So verwenden Sie die Detektivkontrollen von Qumulo gegen Datenschutzverletzungen

How to Use Qumulo's Detective Controls ist der dritte Blog einer vierteiligen Serie, die Ihnen dabei helfen soll, die Vorteile der Sicherheitskontrollen und Datenschutzfunktionen in der Dateidatenplattform von Qumulo. Im erster Eintrag dieser Serie, habe ich die Sicherheitsarchitektur vorgestellt, in Teil 2 behandelt präventive Kontrollen, und jetzt konzentrieren wir uns auf die Erkennung.

Detektivkontrollen sind unerlässlich, um bösartige Aktivitäten so früh wie möglich aufzudecken. Idealerweise müssen solche Aktivitäten erkannt werden Bevor sie erreichen das Speichersystem. 

Implementieren eines ganzheitliche Sicherheit Ansatz Dazu gehören Netzwerk-, Rechen-, Geräte- und Ereignisüberwachungstechniken, zusammen mit Datenkorrelation und Analyse, ist gegenüber isolierten Lösungen, die in das Speichersystem eingebettet sind, vorzuziehen. 

Das Qumulo-Dateidatenplattform unterstützt alle wichtigen ISV-Sicherheitslösungen durch seine Auditing-Funktion. Darüber hinaus können Sie mit der API von Qumulo automatisierte Abwehraktionen von jeder Angriffsoberfläche aus initiieren, falls eine bösartige Aktivität erkannt wird.

Die Besonderheiten eines ganzheitlichen Sicherheitsansatzes zum Schutz vor Datenschutzverletzungen

Ein ganzheitlicher Sicherheitsansatz für Ransomware-Erkennung erfasst Daten von möglichst vielen Geräten, um verdächtige Ereignisse zu analysieren, zu korrelieren und zu automatisieren.  

Auditing

Audit-Protokollierung in Qumulo Core, das Herzstück unserer Dateidatenplattform, bietet einen Mechanismus zur Verfolgung von Dateisystemen sowie von Verwaltungsvorgängen. Wenn verbundene Clients Anforderungen an den Cluster senden, werden Protokollnachrichten generiert, die jeden versuchten Vorgang beschreiben. Diese Protokollnachrichten werden dann über das Netzwerk an die Remote-Syslog-Instanz gesendet, die von der aktuellen Audit-Konfiguration gemäß RFC 5424 angegeben ist. Da sich die Zielinstanzen all dieser Protokollereignisse außerhalb des Qumulo-Clusters befinden, können sie danach nicht manipuliert oder gelöscht werden.

Die Vorteile des Qumulo-Ansatzes für Detektivkontrollen sind:

• Qumulo verwendet ein dem Industriestandard entsprechendes Syslog-Format, das von jeder gängigen Security Information and Event Management Software (SIEM) auf dem Markt gelesen, geparst und indiziert werden kann
• Alle Datenzugriffs- und Verwaltungsaufgaben werden erfasst
• Validierte Lösungen umfassen Splunk, Elasticsearch und AWS CloudWatch 

Der Vorteil eines zentralisierten SIEM-Ansatzes besteht darin, dass eine gemeinsame Lösung für alle Rechenzentrums- oder Cloud-Instanzen und -Dienste existiert. Daten können einfach erfasst und indiziert, gefiltert, analysiert, durchsucht und visualisiert werden. Bei verdächtigen Aktivitäten können automatisierte oder halbautomatische Aktionen ausgelöst werden. Dies ist der effektivste Ansatz, da Malware erkannt und gestoppt wird Bevor es erreicht das Speichersystem. 

Antivirus-Scan

Die erste Linie der Antivirus (AV)-Prävention sollte die Sicherheit im Rechenzentrum Infrastruktur. Dies kann Firewalls, Netzwerkscans, Server- und Desktop-Clients umfassen. Es ist wichtig zu verstehen, dass die Daten kompromittiert werden können, wenn Malware das Speichersystem erreicht. Trotzdem sehen wir immer noch ständige Anfragen nach AV-Lösungen auf dem Speichersystem und hier sind einige Optionen:

1. On-Demand-Scans: Qumulo unterstützt On-Demand-Scans aller gängigen Antivirenlösungen auf dem Markt. Sie können regelmäßig geplant werden und werden vorzugsweise außerhalb der Stoßzeiten ausgeführt. On-Demand-Scans auf Qumulo können viel schneller durchgeführt werden als auf einem Scale-up-NAS, da mehrere Scanner gleichzeitig auf allen Knoten im Cluster gleichzeitig ausgeführt werden können. 
2. Clientseitige Scans: Dies ist die bevorzugte Methode, wenn Scan-On geöffnet werden muss und wird von Qumulo vollständig unterstützt. Im Allgemeinen ist dies der beste Ort, um in Sicherheitsmaßnahmen zu investieren, da bösartige Payloads vom Client ausgeführt werden. Qumulo schlägt vor, ein Antivirenprogramm der nächsten Generation zu verwenden, das nicht auf Signaturen basiert (die von fortgeschrittenen Angreifern leicht geändert werden können), sondern auf binären Fingerabdrücken und KI-Techniken basiert. Außerdem sind eine geeignete Patching-Managementstrategie und ein Whitelisting-Ansatz, der die Ausführung nur legitimer und von der IT kontrollierter Software zulässt, von Vorteil, um die Angriffsfläche und das Gesamtrisiko eines Ausbruchs zu verringern.
3. On-Access-Scans (ohne AV-Client-SW): Einige Hersteller führen dies mit dem ICAP-Protokoll durch. Sobald eine Datei geöffnet ist, wird sie an eine Antivirus-SW-Instanz gesendet, die dieses Protokoll ebenfalls unterstützen muss. Dann wird die Datei gescannt, bevor (Scan beim Öffnen) oder nach (Scannen beim Schließen) die Datei geöffnet wird. Die bei diesem Ansatz häufig auftretenden Probleme werden im nächsten Abschnitt erörtert.

Probleme mit On-Access-Scans

Der On-Access-Scan (sofern er nicht auf dem Client durchgeführt wird) hat in der Praxis erhebliche Herausforderungen gezeigt:

1. Inakzeptable Reaktionszeiten: Sie haben ein superschnelles und skalierbares Scale-Out-NAS-System gekauft, das typische Reaktionszeiten im Bereich von 0.5-5 ms bietet. Wenn Sie eine Antivirus-Engine für Scan-On-Öffnen hinzufügen, erhöhen sich die Reaktionszeiten normalerweise auf mehrere Sekunden (je nach Netzwerk, Scan-Engine, Hardware und Größe der Dateien). Dies ist normalerweise für eine High-End-Lösung nicht akzeptabel, bei der Benutzer und Anwendungen schnelle Reaktionszeiten erfordern.
2. Eine unglaublich hohe Anzahl von Scan-Servern: On-Access-Scans erfordern eine sehr große Serverfarm für die Scanner. Normalerweise 1-2 physische Server pro Storage Node. Dies ist kein guter Ansatz und die Viren sollten an der Quelle erfasst werden: Desktop-Computer, Server, Netzwerkgeräte.

Best Practices zum Schutz vor Datenschutzverletzungen

Um die Nachteile von Antiviren-Scans auf dem Speichersystem zu vermeiden, empfiehlt Qumulo die folgenden Best Practices:

• Wenn On-Access-Scans erforderlich sind, verwenden Sie clientseitige Agenten. Sie sind für alle gängigen Plattformen verfügbar und haben keine wesentlichen Nachteile.
• Verwenden Sie On-Demand- oder geplante Scans auf Qumulo mit Ihrer Antivirus-Lösung Ihrer Wahl. Sie können regelmäßig und außerhalb der Stoßzeiten geplant werden.
• Machen Sie regelmäßig Schnappschüsse (beschrieben in Corrective Controls, dem letzten Blog aus dem Whitepaper).

Laden Sie das Whitepaper herunter: Sicherheitsarchitektur und Best Practices zur Abwehr von Malware 

Ransomware-Erkennung

Ransomware ist eine Art von Malware die versucht, sich Zugang zu sensiblen Unternehmens- oder Regierungsdaten zu verschaffen. Es funktioniert durch das Verschlüsseln und Exfiltrieren von Daten, wobei die böswilligen Akteure hinter dem Angriff im Allgemeinen eine Zahlung für die Schlüssel zum Entschlüsseln der Daten verlangen. 

Ein Ransomware-Angriff erfolgt normalerweise in Phasen:

1. Erhalten Sie Zugang zum Netzwerk und mindestens einem ersten Gerät
2. Infizieren Sie so viele zusätzliche Geräte wie möglich, um Informationen zu sammeln
3. Daten exfiltrieren
4. Ransomware-Bereitstellung: Laden zusätzlicher Module, die; zum Beispiel Daten verschlüsseln.
5. Daten für Erpressung verschlüsseln

Typische Ransomware-Angriffsvektoren

Es gibt viele Angriffsvektoren für eine Ransomware-Bereitstellung. Einige gängige Beispiele sind:

• Spear-Phishing-E-Mails (das ist die Bedrohung Nummer eins)
• Nutzen Sie Betriebssystem-Schwachstellen, die nicht behoben/gepatcht sind
• Trojaner-Software
• Man-in-the-Middle-Angriffe
• Webserver-Exploits
• Cross-Site-Skripting
• SQL-Injection
• Domain-Spoofing
• Wasserloch-Websites

