Thought Leadership
Bei Marktforschern und auch der SNIA taucht seit neuestem der Begriff Cyberstorage auf. Doc Storage erklärt die neue Sicherheitskategorie: Diese soll speziell die Daten schützen und den Folgen einer doppelten Erpressung entgegenwirken. Ziel ist es Cyberangriffe künftig zu absorbieren.
Antwort Doc Storage:
Der neueste Trend bei Ransomware hat nichts mehr damit zu tun, Daten zu verschlüsseln und danach eine gewisse Summe zu deren Brauchbarmachung einfordern. Die meisten ernstzunehmenden DV-Betreiber haben auf diese Art der Bedrohung bereits angemessen reagiert. Sicherungs- und Wiederherstellungsmethoden, basierend auf der Unveränderbarkeit der enthaltenen Daten, lassen die RZ-Betreiber einem solchen Angriff mehr oder weniger gelassen entgegensehen. Die Kriminellen wissen das allerdings auch schon. Deshalb haben sie ihre Methoden durch das Hinzufügen einer neuen Waffe verbessert, die sogenannte doppelte Erpressung.
Bei einem solchen Angriff mit doppelter Erpressung wird zunächst eine Kopie der Daten gestohlen und anschließend verschlüsselt. Sollte das Lösegeld nicht bezahlt werden, droht der Angreifer in einer zweiten Stufe, die Inhalte der Dateien im gesamten Netz verfügbar zu machen. Damit erzielen die Kriminellen die Chance auf eine Zweitverwertung, um doch noch eine Lösegeldzahlung zu erreichen. Diese neue, gestufte Art der Erpressung hat sich für Verbrecher auf diesem Feld als äußerst lukrativ herausgestellt. Seit dem ersten Fall doppelter Erpressung vor ungefähr drei Jahren hat der Anteil dieser Erpressungen auf 80 Prozent aller öffentlich gewordenen Angriffe zugenommen. Der traurige Erfolg dieser doppelten Erpressungsangriffe hat weitere eine Lücke auf dem Markt für Datenspeichersicherheit gezeigt.
Mehr Schutz für Daten und Inhalte
Während es keinen Mangel an Netzwerksicherungen gibt, so beispielsweise Endpunktsicherheit, Firewalls oder andere Lösungen, hat man es meist versäumt, die Daten selbst zu sichern. Sogar bereits installierte Strukturen auf NIST-Bases (Identify, Protect, Detect, Respond, Recover) bieten umfassende Methoden zum Schutz der Infrastruktur, allerdings wenig bis gar keine Lösungen zum Schutz der eigentlichen Inhalte. Bei einem kriminellen Zugriff geht es nicht mehr darum, in die Systeme einzudringen, sondern darum, an die Daten zu gelangen. Sollte danach eine Kopie der Daten in die falschen Hände gelangen, gibt es keine Möglichkeit mehr, eine Veröffentlichung zu verhindern.
Cyberstorage soll neue Sicherheitskategorie definieren
Glücklicherweise gibt es in der Entwicklung einen neuen Trend, Angriffe nicht nur abzuschwächen, sondern diese vollständig zu neutralisieren. Marktforscher haben diesen Trend in den letzten Jahren erkannt und dafür den Begriff Cyberstorage definiert. Mit der Schaffung dieser neuen Sicherheitskategorie sollten die Hersteller aufgefordert werden, entsprechende Lösungen zu entwickeln, um Daten vollständig, also solche über die Verfälschung hinaus zu schützen. Für die Betreiber soll dies eine Aufforderung zu erhöhter Aufmerksamkeit sein, sich Gedanken über die Folgen zu machen, falls ein Netzwerk- und Zugangsschutz durchbrochen und auf Daten zugegriffen wurde. Gibt es dann eine Möglichkeit die Daten zu schützen, auch während eines solchen kriminellen Angriffs?
Natürlich beantworten die Hersteller, die bereits Lösungen entwickelt haben, diese Frage mit ja. Das Ziel einer solchen Data-First-Speicherlösung, die zwischen der Netzwerkinfrastruktur und dem eigentlichen Produktionsspeichersystem angesiedelt sein soll, besteht nicht allein darin, die Auswirkungen eines Angriffs abzuschwächen. Vielmehr soll der Angriff absorbiert werden, das Risiko der Offenlegung von Daten verringert durch automatisierte Systeme die Ausfallsicherheit erhöht und Ausfallzeiten möglichst vermieden werden. Sollten die Daten auch bei unzulässigem Zugriff auf die Speichersysteme sicher bleiben, bleibt dem Betreiber ausreichend Zeit, das aufgerissene Leck zu schließen. Und vor allem, um forensische Maßnahmen zu ergreifen, ohne das Risiko einzugehen, dass Produktionsdaten aus ihrer geschützten Umgebung abgezogen werden können.
