Cohesity: Backup und Datenmanagement schützt vor Ransomware

Wichtigste Erkenntnisse der Forrester-Studie

Für die Studie Ransomware Recoverability Must Be A Critical Component Of Your Business Continuity Plans befragte Forrester über 300 IT-Manager in Nordamerika, Europa sowie im asiatisch-pazifischen Raum. In der Umfrage zeigte sich, dass nur 21 Prozent der Firmen einen Disaster-Recovery-Plan für die Datenwiederherstellung nach einer Ransomware-Attacke haben.

Zwar zeigen sich 77 Prozent der Befragten optimistisch, sich nach einem solchen Angriff wieder zu erholen, allerdings berichteten nur elf Prozent, dass sie innerhalb von drei Tagen ihre Daten wiederherstellen konnten.

Dabei werden im Durchschnitt – so die Studie – nur 58 Prozent der Daten wirklich wiederhergestellt; nur 25 Prozent der Teilnehmer gab an, zwischen 75 und 100 Prozent des Backups zurückspielen zu können. Zwei Drittel der Befragten, die angaben, dass es 15 bis 30 Tage dauert, bis sie Daten wiederherstellen können, konnten nur 25 Prozent bis 49 Prozent ihrer Daten wiederherstellen.

Die Studie fragte auch nach den möglichen Gründen für diese Ergebnisse. Hierbei gaben 50 Prozent der Teilnehmer an, dass ihre Wiederherstellungsprozesse zu starr sind und es nicht zulassen, zeitsensible Anpassungen zu unternehmen.

Zudem sagten 45 Prozent, dass die Verantwortung für die Wiederherstellbarkeit zwischen den Teams für Infrastruktur und Betrieb und für Sicherheit und Risiko schlecht definiert sei. Und 44 Prozent sehen einen Grund für schlechte Wiederherstellbarkeit in der Tatsache, dass das Security-Team nicht mit dem Infrastrukturteam kommuniziert.

Interessant ist darüber hinaus, dass noch 21 Prozent der Befragten erklärten, dass sie eine Backup-Kopie nicht auf Schwachstellen prüfen können, ohne dass das Recovery erfolgte. Sind die Daten also kompromittiert, stellt sich das erst heraus, wenn diese hergestellt und genutzt werden, was ein großes Risiko darstellt.

Es gibt aber noch weitere Herausforderungen für die Unternehmen, wenn sie auf eine Ransomware-Attacke reagieren müssen. So sehen 54 Prozent die Fragmentierung ihrer Backups als größte Herausforderung an.

Wiederum 51 Prozent der Umfrageteilnehmer sagten, dass ihre Backups während des Angriffs nicht geschützt waren und somit kompromittiert wurden. Fast gleichauf waren die Aussagen, dass die Technologie zur Erkennung des Angriffs ineffektiv sind (43 Prozent), und dass sich die Backup Tools nicht gut in die weitgefasste Sicherheitsumgebung integrieren lassen (42 Prozent).

Auf die Frage, was sich die Unternehmen von einem Anbieter erwarten, der die Backup-Lösung entweder managed oder erweitert, gaben 60 Prozent an, sich bessere Backup-Prozesse zu erhoffen. Dazu gehören verkleinerte Sicherungszeitfenster und weniger fehlschlagende Backup-Jobs. Letztlich fanden 87 Prozent der befragten Firmen die Wiederherstellbarkeit und Integrität der Daten die wichtigste Funktion in der Datensicherung.

Als Resultat dieser Befragung sieht Forrester unter anderem, dass Unternehmen nach Partnerschaften mit Anbietern von Backup-Lösungen suchen, um in naher Zukunft eine vorhersehbare Wiederherstellung zu ermöglichen und Bedrohungsinformationen zu erhalten.

Cohesitys Ansatz mit Backups vor Ranwomware zu schützen

Das Unternehmen Cohesity will mit seiner Data Platform aktiv dazu beitragen, dass sich Firmen gegen Ransomware-Angriffe schützen können und sieht auch die Herausforderungen dieses Projektes.

„Cyberkriminelle haben heutzutage viel mehr Angriffsfläche, auch bei Unternehmen, da immer mehr über das Web ausgetauscht wird.“ sagt Wolfgang Huber, Regional Director für Central Europe bei Cohesity. „Firmen und Personen werden immer virtueller und der Zeitdruck, die Transformation umzusetzen wächst. Wir sehen Malware, also auch Ransomware, die sich sehr lange und still verbreiten und wenn sie ins Backup gelangen, dann hat die jeweilige Organisation verloren.“

Für den Anbieter ist die Architektur entscheidend. Cohesity folgt dem Ansatz:

• Defend Backup/Prevent
• Detect
• Reduce Downtime/Respond

Die Data Platform des Herstellers ist eine Software-defined Storage-Lösung, die nach dem Scale-Out-Prinzip skaliert. Sie kann im eigenen Rechenzentrum zum Einsatz kommen, aber auch in externen oder Edge-Standorten sowie der Cloud (AWS, Azure, Google Cloud). Um die oben genannten drei Komponenten besser zu verstehen, erläutern wir die einzelnen Schritte, die zum Schutz vor Ransomware führen sollen.

1. Defend/Prevent – die mehrschichtige Data Protection starten

Das unveränderliche Dateisystem SpanFS sichert die Backup-Jobs in unveränderlichen Snapshots. Der ursprüngliche Backup-Job wird in einem unveränderlichen Zustand gehalten und unzugänglich gemacht, wodurch verhindert wird, dass er von einem externen System gemountet wird.