Effiziente Erkennungskontrollen und Präventionsstrategien

Eine effiziente Präventionsstrategie muss zielführend sein Beginn der Infektionsphase. Betrachtet man die Angriffsvektoren, wird deutlich, dass dies nicht primär der Speicher ist. Oder anders gesagt: Denken Sie nicht, dass eine isolierte Anti-Malware-Lösung auf Ihrem Speichersystem eine effiziente Strategie ist. Dies ist definitiv nicht der Fall. Wieso den? Denn bei Ransomware-Angriffen werden alle Arten von Geräten infiziert: Netzwerkgeräte, IoT-Geräte, Desktop-Computer, Server, Kameras, Drucker, im Grunde alles, was ein Betriebssystem hat. Die Malware bleibt dort einige Zeit, bevor sie aktiv wird. In der ersten Phase sammeln die Eindringlinge immer mehr Informationen über die Infrastruktur (Benutzer, Datenflüsse, Netzwerktopologien, Geräte). Dann, in der späteren Phase des Angriffs, beginnen sie, Daten zu exfiltrieren und/oder zusätzliche Module zu laden, um andere Threads wie den Zugriff auf Daten und das Verschlüsseln von Dateien zu starten. 

Hier wird also deutlich, dass eine effiziente Präventionsstrategie bereits in der Frühphase der Infektion ansetzen muss. Das Speichersystem steht ganz am Ende der Angriffsphase. Die Infektion muss im Netzwerk und auf allen Computergeräten, auf denen die Malware landet und ausgeführt wird, viel früher erfasst und gestoppt werden. 

Darüber hinaus folgt auf Sanierungsbemühungen häufig eine erneute Infektion, da noch nicht alle potentiellen Geräte im Netzwerk freigegeben wurden. Dies ist ein weiterer wichtiger Grund, Malware in der Anfangsphase zu erfassen, in Netzwerk, Servern, Anwendungen (zB E-Mail). 

modern Sicherheitsinformations- und Ereignismanagement (SIEM) Lösungen erfassen Daten von allen potenziellen Geräten und bieten ganzheitliche Ansätze, um Malware-Infektionen zu erkennen und zu verhindern. Ein wichtiger Aspekt für Detektivkontrollen ist die zentrale Ereigniserfassung und Korrelation. Darüber hinaus können Intrusion-Detection-Systeme (IDS) Muster gefährlichen Netzwerkverkehrs erkennen; zum Beispiel anomale Domain Name Server (DNS)-Abfragen, die zum Exfiltrieren von Daten verwendet werden, Pakete, die mit einer Exploit-Technik korreliert sind.

Viele Unternehmen verwenden Intrusion-Prevention-Systeme (IPS) zur Erkennungskontrolle mit erweiterten Firewall- und Exploit-Erkennungsfunktionen, die dazu beitragen können, einige Angriffskategorien abzuwehren.

Implementieren Sie automatisierte Antworten mit der Qumulo-API

Sobald das IDS-System eine verdächtige oder sogar bösartige Aktivität für eine Datei erkannt hat, können die Systeme automatisierte Ereignisse auslösen. Qumulo bietet a reichhaltige REST-API, die die Automatisierung ermöglicht alle Arten von Verwaltungsaufgaben im Cluster. Im Folgenden finden Sie Beispiele für Abschwächungsaufgaben im Falle eines Sicherheitsereignisses:

• Setzen Sie eine Quota für ein Verzeichnis oder das gesamte System auf 0. In diesem Fall wird jede neue Schreibaktivität verhindert (überschreibt jedoch möglicherweise noch möglich)
• Legen Sie eine Freigabe auf schreibgeschützt fest oder beschränken Sie IP-Adressen
• Berechtigungen für einen Benutzer entfernen
• Schnappschuss aufnehmen oder wiederherstellen
• Starten Sie einen Antivirus-On-Demand-Scan

Es gibt mehrere Möglichkeiten, die Qumulo-API zu nutzen:

1. Direkte API-Aufrufe
2. Verwenden Sie die von Qumulo bereitgestellten Python-Bibliotheken, um die Entwicklung von API-Skripten zu vereinfachen
3. Verwenden Sie das Qumulo-CLI

Wir empfehlen, die Detektivkontrollen von Qumulo in Verbindung mit bewährten Sicherheitspraktiken zu verwenden, um das Risiko zu mindern, indem Versuche von Cybersicherheitsverletzungen ("Ereignisse") oder erfolgreiche Sicherheitsverletzungen ("Vorfälle") während des Vorgangs erkannt werden.

Im letzten Beitrag dieser Serie behandeln wir Korrekturmaßnahmen oder laden das Whitepaper zur Sicherheitsarchitektur herunter, um voranzukommen.

Erfahren Sie mehr

• Teil 1: So verwenden Sie die integrierten Sicherheitskontrollen von Qumulo für den Datenschutz
• Teil 2: So verwenden Sie die vorbeugenden Kontrollen von Qumulo gegen Malware

Weißes Papier:  Sicherheitsarchitektur und Best Practices zur Abwehr von Malware 

Kontakt

• Machen Sie eine Probefahrt. Demo von Qumulo in unseren interaktiven Hands-On Labs. 
• Abonnieren Sie den Qumulo-Blog für Kundengeschichten, technische Einblicke, Branchentrends und Produktneuigkeiten.