Angriffe auf dezentrale Systeme steigt
Eine solche Cyberstorage-Schicht kann zusätzlich auch helfen, Backup-Daten und solche auf dezentralen Rechnern zu sichern. Diese werden besonders häufig zum Ziel krimineller Angriffe mit doppelter Erpressung. Jüngste Untersuchungen zeigen, dass über 70 Prozent aller Unternehmen in den letzten Jahren Opfer solcher krimineller Angriffe geworden sind. Daneben haben sich Attacken auf Cloud-Umgebungen von Jahr zu Jahr stetig verdoppelt. Dies führte bei vielen Nutzern zu der Schockreaktion, aus der Cloud zurück ins eigene RZ zu wechseln. Allerdings verfolgen Kriminelle diese Entwicklungen ebenfalls und wissen, dass der Zugriff auf lokale Systeme, sogar solche mit dem vielfach gepriesenen Air-Gap, eine Goldgrube darstellt. Durch verschiedene teilweise sehr kreative Maßnahmen, CVE-Exploits, das Ausnutzen von Backdoor-Schwachstellen und elektromagnetischen Signalen, wurden immer mehr Angriffe auf dezentrale Systeme registriert.
Kriterien für Cyberstorage
Laut verschiedenen Analysten schützt Cyberstorage Daten auf Speichersystemen vor Ransomware-Angriffen. Mithilfe dieser Systeme werden Angriffe frühzeitig erkannt und blockiert. Zusätzlich wird die Wiederherstellung durch Analysen unterstützt, um festzustellen, wann und vor allem wie ein krimineller Angriff begonnen hat. Bei der Bewertung von Cyberstorage-Angeboten sollten Unternehmen die folgenden Punkte berücksichtigen:
- Eine integrierte, proaktive Technologie, welche Anomalien erkennen und selbstständig automatisiert handeln kann, den Bedrohungsherd automatisch unter Quarantäne stellt, die Aktivität an den Leitstand weitergibt und zur weiteren Untersuchung dediziert aufzeichnet.
- Die Möglichkeit zur sofortigen Wiederherstellung und Fortsetzung der Produktion nach einem Angriff, eventuelle Möglichkeit zur Selbstheilung der betroffenen Daten.
- Komplexe Sicherheitsmaßnahmen auf Dateiebene, die selbst dann vor einer Veröffentlichung schützen, falls sie gestohlen worden sein sollten.
Dabei ist der Faktor Zeit bei einem kriminellen Angriff von mitentscheidender Bedeutung. Cyberstorage-Lösungen, die tiefe Analysen und Informationen in proaktive Trigger der Aktivität auf Datenebene verbinden, tragen dazu bei, die Reaktionszeit wesentlich zu verkürzen und die Wiederherstellung zu beschleunigen. Hierdurch lässt sich die Widerstandsfähigkeit eines RZ-Betriebes wesentlich verbessern. Man nimmt an, dass heute eine durchschnittliche Ransomware eine Installation in weniger als einer Stunde, wenn nicht weniger als 45 Minuten übernehmen kann. Der intelligente und erfahrene Kriminelle wartet mehr als zehn Tage lang unentdeckt, nachdem er in ein Netzwerk eingedrungen ist, bevor er Ransomware einsetzt.
Data-First initiiert sofortige Quarantäne-Maßnahmen
Unternehmen, die nur darauf warten, dass ihr Spezialisten-Team auf verdächtige Aktivitäten reagieren, haben dieses Spiel schon verloren. Ein Angriff muss automatisch erkannt und im Vorfeld gestoppt werden, indem der Ort der kriminellen Handlung unter Quarantäne gestellt wird. Hinzu kommt, die Aktivitäten für weitere Untersuchungen weiterzugeben, aufzuzeichnen und alle Daten zu schützen, selbst wenn darauf zugegriffen werden sollte.
Während die Methodik zur Erfüllung dieser Anforderungen von Anbieter zu Anbieter unterschiedlich sein kann, ist das ultimative gemeinsame Ziel von Cyberstorage immer ein Data-First-Sicherheitsansatz. Dieser konzentriert sich den Schutz der Daten selbst konzentriert und nicht auf den der Medien. Obwohl diese Kategorie noch sehr jung ist, sollten Unternehmen, egal welcher Größe, diese Art des Schutzes so schnell wie möglich einführen. Man muss kaum darauf hinweisen, dass sich Kriminelle vor allem die als Opfer suchen werden, die nicht mit entsprechenden Systemen geschützt sind.
Betreiben heute nur etwas mehr als zehn Prozent der Unternehmen einen validen Schutz gegen kriminelle Angriffe der beschriebenen Art, erwarten Analysten, dass diese Zahl in den nächsten Jahren auf drei Viertel ansteigen wird. Die Kategorie Cyberstorage verschiebt den Dialog über Datenschutz von der Prävention und Wiederherstellung hinüber zur Akzeptanz der Unausweichlichkeit eines Angriffs. Deshalb benötigen alle Betreiber entsprechend kreative Lösungen, um ihre Daten auch während eines Durchbruchs zu schützen. Ein oben beschriebener Data-First-Sicherheitsansatz tut genau das.
Gruß
Doc Storage
Weiterführende Links:
