Schützen Sie Ihren Dateidatenspeicher vor Ransomware mit ganzheitlicher Sicherheit

Wenn es um Ransomware geht, ist eine Unze Prävention das Dreifache der Heilung wert.

Ihr Business-Continuity-Plan kann bei der Wiederherstellung Ihrer Daten ähnlich aussehen – unabhängig davon, ob der Datenverlust durch eine Naturkatastrophe oder einen Ransomware-Angriff verursacht wird. Anfang dieses Jahres habe ich Qumulo's behandelt eingebaute Sicherheitskontrollen um Ihnen zu helfen, Ihre Daten im Rahmen eines ganzheitlichen Sicherheitskonzepts vor Malware zu schützen.  

In dieser Serie konzentrieren wir uns auf Ransomware im Kontext von Geschäftskontinuität und Notfallwiederherstellung Denn mit dem Aufkommen von Ransomware as-a-Service (RaaS) und den enormen Lösegeldzahlungen nehmen Angriffe zu. Zum Beispiel kann die FBI hat Ermittlungen in mehr als 100 RaaS-Varianten, von denen viele in mehreren Ransomware-Kampagnen verwendet wurden. Während kürzliche Ransomware-Vorfälle hViele weitere wurden in großem Umfang öffentlich gemacht, um den Ruf des Opfers zu schützen.

Geschäftskritische Daten werden für Lösegeld verschlüsselt und Cyberkriminelle werden aus Gründen der Geschäftskontinuität bezahlt. 

Laut Sophos' 2021 Ransomware-Status, ein Bericht, der auf Daten von 5,400 Entscheidungsträgern aus über 30 Ländern basiert – Organisationen im Durchschnitt, erhielten nach Zahlung des Lösegelds nur 65 % ihrer Daten zurück. Aber die Kosten für die Geschäftskontinuität, die Ausfallzeiten, schaden Unternehmen am meisten. ​​Der Bericht besagt, dass das durchschnittliche Lösegeld von mittelständischen Unternehmen 170,404 US-Dollar betrug. Die durchschnittliche Rechnung für die Behebung eines Ransomware-Angriffs unter Berücksichtigung von Ausfallzeiten, Arbeitszeit, Gerätekosten, Netzwerkkosten, entgangener Gelegenheit, gezahltem Lösegeld usw. betrug jedoch 1.85 Millionen US-Dollar.

Wie kommt Ransomware ins Spiel? Lass mich die Wege zählen…

Cyberkriminelle nutzen clevere Taktiken, um die Umgebung eines Unternehmens auf mehreren Ebenen zu infiltrieren und Ransomware bereitstellen. Eine der gängigsten ist Social Engineering – eine Phishing-E-Mail, bei der ein Firmeninsider dazu verleitet wird, Anmeldeinformationen zu teilen oder Malware herunterzuladen und die Bedrohung hereinzulassen. 

USB-Laufwerke, Partnernetzwerke, ungepatchte Schwachstellen und leicht zu beschaffende Passwörter – all das sind potenzielle Bedrohungsvektoren für den Eintritt von Malware. Neue hybride Arbeitsmodelle können mehr schaffen. Aus diesem Grund ist es wichtig, einen ganzheitlichen Sicherheitsansatz zu verfolgen, um das Eindringen zu verhindern, Ransomware erkennen wenn es passiert, und verhindern Sie, dass es sich auf andere Teile des Netzwerks ausbreitet. Zu einem ganzheitlichen Ansatz gehört nicht zuletzt ein Business-Continuity-Plan, der Daten einschließt Backup und Disaster Recovery von Ransomware.  

Ransomware: Die Anatomie eines Angriffs 

Ransomware kann fast jedes Gerät mit einem Betriebssystem oder einer digitalen Verbindung infizieren, einschließlich Netzwerkgeräten, IoT-Geräten, Desktop-Computern, Servern, Digitalkameras, Druckern und Zip-Laufwerken. Das Ziel der meisten Ransomware-Angriffe besteht darin, Daten zu exfiltrieren und/oder Daten zu verschlüsseln, um Unternehmen zu zwingen, für Schlüssel zum Entschlüsseln ihrer Daten zu bezahlen. Angriffe erfolgen typischerweise in Phasen:

1. Erhalten Sie Zugriff auf das Netzwerk und mindestens ein erstes Gerät
2. Infizieren Sie so viele zusätzliche Geräte wie möglich, um Informationen zu sammeln
3. Daten exfiltrieren
4. Stellen Sie zusätzliche Module bereit, die; zum Beispiel Daten verschlüsseln
5. Daten für Erpressung verschlüsseln

In der ersten Phase sammeln die Eindringlinge weitere Informationen über die Infrastruktur (Benutzer, Datenflüsse, Netzwerktopologien, Geräte). Später beginnen sie dann, Daten zu exfiltrieren und/oder zusätzliche Malware zu laden, um andere Threads zu starten, die auf Daten zugreifen und Dateien verschlüsseln können. 

