Nach einem Ransomware-Angriff:Priorität muss auf Wiederherstellung liegen, nicht auf Backup
22. Februar 2022Angesichts der zunehmenden Verbreitung von Cyber-Angriffen benötigen Unternehmen eine moderne Datensicherungsstrategie, die kritische Systeme schützt und auch so schnell wie möglich wiederherstellt.
Die Welt der Datensicherungslösungen ist voll von Versprechungen verschiedener Anbieter zur Verhinderung und Erkennung von Ransomware und der Wiederherstellung nach einem Angriff. Ein Unternehmen hat sogar eine 5-Millionen-Dollar-Garantie für die Wiederherstellung von Ransomware angekündigt und behauptet, die Kosten für die Datenwiederherstellung zu decken.
Doch keine dieser Lösungen bietet die wichtigsten Elemente eines auf Ransomware-Schutz zugeschnittenen Angebots, nämlich:
- die Fähigkeit, Daten mit unveränderlichen, unzerstörbaren und sequestrierten Snapshots zu schützen und
- die Möglichkeit, große Datenvolumina schnell wiederherzustellen, mit Wiederherstellungsraten, die zehnmal schneller sind als die herkömmlicher Purpose-Built Backup-Appliances (PBBAs).
Cyber-Bedrohungen, einschließlich der aktuellen Welle von Ransomware-Angriffen, haben die Datensicherungslandschaft für immer verändert. Die Diskussion hat sich von der „Zeit bis zum Backup“ (um Backup-Fenster und Aufbewahrungsrichtlinien einzuhalten) zu der „Zeit bis zur Wiederherstellung“ (um den Geschäftsbetrieb wiederherzustellen und gesetzliche Anforderungen zu erfüllen) verschoben.
Paul Nakasone, Director bei der NSA, sagte voraus, dass die Zahl der Ransomware-Angriffe nicht nur ihr Wachstumstempo beibehalten wird, sondern dass die USA in den nächsten fünf Jahren jeden Tag mit mehreren Ransomware-Angriffen konfrontiert sein werden. In der Zwischenzeit hat das Analystenunternehmen Gartner vor kurzem erklärt, dass „die Bedrohung durch neue Ransomware-Modelle das größte Risiko für Unternehmen darstellt“, und hat dementsprechend seine „Top 8 Cybersecurity Predictions for 2021-2022“ veröffentlicht.
Alle Unternehmen und Institutionen müssen ihre wichtigen Systeme vor Angriffen schützen. Noch wichtiger ist jedoch, dass sie im Falle eines Angriffs darauf vorbereitet sein müssen, kritische Systeme so schnell wie möglich wieder in Betrieb zu nehmen.
Für Unternehmen, die darauf vorbereitet sind, liegen die Vorteile auf der Hand. Das Cyber-Versicherungsunternehmen Corvus stellt fest, dass die verbesserte Vorbereitung und Widerstandsfähigkeit seiner Versicherungskunden zu weniger Auszahlungen von Ransomware-Schadensfällen geführt hat, obwohl die Häufigkeit von Ransomware-Schadensfällen gestiegen ist. Dies ist ein klarer Aufruf zum Handeln, um proaktive Schritte zu unternehmen und die Bedrohung durch Ransomware zu mindern.
Ironischerweise hat eine kürzlich durchgeführte Studie ergeben, dass trotz des steigenden Risikos von Cyber-Bedrohungen 14 Prozent der befragten Führungskräfte keine Pläne zur Umsetzung von Initiativen zur Verteidigung und Reaktion auf Vorfälle haben. Diese 14 Prozent gehörten zu den 98 Prozent der befragten Führungskräfte, die angaben, dass sie im vergangenen Jahr mit mindestens einem Vorfall im Bereich der Cyber-Sicherheit konfrontiert worden waren.
Die Risiken sind dringend und offensichtlich. Ältere Datensicherungslösungen gehen jedoch nicht darauf ein, da sie in einer alten Welt verwurzelt sind, in der der Schwerpunkt genau darauf lag, nämlich auf der Sicherung von Daten. Im Gegensatz dazu konzentrieren sich einige neuere Lösungen darauf, die Infrastruktur vollständig zu eliminieren und Daten widerstandsfähig und dauerhaft verfügbar zu machen, anstatt sie wiederherzustellen.
Im Hinblick auf Cyber-Angriffe verfolgt Pure Storage einen modernen und innovativen Ansatz mit dem Schwerpunkt auf „Always-on-Verschlüsselung“, Replikation und Ransomware-Gegenmaßnahmen. Gesichert durch eine Zwei-Faktor-Authentifizierung profitieren Unternehmen von der proaktiven, fachkundigen Anleitung des technischen Supports durch den gesamten Prozess der Planung, Planung und Konfiguration von unveränderlichen, unzerstörbaren SafeMode-Snapshots, die sie darauf vorbereiten, ihre Daten im Falle eines Ransomware-Angriffs mit hoher Geschwindigkeit wiederherzustellen. Der Ansatz zur Ransomware-Wiederherstellung stellt den Geschäftsbetrieb schnell und effektiv wieder her.
Generell existieren verschiedene Kategorien von Lösungen, die Unternehmen nicht proaktiv vor den Folgen unvermeidlicher Cyber-Angriffe (einschließlich Ransomware) schützen. Unternehmen erfahren, wie sie Datenresilienz realisieren können.
Kategorie 1: Herkömmliche PBBAs
Die erste Kategorie sind die traditionellen zweckgebundenen Backup-Appliances. Diese PBBAs wurden ursprünglich als kostengünstige plattenbasierte Lösungen entwickelt, um Bandlaufwerke als Sicherungsziel zu ersetzen. Sie nutzten die Deduplizierung, um plattenbasierten Backup-Speicher im Vergleich zu Bandlaufwerken kostengünstig zu machen. Festplattenbasierte Systeme boten eine höhere Leistung mit mehr gleichzeitigen Backup-Vorgängen als Multi-Bandlaufwerke und Roboter-Bandbibliotheken und benötigten nur einen Bruchteil des Platzes im Rechenzentrum.
PBBAs waren ursprünglich unabhängig von Backup-Quellen und konnten als Backup-Ziel für alle führenden Backup-Anwendungen dienen. Das Hinzufügen von proprietären Herstellerprotokollen zwischen Backup-Clients/Backup-Servern und PBBA-Geräten in Verbindung mit der Auslagerung der Deduplizierung vom PBBA auf den Client beschleunigte die Backups.
Die Schwäche der plattenbasierten PBBAs ist ihre Geschwindigkeit bei der Wiederherstellung (d. h. ihre Wiederherstellungsraten). Die Wiederherstellungsleistung der festplattenbasierten Backup-Systeme beträgt im besten Fall 50 Prozent der Leistung ihrer Backup-/Ingest-Leistung. Und die tatsächliche Wiederherstellungsleistung beträgt häufig nur einen Bruchteil dieser Wiederherstellungsrate. Durch die Verwendung proprietärer Herstellerprotokolle und lokaler Deduplizierung wurde zwar die Backup-Leistung erhöht, nicht aber die Wiederherstellungsleistung. Kurz gesagt, PBBAs wurden in erster Linie für schnelle und effiziente Backups entwickelt, während die Datenwiederherstellung buchstäblich ein Nachspiel hatte.
Unternehmen haben bei wetterbedingten Naturkatastrophen bis hin zu gezielten Ransomware-Angriffen aus erster Hand erfahren, dass die Priorität einer modernen Datensicherung in der schnellen Wiederherstellung von Daten liegt und nicht in schnelleren Backups.
Vergleich von FlashBlade mit PBBAs
FlashBlade bietet branchenführende Backup- und Restore-Geschwindigkeiten (bis zu 270 TB/Stunde). Die SafeMode-Snapshots sind unveränderlich und widerstandsfähig. Sie können von Administratoren nicht verschlüsselt oder gelöscht werden, auch nicht von Ransomware-Hackern mittels kompromittierter Storage- oder Backup-Administrator-Zugangsdaten. Diese Kombination aus Snapshot-Schutz und hoher Leistung macht FlashBlade im Vergleich zu älteren PBBAs zu einer überlegenen Wahl für eine moderne, auf Wiederherstellung ausgerichtete Datensicherung.
Als leistungsstarke Wiederherstellungsquelle ist FlashBlade eine „offene“ Datensicherungslösung, die unveränderliche, sequenzierte SafeMode-Snapshots und eine branchenweit führende schnelle Wiederherstellung über ein Ökosystem führender Data Protection Technology Alliance-Partner wie Commvault, Veeam, Cohesity und Veritas ermöglicht.
Kategorie 2: Disaster Recovery as a Service (DRaaS)
Die nächste Lösungskategorie ist DRaaS, die journalisierte kontinuierliche Datensicherung (CDP) umfasst. Diese Lösungen sind auf die Sicherung und den Restore von virtuellen Maschinen (VMs), VMware vSphere und/oder Microsoft Hyper-V ausgerichtet. Ihr Schwerpunkt liegt auf „flexibler Wiederherstellung und granularen Wiederherstellungszeitpunkten“.
Sie definieren erfolgreiche Datensicherung als die Fähigkeit, sehr häufig Snapshots zu erstellen oder über CDP einen beliebigen Zeitpunkt (APIT) als Wiederherstellungspunkt zu wählen. Ein Anbieter erklärt sogar, dass „der Schlüssel zur effektiven Wiederherstellung bei Ransomware in der Granularität liegt“.
Diese Lösungen versprechen eine schnelle Wiederherstellung bis zu einem Punkt, der nur wenige Sekunden vor einem Angriff liegt, gefolgt von einer Wiederherstellung aller kritischen Systeme innerhalb weniger Minuten und mit nur wenigen Mausklicks auf eine Schaltfläche. Ein anderer Anbieter spricht von einer „nahezu sofortigen“ Wiederherstellung innerhalb von nur wenigen Minuten selbst für eine große Anzahl von VMs mit großen Datenmengen.
Was aber meinen diese Anbieter genau, wenn sie eine „nahezu sofortige“ Wiederherstellungsfähigkeit versprechen? Sie meinen damit, dass zeitpunktbezogene Versionen von VMs (und deren Daten) lediglich schnell verfügbar sind, nicht aber schnell an ihrem ursprünglichen Standort wiederhergestellt und anschließend zurück zum ursprünglichen vSphere- (z. B. über vMotion) oder Hyper-V-Cluster migriert werden. Im besten Fall bedeutet dies, dass die Daten vor Ort wiederhergestellt werden und außerhalb des ursprünglichen VM-Clusters „verfügbar“ sind. Bei cloudbasiertem DraaS bedeutet dies, dass die wiederhergestellten VMs und ihre Daten in der Cloud „verfügbar“ sind, aber nicht auf dem ursprünglichen VM-Cluster.
Was diese Anbieter nicht erwähnen oder nicht als Teil der Wiederherstellungszeit zählen, ist die Zeit für die Wiederherstellung am ursprünglichen Standort über VM-Migrationsfunktionen (z. B. vMotion in vSphere), die Stunden oder sogar Tage betragen kann. Natürlich ist es keine schnelle Wiederherstellung, wenn es Tage dauert, bis der Normalbetrieb wiederhergestellt ist, d. h. die VMs und ihre Daten an ihrem ursprünglichen Clusterstandort normal laufen. Das ist noch nicht einmal moderne Datensicherung.
Was sie ebenfalls nicht erwähnen, ist das Risiko eines Angriffs auf ihre eigene softwarebasierte Lösung durch einen Hacker, der mit kompromittierten Administrator-Zugangsdaten die Point-in-Time-Backups oder das Journaling zerstört.
Der Zweck dieser Backup-Plattformen und -Lösungen besteht darin, eine Kopie der Daten zu haben, die zu einem bestimmten Zeitpunkt mit Hilfe eines Katalogs oder Journals der Daten wiederhergestellt werden kann. Softwaresysteme zur Datensicherung bieten weder Schutz für die Daten noch für die Rechen- und Speicherplattformen, auf denen sie laufen. In letzter Zeit haben Ransomware-Angriffe begonnen, die Backup-Systeme selbst ins Visier zu nehmen. Eine Gruppe von Ransomware-Angreifern hat neuartige Taktiken zur Zerstörung von Backups entwickelt und bereits eingesetzt.
Der wahre Maßstab für die Restore-Zeit ist nicht nur, wie schnell VMs und Daten irgendwo verfügbar gemacht werden können, sondern wie schnell die VMs und Daten an ihrem ursprünglichen Standort wiederhergestellt werden können. FlashBlade Rapid Restore zeichnet sich in dieser Hinsicht aus und ermöglicht die Wiederherstellung von VMs im Petabyte-Bereich am ursprünglichen Speicherort innerhalb von Stunden.
Was Ransomware-Angriffe auf Backup-Systeme und den Backup-Speicher selbst betrifft, so ist zu beachten, dass SafeMode-Snapshots nicht ablaufen oder zerstört werden können. Da sie von den Domains der Speicheradministratoren abgeschottet sind, können Ransomware-Hacker, die die administrativen Zugangsdaten des Kunden kompromittieren oder sich diese beschaffen, SafeMode-Snapshots nicht zerstören. Mit FlashBlade sind SafeMode-Snapshots unveränderbar und vor absichtlicher oder versehentlicher Zerstörung geschützt.
