Sekunden ein Unternehmen mit Ransomware infiziert. Und ist ein System erst einmal infiziert, können sich moderne Ransomware-Varianten wie ein Wurm im Netzwerk weiterverbreiten, ohne dass der Anwender dafür interagieren muss oder es merkt. So war es auch im Fall von ‚WannaCry’ – einer der bisher größten Ransomware-Attacken: Der Schädling nutzt eine Schwachstelle in dem Windows-Netzwerkprotokoll-Server Message Block (SMB) um unbemerkt von einem Rechner auf den nächsten zu gelangen und diese dann zu blockieren bzw. zu sperren.
Wie kann Ihre Lösung solche Ransomware-Angriffe verhindern?
Robert Graf: ‚CryptoSpike’ entdeckt Ransomware-Angriffe durch drei aufeinander abgestimmten Konzepte:
- Per White-List, die alle in einem Unternehmen erlaubten Dateiendungen enthält. Diese werden bei Installation unserer Lösung automatisch aus dem Storage-System von Netapp ausgelesen.
- Ergänzend gibt es eine Black-List, die aktuell rund 1800 bekannte Ransomware- Dateiendungen oder -Dateinamen enthält und täglich aktualisiert wird.
- Hinzu kommt der entscheidende Teil – der „Learner“ als dritte Sicherheitsstufe von ‚CryptoSpike’. Der Learner analysiert Muster (Patterns) des Benutzerverhaltens in einem Unternehmen, z.B. der Datei-Operationen read/write/open/close. Dazu werden die letzten 50.000 Transaktionen im Netzwerk erfasst und in der White-Patterns List gespeichert. Ebenso gibt es die Black-Patterns List mit Verhaltensmustern aus aktuellen Ransomware- Angriffen.
Und wie reagiert ‚CryptoSpike’ bei einem erkannten Ransomware-Angriff?
Robert Graf: Zuerst liefert CryptoSpike die wichtigste Information: Wo sind welche Dateien betroffen? Das betreffende Unternehmen erhält Informationen über den Pfad und die Anzahl der durch Ransomware verschlüsselten Dateien. Bei irrtümlicher Sperre kann der User mit einem Klick wieder entsperrt und die Patterns gegebenenfalls angepasst werden.
Bei einem Ransomware-Angriff kann das Unternehmen schnell analysieren, wo schadhafte Programme laufen. Sobald der Mitarbeiter nach Bereinigung entsperrt wird, unterstützt CryptoSpike dann den Recovery-Prozess mit einer Export-Liste der betroffenen Dateien, sodass diese über die regelmäßig erstellten Snapshots des Netapp-Systems schnell wiederhergestellt werden können.
Was kostet „CryptoSpike’?
Robert Graf: CryptoSpike wird pro Netapp-Storage Controller lizenziert. Die Kosten für ein Netapp-Speicher-Cluster (bestehend aus zwei so genannten Nodes) sollen sich inklusive 36 Monate Wartung auf netto 8.800 Euro (Info vbelaufen. Die Installation ist in zwei bis drei Tagen erfolgreich abgeschlossen. Die jährlichen Kosten liegen damit für diesen Netapp-Cluster bei unter 3.000 Euro.
Vielen Dank für das Gespräch!
Das Interview führte Detlev Spierling.