Aus diesem Grund ist eine effiziente Risikomanagementstrategie erforderlich, die sich auf Angriffsvektoren konzentriert, um Infektionen zu verhindern oder frühe Phasen an der Stelle im Netzwerk und auf den Computergeräten zu erkennen, an der die Infektion aufgetreten ist. Die Datenspeicherung steht am Ende des Infektionszyklus. Je länger die Malware läuft, desto weiter verbreitet sich die Infektion, was die Notfallwiederherstellung und die Wiederaufnahme des Betriebs erschwert.

Die ganzheitliche Sicherheitsarchitektur von Qumulo: Überblick 

Ein ganzheitlicher Sicherheitsansatz für Ransomware-Erkennung erfasst Daten von so vielen Geräten wie möglich, um verdächtige Ereignisse an den Einstiegspunkten zur Analyse und Korrelation zu identifizieren. Nach der Erkennung werden Maßnahmen ergriffen, um zu verhindern, dass die Ransomware Zugriff auf nachfolgende Ebenen einschließlich Ihres Dateispeichers erhält.

Implementierung eines ganzheitlichen Sicherheitsansatzes, der Netzwerk-, Rechen-, Geräte- und Ereignisüberwachungstechniken umfasst, zusammen mit Datenkorrelation und -analyse, ist isolierten Sicherheitslösungen vorzuziehen, die in das Speichersystem eingebettet sind. Das Ziel besteht darin, zu verhindern, dass die Ransomware in die Nähe Ihrer Dateidaten gelangt.

Die Qumulo-Dateidatenplattform ist auf Sicherheit im Kern aufgebaut und umfasst ein breites Spektrum moderner Technologien und Datendienste, die darauf ausgelegt sind, Daten sicher zu halten. Die Softwarearchitektur von Qumulo ist ein speziell entwickeltes Dateisystem mit einem nativ entwickelten Protokollstack. Es verwendet keinen Code von Drittanbietern für Dateidatenzugriffsprotokolle. Zweiwöchentliche Software-Updates umfassen Qumulo-Image und Betriebssystem, und Updates und Fixes werden von Qumulo integriert, einschließlich aller gängigen Schwachstellen- und Offenlegungsprobleme (CVE). 

Aus diesen und weiteren Gründen ist Qumulo in der Lage, eine ganzheitliche Sicherheitsstrategie über drei Domänen hinweg zu unterstützen. Prävention und Erkennung werden in diesem Artikel behandelt und Wiederherstellung und Wiederaufnahme im zweiten Artikel dieser zweiteiligen Serie:

1. Prävention, um Ihre Risikooberfläche zu reduzieren 
2. Erkennung, um verdächtige Aktivitäten frühzeitig zu entdecken und zu stoppen 
3. Wiederherstellung und Wiederaufnahme zur Unterstützung der Geschäftskontinuität 

Die Qumulo-Dateidatenplattform

 

Ganzheitlicher Bereich: Prävention

Die häufigsten Exploits von Malware-Angriffen passieren außerhalb Ihres Speichersystems und Sie möchten verhindern, dass sie dorthin gelangen. Das erste Ziel von Ransomware besteht darin, hinter Ihre Firewall und in Ihr Netzwerk einzudringen – wo der Angreifer beobachten, sich bewegen und den Angriff planen kann. Hier sind viele der benutzerfreundlichen Sicherheitsfunktionen, die in die Qumulo-Dateisystemsoftware integriert sind, um die Angriffsfläche für Ransomware und andere Exploits zu reduzieren. 

• Gesperrtes Linux-Betriebssystem – ein minimales Ubuntu-Image zur Reduzierung der Risikooberfläche
• Zweiwöchentliche Produktupdates – mit integrierten Sicherheitsfunktionen und Patches
• Das Dateisystem läuft komplett im Userspace (LD/LDAP)
• Rollenbasierte Zugriffskontrolle (RBAC) – legt fest, was jede Benutzergruppe mit vordefinierten Rollen tun kann und delegiert die geringsten Berechtigungen
• Einschränkungen des SMB- und NFS-Dateizugriffs auf Hosts im Netzwerk 
• Zugriffsbasierte Enumeration (ABE) – Berechtigungen erforderlich
• Die Möglichkeit, SMB-Freigaben auszublenden (der genaue Pfad wird benötigt, um die Freigabe zu mounten)
• Datenverschlüsselung (Daten im Ruhezustand werden standardmäßig verschlüsselt)
• Daten auf der Leitung können verschlüsselt und pro Aktie eingestellt werden

 

Ganzheitlicher Bereich: Erkennung

Integration in moderne Sicherheitsinformations- und Ereignismanagement (SIEM) Lösungen erfassen Daten von Geräten und bieten ganzheitliche Ansätze, um Malware-Infektionen zu erkennen und zu stoppen. Ein wichtiger Aspekt für Detektivkontrollen ist die zentrale Ereigniserfassung und Korrelation. Der Vorteil eines zentralisierten SIEM-Ansatzes besteht darin, dass er eine gemeinsame Lösung für alle Rechenzentrums- oder Cloud-Instanzen und -Dienste bietet. Daten können einfach erfasst und indiziert, gefiltert, analysiert, durchsucht und visualisiert werden. Bei verdächtigen Aktivitäten können automatisierte oder halbautomatische Aktionen ausgelöst werden. Dies ist der effektivste Ansatz, da Ransomware erkannt und gestoppt wird, bevor sie Ihr Dateisystem erreicht. 

 

Qumulo sendet Audit-Logs im branchenüblichen Syslog-Format an SIEM-Lösungen auf dem Markt, einschließlich Splunk, Elastic Search, AWS Cloudwatch und Azure Sentinel.

Darüber hinaus können Intrusion Detection Systeme (IDS) Muster gefährlichen Netzwerkverkehrs erkennen; B. anomale Domain Name Server (DNS)-Abfragen, die zum Exfiltrieren von Datenpaketen verwendet werden, die mit einer Exploit-Technik korreliert sind. Viele Unternehmen verwenden Intrusion-Prevention-Systeme (IPS) zur Erkennungskontrolle mit erweiterten Firewall- und Exploit-Erkennungsfunktionen, die einige Angriffskategorien blockieren.

Implementieren Sie automatisierte Antworten mit der Qumulo-API

Das Qumulo-Dateidatenplattform unterstützt durch seine Auditing-Funktion alle gängigen Sicherheitssoftware auf dem Markt. Darüber hinaus können Sie mit der API von Qumulo automatisierte Abwehraktionen von jeder Angriffsoberfläche aus initiieren, falls eine bösartige Aktivität erkannt wird. Es gibt mehrere Möglichkeiten, die Qumulo-API mit direkten API-Aufrufen zu nutzen, und Qumulo bietet Python-Bibliotheken, um die Entwicklung von API-Skripten zu vereinfachen und die Qumulo Core-CLI.

Sobald das IDS-System im Netzwerk eine verdächtige oder sogar bösartige Aktivität für eine Datei erkannt hat, kann das System automatisierte Ereignisse auslösen, um das Risiko zu mindern. Qumulo bietet a reichhaltige REST-API, die die Automatisierung ermöglicht alle Arten von Verwaltungsaufgaben im Cluster, einschließlich Aufgaben zur Malware-Abwehr im Falle eines Sicherheitsereignisses:

• Legen Sie ein Kontingent für ein Verzeichnis fest oder setzen Sie das gesamte System auf 0. Jede neue Schreibaktivität wird verhindert (überschreibt jedoch möglicherweise noch).
• Legen Sie eine Freigabe auf schreibgeschützte oder eingeschränkte IP-Adressen fest
• Berechtigungen für einen oder mehrere Benutzer entfernen
• Schnappschuss aufnehmen oder wiederherstellen
• Starten Sie einen Antivirus-On-Demand-Scan

Die jüngste Geschichte hat gezeigt, dass selbst gute Sicherheitskontrollen von Ransomware überwunden werden können; und daher ist ein Mittel zum Wiederherstellen und Wiederaufnehmen von Operationen erforderlich. Das Dateisystem von Qumulo unterstützt Disaster-Recovery-Strategien mit einigen sehr effektiven und einfach zu implementierenden Datendiensten die in Qumulo Core integriert sind, einschließlich Löschcodierung, unveränderliche Snapshots, Cloud-Backup und Snapshot-Richtlinienreplikation. 

Im nächster Artikel dieser Serie, Ich werde den dritten ganzheitlichen Bereich behandeln: Daten rWiederherstellung und Wiederaufnahme des Betriebs (Rollback) nach einem Ransomware-Angriff. 

Mehr erfahren

• So verwenden Sie die vorbeugenden Kontrollen von Qumulo gegen Malware
• So verwenden Sie die Detektivkontrollen von Qumulo gegen Datenschutzverletzungen
• So verwenden Sie die korrigierenden Kontrollen von Qumulo, um den Datenverlust zu minimieren

Kontakt

• Klicken Sie auf Kostenlos erhalten und dann auf Installieren. hier um ein Meeting zu planen.
• Machen Sie eine Probefahrt in unseren interaktiven Hands-On Labs oder Demo buchen.
  
• Abonnieren Sie den Qumulo-Blog für Kundengeschichten, technische Einblicke und Produktneuigkeiten.