Kategorie 3: Cloud-Backup/Cloud-Native-Backup
Die nächste Kategorie sind Cloud-Backup-Anbieter. Dazu gehören „Cloud-basierte“ und „Cloud-native“ Backup-Angebote. „Cloud-basiert“ bezieht sich auf Lösungen, die ein vom Kunden verwaltetes Produkt anbieten, das eine Softwarekomponente und die mögliche Verwendung einer „Cloud Edge“- oder „Cloud Access“-Hardware-Appliance(n) vor Ort umfasst. „Cloud-native Datensicherung und -wiederherstellung“ wird als Service angeboten, bei dem der Kunde lediglich Backup-Agenten auf den zu schützenden Geräten installiert.
Diese Lösungen bieten die Möglichkeit, Daten vor Ort zu sichern, ohne dass eine lokale Hardware- oder Software-Infrastruktur oder nur minimale lokale Hardware und Software benötigt wird. Backups von Daten vor Ort, einschließlich VMs, werden in der Cloud gespeichert und als Datensicherungsdienst verwaltet.
Cloud-Backup-Lösungen bieten einen infrastrukturfreien, benutzerfreundlichen Self-Service, der nach dem Prinzip „pay-as-you-go as-a-service“ funktioniert. Cloud-Backup ist eine attraktive Option für kleine und mittlere Unternehmen (KMU), Remote-Büros/Filialen (ROBOs) und Test-/Entwicklungsdatenmobilität.
Cloud-Backup-Anbieter konzentrieren sich auf den Schutz von lokalen Unternehmen und unternehmenseigenen Rechenzentren, wobei der Schwerpunkt auf dem Schutz vor Ransomware und der Wiederherstellung liegt. Sie werben damit, dass sie über Datensicherungsfunktionen für Unternehmen verfügen, die weniger kosten, einfacher zu verwalten und zuverlässiger sind und wenig oder gar keine Hardware und/oder Software vor Ort benötigen. Praktischerweise bieten sie jetzt auch Ransomware-Erkennung und entsprechende Überwachungs- und Analysefunktionen.
Sie werben auch mit der Fähigkeit, eine niedrige Wiederherstellungszeit (RTO) und eine schnelle Wiederherstellung zu bieten. Ähnlich wie bei DRaaS-Lösungen ist es jedoch wichtig, zu verstehen, wo sich diese niedrige RTO für die Wiederherstellung befindet. Cloudbasierte und Cloud-native Backups befinden sich in der Cloud und die Datenwiederherstellung erfolgt ebenfalls in der Cloud. Es kann Tage oder Wochen dauern, bis der normale Betrieb vor Ort wiederhergestellt ist und VMs und Daten an ihrem ursprünglichen Speicherort wiederhergestellt sind.
Auch hier ist das eigentliche Maß für die Wiederherstellungszeit nicht nur, wie schnell VMs und Daten irgendwo verfügbar gemacht werden können. Es geht vielmehr darum, wie schnell die VMs und Daten an ihrem ursprünglichen Standort wiederhergestellt werden können. FlashBlade Rapid Restore ermöglicht die Wiederherstellung von VMs im Petabyte-Bereich und deren Daten am ursprünglichen Speicherort in nur wenigen Stunden.
SafeMode-Snapshots sind unveränderlich und vor einer absichtlichen oder versehentlichen Zerstörung vor Ort geschützt, wo sich die zu schützenden Quelldaten tatsächlich befinden. Viele Datenschutzlösungen von Partnern, die FlashBlade für die schnelle Wiederherstellung von SafeMode-Snapshots nutzen, bieten jetzt auch Funktionen zur Erkennung und Beseitigung von Ransomware.
Wiederherstellung ist eine unternehmenskritische Priorität
Die Quintessenz ist: Es ist nicht mehr die Frage, ob ein Unternehmen von einem Cyberangriff betroffen sein wird, sondern wann. Dies ist die neue Realität, der man am besten mit einer modernen, auf Wiederherstellung ausgerichteten Datensicherungsstrategie begegnet. Mit aktivierten SafeMode-Snapshots und FlashBlade Rapid Restore sind Unternehmen bereits sehr gut auf die Wiederherstellung nach einem Ransomware-Angriff vorbereitet.
FlashBlade wurde speziell für die schnelle Wiederherstellung von Daten entwickelt, die über den technischen Support geschützt sind. Die gesicherten und unveränderlichen SafeMode-Snapshots können von einem Ransomware-Hacker nicht gelöscht, zerstört oder ungültig gemacht werden.
Die Fähigkeit zur schnellen Wiederherstellung bei Ransomware ist nicht nur eine Storage-Funktion. Es handelt sich um eine umfassende Supportfunktion, die durch ein Evergreen-Abonnement ermöglicht wird. Angesichts der weit verbreiteten und anhaltenden Ransomware-Angriffe kann derzeit jedes Unternehmen von schneller Wiederherstellung profitieren. (rhh)