Die einzige Möglichkeit, das Backup im Schreib-Lese-Modus zu mounten, besteht darin, dieses Original-Backup zu klonen, was vom System automatisch durchgeführt wird. Obwohl Ransomware-Software in der Lage sein kann, Dateien im gemounteten (Lese-Schreib-)Backup zu löschen, kann sie den unveränderlichen Snapshot nicht beeinflussen.

Die Funktion DataLock ist eine WORM-ähnliche Funktion, die eine weitere Schutzebene bieten soll. Diese ermöglicht es Anwendern, eine „Datalock“-Richtlinie zu erstellen und auf ausgewählte Jobs anzuwenden und eine höhere Stufe der Unveränderbarkeit für geschützte Daten zu erreichen – auch Admins können diese nicht ändern oder löschen. Diese Funktion lässt sich in die RBAC (Role Based Access Control) integrieren, wodurch die Notwendigkeit von Tools von Drittanbietern entfällt.

Da auch Passwörter keinen hundertprozentigen Schutz bieten, verfügt die Data Platform über eine Multi-Faktor-Authentifizierung, vor Phishing-Schemata und andere Passwort-Hacks schützen soll.  

2. Detect

Die SaaS-basierte Lösung Helios des Herstellers erkennt Anomalien im System und sendet dem IT-Administrator und Cohesity entsprechende Warnmeldungen, wenn die Änderungsrate der Primärdateien außerhalb der Norm liegt. Diese Anomalien werden auf der Grundlage des Abgleichs größerer Datenänderungen mit den normalen Mustern erkannt, einschließlich:

• Tägliche Änderungsrate bei logischen Daten.
• Tägliche Änderungsrate bei gespeicherten Daten (nach der Deduplizierung).
• Muster-basierende Erkennung bei historischen Daten.

Neben der Überwachung der Änderungsrate von Backup-Daten, um einen potenziellen Ransomware-Angriff zu erkennen, identifiziert Helios auch Anomalien auf Dateiebene innerhalb unstrukturierter Dateien und Objektdaten und setzt Alarmmeldungen ab. Dazu gehört die Analyse der Häufigkeit von Dateizugriffen, der Anzahl von Dateien, die von einem bestimmten Benutzer oder einer Anwendung geändert, hinzugefügt oder gelöscht werden, um sicherzustellen, dass ein entsprechender Angriff schnell erkannt wird.

3. Respond/Reduce Downtime

Ein Backup ist nur so gut wie die Zeit, die zur Wiederherstellung benötigt wird. Deswegen gewährleistet die Data Plattform quasi unbegrenzte Skalierbarkeit. Als Web-Scale-Plattform konzipiert, ermöglicht sie es, unbegrenzt viele Snapshots und Klone ohne Leistungseinbußen vor Ort zu speichern. Die Snapshots müssen nicht von ihrem Standort aus verschoben werden, was die Wiederherstellung beschleunigt.

Darüber hinaus steht Anwendern eine Google-ähnliche globale, verfolgbare Suche zur Verfügung. Mit den Indexierungsfunktionen ist dies auf zwei verschiedenen Ebenen realisierbar.

• Dies ermöglicht es Benutzern, weltweit nach infizierten oder gefährdeten Dateien zu suchen und Korrekturmaßnahmen zu ergreifen, so dass sie nicht versehentlich von einer infizierten Kopie wiederherstellen.
• Wenn es um die Wiederherstellung geht, kann die IT-Administration einfach suchen und wiederherstellen. Die Suche bindet die IT-Administration direkt in den Wiederherstellungsfluss ein und die Suchergebnisse sind mit einem sauberen Snapshot verknüpft, wodurch die Wiederherstellungszeit verkürzt wird.

Die Funktion Instant Mass Restore sollen sich hunderte von virtuellen Maschinen (VMs) sofort wiederherstellen lassen. Dies wird durch die SnapTree-Technologie gewährleistet, die alle Snapshots vollständig hydratisiert hält, und da SnapFS ein verteiltes Dateisystem ist, lassen sich die Daten während der Wiederherstellung direkt auf Cohesity mittels NFS/SMB der primären Umgebung zur Verfügung stellen.

Datenmanagement als Teil des Backups

Der Hersteller sieht Datenmanagement als wichtigen Teil für erfolgreiche Backups beziehungsweise Wiederherstellungen. Insbesondere die Helios-Software soll Nutzern dabei helfen, Daten und Anwendungen besser zu überwachen und entsprechend zu verwalten.

Die Software bietet eine einzige Übersichtsplattform und soll globale Verwaltung ermöglichen, unabhängig davon, wo sich Daten und Apps befinden – am lokalen Standort, in der Cloud oder am Edge. Helios lässt sich dafür auch in Multi-Cluster-Umgebung einbinden.

„Unser Ansatz und unsere Lösung soll Kunden eine umfassende Backup-Lösung bieten, die auch vor Ransomware schützen und vor allem im Bedarfsfall schnelle Wiederherstellungen gewährleisten kann,“ erklärt Wolfgang Huber. „Die Lösung verhindert Silos, bietet zahlreiche Sicherheitsfunktionen wie Verschlüsselung und WORM und kann Daten an jedem Standort sichern. Für uns ist jedoch das Datenmanagement hier ebenso wichtig. Die IT-Verantwortlichen benötigen einen schnellen und umfassenden Überblick und eine zeitnahe Erkennung von Anomalien, damit sie auch dementsprechend schnell reagieren können.“

Cohesity bietet seine Data Platform in Partnerschaft mit Cisco, HPE und Pure Storage sowie als hyperkonvergente Appliance an.